おさかなラボ

それは偶然発見した。なんとGmailのパスワード入力画面にもちゃんと歪んだ画像CAPTCHAが実装されているのだ。しかもほとんどのボットに見え、ほとんどの人間に見えないCAPTCHAである。ちょっとした工夫でCAPTCHAの欠点を補い、利点を生かしているのだ。見つけた時、思わず拍手してしまった。

事の始まりはこうだ。さっき、Gmailにログインしようとしたら、以下のようなエラーが出た。

平凡なエラーだ。しかしまずいことに、2度目、3度目も間違えた。そこでふと「Gmailは何回くらいでアカウントがロックされるんだろう」という疑問が湧いた。そもそも自分には、ブルートフォースアタックに対抗するにはアカウントロックしかないと考えていた。

するとなんと、10回目のミスで、次の画面が現れたのだ。

アカウントがロックされる代わりに、突然CAPTCHAが現れた。

つまりこうだ。パスワードを10回も連続で間違える人間はほとんどいないだろう（その前に「アカウントにアクセスできません」を押すだろう）。逆に、ブルートフォース・ボットが10回以内にパスワードを当てるのは「奇跡」だ。普段はユーザビリティの悪いCAPTCHAは隠しておいて、執拗に間違ったパスワードを打ちつづける相手のみ「ボットの可能性が高い」と判断しCAPTCHAを示す。まさに「相手を選ぶCAPTCHA」だ。「10回連続間違うかどうか」が既に逆チューリングテスト（=CAPTCHA）であるとも言える。

「アカウントロックをしない」という利点もある。10回もパスワードを間違ったらアカウントをロックされてもおかしくない。実際そういうシステムも多いだろう。しかしGoogleは「CAPTCHAを解く」というちょっとしたクイズで許してくれる。ボットには難問だろうが。

なお、GmailのCAPTCHAは視覚障碍者にも配慮している。CAPTCHAの横の車椅子のボタンを押すと、ノイズ交じりの音声（ちょっと映画「リング」みたいで怖い）で数字を何桁か喋る。しかも日本語（イチ・ニ・サン・ヨン）だったのでおそらく多言語に対応しているのだろう。こういう、ほとんど見えないところまで細かい配慮があるのには驚いた。

カテゴリー » Security, Web
投稿日 » 2007/04/21 土曜日 - 20:05:12 by かなだ
コメントはこちらからどうぞ。ご自身のサイトからトラックバックを利用する場合は以下の URI をご利用ください。

http://kaede.to/~canada/doc/captcha-in-gmail/trackback/