タグ: authentication

アップルのLightningと一般的なUSB-Cの両方で使えるセキュリティキーをYubicoが発売

発表から2カ月近くも経った米国時間8月20日、YubicoがYubiKey 5Ciを発売した。これは、iPhoneやMacと、そのほかのUSB-C対応デバイスの両方をサポートするセキュリティキーだ。

最新のYubiKeyは、対応機種を広げようとしている同社の努力の一環でもある。その最初の成果は、1つのデバイスでApple(アップル)のiPhoneとiPad、そしてMacBookをサポートした。そして6月に同社は、特にApple以外の製品も使っているAppleユーザーのために、複数のプラットホームに対応するセキュリティキーを発表した。

そのセキュリティキーはキーリングに収まるほど小さくて、ネット上のアカウントにログインするときにはキーをデバイスに挿入すると、ユーザー本人が認証される。GmailもTwitterもFacebookも、この小さなデバイスをユーザー名とパスワードの後で使うニ段階認証用にサポートしている。ふつうのニ段階認証では、ユーザーの携帯に送られてくる短いコードを入力するが、セキュリティキーはそれよりもずっと強力な認証の仕組みだ。

だからセキュリティキーはほとんど全勝不敗のセキュリティとも呼ばれ、どこかの国家がやってるのも含めて、いろんな攻撃からユーザーを護る。

YubicoのチーフソリューションオフィサーJerrod Chong(ジェロッド・チョン)氏によると、今回の新しいセキュリティキーは「モバイルの認証システムが抱えている重要なギャップを埋める」という。特にユーザーが複数のモバイルデバイスを使ってる場合は、有効なセキュリティキーはそれ1つしかないから安全度が高い。

この新しいキーは、1PasswordやLastPassのようなパスワードマネージャーと一緒に使えるし、またセキュリティキーによる認証をサポートしているBraveのようなブラウザーでも使える。

関連記事
Cybersecurity 101: Two-factor authentication can save you from hackers(ニ段階認証はあなたをハッカーから護る、未訳)
サイバーセキュリティ強化のためにチェックすべきトップ5

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

ハッカーのKevin Mitnickがフィッシングで二要素認証をバイパスする方法を教える

二要素認証(two-factor authentication, 2FA)を破ろうとするハッカーは、ユーザーに偽のログインページを送り、ユーザー名とパスワードとセッションクッキーを盗む。

KnowBe4のチーフ・ハッキング・オフィサー(Chief Hacking Officer) Kevin Mitnick*が、そのハックをビデオで公開している(下図)。ユーザーがLinkedInを訪ねようとしたら、一字違いの“LunkedIn.com”のページを送ってログインさせ、パスワードと認証コードを捉える。そしてそれらを使って本物のサイトにアクセスしたハッカーは、セッションクッキーを入手する。そのあとハッカーは、いつまでもログインできる。これは要するに、一回かぎりの2FAコードを使って偽のログインをし、データを盗むのだ。〔*: Mitnickの著書。〕

“Kevinの友だちのホワイトハットハッカー(white hat hacker, 犯罪行為をしない研究者的ハッカー)が、ソーシャルエンジニアリングの巧妙なやり方で二要素認証をバイパスするツールを開発し、それを使うとどんなサイトでも破れる”、とKnowBe4のCEO Stu Sjouwermanは語る。“二要素認証はセキュリティの層を一つ増やすが、でもそれだけで企業を守ることはできない”。

ホワイトハットハッカーのKuba Gretzkyが作ったそのevilginxと呼ばれるシステムは、彼のサイトに詳しい技術的説明がある。

Sjouwermanによると、セキュリティ教育の中でもとくに重要なのがフィッシング対策であり、被害者がセキュリティについてよく知り、メール中のリンクをクリックすると危険!と知っていたら、このようなハックは成功しない。そのことをぼくに教えるために彼は、本誌ライターのMatt Burns(matt@techcrunch.com)が、記事中の誤字について述べているメール(偽メール)を送ってきた。そのメールにあるリンクをクリックしたらリダイレクトサイトSendGridへ連れて行かれ、そこからTechCrunchに放り込まれた。しかしそのペイロードは、きわめて悪質だった。


