
2段階認証の発明者はキム・ドットコム氏? 64
ストーリー by headless
特許 部門より
特許 部門より
taraiok 曰く、
Twitterが2段階認証を開始して間もなく、自分の発明をTwitterが勝手に使っているといった内容のツイートをキム・ドットコム氏が投稿した( The Vergeの記事、 TorrentFreakの記事、 Techdirtの記事、 本家/.)。
該当する特許はUS6078908Aで、認証時に別のデバイスを使用して送られた認証コードを入力することで認証が完了するというもの。キム・ドットコム氏の旧名(Kim Schmitz)で1998年4月22日に出願され、2000年6月20日に公開されている。この特許は米国および中国を含む13か国で有効とのこと。
Twitterのほか、GoogleやFacebook、Citibankなどもこの技術を無断で使用しており、使用回数は週10億回以上だという。ただし、キム・ドットコム氏はこれらの企業を訴えるつもりはないという。その代わりに、現在係争中の裁判費用を援助してほしいと要望している。現在、彼の資産は凍結されており、裁判には5,000万ドル以上の費用がかかる。それでも無実を信じて最後まで戦いたいとのことだ(ツイート2、 ツイート3、 ツイート4、 ツイート5、 ツイート6)。
いや、そんなことより (スコア:2)
携帯端末必須ってのが気持ち悪いんだけど何とかしてくれね。
たかが認証のために二年縛り契約の端末をつくらないといけないとか
Re:いや、そんなことより (スコア:2)
自分はMicrosoft、Dropbox、Facebookもそっちにしてる
Re:いや、そんなことより (スコア:1)
さらにいえば、いろいろなOS向けの実装があるから、なんとでもなりますしね。
M-FalconSky (暑いか寒い)
Re:いや、そんなことより (スコア:2)
iPod Touch と Google Authenticator の組み合わせとか。
SIM 抜きのスマホでもいいけど。
Re:いや、そんなことより (スコア:1)
# 十分に複雑なパスワードを設定できないサービスもあるけど・・・それは論外。設定できるのが数字8桁のみとか。
本来は、
1. 十分に複雑なパスワードを使う
2. 同じパスワードを異なるサービスで使い回さない
という対策を常に心がける必要があるところ、2段階認証サービス対応なサービスのみを使うのであれば、両方を怠っても、怠らなかった時と同じぐらい安全に使える、と言うだけの話で。 総当たり攻撃なり推測されたなり、どっかで流出したなりでパスワードがバレても、携帯電話を見ないと攻撃者はそれ以上アクセスを進められない。
# 0000とかの残念なパスワードに設定してどれぐらいひっきりなしにSMSが来るかをチェック、とか誰かやってみて欲しい(笑)
パソコン上に限れば、適切なパスワード管理ツールでも同じ事。
そもそもセキュリティ意識の無いユーザでも、あるべき姿のユーザ程度のセキュリティが確保できるというのも美味しい。ユーザに対してややこしい話をくどくどと啓蒙する必要も無く、「これを使え」と押しつけるだけで、ユーザはどうやってもそこそこ安全な使い方しか出来なくなる。
実家の年老いた父なんかに安全な使い方を強要するのに便利。まあ、ついったーとかはやってらっしゃらないけど。
Re:いや、そんなことより (スコア:2)
「これを使え」と押しつけるだけで、ユーザはどうやってもそこそこ安全な使い方しか出来なくなる。
本当にその通りだと思いますよ。
Battle.netのmobile authenticatorのように、秘密鍵をユーザーに預けて漏洩してしまう危険性も少ない
(事実、PCにバックアップしていた秘密鍵を抜かれたという話を聞いたことがある)
Re:いや、そんなことより (スコア:1)
「○○を聞いたことがある」という「事実」でしょう。
○○が正しいかどうかは自分で判断してね。
#知っているのか雷電!?
