JP5482614B2 - Information processing system, information processing apparatus, server apparatus, information processing method, and computer program - Google Patents
Information processing system, information processing apparatus, server apparatus, information processing method, and computer program Download PDFInfo
- Publication number
- JP5482614B2 JP5482614B2 JP2010228940A JP2010228940A JP5482614B2 JP 5482614 B2 JP5482614 B2 JP 5482614B2 JP 2010228940 A JP2010228940 A JP 2010228940A JP 2010228940 A JP2010228940 A JP 2010228940A JP 5482614 B2 JP5482614 B2 JP 5482614B2
- Authority
- JP
- Japan
- Prior art keywords
- input
- character string
- evaluation
- user information
- password
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、ウェブアプリケーションが提供するパスワード入力画面の表示に関し、特に、ユーザが登録するパスワードの複雑性に関する情報をユーザが認識可能に表示する技術に関する。 The present invention relates to display of a password input screen provided by a web application, and more particularly, to a technique for displaying information related to the complexity of a password registered by the user so that the user can recognize it.
近年、インターネット上には無数のウェブサイトが公開され、それぞれのウェブサイトは、ウェブアプリケーションを用いた多様なウェブサービスを提供している。例えば、インターネットバンキングや、オンラインショッピングなどのウェブサービスが広く行われている。それらのウェブサービスを利用する場合には、ユーザは、それぞれのウェブサイトにユーザ登録を行う必要があり、その際には、認証に用いるパスワードの登録を行うことが一般的である。 In recent years, countless websites have been released on the Internet, and each website provides various web services using web applications. For example, web services such as internet banking and online shopping are widely used. When using these web services, the user needs to register as a user for each website, and in that case, it is common to register a password used for authentication.
このような、ウェブサイトが提供するウェブサービスは利便性が高いため、多くのユーザにとって不可欠なものとなりつつあるが、その利用に伴い、ユーザは成りすましによる不正利用など、様々なリスクに晒されることにもなる。 Such web services provided by websites are highly convenient and are becoming indispensable for many users. However, users are exposed to various risks such as fraudulent use by impersonation. It also becomes.
不正利用の対策は様々あるが、認証に用いるパスワードの複雑性を高めることが有効的な手段の1つとして挙げられる。例えば、パスワードを登録する際には所定の文字数以上のパスワードを設定するようにする、アルファベット及び数字の双方を必ず1字以上使用させる、等の対策をとっていることが一般的である。これによりパスワードの複雑性を高めることはできる。 Although there are various countermeasures against unauthorized use, increasing the complexity of passwords used for authentication can be cited as one effective means. For example, when registering a password, it is common to take measures such as setting a password of a predetermined number of characters or more, and making sure that at least one alphabetic and numeric character is used. This can increase the complexity of the password.
このような、パスワードを登録する場合には、ユーザがパスワードとして用いる文字列を入力後、登録ボタンに対する押下指示を受け付けることでウェブサービスを提供するウェブサーバにパスワードが送信され、ウェブサーバは受信した文字列が、パスワードとしての登録可能要件を満たすかを判定し、登録可能要件を満たしていると判定した場合には、受信した文字列をパスワードとして登録し、満たしていないと判定した場合には、パスワードとして用いる文字列を再度ユーザに入力させることになる。 When registering such a password, after the user inputs a character string to be used as the password, the password is transmitted to the web server that provides the web service by accepting an instruction to press the registration button, and the web server receives the password. If it is determined that the character string satisfies the requirements for registration as a password, and if it is determined that the requirements for registration are satisfied, the received character string is registered as a password, and if it is determined that it does not meet the requirements The character string used as the password is input again by the user.
また、パスワードの登録に際しては、周囲から入力操作を盗み見される等の、ソーシャルエンジニアリングの危険にも晒される。このようなソーシャルエンジニアリングに対処すべく、例えば特許文献1に開示されている発明がなされている。この発明は、ユーザが入力したパスワード文字をマスクするエコー文字の文字数を複数文字とすることで、ユーザが入力したパスワードの文字数が漏洩することを防ぐためのものである。
In addition, when registering a password, it is also exposed to social engineering dangers such as an input operation being stolen from the surroundings. In order to deal with such social engineering, for example, an invention disclosed in
パスワードの複雑性を求めようとした場合に、従来の方法では、ユーザがパスワードと使用する文字列の入力を一旦確定しなければその複雑性の判断が行われなかった。このため、ウェブサイトが要求するパスワードの複雑性を満たさない文字列の入力が行われた場合に、入力のやり直しを行わなくてはならず、ソーシャルエンジニアリングの危険にさらに晒されることになってしまう。 When trying to determine the complexity of a password, in the conventional method, the complexity cannot be judged unless the user once determines the input of the password and the character string to be used. For this reason, if a character string that does not meet the complexity of the password required by the website is entered, the character must be re-entered, which puts you at the risk of social engineering. .
また、上述のパスワードの文字数制限や、アルファベットと数字の双方を使用するといった程度の複雑性のみを求めるのであれば、ユーザに対するパスワード制限に関する表示を容易に行うことができるが、さらなる複雑性を要求する場合には、その全ての要件をユーザに提供することは困難である。 In addition, if only the complexity of the above-mentioned password limit or the use of both alphabets and numbers is required, it is possible to easily display the password limit for the user, but further complexity is required. In that case, it is difficult to provide all the requirements to the user.
この場合、一旦確定された文字列がパスワードとして不適切として判断された理由を表示してユーザに通知することが想定されるが、不適切となった原因が1つ見つかった場合に、それ以外の要件については適切/不適切の判定を行わず、それらの要件を満たすか否かの情報はユーザには通知されず、結局はトライアンドエラーを繰り返す原因になってしまうことが想定される。 In this case, it is assumed that the confirmed character string is displayed as a password and the user is notified of the reason why it is determined to be inappropriate. However, if one cause is found to be inappropriate, other than that, It is assumed that appropriate / inappropriate determinations are not made for the above requirements, and information on whether or not these requirements are satisfied is not notified to the user, which eventually causes repeated trial and error.
本発明は、パスワードとして入力された文字列の危険性をユーザ情報に基づいて評価する仕組みにおいて、文字列の入力後にユーザ情報が変更された場合にも、入力済みの文字列の危険性を再評価することが出来る仕組みを提供することを目的とする。 The present invention provides a mechanism to evaluate on the basis of the risk of a password entered string to the user information, even if the user information after input of a character string is changed, the already input character string dangerous The purpose is to provide a mechanism that can re-evaluate sex .
本発明の情報処理システムは、パスワードとして用いる文字列を受け付ける情報処理システムであって、パスワードとして用いる文字列の入力指示を受け付ける文字列入力受付手段と、ユーザ情報の入力および変更の入力を受け付けるユーザ情報入力受付手段と、前記ユーザ情報入力受付手段で入力を受け付けたユーザ情報を用いて、前記文字列が推測される危険性を評価する評価手段と、前記評価手段による評価に基づいた報知を行う第1の報知手段とを備え、前記評価手段は、前記ユーザ情報入力受付手段で前記ユーザ情報の変更の入力を受け付けた場合に、前記文字列入力受付手段で既に入力済の文字列であって、前記評価手段で既に危険性評価済の前記文字列が推測される危険性を、前記変更の入力を受け付けることにより変更された前記ユーザ情報を用いて再評価し、前記第1の報知手段は、前記評価手段による前記再評価に基づいた前記危険性の再報知を行うことを特徴とする。 An information processing system according to the present invention is an information processing system that accepts a character string used as a password, a character string input accepting unit that accepts an input instruction for a character string that is used as a password, and a user who accepts input of user information and input of change An information input receiving unit, an evaluation unit that evaluates a risk that the character string is estimated using the user information received by the user information input receiving unit, and a notification based on the evaluation by the evaluation unit First evaluation means, and the evaluation means is a character string that has already been input by the character string input reception means when the user information input reception means has received an input for changing the user information. Te, the risk of already said string risk valuated is presumed by the evaluation means, is changed by accepting the input of the change The re-evaluated using the user information, the first notification means, and performs the re-notification of the risk of the based on the re-evaluation by the evaluation unit.
本発明の情報処理方法は、パスワードとして用いる文字列を受け付ける情報処理によって行われる情報処理方法であって、パスワードとして用いる文字列の入力指示を受け付ける文字列入力受付工程と、ユーザ情報の入力および変更の入力を受け付けるユーザ情報入力受付工程と、前記ユーザ情報入力受付工程で入力を受け付けたユーザ情報を用いて、前記文字列が推測される危険性を評価する評価工程と、前記評価工程による評価に基づいた報知を行う第1の報知工程とを含み、前記評価工程は、前記ユーザ情報入力受付工程で前記ユーザ情報の変更の入力を受け付けた場合に、前記文字列入力受付工程で既に入力済の文字列であって、前記評価工程で既に危険性評価済の前記文字列が推測される危険性を、前記変更の入力を受け付けることにより変更された前記ユーザ情報を用いて再評価し、前記第1の報知工程は、前記評価工程による前記再評価に基づいた前記危険性の再報知を行うことを特徴とする。 The information processing method of the present invention is an information processing method performed by information processing for accepting a character string used as a password, and includes a character string input accepting step for accepting an input instruction for a character string used as a password, and input and change of user information. A user information input receiving step for receiving the input, an evaluation step for evaluating the risk that the character string is estimated using the user information received in the user information input receiving step, and an evaluation by the evaluation step the notification based and a first notification step intends row, said evaluation step, wherein, when accepting the input of changes of said user information in the user information input accepting step, has been already input in the text input receiving step this is a character string, the risk of the character string of the already risk assessment already in the evaluation process is presumed, that accepts the input of the change Using the user information that has changed and re-evaluated by said first notification step, and performing the re-notification of risk based on the re-evaluation by the evaluation step.
本発明のコンピュータプログラムは、パスワードとして用いる文字列を受け付ける情報処理システムで実行可能なコンピュータプログラムであって、前記情報処理システムを、パスワードとして用いる文字列の入力指示を受け付ける文字列入力受付手段と、ユーザ情報の入力および変更の入力を受け付けるユーザ情報入力受付手段と、前記ユーザ情報入力受付手段で入力を受け付けたユーザ情報を用いて、前記文字列が推測される危険性を評価する評価手段と、前記評価手段による評価に基づいた報知を行う第1の報知手段として機能させ、前記評価手段は、前記ユーザ情報入力受付手段で前記ユーザ情報の変更の入力を受け付けた場合に、前記文字列入力受付手段で既に入力済の文字列であって、前記評価手段で既に危険性評価済の前記文字列が推測される危険性を、前記変更の入力を受け付けることにより変更された前記ユーザ情報を用いて再評価し、前記第1の報知手段は、前記評価手段による前記再評価に基づいた前記危険性の再報知を行うことを特徴とする。 The computer program of the present invention is a computer program that can be executed by an information processing system that accepts a character string used as a password, and the information processing system uses a character string input acceptance unit that accepts an input instruction of a character string used as a password; User information input accepting means for accepting input of user information and input of change, and evaluation means for evaluating the risk of guessing the character string using the user information accepted by the user information input accepting means ; made to function notification based on evaluation by the evaluation unit as a first informing means intends row, said evaluation means, wherein when accepting the input of changes of said user information in the user information input accepting means, the character string input there already is already input string at the reception means, the sentence of the already risk assessment already in the evaluation means The risk of the column is presumed, using the user information changed by accepting the input of the change reevaluates, the first informing means, said risk based on the re-evaluation by the evaluation unit The re-notification of sex is performed .