そしてSjouwermanは曰く、“これで分かったと思うが、今や新しいセキュリティ意識が必要であり、とくにフィッシングをシミュレーションで体験することが重要だ。なぜなら、防衛ラインの最後尾を固めているのはソフトでもハードでもなく、人間だからだ”。

彼の予想では、この偽メールを使ったテクニックが数週間後に流行(はや)って、ユーザーとIT管理者はセキュリティのためのプロトコルを強化せざるをえなくなるだろう、という。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Facebook、セキュリティーキーを使う安全なログイン手順を提供

shutterstock_229862674

自分のアカウントをハッカーの手に渡したい人などいない。今日(米国時間1/26)Facebookは、アカウントへの侵入を未然に防ぐための新機能を追加した。

Facebookユーザーは、ログイン時の個人認証にセキュリティーキーを使えるようになった。セキュリティーキーを使えば、たとえユーザー名とパスワードを知られたとしても、ハッカーはFacebookアカウントにアクセスすることはできない。

セキュリティーキーとは、二要素認証の一種で、ログイン時の本人証明に新たなセキュリティー要素を追加する。

一般的な二要素認証プロセスでは、ユーザーがユーザー名とパスワードを入力すると、テキストメッセージで認証コードが送られてくる。ユーザーがそのコードを入力することで、アカウントの正式なユーザーであり、ハッカーが盗んだパスワードでログインしようとしているのではないことを証明できる。

しかしこの方法には欠点がある。執拗なハッカーがユーザーの携帯電話のSIMをリセットし、SMSメッセージを横取りすることがある。昨年夏に活動家のディレイ・マッケソンが標的にされたハックで使われた手順だ。

セキュリティーは認証コードをユーザーに送らずに済ませることで、この問題を解決する。Yubico等が製造するキーをUSBポートに挿入すると一回限りの認証コードがワンタッチで生成される。SMSと異なりセキュリティーキーそのものを物理的にアクセスしない限りコードを盗むことはできない。セキュリティーキーは安全性を高めるだけでなく、二要素認証によるログイン手順を少し速くシームレスに感じさせてくれる。テキストメッセージが来るのを待つ必要がないからだ。しかも、テキストメッセージが使えなくてもキーを利用できるので、携帯電話の届かない場所にいても、Facebookアカウントにアクセスできる。

既にGoogleやDropboxのログインにセキュリティーを使っている人は、買い直す必要はない。同じキーを様々なサービスのアカウントで使うこともできる。

Facebookのセキュリティー担当エンジニア、Brad Hillによると、この機能は社内のエンジニアリング部門で既に使っていたので、一般公開は容易だったという。

「われわれは二要素認証を必須だとは考えていない」とHillは説明する。「アカウントのセキュリティーは、ユーザーがどんなテクノロジーを選ぶかによらずわれわれの責任だと思っている。自分を守るために最新技術を使った攻撃にも対抗したい人にとって、これは良い選択肢になるだろう」

残念ながら、ほとんどのモバイル端末にはセキュリティーキーを利用する良い方法がまだない。モバイルでFacebookにログインするとき、ほとんどのユーザーは通常のSMSによる二要素プロセスを使う必要がある(Facebookは、Facebookアプリを通じて認証コードを生成する方法も提供している)。NFC内蔵のAndroid機と最新バージョンのChromeとGoogle Authenticatorを使えるユーザーは、FacebookのモバイルウェブサイトでNFC対応キーを使って個人認証できる。

モバイル端末でセキュリティーキーを使う上でのこの問題は、将来解決するとHillは期待している。現在は一部のAndroidユーザーに限定されているが、今後Androidプラットフォーム上でセキュリティーキーに対応したAPIが増えるだろうとHillは言う。そうなれば他のプラットフォームも追従するだろう。

今すぐセキュリティーを有効にするには、アカウントのセキュリティー設定へ行き[ログイン認証]で「セキュリテー・キーを追加]をクリックすればよい(注:ブラウザーにChromeまたはOperaを使っているユーザーのみ利用できる)。

image001

[原文へ]

(翻訳:Nob Takahashi / facebook

認証サービスのAuth0が$15Mを調達してパスワード悪用検出機能を新たに提供

auth0

“Identity-as-a-service”(アイデンティティサービス)Auth0(“auth zero”と発音する)が、シリーズBで1500万ドルを調達した。