Re: (スコア:0)
>どのみち、2段階認証を使っても「十分に複雑なパスワードを適切に管理する」のと本質的には変わらないので、「十分に複雑な~」がめんどくさいから嫌だという人は、携帯電話で代替できますよ、ぐらいのことじゃないかと。
以前あった、Appleのクラウドが全削除された話を読むといいと思うよ。
どんなに複雑なパスワードを使っていても、パスワードが漏れることも
絶対にありえないというわけではない。
「iCloudアカウントが乗っ取られiPhoneやiPad、MacBookが遠隔消去される」
Re:いや、そんなことより (スコア:1)
# あとは、簡単に推測できる情報を本人確認に使ったとかも
2段階認証なアカウントに対して同じ攻撃をした場合、最後が「2段階認証用の携帯電話番号とパスワードを同時に変えたいんだけど」といういかにも胡散臭い申し出になるので、サービス提供者がそれを適切に蹴ってくれるならば安心です。「パスワードを変えたい」と同じプロセスで処理されてしまうなら、セキュリティは改善しないと思います。
ただ、「両方を変えたいんだけど」の申し出がより丁寧に処理されるようになって安心、と言うのは期待できるかも知れません。 2段階認証に頼れば単純なパスワード使い回してもある程度大丈夫になるので、 ライトユーザを中心に、パスワードをリセットしなきゃならない場面も減るでしょう。 すると、その問い合わせが減る分だけ、サービス提供者は個々の問い合わせに対して厳密な本人確認を実施できるようになり、 パスワードリセット攻撃のハードルも上がる、とか。
Re:いや、そんなことより (スコア:1)
まあ、「漠然とした一般的な攻撃」に対する耐性は上がりますから、全くの無駄ではないですが。 2段階認証用のコードは、正しくサイトに送られた時点で無効となるワンタイムパスワードになっていて使い回しが出来ないので、 「漠然と押されたキーを記録して後で攻撃者に送る」タイプのロガーだったら、攻撃者に送られた時点でコードは無効になってますし。 アカウント乗っ取りのチャンスは、「コードが入力された」あと「ENTERキーが入力される」前の一瞬ぐらいなので、 そこを狙う、より高度なマルウェアでなければ、攻撃が成立しません。
ただ、キーロガーを仕込むのって、OSのセキュリティ的な観点から見て、遠隔操作ウィルスを仕込むのと大差ない話なので、 そんなややこしいことをせず、ユーザが2段階でログインした後のブラウザを遠隔操作してやれば良いんですが・・・。
もちろん、一操作毎に2段階認証をかければ、また話は違ってきますが。ツイッターであれば、1ツイート毎に携帯に送られてきたコードを入力しないとダメ、とすると幾分マシになるかも知れません。ですが、既存の2段階認証のサイトを見る限り、そういう使いづらいUIにはなっていません。
まあ、基本的に、キーロガーを仕込まれるような致命的な状態で何を考えても無駄だと思いますよ。
ただ、ちょっと興味深いので突っ込んで考えてみましたが、出先の信用できないネカフェの端末からログインせざるを得ないような場合に、 2段階認証を上手く使うと、ログイン中に何かしらの攻撃を受ける可能性だけは諦めればばなんとかなる、みたいな切り口はあり得ると思います。
その場合、その信用できない端末上で「ログアウト」ボタンを押しても意味がない(その端末に攻撃の意図があるなら、ログアウト操作を無視してセッションを維持して、ユーザが立ち去った後も悪用を続ければよい)ので、別途、確実にログアウトする方法を用意する必要とか、細かく考え出すと色々ありますが・・・。
「2段階認証のコードを送ってきたSMSに返信すればログアウト」とか「何があっても1時間でログアウトする(サーバ側でセッションを無効化する)」とか「このログインは読むだけ、発言は1ツイート毎に2段階認証する」みたいなオプションを用意するとか。 ついでに、ユーザがブラウザ上で「そのオプションを選んだ」というのを、怪しい端末がその通りに処理するかどうか信用できないので、「このオプションを選んだときのみ、2段階認証のコードの1文字目が『0』に固定され、いつもより1文字長くなります。送られてきたコードが確実にそうなっていることを確かめて下さい」みたいに、信用できない端末を経由しない方法でユーザの希望通りの操作になっていると確認出来るような対策も必要でしょうか。ツイートをするなら、「この文章でツイートするならこのコードを入力」みたいなSMSが送られてくる、など、ツイートの内容に関しても。
ツイッターだと、もうSMS経由でツイートできる仕組みを作れよ、って話になると思いますが、まあ、gmailなんかのウェブメールサービスとかそう言うので。
Re:いや、そんなことより (スコア:1)
某○ティバンクのオンラインオペレーションの、振り込み操作も
2段認証なんですが、受け取りメールアドレスがケータイの場合と
一般メールの場合で取り扱える金額の上限が変ります。
ケータイメールの方が信頼性が高くて高額まで扱えるんですよ。
そんなもんなんですかね、世の中。
Re:いや、そんなことより (スコア:1)
せっかく有益そうな情報提供なのに
伏字のせいで台無しだ。
不正確な情報を流して、何がしたいの?
