パスワードを忘れた? アカウント作成
12315488 story
プライバシ

「行動バイオメトリクス認証」でユーザー特定されるのを防ぐChromeプラグイン 10

ストーリー by hylom
そんなものがあるのか 部門より
taraiok 曰く、

パスワードを利用した個人認証の新たな手段として、キータイピングのクセを認証に使用する「行動バイオメトリクス」が利用され始めているという。しかし、セキュリティ研究者Per Thorsheim氏は、こうした行動バイオメトリクス認証が本当に安全か疑問を持った。そこで、Torネットワークを使用した状態で金融取引を行い、行動バイオメトリクス登録した。その後、Google Chromeに切り換えて金融取引サイトにログインしたところ、金融取引サイトはユーザー認証に成功したという(Ars TechnicaHELP NET SECURITYSlashdot)。

このことから、同氏はタイピングのプロファイルによるユーザー認証が、オンラインでの匿名性を危うくする危険があると考えた。そこで、対策としてChrome用のプラグイン「Keyboard Privacy」を作成した。このプラグインは、キーの入力タイミングをランダムで変えることで、行動バイオメトリクス認証をできなくするものだという。

同氏は「この種の情報を収集するのが単一のサイトであれば、リスクは小さいと考えるだろう。しかし、同じ会社が複数のWebサービスを運営している場合、匿名性とプライバシーのリスクは増えることになる」としている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • Chromeプラグインには複数のWebサービスを跨ってキー入力の情報が入ってくる。
    だから、同じ会社が複数のWebサービスを運営している場合と同じ性質を持つ。

    このChromeプラグインか、その類似品が「行動バイオメトリクス」を悪意を持って
    収集してビジネスになるなら、いずれ悪用はされるでしょう。

    簡易な認証という特性を生かしつつ「行動バイオメトリクス」をセキュアに使用するなんて
    絵空事なんじゃないかと思う。

  • by Anonymous Coward on 2015年07月31日 15時29分 (#2856397)

    こうした行動バイオメトリクス認証が本当に安全か疑問を持った。そこで、Torネットワークを使用した状態で金融取引を行い、行動バイオメトリクス登録した。その後、Google Chromeに切り換えて金融取引サイトにログインしたところ、金融取引サイトはユーザー認証に成功したという

    接続環境が違うと認証失敗する認証システムとか意味が無いよ。
    行動バイオメトリクスのみで、それも認証を目的としない行動で個人を特定できなければ問題ない。
    その辺の検証ゼロで何かを証明した気になるな。

    • by Anonymous Coward

      なんで認証を目的とした行動なら個人を特定出来ても問題ないと思うのだろうか。
      個人特定されないために別アカ使ってたら特定はされたくないだろう。
      あと、なんで認証で特定出来たとしても認証以外なら特定不能と思えるんだろう。
      行動バイオメトリクスのみで特定したとは書かれてないが、そうなのかもしれない。
      そうではない、認証以外なら特定不能と検証したわけでもないでしょ?

      • by Anonymous Coward

        このシステムで分類できるパターン数が1000種程度だった場合アカウントが違えば特定は不可能です。
        その程度の分類数でも「認証時の補助桁として」は有効に使える。揺らぎへの対応含めたら桁数は減るしね。
        また、入力する文字列が違うだけでも変動するので変動しない特徴量を抽出するとなればタイプ量もバカにならない。
        認証の場合は特定文字列時の特徴だけ取れば良いけど、トラッキングではそうも行かない。難易度がケタ違いに上がる。
        そういった個人特定につながらない可能性を一切検証もせずに胡散臭いアドオンを押し付けてくるとか胡散臭すぎる。
        パスワード入力欄に干渉するアドオンとかパスワード盗むのも余裕なんだし余程のリスクじゃなきゃ信用できんよ。

        「検証したわけでもない」というならこの自称セキュリティ研究者も「認証以外の状況で」「個人を特定」できると検証していない。

  • by Anonymous Coward on 2015年07月31日 16時10分 (#2856436)

    タイピングの癖を見極めるって、どのキーをどのタイミングで押しているかわからなきゃできないはずだけど、それがブラウザなんかに組み込まれたら、何入力したか送り放題じゃ?

    • 正規の通信相手であれば、最終的にはキー入力した結果はとれる訳だから、リアルタイムで入力がとれても問題ない、という前提がまずある。googleのサジェスチョンみたいなもの。 キーロガーは送りつける相手が第三者だから、別種の話。 今回はそのキー入力の「タイミング」で「個人」が漏れるという、サイドチャネル攻撃されうる、って話だよね。
      親コメント
      • by Anonymous Coward

        通信路に枝を付けれてる時点で個人は駄々漏れなんじゃないかなぁ…
        つか、一文字単位の入力速度がサイドチャネルに漏れるわけじゃないし。

        広告みたいなWeb要素がキー入力から個人特定するのを防ぐ的な方向だと思ったけど?
        でも、HTTPS有効サイトのパスワード欄にまで干渉するプラグインのほうがはるかに怖い。
        それで個人が特定できるという検証もしてないようだし。プラグイン売りたいばっかり。

  • by Anonymous Coward on 2015年07月31日 16時24分 (#2856447)

    認証に利用する鍵(証明書、パスワード、PIN等)が一致しているのを前提として癖が違うものを弾く仕組みなんじゃないですかね?
    個人として紐付けられていない別システムのID同士において、その癖が一緒だから同一人物だ、と紐付けることができるようなものには思えませんが。

    • by Anonymous Coward

      ビッグデータと暇人と高性能マシンが一箇所に集まれば可能なのでは。
      そんなことはまず起きないがNSA様は最近暇だから

      • by Anonymous Coward

        パスワードやユーザIDみたいな短いデータでは難しいと思う。
        マウスの移動を追跡したほうがはるかに情報量が多いし、キー入力のないページでも採取ができる。

typodupeerror

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

読み込み中...