本発明によれば、パスワードとして入力された文字列の危険性をユーザ情報に基づいて評価する仕組みにおいて、文字列の入力後にユーザ情報が変更された場合にも、入力済みの文字列の危険性を再評価することが出来る。 According to the present invention, the mechanism for assessing on the basis of the risk of a password entered string to the user information, even if the user information is changed after the input of the character string already entered string Can be reassessed .
以下、図面を参照して、本発明を実施するための形態の一例について説明する。 Hereinafter, an example of an embodiment for carrying out the present invention will be described with reference to the drawings.
図1は、本発明の情報処理システムのシステム構成の一例を示す図である。図1に示すように、本発明の情報処理システムは、クライアント装置101−1乃至101−3(以下、まとめてクライアント装置101とする)、ウェブサーバ102、アプリケーションサーバ(APサーバ)103、データベースサーバ(DBサーバ)104を備えて構成されている。
FIG. 1 is a diagram illustrating an example of a system configuration of an information processing system according to the present invention. As shown in FIG. 1, an information processing system according to the present invention includes client apparatuses 101-1 to 101-3 (hereinafter collectively referred to as client apparatus 101), a
クライアント装置101は、ウェブサーバ102が提供するウェブサイトによるウェブサービスを利用するユーザが操作するコンピュータであって、インターネット106等の広域回線網を介してウェブサーバ102にアクセスし、ウェブサービスを利用する。
The
ウェブサーバ102は、クライアント装置101からの要求に応じて、ウェブサービスを提供するためのサーバ装置である。APサーバ103は、ウェブサーバが提供するウェブサービスで実行されるウェブアプリケーションを実行するサーバ装置であって、ウェブサーバ102から要求されたウェブアプリケーションを実行し、その処理結果をウェブサーバ102に通知する。DBサーバ104は、ウェブサーバ102、APサーバ103が利用する各種のデータを記憶するサーバ装置である。
The
105はLAN(Local Area Network)であって、ウェブサーバ102、APサーバ103及びDBサーバ104を相互に通信可能に接続するためのネットワークである。
次に、図2を参照して、図1に示す各装置(クライアント装置101、ウェブサーバ102、APサーバ103及びDBサーバ104)のハードウェア構成の一例について説明する。図2は、図1に示す各装置に適用可能な情報処理装置のハードウェア構成の一例を示す図である。
Next, an example of the hardware configuration of each device (
図中、CPU201は、システムバス204に接続される後述の各デバイスやコントローラを統括的に制御する。また、ROM203あるいは外部メモリ211には、CPU201の制御プログラムであるBIOS(Basic Input / Output System)やオペレーティングシステムプログラム(以下、OS)や、各装置に後述する各種の処理を実行させるために必要な各種プログラムやデータ等が記憶されている。RAM202は、CPU201の主メモリ、ワークエリア等として機能する。
In the figure, a
CPU201は、処理の実行に際して必要なプログラム等をRAM202にロードして、プログラムを実行することで後述する各種処理を実現するものである。また、入力コントローラ(入力C)205は、キーボードやポインティングデバイス等で構成される入力装置209からの入力を制御する。ビデオコントローラ(VC)206は、ディスプレイ装置210等の表示装置への表示を制御する。ディスプレイ装置210は、例えばCRTディスプレイや液晶ディスプレイ等で構成される。
The
メモリコントローラ(MC)207は、ブートプログラム、ブラウザソフトウエア、各種のアプリケーション、フォントデータ、ユーザファイル、編集ファイル、各種データ等を記憶するハードディスク(HD)やフロッピーディスク(登録商標 FD)或いはPCMCIAカードスロットにアダプタを介して接続されるコンパクトフラッシュメモリ等の外部メモリ211へのアクセスを制御する。
A memory controller (MC) 207 is a hard disk (HD), floppy disk (registered trademark FD) or PCMCIA card slot for storing boot programs, browser software, various applications, font data, user files, editing files, various data, and the like. Controls access to an
通信I/Fコントローラ(通信I/FC)208は、図1に示すLAN105やインターネット106等のネットワークを介して、外部機器と接続・通信するものであり、ネットワークでの通信制御処理を実行する。例えば、TCP/IPを用いたインターネット通信等が可能である。
A communication I / F controller (communication I / FC) 208 is connected to and communicates with an external device via a network such as the
なお、CPU201は、例えばRAM202内の表示情報用領域へアウトラインフォン
トの展開(ラスタライズ)処理を実行することにより、ディスプレイ装置210上での表
示を可能としている。また、CPU201は、ディスプレイ装置210上の不図示のマウ
スカーソル等でのユーザ指示を可能とする。以上が、ハードウェア構成の説明であるが、各装置が後述する各種の処理を実行可能であれば、必ずしも図2に記載のハードウェア構成を有していなくとも構わないことは言うまでもない。
Note that the
次に、図3を参照して、図1に示す各装置(クライアント装置101、ウェブサーバ102、APサーバ103、DBサーバ104)の機能構成について説明する。図3は、図1に示す各装置が備える機能構成を示す図である。
Next, the functional configuration of each device (
図3に示す通り、クライアント装置101は、入力受付部301、表示制御部302、通信部303を備えており、通信部303は、同期通信部303−1、非同期通信部303−2を含む。
As illustrated in FIG. 3, the
入力受付部301は、ウェブサーバに接続する際に用いられるURL情報や、後述するユーザ情報入力画面700やパスワード入力画面800を介しての各種情報の入力を受け付ける。表示制御部302は、ウェブサーバ102より受信したレスポンスデータに従った画面表示(例えば、ユーザ情報入力画面700やパスワード入力画面800の表示)をウェブブラウザに対して行う。
The
通信部303は、ウェブサーバ102とHTTP等による通信を行う。尚、同期通信部303−1は、ウェブサーバ102との間で同期通信を行う。非同期通信部303−2は、JavaScriptのクラスライブラリである「XMLHttpRequest」を用いて、ウェブサーバ102に非同期通信でHTTPリクエストを送る。また、当該HTTPリクエストに応じてウェブサーバ102より送信されるレスポンスデータについては、非同期通信部303−2が提供するコールバック機能を用いて受信することになる。
The
ウェブサーバ102は、実行要求部311、応答データ生成部312、通信部313を備えており、通信部313は、同期通信部313−1、非同期通信部313−2を含む。
The
実行要求部311は、後述する通信部313でクライアント装置101から受信したHTTPリクエストデータに含まれるリクエストURLを解析することでサービスの実行要求であるかを判定し、サービス実行要求であると判定した場合には、APサーバ103に対してサービス実行要求を行う。例えば、リクエストURLに含まれるファイルの拡張子が「do」である場合に、サービスの実行要求であると判定する。
The
応答データ生成部312は、クライアント装置101からのHTTPリクエストデータに対する応答データであるレスポンスデータを生成する。そして生成したレスポンスデータを通信部313に渡す。
The response
通信部313は、クライアント装置101とHTTPを用いた通信を行うための機能部であり、同期通信部313−1はクライアント装置101の同期通信部303−1と、非同期通信部313−2は、クライアント装置101の非同期通信部303−2との通信を行う。
The
APサーバ103は、サービス実行部321、データ操作部322を備えており、サービス実行部321は実行要求受付部321−1、特定部321−2、処理実行部321−3を含み、データ操作部322は、データ取得部322−1、データ登録部322−2を含む。
The
サービス実行部321は、ウェブサーバ102からの要求に応じてAPサーバ103が提供するサービスを実行する機能部である。APサーバ103が提供するサービスとしては、例えばパスワード複雑性評価を行うためのパスワード検証サービスや、ユーザ情報登録サービス等がある。
The
実行要求受付部321−1は、ウェブサーバ102の実行要求部311からのサービスの実行要求を受け付ける機能部である。サービス特定部321−2は、実行要求受付部321−1で受け付けたサービスの実行要求に従って、実行すべきサービスを特定する。処理実行部321−3は、サービス特定部321−2で実行するサービスとして特定されたサービスを実行し、その処理結果をウェブサーバ102の実行要求部311に返す。
The execution request reception unit 321-1 is a functional unit that receives a service execution request from the
データ操作部322は、DBサーバ104で管理されているユーザ情報テーブル等のデータベースを操作するための機能部であり、データ取得部322−1は、DBサーバ104が管理するデータベースより、各種のデータを取得する機能部である。データ登録部322−2は、データベースにデータを追加する、データベースからデータを削除する、既に登録されているデータを変更する機能部である。
The
DBサーバ104は、記憶部331を備えており、この記憶部331で後述する処理で用いられる各種データや、作成される各種データを記憶することになる。以上が図1に示す各装置の機能構成の説明である。
The
<第1の実施の形態>
次に、図4を参照して、クライアント装置101のCPU201、ウェブサーバ102のCPU201、及びAPサーバ103のCPUによって行われる、本発明の第1の実施の形態におけるユーザ情報登録処理について説明する。本図のステップS401からS411に示す処理はクライアント装置101のCPU201によって、ステップS421からS426に示す処理はウェブサーバ102のCPU201によって、ステップS441からS444に示す処理はAPサーバ103のCPU201によって行われる処理である。
<First Embodiment>
Next, user information registration processing according to the first embodiment of the present invention, which is performed by the
まず、クライアント装置101は、ユーザの入力装置209操作に従って、アクセスするウェブサーバ102を特定するためのURL情報の入力を受け付ける(ステップS401)。そして、ステップS401で入力されたURLで特定されるウェブサーバ102に対して、画面要求のためにリクエストデータを送信する(ステップS402)。
First, the
ウェブサーバ102のCPU201は、クライアント装置101より送信された画面要求のためのリクエストデータを取得すると(ステップS421)、表示画面情報を含むレスポンスデータを、当該要求を行ってきたクライアント装置101に対して送信する(ステップS422)。
When the
クライアント装置101のCPU201は、ウェブサーバ102から送信された表示画面情報を含むレスポンスデータを受信すると(ステップS403)、受信した表示画面情報に従って、画面表示を行う(ステップS404)。ここでは、例えば図7に示すユーザ情報入力画面700が表示されることになる。
When receiving the response data including the display screen information transmitted from the web server 102 (step S403), the
ここで、図7を参照して、ユーザ情報入力画面700の構成について説明する。図7はユーザ情報入力画面700の構成の一例を示す図である。
Here, the configuration of the user
図7に示す通り、ユーザ情報入力画面700は、氏名入力欄701、氏名(ローマ字)入力欄702、性別入力欄703、生年月日入力欄704、住所入力欄705、電話番号入力欄706、職業入力欄707、メールアドレス入力欄708、メールアドレス確認入力欄709、ログインユーザ名入力欄710、次(パスワード入力)へボタン711等を備えて構成されている。