CEOのJon Gelseyによると、今は多くのWebサイトやモバイルアプリのデベロッパーが、さまざまなログインシステムを使っており、それが頭痛のタネになることもある。そしてセキュリティのリスクにもなる。そこで同社は、そういうデベロッパーたちを助けて、彼らがアイデンティティと認証を管理できるようにする。それがFacebookやTwitterのソーシャルログインの場合も、そしてエンタープライズの認証システムの場合も、どれにも対応する。

彼曰く、“結局うちがやりたいのは、インターネットを安全にすることだ。アイデンティティのすばらしくておそろしいところは、それがきわめて複雑で、多様で、厄介な例外/特殊状況にまみれていることだ”。

Auth0の調達総額は、これで2400万ドルになる。今回のラウンドをリードしたのはTrinity Venturesで、前の投資家Bessemer Venture Partners, K9 Ventures, およびSilicon Valley Bankが参加した。

Auth0の取締役会に加わったTrinityのKaran Mehandruは言う: “Marc Andreessenのソフトウェアが世界を食べているを信ずるなら…当然私は信じているが…、認証がそんな世界のリンチピン(輪止めピン)(下図)であることも分かるだろう”。

A_aesthetic_linchpin

Mehandruによると、競合他社の多くが、ソーシャルログインとか二要素認証など、特定の蛸壺のみを扱っているが、Auth0のやり方はきわめて非対称的であり、エレガントなソリューションだ。それはデベロッパーと交わる単一のプラットホームであり、彼ら自身が問題を自覚する前から、解を提供している。

関連記事

(日本語)Auth0 Raises $2.4M To Help Developers Plug Into Identity Platforms Like Facebook
(日本語)NIST declares the age of SMS-based 2-factor authentication over
(日本語)Google plans to bring password-free logins to Android apps by year-end

同社によると、今、登録ユーザーは75000社/人いる。新しい顧客は、Dow Jones, CenturyLink, Telkomselなどだ。Mehandruが賞賛するのは、Auth0のプロダクトが大企業のニーズに対しても、小企業が相手でも、まったく同じであることだ。

Gelseyによると、Auth0の顧客はシンプルな認証システムから始めてもよい。そして徐々に高度なセキュリティ機能を加えていけばよい、と。

そういったセキュリティ機能の中で比較的新しいのが、盗まれた/悪用されたパスワードの検出だ。ユーザー企業は、顧客のパスワードが別のWebサイト上で悪用されたと分かれば、その顧客に通知できる。Gelseyの説明では、ひとつのパスワードを複数のサイトで使いまわしているユーザーが多いから、この悪用検出機能により、デベロッパーのリスクを減らすことができる。

[訳注: この通知はAuth0の出力ではないかもしれない.]
pw

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

Google、パスワード不要のログインを年内にもAndroidアプリに提供へ

screen-shot-2016-05-20-at-3-27-45-pm

Googleはパスワードを廃止するしくみを計画している。様々な特徴 ― タイピングのパターン、歩き方のパターン、ユーザーの現在位置、等々 ― を組み合わせることによって個人を特定するシステムで、テストがうまくいけば年内にもAndroidデベロッパーに提供される予定だ。金曜日午後にGoogle I/Oデベロッパーカンファレンスで行われた目立たない発表の中で、Googleの研究開発部門ATAPのDaniel Kaufmanが、Project Abacusの最新状況を説明した。二要素認証に代えて生体認証を使うシステムの名前だ。

覚えているかもしれないが、Project Abacusは昨年のGoogle I/Oで初めて紹介され、パスワードと暗証番号の面倒からユーザーを解放する野心的計画と説明された。

今日、セキュアなログイン ― 銀行やエンタープライズ環境で用いられているもの ― は単なるユーザー名とパスワード以上を要求する。さらにSMSやメールで携帯電話に送られてくる特別な暗証番号の入力も要求することが多い。これは一般に「二要素認証」と呼ばれ、ユーザーの知っているもの(パスワード)と、ユーザーの所有するもの(例えば携帯電話)を組み合わせることから、そう呼ばれている。

Project Abacusでは、ユーザーは端末のアンロックやアプリへのサインインを、蓄積された「信頼スコア」に基づいて行う。このスコアは様々な要素を用いて計算され、例えば、ユーザーのタイプするパターン、現在位置、話すスピードやパターン、顔認識、等々が使用される。

