- ベストアンサー
個人を識別する方法とは?
- Web上で個人を識別する方法について考えています。特にいたずら防止や再登録防止の観点から、個人を一意に識別する方法はあるのでしょうか?
- Windowsではプロダクトキーやハードウェア情報、ボリュームシリアルなどを用いて個人を識別できますが、MacやLinuxなど他のプラットフォームではどのような方法があるのでしょうか?
- また、既存のHTTP技術やJavaScript技術だけを利用して、個人を識別する方法は存在するのでしょうか?一つのサービスだけでなく、複数のサービスに対応するためにはどのような手段が必要なのでしょうか?
- 春原 なの(@ymda)
- お礼率60% (1820/2985)
- CGI
- 回答数5
- ありがとう数4
- みんなの回答 (5)
- 専門家の回答
質問者が選んだベストアンサー
everCookieでも使って粘るくらいしか無い
その他の回答 (4)
- notnot
- ベストアンサー率47% (4901/10362)
個人を識別と言うより、「悪意を持って一人で複数のIDを取るのを防止したい」と言うことですね。 無理です。ご承知のように悪意を持った人に対してはCookieではダメです。 たとえば現在のmixiでは登録時に携帯電話での認証で、そういうことをやろうとしてますが、 ・一人で複数の携帯電話を持っている人はその数だけ登録できる ・一台だけでも、MNPで携帯会社を変えればまた新規登録できる ・携帯電話を持っていない人は登録できない。特に海外在住の人は方法がない と、不完全であり、弊害もあります。 それで良ければ同じような方法をとれば良いでしょう。 また、mixiのIDであなたのサイトにログインするようにすることも可能です。http://developer.mixi.co.jp/openid/
お礼
ありがとうございます。 >個人を識別と言うより、「悪意を持って一人で複数のIDを取るのを防止したい」と言うことですね。 確かに、おっしゃるとおりです。 どのようなケースが来るかわからない状態ですが 基本的にはオープンでいくのですが、万が一制限かけるとしたら、という 選択肢でした。 とかいって、「タダで配る」ものに対して、そこまで荒らしを防止する セキュリティーを確保するわけにもいきません。 #そのぐらいのことで、スポンサーが出るわけありませんので・・・ そういう意味では、既存のシステムで一応存在するmixiがやはり 一番良いのかなとも感じられました。 また、最低でも、GeoIPを使わなくても海外のIPアドレスは判別できますので 海外IPである場合に、mixiでなく、普通に認証を通すか、もしくは、 全く無視することもできるかとは感じます。 もともと、twitter、facebook認証等OpenIDを考えてはいましたので・・・ ただ、可能な限り個別を識別するとして、スレタイにもあるいくつかの 方法を組み合わせる他、もし企業であれば、携帯認証ではなく、はがき 認証を考えてはいた所でした。 #確かに、住所をいくつももてますが、心配であれば、本人限定受け取り 等の対処もできるかとは存じますが・・・ でも、それだけのために、普通、スポンサーになってくれるところは ありませんからね。
- yoshika_jp
- ベストアンサー率48% (17/35)
インターネット上のやり取りのみで個人を識別することが不可能でしょう。 誰がそれを保障してくれるのですか? 本気で個人を(法的に)特定したうえで識別したいのであればフィジカルな方法を用いるほかないでしょうね。 それでも抜け道はいくらでもありますが・・・ 本人確認のオプションサービスを用いて会員宅にセキュリティトークンでも届けるのが現実的ではないでしょうか? さらに言えばセキュリティトークンには生体認証機能をつけておきたいところです。 セキュリティトークンは費用がかさむというのならセキュリティコード表でも良いでしょう。 ですが、そうですね。 私が開発者の立場なら以下のようにします。 1.登録時にパスワードを2種類用意してもらう 仮にログイン用パスワード・変更用パスワードとする 2.通常ログインする場合はログイン用パスワードを利用させる 3.怪しいアクセスがあった場合(IPアドレスが変わっていた等)ログイン用パスワードを凍結する どの程度を許容するかはお任せします。 