As shown in FIG. 7, the user
ユーザは、本画面に設定されている各入力欄に自身に関する情報を、入力装置209を用いて夫々の入力欄に対して入力することになる。そして、入力が必須となっている全ての入力欄に対する入力を受け付けると次(パスワード入力)へボタン711が有効となる。尚、ログインユーザ名入力欄710には、ユーザが当該ウェブサービスを利用する際に用いるユーザ名の入力を受け付けることになる。
The user inputs information related to himself / herself in each input field set in the screen using the
図4の説明に戻る。クライアント装置101のCPU201は、ステップS404で表示したユーザ情報入力画面700を介してのユーザからのユーザ情報入力を受け付ける(ステップS405)。その後、ユーザ情報入力画面700の次(パスワード入力)へボタン711の押下指示により入力される登録指示の入力を受け付けると(ステップS406でYES)、ユーザ情報入力画面700に対して入力されたユーザ情報を登録するためのリクエストデータを作成し、そのリクエストデータをウェブサーバ102に対して送信する(ステップS407)。
Returning to the description of FIG. The
クライアント装置101から送信されたユーザ情報の登録のためのリクエストデータを受信すると(ステップS423)、ウェブサーバ102のCPU201は、APサーバ103に対してユーザ情報の登録のためのプログラムの実行要求を行う(ステップS424)。この時合わせて、クライアント装置101から取得したユーザ情報をAPサーバ103に対して送信する。
CPU201 of upon receiving the request data for the registration of a transmitted the user information from the client apparatus 101 (step S423), the
APサーバ103のCPU201は、ウェブサーバ102からのユーザ登録プログラム実行要求を受け付けると(ステップS441)、ユーザ登録プログラムを実行し(ステップS442)、DBサーバ104が備えるユーザ情報テーブル1400にユーザ情報を登録する(ステップS443)。そしてその処理結果をAPサーバ103に送信する(ステップS444)。
When receiving the user registration program execution request from the web server 102 (step S441), the
ここで、図14を参照して、DBサーバ104の外部メモリ211に管理されているユーザ情報テーブル1400のデータ構成について説明する。図14は、ユーザ情報テーブル1400のデータ構成の一例を示す図である。
Here, the data configuration of the user information table 1400 managed in the
図14に示す通り、ユーザ情報テーブル1400は、ユーザID1401、氏名1402、氏名(ローマ字)1403、性別1404、生年月日1405、住所1406、電話番号1407、職業1408、メールアドレス1409、ログインユーザ名1410、パスワード1411等のデータ項目を備えて構成されている。
As shown in FIG. 14, the user information table 1400 includes a
図7の説明に戻る。ウェブサーバ102は、APサーバ103から処理結果を受け取ると(ステップS425)、ユーザ情報登録結果を示すレスポンスデータを作成し、クライアント装置101に送信する(ステップS426)。この時、ユーザ情報登録に成功した場合には、図8に示すパスワード入力画面800を、失敗した場合には、不図示のエラー通知画面を表示するための画面情報を含むレスポンスデータを作成し、クライアント装置101に送信することになる。
Returning to the description of FIG. Upon receiving the processing result from the AP server 103 (step S425), the
クライアント装置101のCPU201は、ウェブサーバ102からのレスポンスデータを取得すると(ステップS408)、処理をステップS409に進め、取得したレスポンスデータに従った画面表示を行う。つまりは、登録処理結果に応じて、図8に示すパスワード入力画面800若しくは、エラー通知画面の表示を行うことになる。
When the
そして、登録に失敗した場合(ステップS410でNO)には再度ユーザ情報入力画面700を表示させ、ステップS405からの処理を繰り返す。一方、登録に成功した場合(ステップS410でYES)には処理をステップS411に進め、パスワードデータ入力受付処理を行う。この処理の詳細については、図5を参照して説明することにする。以上が、図4のユーザ情報登録処理の説明である。
If registration fails (NO in step S410), the user
尚、本発明では、このユーザ情報登録処理でユーザにより入力された氏名や、生年月日、電話番号などの情報を用いて、パスワードの複雑性を判断することになる。例えば、パスワードとして利用する文字列に、氏名情報や、生年月日が含まれていると、他人からパスワードの推測が容易になってしまうという問題があるので、それらに使用されている文字列を使用させないようにすることで、複雑性を担保するようにしている。 In the present invention, the complexity of the password is determined using information such as the name, date of birth, and telephone number input by the user in the user information registration process. For example, if a character string used as a password contains name information or date of birth, there is a problem that it is easy to guess the password from others. The complexity is ensured by not using it.
次に、図5を参照して、図4のステップS411のパスワード入力受付処理の詳細について説明する。 Next, with reference to FIG. 5, the details of the password input acceptance process in step S411 of FIG. 4 will be described.
まず、クライアント装置101のCPU201は、ディスプレイ装置210に表示されているパスワード入力画面800に対するユーザ操作の監視を始める(ステップS501)。
First, the
ここで、図8を参照して、パスワード入力画面800の画面構成について説明する。図8はパスワード入力画面800の構成の一例を示す図である。
Here, the screen configuration of the
図8に示すように、パスワード入力画面800には、画面初期表示時には、パスワード入力欄801及び登録ボタン802を備えて構成される。
As shown in FIG. 8, the
パスワード入力欄801は、パスワードとして利用する文字列の入力を受け付ける受付欄である。本発明では、パスワード入力欄801の情報が編集されるたびに、クライアント装置101のCPU201は、この入力欄に入力された文字列情報を非同期通信部303−2によりウェブサーバ102に送信し、その後APサーバ103によって、その文字列の複雑性評価が行われることになる。そして、複雑性評価の結果をユーザに報知するための表示を本画面に行うことになる。また、このパスワード入力欄801は、パスワードの最大文字数より多くの文字数の入力は受け付けない。
The
登録ボタン802は、パスワードの入力を確定させ、ウェブサーバ102に対してパスワードの登録を要求するために用いられるボタンである。尚、この登録ボタンは、パスワード入力欄801に入力された文字列が所定の文字数ではない場合、また、複雑性評価によりパスワードとして登録するための要件を満たさないと判断された場合には、グレーアウト表示され、登録指示を行うことができないように制御される。この登録ボタンが押された場合には、クライアント装置101のCPU201は、同期通信部303−1によりウェブサーバ102に入力された文字列を送信することになる。以上が図8のパスワード入力画面800の構成の説明である。
The
図5の説明に戻る。ユーザの操作監視中、パスワード入力欄801に対する操作によりパスワードの編集が行われたと判断した場合に(ステップS502でYES)、処理をステップS503に進め、パスワード入力欄801に表示する文字数を変更する。尚、このパスワード入力欄には、どのような文字列が入力されたかを理解できないようにするために、入力された文字ではなく、「*」等をマスク文字として利用する。であるので、このステップS503では「*」の表示数を変更する処理が行われることになる。パスワード編集が行われていないと判断した場合には(ステップS502でNO)、処理をステップS516に進める。
Returning to the description of FIG. If it is determined that the password has been edited by operating the
その後、パスワード入力欄801に入力された文字数が所定数以上であるかを判断し(ステップS504)、所定数以上ではないと判断した場合には(ステップS504でNO)、処理をステップS505に進め、登録ボタン802を無効し、グレーアウト表示する。
Thereafter, it is determined whether or not the number of characters input in the
その後、入力された文字列に対してパスワード複雑性評価処理結果を示すパスワード複雑性表示がパスワード入力画面800にされている場合には(ステップ506でYES)、その表示を消去する(ステップS507)。
Thereafter, when the password complexity display indicating the password complexity evaluation processing result is displayed on the
ステップS504の判定処理で、パスワード入力欄801に入力された文字数が所定数以上であると判定した場合には、処理をステップS508に進め、パスワード複雑性評価要求のリクエストデータを作成し、作成したリクエストデータをウェブサーバ102に対して非同期通信機能を用いて送信する(ステップS509)。この時、ユーザによる明示的な指示を行う必要はなく、クライアント装置101のCPU201がパスワード入力欄の入力内容に変更がされたと判定すると、自動的にこの処理を行うことになる。
If it is determined in the determination process in step S504 that the number of characters input in the
その後、ステップS509のリクエストデータに対する応答データであるレスポンスデータの受信待ち状態になる。その間、CPU201は他の処理を実行することが可能である。そして、ウェブサーバ102の非同期通信機能を用いて送信されたレスポンスデータを受信したと判断すると(ステップS510でYES)、処理をステップS511に進め、レスポンスデータに含まれるパスワード複雑性情報を取得する。そして、パスワード複雑性情報に従って、ディスプレイ装置210に表示されているパスワード入力画面にパスワード複雑性情報を示す複雑性表示を行う(ステップS512)。この時、パスワード入力画面全体の表示情報をリフレッシュするのではなく、表示変更を行う必要がある部分のみ表示の更新が行われる。
After that, it waits for reception of response data that is response data to the request data in step S509. In the meantime, the
そして、ステップS511で取得したパスワード複雑性情報に従い、現在入力中のパスワードを登録可能であるかを判定し、パスワードの登録要件を満たし登録可能であると判定した場合には(ステップS513でYES)、登録ボタンを有効にする(ステップS514)。一方、パスワードの登録要件を満たさないと判定した場合には(ステップS513でNO)、登録ボタンを無効にする(ステップS515)。そして、ステップS501に処理を移行させる。 Then, in accordance with the password complexity information acquired in step S511, it is determined whether the currently entered password can be registered. If it is determined that the password registration requirements can be satisfied and registered (YES in step S513). The registration button is validated (step S514). On the other hand, if it is determined that the password registration requirement is not satisfied (NO in step S513), the registration button is disabled (step S515). Then, the process proceeds to step S501.