既にGoogleは同様の技術をAndroid端末(Android 5.0以降)に“Smart Lock” という名前で実装しており、ユーザーが信頼された位置にいるか、信頼されたBluetoothデバイスが接続されているか、本人がデバイスを持っているか、あるいはデバイスがユーザーの顔を認識すると自動的に端末がアンロックされる(ちなみにSmart Lock for Passwordsは、単にウェブサイトやアプリのパスワードを保存して、次に訪れた時に自動入力する機能)。

Project Abacusはちょっと違う。端末のバッググラウンドで動作し、ユーザーのデータを連続的に収集して信頼スコアを生成する。

基本的にこのスコアは、本人であると言っている人がどの程度確かに本人であるかを示す。もしスコアが十分高くなければ、アプリは昔に戻ってパスワードを尋ねることができる。ATAPは、アプリによって異なる信頼スコアを要求することもできると以前言っていた。例えば、銀行はモバイルゲームよりも高いスコアを要求するかもしれない。

google-io-2015-atap0069

Google I/O 2015でProject Abacusがデビューした時

「誰でもスマホを持っていて、そこにはあらゆるセンサーが入っている。私が誰かをわかってくれれば、パスワードは必要なくなるはず。スマホを使うことに専念できるべきだ」とKaufmanは説明し、パスワードベースの個人認証の問題点を指摘した。

彼によると、Googleの検索や機械学習グループの技術者たちがProject Abacusのアイデアに注目し、「信頼API」(Trust API)というものを作った。このAPIは来月から銀行でテストに入る。

6月に「いくつかの非常に大きい金融機関」が信頼APIの初期テストを開始する、とKaufmanは言った。

「これがうまく行けば、世界中のAndroidデベロッパーが年内には利用できるようになる」と付け加えた。

Kaufmanはすぐに他のATAPプロジェクトの話に移り、つながった衣服モジュラー・スマートフォンレーダーセンサー等々について話した。他の技術も楽しみではあるが、この「信頼API」は特に、スマートフォンでアプリを使うやり方に関して、現実世界の変化を生むものだ。これはまた、アプリのコンテンツを安全に守る新しい方法にもなる ― 本人以外がスマートフォンを手に入れアンロックできたときでも、ソフトウェアが〈本人でない〉と判定すれば、あらゆるアプリを自動的にロックすることができる。

昨年Googleは、Project Abacusが全米28州、33校の大学で試行されていると言った。銀行での利用は大きな進展だ。そして年内にはAndroidデベロッパーが自分のアプリに実装できるようになれば、Googleはユーザー認証に関して、ライバルシステムであるAppleの指紋認証ベースのTouchIDに対して、独自の優位性を得ることができるかもしれない。

[原文へ]

(翻訳:Nob Takahashi / facebook

ビッグデータ分析に基づくユーザー認証がパスワードに代わるテクノロジーに

2016-05-04-behavior-authentication

〔編集部〕この記事はソフトウェア・エンジニア、フリーのライターのBen Dicksonの寄稿。TechCrunch Networkのメンバー。Dicksonはビジネス、テクノロジー、政治について頻繁に執筆している。他のTechCrunch記事:

事実は非常に明白だ。オンラインでわれわれの身元を認証する手段としてパスワードはもはや安全ではない。何年も前から2段階認証(two-factor authentication=2FA)や多段階認証(multi-factor authentication=MFA)身元確認と各種の詐欺の防止のためにが用いられているが、その有効性については議論が続いている。

テクノロジーの進歩に伴い、モバイル産業では新しい認証手法が多数開発された。現在、メーカーやベンダーは生体認証、物理的ドングル、ソフトウェア鍵、モバイルに送信されるコードなどさまざまなソリューションを利用している

しかし、たとえば、多段階認証にも固有の問題がある。たとえば頻繁に多段階認証を要求することはユーザー体験を大きく悪化させる。あまりに負担をかけるなら、ユーザーは2段階認証を無効化してしまうだろう。さらにハッカーは多段階認証の弱点を突く方法を開発している。

こうした問題は2FAやMFAの広汎な採用を妨げるハードルとなっている。その結果、何百万ものアカウントが低いセキュリティーのまま放置され、簡単に乗っ取られる結果も招いている。 年間の統計では、2015年だけでも、ハッカーの攻撃により、2000万ものアカウント情報がリークしている。