Re:いや、そんなことより (スコア:1)
Re:いや、そんなことより (スコア:1)
ああなるほど、そういう線もあったか。
Re: (スコア:0)
キティ銀行?第一勧銀のことか?
Re:いや、そんなことより (スコア:1)
犬のためのぶよぶよした本物の銀行
通称、サティ銀行
Re: (スコア:0)
シティ
元の人がどうして伏字にしているのか意図がわからん。
Re: (スコア:0)
1990年代は、24時間ATMとか電話、インーターネット取引とか
先進的なサービスが便利だったけど、それらがどこの銀行でも
できるようになった今、ダメなところばかりが目立つ。
マイナーだからATMや窓口がすいてる、以外にいいことなし。
ダイナースクラブもここに買われてからサービスの質が本当に低下した。
プレミアムでもそれらしいメリットはなにも感じられないし
もう決済以外の付加サービスは使う気しないわ。
そんなダメ銀行が、ケータイを普通のemailより信頼してるからって、
ケータイがいいってことにはならないと思う。
Re: (スコア:0)
外貨預金からの海外送金がしやすいという点だけは評価出来る。逆に言うと、それ以外の面では国内銀行と比べて劣るとこばかり。いまだにオンラインで振込先口座の登録が出来ないとか、もうね。
あ、STARとかCIRRUSの海外キャッシュカードを使えるのは外国人の来客が多い人にはありがたいか。口座はいらんけど。
既に必須じゃない (スコア:0)
少なくともGoogleについては、固定電話でも可能だよ。
認証コードさえとれればいいから、信用できる相手であれば、必ずしも自宅電話である必要さえ無い。
Re: (スコア:0)
携帯電話って、2年縛り必須ではなかったような。
Re: (スコア:0)
2年縛り想定の店頭価格では買えないだろうけど
キム・ドットコム氏って誰? (スコア:1)
不勉強なので、誰か知りません。
詳しい人、解説お願いします。
Re:キム・ドットコム氏って誰? (スコア:4, 参考になる)
タレコミには「Megauploadの創設者である」としっかり書かれていたのをわざわざ削るheadlessクォリティ
# Megauploadで何? とか言い出したらネタとみなすので過去ストーリーをググレカス
Re: (スコア:0)
「スピード優先」とやらではこの手の手間をかけてわざわざタレコミを改悪しているケースの説明がつかないからもっとマシな言い訳を考えろ>FAQ
Re: (スコア:0)
編集が頭悪いだけでしょ。
てか編集者もモデレートされるべきだよな。どうやって編集者って決まってんの?
Re:キム・ドットコム氏って誰? (スコア:4, すばらしい洞察)
編集者のモデレート導入したら、あっという間に編集者全滅しちゃうからダメ
Re:キム・ドットコム氏って誰? (スコア:1)
編集しない、という必殺技が…
# 選択するのみ
fjの教祖様
Re: (スコア:0)
マジな話それでいいと思います。人間が選んで採用するならあからさまなspamとかは防げるし。
Re: (スコア:0)
その方がましかもねー。編集者のへんな偏見やら、エゴがなくなっていいかも。 >編集しない
Re:キム・ドットコム氏って誰? (スコア:3)
Re: (スコア:0)
内容を変えちゃってる編集者は本人は間違いを直したり読みやすくしてるつもりなんだろ。。
Re: (スコア:0)
全滅すればいいのでは?