ステップS502の判定処理でユーザから受け付けた操作がパスワード編集操作ではないと判定した場合には(ステップS502でNO)、処理をステップS516に進め、登録ボタン802の押下指示をCPU201が、登録ボタンの押下指示を受け付けたかを判定する。CPU201が、登録ボタン802の押下指示を受け付けたと判定した場合には(ステップS516でYES)、パスワード文字列を含む当該パスワード文字列を含むパスワード登録要求のリクエストデータを作成し(ステップS517)、作成したリクエストデータをウェブサーバ102に同期通信で送信する(ステップS518)そして、その後ウェブサーバからのレスポンスデータを受信し(ステップS519)、当該レスポンスデータに応じた画面表示を行い、本処理を終了する。
If it is determined in step S502 that the operation received from the user is not a password editing operation (NO in step S502), the process proceeds to step S516, and the
ステップS516で登録ボタンに対する押下指示を受け付けていないと判定した場合には(ステップS516でNO)、終了指示を受け付けたかを判定する(ステップS520)。ステップS520で終了指示を受け付けたと判定した場合には(ステップS520でYES)、パスワード登録処理を行うことなく本処理を終了する。一方、登録ボタンの押下指示も終了指示も受け付けていない場合にはステップS501に処理を進め、それ以降の処理を繰り返し行うことになる。以上がクライアント装置101によって行われるパスワードデータ入力受付処理の詳細である。
If it is determined in step S516 that an instruction to press the registration button has not been received (NO in step S516), it is determined whether an end instruction has been received (step S520). If it is determined in step S520 that an end instruction has been received (YES in step S520), the process ends without performing the password registration process. On the other hand, if neither a registration button press instruction nor an end instruction has been received, the process proceeds to step S501, and the subsequent processes are repeated. The details of the password data input acceptance process performed by the
次に、図6を参照して、クライアント装置101でのパスワードデータ入力受付処理に応じてウェブサーバ102及びAPサーバ103によって行われるパスワード複雑性評価・登録処理について説明する。
Next, the password complexity evaluation / registration process performed by the
まず、ウェブサーバ102のCPU201は、クライアント装置101からのリクエストデータを受信すると(ステップS601)、該受信したリクエストデータをAPサーバ103に転送する(ステップS602)。ウェブサーバ102がステップS601でクライアント装置101から受信するリクエストデータとしては、図5のステップS509で送信されたパスワード複雑性評価要求のリクエストデータ(非同期通信)、図5のステップS518で送信されたパスワード登録要求のリクエストデータ(同期通信)があげられる。
First, when the
APサーバ103のCPU201は、ウェブサーバ102からリクエストデータを転送されると(ステップS621)、転送されたリクエストデータの種類を特定する。APサーバ103は、特定されたリクエストデータの種類によって、実行するサービスを特定する(ステップS622)ことになる。
When the request data is transferred from the web server 102 (step S621), the
ウェブサーバ102より転送されたリクエストデータがパスワード登録要求のリクエストデータであると判定した場合には(ステップS623で「登録」)、パスワードを登録するためのサービスを実行し(ステップS624)、DBサーバ104が記憶しているユーザ情報テーブル1400にパスワードを追加登録する(ステップS625)。そして、その処理結果をDBサーバ104より受信し(ステップS626)、ウェブサーバ102に送信する(ステップS627)。
If it is determined that the request data transferred from the
一方で、ステップS623でパスワードの複雑性評価要求のリクエストデータであると判定した場合には、パスワード検証サービスを実行し(ステップS628)、検証に必要なユーザ情報をDBサーバが管理しているユーザ情報テーブル1400から取得する(ステップS629)。そして、複雑性評価要求のリクエストデータに含まれる入力中の文字列情報と、ステップS629で取得したユーザ情報とを用いて、パスワード検証を行う(ステップS630)。本発明では、ユーザ情報を用いてパスワード検証を検証することが可能であるので、次に示すようなパスワード検証を行うことができる。 On the other hand, if it is determined in step S623 that the request data is a password complexity evaluation request, the password verification service is executed (step S628), and the user information managed by the DB server is managed by the DB server. Obtained from the information table 1400 (step S629). Then, password verification is performed using the character string information being input included in the request data of the complexity evaluation request and the user information acquired in step S629 (step S630). In the present invention, since password verification can be verified using user information, password verification as shown below can be performed.
・パスワードにユーザの生年月日が含まれていないか。
・パスワードにユーザの氏名の一部が含まれていないか。
・パスワードにユーザの電話番号が含まれていないか。
・パスワードがユーザのメールアドレスのアカウントと同一ではないか。
• Does the password include the user's date of birth?
-Is the password part of the user's name included?
• Is the user's phone number included in the password?
-Is the password the same as the user's email address account?
また、ユーザ情報を用いたパスワード検証以外にも次に示すパスワード検証を合わせて行うことが可能である。 In addition to password verification using user information, the following password verification can also be performed.
・パスワードにアルファベット、数字が夫々含まれているか。
・パスワードに英数文字以外(例えば%、@等)が含まれているか。
・ Does the password contain alphabets and numbers respectively?
・ Does the password contain anything other than alphanumeric characters (for example,%, @, etc.)?
そして、ステップS630では、上記のような複数のチェック項目夫々に対して、ステップS621で受信したリクエストデータに含まれる文字列情報に対するチェックを行い、その結果に従いパスワードの複雑性の度合いを示す評価値を算出することになる。例えば、パスワードにユーザの生年月日が含まれている場合には−30、氏名の一部が含まれている場合には−20、パスワードにアルファベット、数字の双方が含まれている場合には+20等、各チェック項目に値を設定しておき、それらの合計することで評価値を算出するなどの手法をとればよい。 In step S630, the character string information included in the request data received in step S621 is checked for each of the plurality of check items as described above, and an evaluation value indicating the degree of complexity of the password according to the result. Will be calculated. For example, if the password includes the date of birth of the user, -30, if the password includes part of the name, -20, if the password includes both alphabets and numbers, For example, a value may be set for each check item, such as +20, and an evaluation value may be calculated by summing them.
その後、ステップS630での複雑性評価により算出される評価値に応じてパスワード複雑性情報を作成し(ステップS631)、作成したパスワード複雑性情報をウェブサーバ102に対して送信する(ステップS632)。 Thereafter, password complexity information is created according to the evaluation value calculated by the complexity evaluation in step S630 (step S631), and the created password complexity information is transmitted to the web server 102 (step S632).
ウェブサーバ102のCPU201は、APサーバ103よりステップS627で送信されたパスワード登録処理結果を受信する(ステップS603)と、登録処理結果を含むレスポンスデータを作成し(ステップS604)、作成したレスポンスデータをクライアント装置101に同期通信で送信する(ステップS605)。
When the
また、ウェブサーバ102のCPU201は、APサーバ103よりステップS632で送信されたパスワード複雑性情報を受信すると(ステップS606)、パスワード複雑性情報を含むレスポンスデータを作成し(ステップS607)、レスポンスデータをクライアント装置101に非同期通信で送信する(ステップS608)。以上が、クライアント装置101のパスワード入力処理に応じてウェブサーバ102及びAPサーバ103により行われるパスワード複雑性評価・登録処理である。
When the
ここで、図9を参照して、図5に示すパスワードデータ入力受付処理が行われている間に表示されるパスワード入力画面800のパスワード複雑性表示の一例について説明する。
Here, with reference to FIG. 9, an example of the password complexity display on the
図9の(1)は、パスワードとして登録不可の文字列が入力された場合のパスワード複雑性表示の一例を示している。図9の(1)に示すように、パスワードとして登録できない文字列が入力された場合には、例えばパスワード入力欄の背景色を変える等、通常の表示と異ならせるとともに、どのような禁止条件に合致しているかをメッセージ表示部902−1に表示する。これによりユーザは、パスワードの危険度合いや、どの禁止条件に合致しているかを認識することが可能となる。 (1) of FIG. 9 shows an example of a password complexity display when a character string that cannot be registered is input as a password. As shown in (1) of FIG. 9, when a character string that cannot be registered as a password is input, it is different from the normal display, for example, by changing the background color of the password input field, and any prohibited conditions are set. Whether it matches is displayed on the message display section 902-1. As a result, the user can recognize the danger level of the password and which prohibition conditions are met.
一方、パスワードとして登録可能な文字列が入力された場合には、図9の(2)に示すようにパスワードとして登録可能である旨の表示をメッセージ表示部902−2に表示する。 On the other hand, when a character string that can be registered as a password is input, a message indicating that it can be registered as a password is displayed on the message display section 902-2 as shown in (2) of FIG.
また、本発明では、単にパスワードとして登録可能/不可能だけでなく、パスワードとして適切かを示す評価値に基づいて、パスワード入力部の背景表示を切り替える。 Further, according to the present invention, the background display of the password input unit is switched based on an evaluation value indicating whether the password is appropriate, as well as whether the password can be registered.
例えば、以下の条件でパスワードの登録が可能であるとする。
・パスワードに姓、名が含まれない。
・パスワードに生年月日が含まれない。
・パスワードは8文字以上16文字以下。
・パスワードには必ず英字、数字が1字以上含まれる。
For example, it is assumed that a password can be registered under the following conditions.
・ Last name and first name are not included in the password.
・ Birth date is not included in the password.
・ Password must be between 8 and 16 characters.
・ The password must contain at least one letter or number.
このような条件のもと、1980年5月9日生まれの山田太郎さんがパスワードを登録しようとして、「12345ABC」や「1qaz2wsx」、「yama0001」等を入力した場合に、これらは登録が可能であると判断する。 Under these conditions, if Taro Yamada, who was born on May 9, 1980, wants to register a password and entered "12345ABC", "1qaz2wsx", "yama0001", etc., these can be registered. Judge that there is.
しかし、「1234ABCD」は、数字、英字ともに最初の文字から順に4字ずつ入力したものであり、入力に法則性があるので必ずしもパスワードとして適切であるとは言えない。 However, “1234ABCD” is an input of 4 characters in order from the first character in both numbers and letters, and because of the law of input, it cannot be said that it is necessarily suitable as a password.
また、「1qaz2wsx」は一見法則性がないようにも見えるが、キーボード配列の左2列に設定されている文字を順に入力しているだけであるので、この文字列にも一定の法則性があるといえる。 In addition, “1qaz2wsx” does not seem to have a regularity at first glance, but since only the characters set in the left two columns of the keyboard layout are sequentially input, this character string also has a certain regularity. It can be said that there is.
また、「yama0001」のような文字列を入力された場合にも、姓の全てが含まれているわけではないが、その一部(yama)が用いられているので、他人に推測される可能性は、法則性がない文字列よりも高いといえる。 Also, when a character string such as “yama0001” is entered, the entire surname is not included, but a part (yama) is used, so it can be guessed by others. It can be said that the property is higher than the character string without the law property.
上記のように、法則性がある文字列や個人情報の一部を用いている文字列は、法則性がない文字列と比較して、他人から推測される危険性が高いといえるので、これらの文字列が入力された場合には、パスワードとして登録は可能であるがリスクが高いパスワードであることをユーザに報知するようにする。このようなことを行えるようにするために、パスワード検証サービスにおいて、このような法則性のチェックも合わせて行うことになる。 As mentioned above, it can be said that character strings that use legality or part of personal information have a higher risk of being guessed by others than character strings that do not have legality. When the character string is input, the user can be notified that the password can be registered as a password but has a high risk. In order to be able to do this, the password verification service also performs such a rule check.
そのために、例えばパスワード登録が不可能な文字列の場合には、登録ボタンをグレーアウトするとともに、背景色を赤くしてユーザにパスワード登録をできないことを認識させる様に表示制御する。 Therefore, for example, in the case of a character string for which password registration is impossible, display control is performed so that the registration button is grayed out and the background color is red to allow the user to recognize that password registration cannot be performed.
法則性がある文字列が入力された場合には、あらかじめ設定されているルールに従って、その危険度合いを示す評価値が算出されるので、その危険度合いをユーザに認識させるようにする。例えば、個人情報の一部が含まれている等、非常に危険度合いが高いと思われる場合には「橙」、入力された文字列に法則性がある等、比較的危険度合いが高い場合には「黄」、その他危険度合いに応じて「緑」、「青」といったようにパスワードの入力欄の背景色を変えることにより、その危険度合いを報知すれば良い。
When a character string having a rule is input, an evaluation value indicating the degree of risk is calculated according to a preset rule, and the user is made to recognize the degree of risk. For example, etc. that contains the part of the personal information, if the very crisis Kendo fit is likely to be high "orange", etc. there is a law of the input string, a relatively degree of risk is high In this case, the degree of danger may be notified by changing the background color of the password input field such as “yellow” or “green” or “blue” depending on the degree of danger.