いかにしてユーザー体験の著しい悪化を招くことなくセキュリティーを強化できるかというのは非常に重要な課題だ。ビッグデータ処理と高度なデータ分析という最近のコンピューティングの2つのトレンドに解決のヒントがあるかもしれない。

ユーザーにとって負担にならない方法で日頃のオンライン上の行動をモニターし、収集したデータにもとづいて悪意ある第三者が利用することが不可能なそれぞれのユーザーに固有なプロフィールを作成することができる。次の段階は、こうしたプロフィールに基づいてオンライン上の活動をモニターし、悪意のあるいは不審なアクセスを選別することだ。通常と異なるそうした活動が探知された場合のみ、ユーザーはパスワード入力などの身元認証手段を用いることを求められる。

このモデルはいくつもの点で優れている。ユーザー・プロフィールはパスワードや物理的なドングルのように忘れたり、故障したりすることがない。ユーザーは無意味な文字列を暗記するよう努力しなくてもすむ。盗まれたり、不正にコピーされたりしない。指紋や虹彩のパターンでさえコピーしようと思えばできる。最大の利点はユーザーに無用な負担をかけないところだだろう。

この手法が可能になったのはデータの保管コストが劇的に低下し、クラウドサービスが広く普及したためだ。またデータ収集技術の進化し、ウェブとモバイルのプラットフォームも一般ユーザーに浸透した。ビッグデータ認証というコンセプトはすでにいくつかの例で有効性が実証されている。

オンライン・アカウントを不正から守るためのユーザー認証にとって最良なのは階層的アプローチだ。

— Jess Leroy TeleSignプロダクト管理担当上級副社長

モバイル・セキュリティーの分野でTeleSignは代表的な企業の一つだが、最近、ユーザー行動のモニターをベースにしたユーザー認証テクノロジー、Behavior IDプラットフォームをリリースした。これはソフトウェア開発のためのSDKで、ウェブやモバイル・アプリの開発者はBehavior IDキットを用いて各ユーザーのオンライン上の行動のバイオメトリクスを分析することができる。パブリッシャーはユーザーがパスワードなどの伝統的手法でログインした後でもこのデータを用いて連続的にモニターを続け、乗っ取りなどの不正を検知することができる。

Behavior IDは多用な側面からユーザー行動のデータを収集する。これにはユーザーがパスワードを入力するパターン、アクセスしてくるデバイス、デバイスのスクリーンにタッチする頻度やタッチする箇所などのインターフェイス利用方法などが含まれる。これらのデータにもとづいてユーザー行動の「デジタル指紋」が生成される。TeleSignのCEO、Steve Jillingsは「ユーザー・プロフィールはTeleSignのクラウド・プラットフォームに格納され、クライアントのシステムはこのデータをユーザー認証に役立て、乗っ取りやなりすましを検知した場合には即座にブロックすることができる。われわれの目的はユーザー体験の悪化を招くことなく、身元確認の精度をアップさせることだ」と説明する。

Behavior IDはログイン中のユーザー行動をそのユーザーの過去の行動と比較して「類似性指数(similarity score)」を計算する。これにより身元の確実な正当なユーザーには負担をかけずにシステムがユーザーの不審な行動を検知する能力を大きく高める。詐欺や乗っ取りが疑われるときはシステムはユーザーに2段階認証などを改めて求めることができる。

「オンライン・アカウントを不正から守るためのユーザー認証にとって最良なのは階層的アプローチだ」とTeleSignプロダクト管理担当上級副社長の Jess
Leroy は考えている。

サイバーセキュリティーのトップ企業、RSAAdaptive Authenticationは統計的データ処理を応用した身元認証プラットフォームのもう一つの例だ。Adaptive Authenticationはユーザーの使用するデバイス、OS、ブラウザーの種別などのデータを収集して保存する。これとユーザーの普段の行動パターンのデータを自己学習能力のある統計エンジンに読み込ませ、リアルタイムでログインしているユーザーの危険度を判定する。

この処理はすべてバックグラウンドで行われるのでユーザー側では通常何もする必要がない。ただしユーザー行動に異常が見られたり、新しいデバイスや危険なロケーションからアクセスしてきた場合はセッション中断などの措置が取られる。