4.ログイン用パスワードの凍結解除・パスワード変更を会員が申請 5.システムからメールを送付 6.メールに記載されたURL(ワンタイム)からサイトへアクセスしてもらう 7.変更用パスワードでログインしてもらう。 8.ログイン用パスワードの凍結解除・パスワード変更処理 こんな感じでしょうか。 3のログイン用パスワード凍結の代わりに会員へメール通知するでもOKです。 その際は簡単に凍結できるURL付にしたいところ。 または凍結したうえで、凍結解除用URL(時間制限付きだと望ましい)を付けたメールを送付しても良いかもしれません。 これくらいでしょうか・・・? 一応ネットワーク技術オンリーで考えました。 http技術(およびサーバサイド処理)オンリーでも可ですが(5の部分を省略する)、あまり望ましくはないですね。
お礼
ありがとうございます。 質問が個人を識別する・・の状態になっていましたので 全く別の回答とはなってしまっていますが かなり似たようなことを某所に提案したことがあり、 これまたおもしろいものです。 どちらにせよ、認証システムすら、新しく組むために 非常に参考になりました。 >怪しいアクセスがあった場合(IPアドレスが変わっていた等) >ログイン用パスワードを凍結する これは、AS番号を取得するか、一度whoisを行なって、ネットワークアドレスを調べて、 その範囲内かどうかで判断をすることを考えています。 一般的には、IPアドレスは、ルーターの電源一度再起動すればかわりますし、 また、ケータイのキャリアになれば、キャリアのIPからのproxy経由になったり、 Wimax使ったり、他のプロバイダーになりえることもありますので・・
- wormhole
- ベストアンサー率28% (1626/5665)
>無論、逆引き→ドメインを取得する >IPアドレスに対するAS番号を取得する >GeoIPで都道府県を取得する 個人識別にはまったく使いものにならないと思いますけど。
お礼
ありがとうございます。 #5さんのおっしゃるとおり、質問のタイトルが間違っていたようです。 >個人を識別と言うより、「悪意を持って一人で複数のIDを取るのを防止したい」と言うことですね。
- mac1963
- ベストアンサー率27% (841/3023)
お書きになったすべて個人は識別出来ませんよ 同じ端末で複数の人が使用した場合端末は識別出来ても個人は識別出来ないでしょ 揚げ足を取るつもりは有りませんが個人識別するならIDとパスワード与えて他人がそれでアクセスしない用規約作る等しないと難しいのではないかな
補足
ありがとうございます。 IDパスワードはあるものとしての前提の話です。 その上で、例えば、下手に荒らし目的で多重にIDをとれないように するにはどうしたらいいか?ということです。 一応、本文には書きませんでしたが、 デバイスの所持数はIDとれるものとしますが、一度1つのIDで 別のデバイスにアクセスしたら、その時点で、仮の ブラックに入れて、事後、規制を食らった時に、両方のデバイスから 登録できないものとします。
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_3_thumbnail_img_sm.png)
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_1_thumbnail_img_sm.png)
お礼
ありがとうございます。 supercookieとかevercookieとか 非常に興味深い所に盲点を突かれました。 これですと、十分に(HTML5に対応している)スマホにも 対応しきれる部分があります。 ただ、同様の技術で紹介している中にある、ユーザーエイジェントの デジタル指紋は、導入のされかたにより、ほぼ完全に個人に近いぐらいに 特定できないのと、一つのPCやスマホに複数種類ブラウザーが タダで入れられることから、万が一規制に引っ掛かった場合の対応が 難しそうなので、一つの参考のみにさせていただきます。 ただ、やはり、それなりに実行できるものから作っていかないと いけませんけどね。 #ただ、あまりの反対の波紋を食らって、使えなくなったら、というのも ありますが・・・