本発明では、登録ボタンが押されることでパスワード文字列の確定を行う前に、パスワードの危険度合いをユーザに報知するためのパスワード複雑性情報を表示するので、ユーザはその情報に応じて危険度合いを確認しながらパスワードの設定を行うことが可能となる。 In the present invention, the password complexity information for notifying the user of the degree of danger of the password is displayed before the password character string is confirmed by pressing the registration button. The password can be set while confirming the password.
<第2の実施の形態>
以下、図10、図11を参照して、クライアント装置101のCPU201によって行われる本発明の第2の実施の形態におけるユーザ情報入力処理(図10)、ユーザ情報登録処理(図11)について説明する。尚、この処理に応じてウェブサーバ102及びAPサーバ103によって行われる処理は、別途図12を参照して説明する。
<Second Embodiment>
The user information input process (FIG. 10) and user information registration process (FIG. 11) in the second embodiment of the present invention performed by the
第1の実施の形態におけるユーザ情報登録処理では、ユーザ情報を入力するための画面(ユーザ情報入力画面700)と、パスワード情報を入力するための画面(パスワード入力画面800)とを別の画面にする例について説明したが、第2の実施の形態では、同一の画面で入力する場合について説明する。 In the user information registration process according to the first embodiment, a screen for inputting user information (user information input screen 700) and a screen for inputting password information (password input screen 800) are provided on different screens. In the second embodiment, a case where input is performed on the same screen will be described.
まず、CPU201は、ディスプレイ装置210に図13に示すユーザ情報入力画面1300を表示する(ステップS1001)。この画面を表示するために用いられるHTMLデータはウェブサーバ102に保存されており、クライアント装置101は、ウェブサーバ102に対して本画面を表示するための情報を要求することになる。
First, the
ここで、図13を参照して、第2の実施の形態におけるユーザ情報入力画面について説明する。図13はユーザ情報入力画面の構成の一例を示す図である。 Here, a user information input screen according to the second embodiment will be described with reference to FIG. FIG. 13 is a diagram showing an example of the configuration of the user information input screen.
図13に示す通り、ユーザ情報入力画面1300は、氏名入力欄1301、氏名(ローマ字)入力欄1302、性別入力欄1303、生年月日入力欄1304、住所入力欄1305、電話番号入力欄1306、職業入力欄1307、メールアドレス入力欄1308、メールアドレス確認入力欄1309、ログインユーザ名入力欄1310、パスワード入力欄1311、登録ボタン1312等を備えて構成されている。
As shown in FIG. 13, a user
ユーザは、本画面に設定されている各入力欄に自身に関するユーザ属性情報を、入力装置209を用いて夫々の入力欄に入力することになる。尚、この入力項目の内、複数の項目(例えば、氏名、生年月日、メールアドレス等)についてはパスワードの複雑性評価に用いる項目として設定されている。この画面を表示するHTMLデータには、複雑性評価に用いる項目として設定されている項目に対する編集処理、パスワード入力欄に対する編集処理が行われた場合に、非同期通信でそれらの入力欄に入力された情報をウェブサーバ102に送信するようなスクリプトが定義されている。そして、入力情報が送信されると、パスワードの複雑性評価が行われることになる。
The user inputs user attribute information related to himself / herself in each input field set on the screen using the
図10の説明に戻る。ユーザ情報入力画面1300をディスプレイ装置に表示後、当該画面に設定されている各種の入力欄等に対するユーザの入力装置209を介した操作を監視することになる(ステップS1002)。
Returning to the description of FIG. After the user
そして、ユーザ情報(パスワードを含む)の編集指示を受け付けたかを判定し(ステップS1003)、ユーザ情報の編集指示を受けたと判定した場合(ステップS1003でYES)には、処理をステップS1004に、ユーザ情報の編集指示以外の指示を受け付けたと判定した場合(ステップS1003でNO)には処理を図11のステップS1101に進める。 Then, it is determined whether an instruction to edit user information (including password) has been received (step S1003). If it is determined that an instruction to edit user information has been received (YES in step S1003), the process proceeds to step S1004. If it is determined that an instruction other than an information editing instruction has been received (NO in step S1003), the process proceeds to step S1101 in FIG.
ステップS1004では、パスワード入力欄に対する編集指示が行われたかを判定する。パスワード入力欄に対する編集指示が行われたと判定した場合には(ステップS1004でYES)、処理をステップS1007に進める。一方、パスワード以外の入力欄に対する編集指示が行われたと判定した場合には(ステップS1004でNO)、処理をステップS1005に進め、編集指示を受け付けた入力欄の表示の更新を行う。 In step S1004, it is determined whether an edit instruction for the password input field has been issued. If it is determined that an edit instruction for the password input field has been issued (YES in step S1004), the process proceeds to step S1007. On the other hand, if it is determined that an editing instruction for an input field other than the password has been issued (NO in step S1004), the process proceeds to step S1005, and the display of the input field that accepted the editing instruction is updated.
そして、ステップS1005の処理後、パスワード複雑性評価に用いる属性情報に対する編集処理を受け付けたと判定した場合には(ステップS1006でYES)、処理をステップS1008に、一方、編集処理を受け付けたのは複雑性評価に用いる属性項目ではないと判定した場合には(ステップS1006でNO)、処理をステップS1002に戻す。
Then, after the processing of step S1005, when it is determined that accepts the editing process to the attribute information used to password complexity evaluation (YES in step S1006), the processing to step S1008, whereas, for accepting the editing process If it is determined that the attribute item is not used for complexity evaluation (NO in step S1006), the process returns to step S1002.
ステップS1004の判定処理でパスワード入力欄に対して編集指示を受け付けたと判定した場合には(ステップS1004でYES)、パスワード入力欄の表示を更新する(ステップS1007)。 If it is determined in the determination process of step S1004 that an editing instruction has been received for the password input field (YES in step S1004), the display of the password input field is updated (step S1007).
そして、ステップS1007の処理終了後、または、ステップS1006でYESと判定した場合には、パスワード入力欄1311に入力されている文字数が所定の文字数(パスワードの最低文字数)以上であるかを判定し(ステップS1008)、所定文字数以上であると判定した場合には(ステップS1008でYES)、パスワード入力欄1311に入力されているパスワード情報及びパスワードの複雑性評価に使用する属性として設定されているユーザ属性の情報をユーザ情報入力画面より取得し(ステップS1009)、その後、ステップS1009で取得した各種の情報を含むパスワードの複雑性評価要求のリクエストデータを作成し(ステップS1010)、非同期通信部303−2により、作成したリクエストデータをウェブサーバ102に対して送信する(ステップS1011)。ウェブサーバ102では、このリクエストデータに応じたパスワード複雑性評価処理を行うことになる。この処理については図12を参照して後述する。
Then, after the process of step S1007 is completed, or when YES is determined in step S1006, it is determined whether the number of characters input in the
クライアント装置101はリクエストデータ送信後、ウェブサーバ102よりステップS1011で送信したリクエストデータに対する応答データであるレスポンスデータを非同期通信部303−2が受信すると(ステップS1012でYES)、処理をステップS1013に進め、レスポンスデータに含まれるパスワード複雑性情報に応じたパスワード複雑性表示を行う(ステップS1013)。
When the asynchronous communication unit 303-2 receives response data that is response data to the request data transmitted in step S1011 from the
ステップS1008で所定の文字数未満である(NO)と判定した場合には、処理をステップS1014に進め、既にパスワード複雑性表示が行われているかを判定する。パスワード複雑性表示が行われている場合には、編集に伴うパスワード情報の複雑性評価が行われなかったため処理をステップS1015に進め、前回の評価結果であるパスワード複雑性表示を消去することになる。そして、ステップS1013または、ステップS1015の処理終了後、処理をステップS1002に戻し、それ以降の処理を繰り返し行うことになる。 If it is determined in step S1008 that the number of characters is less than the predetermined number (NO), the process proceeds to step S1014 to determine whether the password complexity display has already been performed. If the password complexity display is performed, the complexity of the password information accompanying the editing has not been performed, and the process proceeds to step S1015, and the password complexity display as the previous evaluation result is deleted. . Then, after the process of step S1013 or step S1015 is completed, the process returns to step S1002, and the subsequent processes are repeated.
図10のステップS1003で、ユーザより受け付けた操作がユーザ情報の編集処理ではないと判定した場合には(NO)、処理を図11のステップS1101に進める。 If it is determined in step S1003 in FIG. 10 that the operation received from the user is not a user information editing process (NO), the process proceeds to step S1101 in FIG.
クライアント装置101のCPU201は、ステップS1101において、ユーザより図13の登録ボタン1312に対する押下指示を受け付けたかを判定する(ステップS1101)。登録ボタンに対する押下指示を受け付けた(YES)と判定した場合には処理をステップS1102に、受け付けていない(NO)と判定した場合には、処理をステップS1110に進める。
In step S1101, the
クライアント装置101のCPU201は、ステップS1102において、ユーザ情報入力画面1300中で入力が必須であるとされている項目の全てに入力が行われているかを判定する。この処理は、ユーザ情報入力画面1300の表示に用いられるHTMLデータ中に登録ボタン1312に対する押下指示がなされた場合に実行するスクリプトが設定されており、そのスクリプトを実行することで判定処理を行うことになる。このスクリプトにより、入力必須項目とされている属性情報それぞれがブランクでないかを判定する処理を行う。
In step S <b> 1102, the
入力必須項目とされている属性情報を入力する入力欄に全て入力がなされている(YES)と判定した場合には、処理をステップS1103に、入力がされていない入力必須項目があると判定した場合には、処理をステップS1109に進める。 If it is determined that all entries have been made in the input field for inputting attribute information that is regarded as an input-required item (YES), it is determined that there is an input-required item that has not been input in step S1103. In the case, the process proceeds to step S1109.