ユーザー行動の異常が示されたた場合、どのような行動に対しするシステムの反応内容は 密かにセキュリティー部門に警告を発することから再ログインの要求、あるいはアクセスの完全なブロックなどパブリッシャー側で予め決めておく必要がある。

データ・アナリティクスとビッグデータはオンライン企業にとって不可欠のツールだ。。これらのテクノロジーを適切に活用することで、コストを低下させながらセキュリティーとユーザー体験をアップさせ、最終的にはビジネスの収益性の改善に結びつけることが強く期待されるようになっている。

[原文へ]

(翻訳:滑川海彦@Facebook Google+

Gmailが安全でないアカウントをアイコンで警告―テスト完了で2GB無料プレゼント

gmail-autocomplete

今日(米国時間2/9)、「安全なインターネットの日」に敬意を表してGoogleはGmailの安全性を改良する新しい認証機能を追加した。ユーザーはメールの相手方が安全なサイトであるか確認することが容易になる。

Googleの発表によれば、Gmailには10億人のユーザーがいる。有害なメールの割合がいかに低くてもそれだけのユーザーがいればトータルの被害は無視できない。Web版のGmailはユーザーが暗号化をサポートしていない相手にメールを送ろうとすると警告を発するようになる。また下のGIF画像で見られるとおり、暗号化をサポートしていない相手からメールを受け取ると画面の右上隅の「ロックが開いた南京錠」のアイコンでそのことが表示される。

encrypted gmail

メールが送受信される途中で第三者にのぞき見され、改変されることを防ぐために暗号化は重要なステップだ。 Googleはだいぶ以前に接続のプロトコルをより安全なHTTPSに変えているので、 Gmail間の通信はすべて自動的に暗号化される。しかし他のメール・プロバイダがすべて暗号化をサポートしているわけではない。Googleによれば、昨年Gmailのユーザーが受け取ったメッセージのうち57%、ユーザーが発信したメッセージのうち81%がそれぞれ暗号化されていた。

もうひとつの改良は、着信したメールの発信者の正当性が認証できなかったという警告が表示されるようになったことだ。送信者のプロフィールにクエスチョンマーク(?)が表示されていれば、Gmailがそのアカウントの所有者を認証できなかったことを意味する。

authenticated gmail

「有力なメール・プロバイダー(Google、Yahoo、 Hotmail)からメールを受け取ったはずなのに送信者の認証ができなった場合、そのメッセージは偽造ないし変造されている可能性が非常に高い。受信者は返信したり添付ファイルを開いたりする場合に十分な注意を払う必要がある」と
Googleは警告している。

認証できなかったメッセージのすべてが有害ないし危険なわけではない。しかし今回の改良でGmailのユーザーがそのことをひと目で知ることができるようになったのは安全性の改善に有効だろう。

良いことは3度続くとことわざに言うが、さらにGoogleは2GBのストレージを無料でプレゼントすると発表した。Googleのサービスを利用するときに表示されるセキュリティー・チェックを完了するだけでGoogleドライブに2GBの無料スペースが得られる。さっそく Googleアカウントを開いてチェックを始めよう。

〔日本語〕セキュリティー・チェックは日本語化されている。開始にはパスワードの再入力を求められる。接続しているデバイスの名称が表示されるのでややわかりにくい。デバイスに付与した名称を控えておくとよいかもしれない。セキュリティー・チェックの日本語化については訳者の環境ではまだ確認できない。

[原文へ]

(翻訳:滑川海彦@Facebook Google+

Googleの先進研究チーム、ATAPがパスワードを永久に追放する認証手法を開発か

2015-05-30-googleatap

今日(米国時間5/29)、Googleの先進技術研究ユニット、ATAP(Advanced Technology and Projects=元Motorolaの研究部門)は、現在サンフランシスコで開催中のI/Oデベロッパー・カンファレンスで、モバイル・デバイスにおいてユーザーのタイプ入力のパターンその他の情報から正しいユーザーであることを認証する技術を開発sしていると発表した。これが実用化されればパスワードは不要になるという。

このプロジェクトはユーザーがPIN番号やパスワードをいちいち入力する煩わしさを省くことが目的だ。新しい認証システムは一日中連続的にユーザーの行動をモニタし、さまざまな情報を総合して真正なユーザーであることを確認し続けるという。

google-io-2015-atap0068

ATAPの開発チームの責任者、Regina Duganの今日の説明によれば、 この課題の解決に向けて調査を始めたとき、既存の学術研究では4桁のPIN番号入力のレベルに達する代替策さえみつからなかったという。