Re:キム・ドットコム氏って誰? (スコア:1)
全滅すればいい、と思っている読者(読むだけの人)は、そもそもここを読むべきではないのでは……。
まあここを読まなくても他で引用されてたりしてウザい、という悩みもあるかもしれないが。
(まとめサイトが嫌いでそのサイトには行かないようにしていても、他のサイトで引用されてたりリンクが張られたりするように)
Re:キム・ドットコム氏って誰? (スコア:1)
>全滅すればいい、と書き込んだACは思ってるだけでもないし、読むだけの人でもないと思うけど。
すみません、ここについて私は#2388371の書き込みからそれを読み取ることはできませんでした。
他の書き込みと合わせて読み取れというのであれば、どれとどれが同一人物か測りかねるので無理です。
>いったい君は何言いたいの?
「全滅しろ」って改善案じゃないじゃないですか。
ここの編集者が全て全滅した場合、(仮に次の編集者が選出されるまでの短期間だったとしても)全くココに記事が掲載されなくなりますよね。
それでいいんだったら、そもそもココを見ないでも困らないってことじゃないですか。
それならハナっから他のサイトを見に行った方が、ここを見に来て全滅すればいいとか書き込むより本人的により良いのではないかと。
「全て入れ替えろ」「編集しないでそのまま載せればいい」「俺を編集者にしろ」だったら、賛同するかはさておき改善案として理解できるんですが。
Re:キム・ドットコム氏って誰? (スコア:3, 興味深い)
本名はKim Schmitz(キム シュミッツ)、1974年生まれのドイツ人だそうで。
別名を「キンブル」。MegaUploadの創業者として知られていますが、一部では昔からトラブルメーカーとして知られているようです。
2001年に、元ハッカーとして様々な活動をした経験を元にネットセキュリティ会社を立ち上げたと称してでっち上げを行い、
コレがバレて2002年にバンコクで自殺実況をすると予告して、タイ警察に逮捕されたりしてます。
Re:キム・ドットコム氏って誰? (スコア:2, 参考になる)
Megauploadの創始者らしいよ
Re:キム・ドットコム氏って誰? (スコア:1)
起源説を主張する営利団体かと思いました.
Re: (スコア:0)
http://ja.wikipedia.org/wiki/%E3%82%AD%E3%83%A0%E3%83%BB%E3%83%89%E3%8... [wikipedia.org]
二段階認証で特許取れるんだ… (スコア:1)
日本でもそういうもの?
世の中そういうものなのかしら?
「特許要件」は次のものを満たす必要があるそうで。
(1)"発明"であるか
"自然法則を利用した技術思想"であること
(2)その発明は産業上利用できるか
二段階認証は役に立ってるよね。
(3)新規性があるか、または非公知であるか
これは最初に出願した人が特許を取れれば良いのだけど。
うーん、(1)を満たしているのかしら?
二段階認証の特許を取るのって、アルゴリズムで特許を取るのと同様のひっかかりを感じるんだけどな。
特許って自分には難しいなぁ
Re:二段階認証で特許取れるんだ… (スコア:5, 参考になる)
> 日本でもそういうもの?