ステップS1103では、パスワード入力欄1311に入力されているパスワード情報が登録可能であるかをウェブサーバ102から受信したパスワード複雑性情報に従って判定する。パスワードが登録可能である(YES)と判定した場合には処理をステップS1104に、登録不可である(NO)と判定した場合には処理をステップS1109に進める。
In step S1103, it is determined according to the password complexity information received from the
ステップS1103でYESと判定すると、クライアント装置101のCPU201は、ユーザ情報入力画面1300の各種入力部に入力された情報を取得し(ステップS1104)、該取得した入力情報を含む、ユーザ情報登録要求のためのリクエストデータを作成し(ステップS1105)、そのリクエストデータを同期通信部303−1よりウェブサーバ102に対して送信する(ステップS1106)。このリクエストデータに応答してウェブサーバ102によって行われる処理については、図12を参照して説明する。
If YES is determined in step S1103, the
そして、ステップS1106でウェブサーバ102に送信したリクエストデータに応じた処理を行った結果ウェブサーバ102より送信されたレスポンスデータを取得すると(ステップS1107)、そのレスポンスデータに応じて登録処理結果をディスプレイ装置210に表示する(ステップS1108)。
Then, when response data transmitted from the
ステップS1102、S1103でNOと判定した場合には、処理をステップS1109に進め、警告メッセージを表示する。ステップS1102でNOと判定した場合には、必須の入力項目に対する入力がされていないことを示す警告メッセージを、ステップS1103でNOと判定した場合には、パスワード入力欄1311に入力された文字列がパスワードとして登録できないことを示す警告メッセージを表示する。
If NO is determined in steps S1102 and S1103, the process proceeds to step S1109, and a warning message is displayed. If NO is determined in step S1102, a warning message indicating that the input for the essential input item has not been input is displayed. If NO is determined in step S1103, the character string input in the
ステップS1101で登録ボタンの押下指示を受け付けていないと判定した場合には処理をステップS1110に進め、終了指示を受け付けたかを判定する。終了指示を受け付けていないと判定した場合には処理を図10のステップS1002に進める。一方、終了指示を受け付けた場合には本処理を終了することになる。 If it is determined in step S1101 that an instruction to press the registration button has not been received, the process proceeds to step S1110 to determine whether an end instruction has been received. If it is determined that an end instruction has not been received, the process proceeds to step S1002 in FIG. On the other hand, when an end instruction is accepted, this process ends.
次に、図12を参照して、クライアント装置101によって行われるユーザ情報入力処理(図10)、ユーザ情報登録処理(図11)に応じて、ウェブサーバ102、APサーバ103によって行われるパスワード複雑性評価・登録処理について説明する。
Next, referring to FIG. 12, the password complexity performed by the
まず、ウェブサーバ102のCPU201は、クライアント装置101からのリクエストデータを受信すると(ステップS1201)、該受信したリクエストデータをAPサーバ103に転送する(ステップS1202)。ウェブサーバ102がステップS1201でクライアント装置101から受信するリクエストデータとしては、図10のステップS1011で送信されたパスワード複雑性評価要求のリクエストデータ(非同期通信)、図11のステップS1106で送信されたパスワード登録要求のリクエストデータがあげられる。
First, when the
APサーバ103のCPU201は、ウェブサーバ102からリクエストデータを転送されると(ステップS1221)、転送されたリクエストデータの種類を特定する。APサーバ103は、特定されたリクエストデータの種類によって、実行するサービスを特定することになる(ステップS1222)。
When the request data is transferred from the web server 102 (step S1221), the
ウェブサーバ102より転送されたリクエストデータがパスワード登録要求のリクエストデータであると判定した場合には(ステップS1223で登録)、パスワードを登録するためのサービスを実行し(ステップS1224)、DBサーバ104が記憶しているユーザ情報テーブル1400にパスワードを追加登録する(ステップS1225)。そして、その処理結果をDBサーバより受信し(ステップS1226)、ウェブサーバ102に送信する(ステップS1227)。
If it is determined that the request data transferred from the
一方で、ステップS1223でパスワードの複雑性評価要求のリクエストデータであると判定した場合には、パスワード検証サービスを実行する(ステップS1228)。 On the other hand, if it is determined in step S1223 that the request data is a password complexity evaluation request, a password verification service is executed (step S1228).
パスワード検証に必要となるパスワードとして設定しようとしている文字列やユーザ属性情報は、ステップS1221でウェブサーバ102から受信したリクエストデータに含まれているので、APサーバ103のCPU201は、リクエストデータからパスワード複雑性評価に必要となる各種のデータを取得する(ステップS1229)。そして、ステップS1229で取得したパスワードとして設定しようとしている文字列及びユーザ属性情報とを用いて、パスワードの複雑性評価を行う(ステップS1230)。第2の実施の形態においても、第1の実施の形態と同様ユーザ属性情報がパスワードに設定しようとしている文字列に含まれていないかという検証を含む、パスワードの複雑性を判定するためのパスワード複雑性評価が可能であり、その結果をユーザに通知することで、ユーザが設定しようとしているパスワードの複雑性をユーザに対して報知することが可能である。
Since the character string and user attribute information to be set as a password necessary for password verification are included in the request data received from the
そして、ステップS1230では、あらかじめ設定されている複数のチェック項目夫々に対して、ステップS1221で受信したリクエストデータに含まれる文字列情報に対するチェックを行い、その結果に従いパスワードのセキュリティの度合いを示す評価値を算出することになる。 In step S1230, the character string information included in the request data received in step S1221 is checked for each of a plurality of preset check items, and an evaluation value indicating the degree of password security according to the result. Will be calculated.
その後、ステップS1230での複雑性評価による各チェック項目に対するチェック結果及びその結果算出される評価値等に応じてパスワード複雑性情報を作成し(ステップS1231)、作成したパスワード複雑性情報をウェブサーバ102に対して送信する(ステップS1232)。
Thereafter, password complexity information is created according to the check result for each check item by the complexity evaluation in step S1230 and the evaluation value calculated as a result (step S1231), and the created password complexity information is stored in the
ウェブサーバ102のCPU201は、APサーバ103よりステップS1227で送信されたパスワード登録処理結果を受信すると(ステップS1203)、登録処理結果を含むレスポンスデータを作成し(ステップS1204)、作成したレスポンスデータをクライアント装置101に同期通信で送信する(ステップS1205)。
When the
また、ウェブサーバ102のCPU201は、APサーバ103よりステップS1232で送信されたパスワード複雑性情報を受信すると(ステップS1206)、パスワード複雑性情報を含むレスポンスデータを作成し(ステップS1207)、レスポンスデータをクライアント装置101に非同期通信で送信する(ステップS1208)。以上が、クライアント装置101のパスワード入力処理に応じてウェブサーバ102及びAPサーバ103により行われるパスワード複雑性評価・登録処理である。
When the
第2の実施の形態では、パスワード文字列の入力欄とユーザ属性の入力欄とが同一の画面で構成されているユーザ情報入力画面1300を用いた場合に入力されたパスワードの複雑性評価を行う例について説明した。このように、パスワード文字列と、当該パスワード文字列の複雑性評価を行うユーザ属性が同じ画面を用いて入力される場合に、パスワード文字列が先に入力され、その後ユーザ属性情報の入力、編集が行われる可能性もある。
In the second embodiment, the complexity of the password that is input when the user
そこで、第2の実施の形態では、パスワード入力欄に対する編集が行われた場合だけでなく、パスワードの複雑性評価に用いるユーザ情報が編集された場合にも、ウェブサーバ102に対して非同期通信でパスワードの複雑性評価を行うよう構成した。これにより、ユーザはパスワードの確定前、つまりパスワードの入力の最中からその複雑性を把握することが可能となり、パスワードの入力及び確定を繰り返す必要がなくなる。
Therefore, in the second embodiment, asynchronous communication with the
<その他の実施形態>
また、本発明の目的は、以下のようにすることによって達成される。即ち、上述した実施形態の機能を実現するソフトウェアのプログラムコードを記録した記憶媒体(又は記録媒体)を、システム或いは装置に供給する。そして、そのシステム或いは装置の中央演算処理手段(CPUやMPU)が記憶媒体に格納されたプログラムコードを読み出し実行する。この場合、記憶媒体から読み出されたプログラムコード自体が上述した実施形態の機能を実現することになり、そのプログラムコードを記録した記憶媒体は本発明を構成することになる。
<Other embodiments>
The object of the present invention is achieved by the following. That is, a storage medium (or recording medium) in which a program code of software that realizes the functions of the above-described embodiments is recorded is supplied to the system or apparatus. Then, the central processing means (CPU or MPU) of the system or apparatus reads and executes the program code stored in the storage medium. In this case, the program code itself read from the storage medium realizes the functions of the above-described embodiment, and the storage medium recording the program code constitutes the present invention.
また、システム或いは装置の前記中央演算処理手段が読み出したプログラムコードを実行することにより、そのプログラムコードの指示に基づき、システム或いは装置上で稼働しているオペレーティングシステム(OS)等が実際の処理の一部又は全部を行う。その処理によって上述した実施形態の機能が実現される場合も含まれる。 In addition, by executing the program code read by the central processing means of the system or apparatus, an operating system (OS) or the like operating on the system or apparatus performs actual processing based on the instruction of the program code. Do some or all. The case where the function of the above-described embodiment is realized by the processing is also included.
更に、記憶媒体から読み出されたプログラムコードが、前記システム或いは装置に挿入された機能拡張カードや、接続された機能拡張ユニットに備わるメモリに書込まれたとする。その後、そのプログラムコードの指示に基づき、その機能拡張カードや機能拡張ユニットに備わるCPU等が実際の処理の一部又は全部を行い、その処理によって上述した実施形態の機能が実現される場合も含まれる。 Further, it is assumed that the program code read from the storage medium is written in a memory provided in a function expansion card inserted into the system or apparatus or a function expansion unit connected thereto. After that, based on the instruction of the program code, the CPU of the function expansion card or function expansion unit performs part or all of the actual processing, and the function of the above-described embodiment is realized by the processing. It is.
101−1、101−2、101−3 クライアント装置
102 ウェブサーバ
103 アプリケーション(AP)サーバ
104 データベース(DB)サーバ
105 LAN
106 インターネット
201 CPU
202 RAM
203 ROM
204 システムバス
205 入力コントローラ
206 ビデオコントローラ
207 メモリコントローラ
208 通信インターフェース(I/F)コントローラ
209 入力装置
210 ディスプレイ装置
211 外部メモリ
101-1, 101-2, 101-3
106
202 RAM
203 ROM
204
Claims (23)
パスワードとして用いる文字列の入力指示を受け付ける文字列入力受付手段と、
ユーザ情報の入力および変更の入力を受け付けるユーザ情報入力受付手段と、
前記ユーザ情報入力受付手段で入力を受け付けたユーザ情報を用いて、前記文字列が推測される危険性を評価する評価手段と、
前記評価手段による評価に基づいた報知を行う第1の報知手段と
を備え、
前記評価手段は、前記ユーザ情報入力受付手段で前記ユーザ情報の変更の入力を受け付けた場合に、前記文字列入力受付手段で既に入力済の文字列であって、前記評価手段で既に危険性評価済の前記文字列が推測される危険性を、前記変更の入力を受け付けることにより変更された前記ユーザ情報を用いて再評価し、
前記第1の報知手段は、前記評価手段による前記再評価に基づいた前記危険性の再報知を行うことを特徴とする情報処理システム。 An information processing system that accepts a character string used as a password,
A character string input receiving means for receiving an input instruction of a character string used as a password;
User information input receiving means for receiving input of user information and input of change;
Using the user information received by the user information input receiving means, an evaluation means for evaluating the risk that the character string is estimated;
First notification means for performing notification based on the evaluation by the evaluation means,
The evaluation unit is a character string that has already been input by the character string input reception unit when the user information input reception unit has received an input for changing the user information, and the evaluation unit has already performed a risk evaluation. Re-evaluate the risk that the completed character string is estimated using the user information changed by accepting the input of the change,
The information processing system according to claim 1, wherein the first notification unit performs re-notification of the danger based on the re-evaluation by the evaluation unit.