そこでGoogleは多数の大学に協力を求め、16の大学から25人の専門家を集めて90日の短期集中研究を実施した。チームは1500人のボランティアから日々のデバイス操作データの提供を受けた。その結果、新システムは指紋認証の10倍の精度でユーザー認証を行えるようになったという。

これが事実なら、モバイルセキュリティーにおける一大進歩だ。現在の各種のセキュリティー・メカニズムを一挙に置き換える可能性がある(もちろんモバイル・バンキングなどの場合、多くのユーザーは依然として2段階認証が必要だと考えるだろうが)。新しい認証システムはハードウェアを必要とせず、すべてソフトウェアだけで実行可能であるので、ATAPでは近い将来、何千万ものAndroidデバイスに導入されることを期待している。

google-io-2015-atap0066

[原文へ]

(翻訳:滑川海彦@Facebook Google+

次のChromebookは、持ち主のスマホが近づくと自動的にアンロックされるかもしれない

パスワードは本当に頭に来る。将来はパソコンにログインしなくてよくなるかもしれないが、Chromebookはそんな機能を標準塔載する最初のパソコンになるかもしれない。Android PoliceがChrome OSデベロッパープレビューの中にヒントを見つけた(via 9to5Google)。最新ビルドに入っていたコードが、自分のアカウントに登録しておいたAndroid端末が近くに来ると、Chromebookがアンロックされる仕掛けを示唆している。

この「Easy Unlock」なる機能には、グラフィックベースのわかりやすい説明画面まで用意されているが、実際の機能はまだ提供されていないので、たとえあなたが最先端のデベロッパーでも、自分用にビルドして新機能を試すことはできないだろう。それでも、これがGoogleの単なる思いつきでないことはわかる。

Googleは、パスワードの代わりに物理的認証を使うことをかなり前から考えており、昨年1月にはパソコンのUSBポートで使う暗号カードの開発に取り組んでいることを本誌が報じた。この種の認証には特殊な専用ハードウェアよりもスマートフォンの方が手軽なのは明らかであり、さらにGoogleは、本物の人間かどうかを検出する自社製のCAPTCHAソフトウェアを騙す方法も見つけていることから、ハードウェアによる解決には、今後ログインだけに留まらない応用の可能性がある。

これがChrome OSの一般向けリリースに実装される可能性は十分にあるが、次のChromebookが出てくるのはまだ数ヵ月先になるだろう。

[原文へ]

(翻訳:Nob Takahashi / facebook


KeyLemonは音声ユーザー認証のスタートアップ―ベンチャー資金調達に成功して事業拡大へ

スイスのスタートアップ、KeyLemonはIdiap Research Instituteのスピンオフで、ユーザー認証のための顔認識、音声認識テクノロジーを開発している。このほど同社はシリーズAのラウンドで150万ドルを調達したと発表した。

投資家は、スイスの世界的製薬会社、Debiopharm GroupのDebiopharm Investment、スイスの電話キャリヤ、SwisscomのSwisscom Venturesなど。

タブレット、スマートフォンには例外なくカメラとマイクが装備されている。これを利用してKeyLemonは顔、音声認識テクノロジーをさまざまなインターネット・サービスにおけるユーザーの身元確認、アクセス・コントロールに役立てようと努力している。

KeyLemonでは一例としてMOOC(Massive Open Online Courses=多人数公開オンライン講義)における学生の聴講承認、出席確認に利用できるとしている。エンドユーザーとの関係では、KeyLemonのテクノロジーはスマートフォンやタブレットなどのデバイスやチップのメーカー、ISPに提供される他、個別のアプリケーションへのエンベッド、オンライン教育その他大規模なクラウドサービスなどからの利用が見込まれている。

また一般ユーザー向けにフリーミアム版のMac版、Windows版のアプリも公開されている。

〔日本版〕 有料版は1995円から。サポートされる言語は英語、ドイツ語、フランス語、スペイン語、イタリア語、ブラジル・ポルトガル語。

[原文へ]

(翻訳:滑川海彦 Facebook Google+