日本では、特許4204093として登録されてますね。請求項1は次のとおりです。
トランザクション番号(TAN)または同等のパスワードを使用するデータ伝送システムにおける認証方法であって、
第1ステップで、利用者がデータ入力装置(1)を介して自分の識別子および/またはデータ入力装置(1)の識別情報を、TANまたは同等のパスワードの生成要求またはファイルからの選択要求とともに、認証計算機(2)に送信し、
第2ステップで、前記認証計算機(2)は前記TANまたは同等のパスワードを生成し、またはファイルから選択し、
第3ステップで、前記認証計算機(2)は前記TANまたは同等のパスワードを、第1ステップとは別の伝送経路を介して携帯電話(3)に送信し、
第4ステップで、利用者は前記TANまたは同等のパスワードを前記携帯電話(3)から受け取り、前記データ入力装置(1)に入力し、
第5ステップで、前記TANまたは同等のパスワードを再び前記認証計算機(2)に伝送し、
第6ステップで、前記認証計算機(2)は前記TANまたは同等のパスワードが有効であるか否かを検査し、
第7ステップで、前記データ入力装置(1)と受信ユニット(4)との接続を確立または解放する形式の認証方法において、
前記のTANまたは同等のパスワードは、1回だけ使用することのできるTANまたは同等のパスワードであり、
TANまたは同等のパスワードが有効であるか否かは、あらかじめ定めた有効期限によって決まり、
前記データ入力装置(1)および/または前記携帯電話(3)および/または前記受信ユニット(4)に対するアクセスは、パスワードで保護されており、当該パスワードは、前記の認証計算機(2)によって生成される前記のTANまたは同等のパスワードよりも長い有効期限を有することを特徴とする方法。
Re:二段階認証で特許取れるんだ… (スコア:1)
やっぱりあるんですね、特許。
日本のサービスサイトはこの特許に抵触していれば、イロイロあったりするのかも、ということですね。
いやしかし、この文章で二段階認証を意味しているんですね。
なんというか、とても読むのが辛い日本語ですね。
特許とかって正確性や厳密性を求めてこういう書き方になっているんだろうけど、とても読むのが辛い文章に。
いっそのこと特許用に専用の記述方法でも"発明"した方が良いんじゃないだろうか。
でも、プログラム言語とかは特許にならないからこれも発明にならないかな?
Re:二段階認証で特許取れるんだ… (スコア:1)
>いっそのこと特許用に専用の記述方法でも"発明"した方が良いんじゃないだろうか。
特許用の専用の記述方法に従った結果が、コレなのです。
「あるいは」とか「または」とか「において」とかの使い方がカッチリ決まっている上に、
ある分野でのモノの名前がなるべく揺らがないようにしてる(こっちは「決まってる」というよりは慣習ですが)。
その上で、日本語がある程度理解できれば(具体的に思い浮かぶかはさておき文書の論理構造は)分かる。
#てか、日本語に「and/or」にあたる収まりの良い単語があればいいのにとは思う。
Re: (スコア:0)
日本では実用新案レベルでも、海外では該当する制度がなくて発明として認められることがあるよ。
Re: (スコア:0)
そういうものです。
この辺が参考になる?
http://www.jpo.go.jp/shiryou/kijun/kijun2/pdf/tt1212-045_2-1.pdf [jpo.go.jp] (事例7とかどうかな)
http://www.jpo.go.jp/shiryou/kijun/kijun2/pdf/tjkijun_vii-1.pdf [jpo.go.jp]
Re:二段階認証で特許取れるんだ… (スコア:1)
でも、む、難しい。
二段階認証で特許を取れるとすると、Webのサービスサイトでアカウント発行の際に
登録メールアドレスにメールを送ってメールアドレスの有効性を確認する事なんかも
特許の要件を満たしているんでしょうね、公知になる前に特許申請していれば。
Re: (スコア:0)
Amazonの「ワンクリック特許」とか有名じゃなかったっけ。
米国はソフトウエア特許についてもバンバン認める傾向にあったけど、
最近は少し押さえる方向に見直してたはず。
他に、ちと古いけど「カーマーカー特許とソフトウエア」辺りは参考になると思う。
http://www.amazon.co.jp/dp/412101278X/ [amazon.co.jp]
Re: (スコア:0)
そういうものだったりするから一般人が不便になるんだよね。
特許なんてなくせばいいんだよ。
真似できるようなものに特許は不要。
真似できないものには当然特許は不要。
特許は不要。
Re: (スコア:0)
創る奴より盗み奪うヤツのほうがカーストが高いのはこの世界の常ってことか?
糞だな。
訴えても特許無効判決が怖いし、そもそも訴訟費用がないんだよ (スコア:0)
と素直に言えよ。kim.com