前記第1の報知手段は、前記ユーザ情報入力受付手段で前記ユーザ情報の変更の入力を受け付ける都度、前記評価手段による前記再評価に基づいた前記危険性の再報知を行うことを特徴とする請求項1に記載の情報処理システム。 The evaluation means is a character string that has already been input by the character string input reception means each time the user information input reception means receives an input of change of the user information, and has already been risk-evaluated by the evaluation means. Re-evaluate the risk of guessing the character string using the user information changed by accepting the input of the change,
It said first notification means, each time before SL user information input accepting means accepts an input of changes of said user information, and performing the re-notification of risk based on the re-evaluation by the evaluation unit The information processing system according to claim 1.
前記文字列入力受付手段で受け付けた入力指示に従って編集された文字列をパスワードとして登録できない要因となっている条件を特定する特定手段と、
前記特定手段で特定された条件をユーザに報知する第2の報知手段と、
をさらに備えることを特徴とする請求項1乃至3のいずれか1項に記載の情報処理システム。 First storage means for storing conditions for determining whether or not a password can be registered;
A specifying unit for specifying a condition that is a factor that prevents a character string edited in accordance with the input instruction received by the character string input receiving unit from being registered as a password;
Second notifying means for notifying the user of the condition specified by the specifying means;
The information processing system according to claim 1, further comprising:
前記判定手段で所定の文字数以上であると判定した場合に、前記評価手段は、前記文字列が推測される危険性を評価すること
を特徴とする請求項1乃至4のいずれか1項に記載の情報処理システム。 A determination means for determining whether the number of characters of the character string changed by the character string input receiving means receiving a character string input instruction is greater than or equal to a predetermined number of characters set in advance;
5. The method according to claim 1, wherein when the determination unit determines that the number of characters is equal to or greater than a predetermined number of characters, the evaluation unit evaluates a risk that the character string is estimated. Information processing system.
前記第1の報知手段は、前記危険性の報知を行わないこと
を特徴とする請求項5に記載の情報処理システム。 When it is determined by the determining means that the number of characters of the character string changed by the character string input receiving means receiving a character string input instruction is not greater than or equal to a predetermined number of characters,
The information processing system according to claim 5, wherein the first notifying unit does not notify the danger.
を特徴とする請求項1乃至6のいずれか1項に記載の情報処理システム。 The information processing system according to claim 1, wherein the evaluation unit evaluates a risk that the character string is estimated using a character type included in the character string. .
を特徴とする請求項1乃至7のいずれか1項に記載の情報処理システム。 The first notification means displays the background color of the input column of the character string used as the password in accordance with the evaluation by the evaluation means, thereby risking the user to guess the character string The information processing system according to any one of claims 1 to 7, characterized in that:
第3の受付手段で受け付けた時に入力されている前記文字列をパスワードとして登録する登録手段と、
をさらに備えることを特徴とする請求項1乃至8のいずれか1項に記載の情報処理システム。 Third accepting means for accepting a confirmation instruction for confirming the character string as a password;
Registration means for registering the character string input at the time of reception by the third reception means as a password;
The information processing system according to claim 1, further comprising:
パスワードとして用いる文字列の入力指示を受け付ける文字列入力受付手段と、
ユーザ情報の入力および変更の入力を受け付けるユーザ情報入力受付手段と、
前記ユーザ情報入力受付手段で入力を受け付けたユーザ情報を用いて、前記文字列が推測される危険性の評価をサーバ装置に要求する要求手段と、
前記要求手段による評価の要求に応じてサーバ装置により行われる危険性の評価に従った報知を行う報知手段と、
を備え、
前記要求手段は、前記ユーザ情報入力受付手段で前記ユーザ情報の変更の入力を受け付けた場合に、前記文字列入力受付手段で既に入力済の文字列であって、前記サーバ装置で既に危険性評価済の前記文字列が推測される危険性の、前記変更の入力を受け付けることにより変更された前記ユーザ情報を用いた再評価をサーバ装置に要求し、
前記報知手段は、前記要求手段による前記再評価の要求に応じてサーバ装置により行われる前記危険性の再報知を行うことを特徴とする情報処理装置。 An information processing apparatus that accepts a character string used as a password,
A character string input receiving means for receiving an input instruction of a character string used as a password;
User information input receiving means for receiving input of user information and input of change;
Requesting means for requesting the server device to evaluate the risk that the character string is estimated using the user information received by the user information input accepting means;
Notification means for performing notification according to the risk evaluation performed by the server device in response to a request for evaluation by the request means;
With
When the request information is received by the user information input accepting means, the request means is a character string that has already been entered by the character string input accepting means, and has already been evaluated by the server device. Requesting the server device to re-evaluate the user information that has been changed by accepting the input of the change, the risk of the estimated character string being inferred,
The information processing apparatus characterized in that the notification means performs re-notification of the danger performed by a server apparatus in response to the request for the re-evaluation by the request means.
前記報知手段は、前記ユーザ情報入力受付手段で前記ユーザ情報の変更の入力を受け付ける都度、前記要求手段による前記再評価の要求に応じて、前記危険性の再報知を行うことを特徴とする請求項10に記載の情報処理装置。 Whenever the request information is received by the user information input accepting means, the character string input accepting instruction is accepted by the character string input accepting means, and the already evaluated risk character string is estimated. Requesting the server device to re-evaluate using the user information changed by accepting the input of the change,
Before SL paper known means, characterized in that each time before SL user information input accepting means accepts an input of changes of said user information, wherein in response to a request of re-evaluation by the request means, performs re-notification of the risk The information processing apparatus according to claim 10 .
を特徴とする請求項10に記載の情報処理装置。 Said request means, according to claim 10, characterized in that said asynchronous communication to the server apparatus, and requests already re-evaluation of risk of the string of risk assessment already is inferred in the server device Information processing device.
を更に備え、
前記判定手段が、前記文字数が所定の文字数以上であると判定した場合に、前記要求手段は、前記サーバ装置に対して前記再評価を要求し、前記判定手段により、前記文字数が所定の文字数以上ではないと判定された場合には、前記報知手段は、前記危険性の再報知を行わないこと
を特徴とする請求項10乃至12のいずれか1項に記載の情報処理装置。 A determination means for determining whether the number of characters of the character string changed by the character string input receiving means receiving a character string input instruction is greater than or equal to a predetermined number of characters set in advance;
When the determination unit determines that the number of characters is equal to or greater than a predetermined number of characters, the request unit requests the re-evaluation to the server device, and the determination unit determines that the number of characters is equal to or greater than the predetermined number of characters. The information processing apparatus according to any one of claims 10 to 12 , wherein when it is determined that the risk is not, the notifying unit does not perform re-notification of the danger.
ユーザから入力を受け付けたユーザ情報を用いて、前記文字列が推測される危険性を評価する評価手段と、
前記評価手段による評価に応じた危険性の報知を前記情報処理装置が行うために用いる報知情報を、前記情報処理装置に対して送信する送信手段と、
を備え、
前記評価手段は、ユーザからの前記ユーザ情報の変更の入力に応じて、既に入力済の文字列であって、前記評価手段で既に危険性評価済の前記文字列が推測される危険性を、前記変更の入力に応じて変更された前記ユーザ情報を用いて再評価し、
前記送信手段は、前記評価手段による前記再評価に応じた前記危険性の再報知を前記情報処理装置が行うために用いる報知情報を、前記情報処理装置に対して送信することを特徴とするサーバ装置。 A character string used as a password, and a server device communicably connected to an information processing device that accepts input and change of user information,
An evaluation means for evaluating a risk that the character string is estimated using user information received from a user;
Transmission means for transmitting notification information used for the information processing apparatus to perform danger notification according to the evaluation by the evaluation means to the information processing apparatus;
With
The evaluation unit is a character string that has already been input in response to an input of a change in the user information from a user, and the risk that the character string that has already been risk-evaluated by the evaluation unit is estimated. Re-evaluate using the user information changed in response to the change input,
The transmission unit transmits the notification information used for the information processing device to perform the re-notification of the danger according to the reevaluation by the evaluation unit to the information processing device. apparatus.
を特徴とする請求項14に記載のサーバ装置。 The transmission unit, before SL sent asynchronous communication from the information processing apparatus, in accordance with the previously required reevaluation of risk the strings risk valuated is presumed, according to re-evaluation by the evaluation unit The server apparatus according to claim 14 , wherein notification information used for the information processing apparatus to perform notification of a risk is transmitted to the information processing apparatus by asynchronous communication.
前記情報処理装置で受け付けた入力操作に従って編集された文字列をパスワードとして登録できない要因となっている条件を特定する特定手段と、
を更に備え、
前記送信手段は、前記特定手段で特定された条件を前記情報処理装置がユーザに報知するための用いる情報をさらに送信すること
を特徴とする請求項14または15に記載のサーバ装置。 First storage means for storing conditions for determining whether or not a password can be registered;
A specifying means for specifying a condition that is a factor that the character string edited in accordance with the input operation received by the information processing apparatus cannot be registered as a password;
Further comprising
The transmission unit, the server device according to claim 14 or 15, characterized in that the transmission of certain conditions by the specifying unit the information processing apparatus further information used for notifying the user.
既に危険性評価済の前記文字列が推測される危険性の再評価を要求すること
を特徴とする請求項14乃至16のいずれか1項に記載のサーバ装置。 When the number of characters of the character string changed by receiving a character string input instruction is greater than or equal to a predetermined number of characters set in advance, the information processing device
The server apparatus according to any one of claims 14 to 16 , wherein a re-evaluation of a risk that the character string that has already been subjected to a risk evaluation is estimated is requested.
パスワードとして用いる文字列の入力指示を受け付ける文字列入力受付工程と、
ユーザ情報の入力および変更の入力を受け付けるユーザ情報入力受付工程と、前記ユーザ情報入力受付工程で入力を受け付けたユーザ情報を用いて、前記文字列が推測される危険性を評価する評価工程と、
前記評価工程による評価に基づいた報知を行う第1の報知工程と
を含み、
前記評価工程は、前記ユーザ情報入力受付工程で前記ユーザ情報の変更の入力を受け付けた場合に、前記文字列入力受付工程で既に入力済の文字列であって、前記評価工程で既に危険性評価済の前記文字列が推測される危険性を、前記変更の入力を受け付けることにより変更された前記ユーザ情報を用いて再評価し、
前記第1の報知工程は、前記評価工程による前記再評価に基づいた前記危険性の再報知を行うことを特徴とする情報処理方法。 An information processing method performed by an information processing system that accepts a character string used as a password,
A character string input accepting step for accepting an input instruction of a character string used as a password;
A user information input accepting step for accepting input of user information and an input of change; an evaluation step for evaluating the risk that the character string is estimated using the user information accepted in the user information input accepting step;
A first notification step for performing notification based on the evaluation by the evaluation step,
The evaluation step is a character string that has already been input in the character string input reception step when a change in the user information is received in the user information input reception step, and a risk evaluation has already been performed in the evaluation step. Re-evaluate the risk that the completed character string is estimated using the user information changed by accepting the input of the change,
In the information processing method, the first notification step performs re-notification of the danger based on the re-evaluation in the evaluation step.
パスワードとして用いる文字列の入力指示を受け付ける文字列入力受付工程と、
ユーザ情報の入力および変更の入力を受け付けるユーザ情報入力受付工程と、
前記ユーザ情報入力受付工程で入力を受け付けたユーザ情報を用いて、前記文字列が推測される危険性の評価をサーバ装置に要求する要求工程と、
前記要求工程による評価の要求に応じてサーバ装置により行われる危険性の評価に従った報知を行う報知工程と、
を含み、
前記要求工程は、前記ユーザ情報入力受付工程で前記ユーザ情報の変更の入力を受け付けた場合に、前記文字列入力受付工程で既に入力済の文字列であって、前記サーバ装置で既に危険性評価済の前記文字列が推測される危険性の、前記変更の入力を受け付けることにより変更された前記ユーザ情報を用いた再評価をサーバ装置に要求し、
前記報知工程は、前記要求工程による前記再評価の要求に応じてサーバ装置により行われる前記危険性の再報知を行うことを特徴とする情報処理方法。 An information processing method performed by an information processing apparatus that accepts a character string used as a password,
A character string input accepting step for accepting an input instruction of a character string used as a password;
A user information input receiving step for receiving user information input and change input;
Using the user information received in the user information input reception step, a request step for requesting the server device to evaluate the risk that the character string is estimated;
A notification step for performing notification according to a risk evaluation performed by the server device in response to a request for evaluation by the request step;
Including
Said request step, when said accepting the input of changes of said user information in the user information input accepting step, the a character string input receiving step already strings already entered, already risk assessment by the server device Requesting the server device to re-evaluate the user information that has been changed by accepting the input of the change, the risk of the estimated character string being inferred,
The information processing method, wherein the notification step performs re-notification of the danger performed by a server device in response to the request for the re-evaluation in the request step.
ユーザから入力を受け付けたユーザ情報を用いて、前記文字列が推測される危険性を評価する評価工程と、
前記評価工程による評価に応じた危険性の報知を前記情報処理装置が行うために用いる報知情報を、前記情報処理装置に対して送信する送信工程と、
を含み、
前記評価工程は、ユーザからの前記ユーザ情報の変更の入力に応じて、既に入力済の文字列であって、前記評価工程で既に危険性評価済の前記文字列が推測される危険性を、前記変更の入力に応じて変更された前記ユーザ情報を用いて再評価し、
前記送信工程は、前記評価工程による前記再評価に応じた前記危険性の再報知を前記情報処理装置が行うために用いる報知情報を、前記情報処理装置に対して送信することを特徴とする情報処理方法。 An information processing method performed by a server device communicably connected to a character string used as a password and an information processing device that accepts input of user information and input of change,
An evaluation step for evaluating a risk that the character string is estimated using user information received from a user;
A transmission step of transmitting, to the information processing device, notification information used for the information processing device to notify the danger according to the evaluation in the evaluation step;
Including
The evaluation step is a character string that has already been input in response to an input of a change in the user information from a user, and the risk that the character string that has already been evaluated for risk in the evaluation step is estimated. Re-evaluate using the user information changed in response to the change input,
The transmitting step transmits to the information processing device notification information used for the information processing device to perform re-notification of the danger according to the re-evaluation in the evaluation step. Processing method.
前記情報処理システムを、
パスワードとして用いる文字列の入力指示を受け付ける文字列入力受付手段と、
ユーザ情報の入力および変更の入力を受け付けるユーザ情報入力受付手段と、前記ユーザ情報入力受付手段で入力を受け付けたユーザ情報を用いて、前記文字列が推測される危険性を評価する評価手段と、
前記評価手段による評価に基づいた報知を行う第1の報知手段として機能させ、
前記評価手段は、前記ユーザ情報入力受付手段で前記ユーザ情報の変更の入力を受け付けた場合に、前記文字列入力受付手段で既に入力済の文字列であって、前記評価手段で既に危険性評価済の前記文字列が推測される危険性を、前記変更の入力を受け付けることにより変更された前記ユーザ情報を用いて再評価し、
前記第1の報知手段は、前記評価手段による前記再評価に基づいた前記危険性の再報知を行うことを特徴とするコンピュータプログラム。 A computer program executable by an information processing system that accepts a character string used as a password,
The information processing system;
A character string input receiving means for receiving an input instruction of a character string used as a password;
User information input accepting means for accepting input of user information and input of change, and evaluation means for evaluating the risk of guessing the character string using the user information accepted by the user information input accepting means;
Function as first notification means for performing notification based on the evaluation by the evaluation means;
The evaluation unit is a character string that has already been input by the character string input reception unit when the user information input reception unit has received an input for changing the user information, and the evaluation unit has already performed a risk evaluation. Re-evaluate the risk that the completed character string is estimated using the user information changed by accepting the input of the change,
The computer program according to claim 1, wherein the first notifying unit re-notifies the danger based on the re-evaluation by the evaluating unit.
パスワードとして用いる文字列の入力指示を受け付ける文字列入力受付手段と、
ユーザ情報の入力および変更の入力を受け付けるユーザ情報入力受付手段と、
前記ユーザ情報入力受付手段で入力を受け付けたユーザ情報を用いて、前記文字列が推測される危険性の評価をサーバ装置に要求する要求手段と、
前記要求手段による評価の要求に応じてサーバ装置により行われる危険性の評価に従った報知を行う報知手段として機能させ、
前記要求手段は、前記ユーザ情報入力受付手段で前記ユーザ情報の変更の入力を受け付けた場合に、前記文字列入力受付手段で既に入力済の文字列であって、前記サーバ装置で既に危険性評価済の前記文字列が推測される危険性の、前記変更の入力を受け付けることにより変更された前記ユーザ情報を用いた再評価をサーバ装置に要求し、
前記報知手段は、前記要求手段による前記再評価の要求に応じてサーバ装置により行われる前記危険性の再報知を行うことを特徴とするコンピュータプログラム。 An information processing device that accepts a character string used as a password
A character string input receiving means for receiving an input instruction of a character string used as a password;
User information input receiving means for receiving input of user information and input of change;
Requesting means for requesting the server device to evaluate the risk that the character string is estimated using the user information received by the user information input accepting means;
In response to a request for evaluation by the request means, function as a notification means for performing notification according to the risk evaluation performed by the server device,
When the request information is received by the user information input accepting means, the request means is a character string that has already been entered by the character string input accepting means, and has already been evaluated by the server device. Requesting the server device to re-evaluate the user information that has been changed by accepting the input of the change, the risk of the estimated character string being inferred,
The computer program according to claim 1 , wherein the notification means performs re-notification of the danger performed by a server device in response to the re-evaluation request by the request means.
ユーザから入力を受け付けたユーザ情報を用いて、前記文字列が推測される危険性を評価する評価手段と、
前記評価手段による評価に応じた危険性の報知を前記情報処理装置が行うために用いる報知情報を、前記情報処理装置に対して送信する送信手段として機能させ、
前記評価手段は、ユーザからの前記ユーザ情報の変更の入力に応じて、既に入力済の文字列であって、前記評価手段で既に危険性評価済の前記文字列が推測される危険性を、前記変更の入力に応じて変更された前記ユーザ情報を用いて再評価し、
前記送信手段は、前記評価手段による前記再評価に応じた前記危険性の再報知を前記情報処理装置が行うために用いる報知情報を、前記情報処理装置に対して送信することを特徴とするコンピュータプログラム。 A server device that is communicably connected to an information processing device that accepts a character string used as a password and an input and change of user information,
An evaluation means for evaluating a risk that the character string is estimated using user information received from a user;
Functioning as transmission means for transmitting to the information processing apparatus notification information used for the information processing apparatus to notify the danger according to the evaluation by the evaluation means;
The evaluation unit is a character string that has already been input in response to an input of a change in the user information from a user, and the risk that the character string that has already been risk-evaluated by the evaluation unit is estimated. Re-evaluate using the user information changed in response to the change input,
The computer, wherein the information is transmitted to the information processing apparatus for the information processing apparatus to re-notify the danger according to the re-evaluation by the evaluation means. program.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010228940A JP5482614B2 (en) | 2010-10-08 | 2010-10-08 | Information processing system, information processing apparatus, server apparatus, information processing method, and computer program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010228940A JP5482614B2 (en) | 2010-10-08 | 2010-10-08 | Information processing system, information processing apparatus, server apparatus, information processing method, and computer program |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014028294A Division JP5708842B2 (en) | 2014-02-18 | 2014-02-18 | Information processing system, information processing apparatus, control method thereof, and program |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2012083917A JP2012083917A (en) | 2012-04-26 |
JP2012083917A5 JP2012083917A5 (en) | 2012-09-20 |
JP5482614B2 true JP5482614B2 (en) | 2014-05-07 |
Family
ID=46242725
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010228940A Active JP5482614B2 (en) | 2010-10-08 | 2010-10-08 | Information processing system, information processing apparatus, server apparatus, information processing method, and computer program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5482614B2 (en) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5936238B2 (en) | 2014-04-11 | 2016-06-22 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | Method for generating or changing password, electronic device and program for electronic device |
CN105101196B (en) * | 2014-05-06 | 2018-11-02 | 阿里巴巴集团控股有限公司 | A kind of user account management method and device |
US9774592B2 (en) | 2014-06-26 | 2017-09-26 | Rakuten, Inc. | Information processing apparatus, information processing method, and information processing program |
JP6536007B2 (en) * | 2014-10-30 | 2019-07-03 | キヤノンマーケティングジャパン株式会社 | Information processing apparatus, control method and program thereof |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001134491A (en) * | 1999-11-02 | 2001-05-18 | Mitsubishi Electric Corp | System for supporting selection of password |
JP2006155382A (en) * | 2004-11-30 | 2006-06-15 | Nomura Research Institute Ltd | Password collation program and method |
JP2006201899A (en) * | 2005-01-19 | 2006-08-03 | Dainippon Printing Co Ltd | Input support method |
JP4845398B2 (en) * | 2005-03-18 | 2011-12-28 | キヤノン株式会社 | Image processing apparatus and control method executed by image processing apparatus |
JP2007072777A (en) * | 2005-09-07 | 2007-03-22 | Oki Electric Ind Co Ltd | Transaction system |
JP2010211248A (en) * | 2007-06-07 | 2010-09-24 | Nec Corp | Advertisement display system, advertisement display method, and program for displaying advertisement |
JP5119993B2 (en) * | 2008-03-13 | 2013-01-16 | 沖電気工業株式会社 | Automated trading system |
US8621642B2 (en) * | 2008-11-17 | 2013-12-31 | Digitalpersona, Inc. | Method and apparatus for an end user identity protection suite |
JP2011154445A (en) * | 2010-01-26 | 2011-08-11 | Nec Corp | Authentication device, authentication method, and authentication program |
JP2011242834A (en) * | 2010-05-14 | 2011-12-01 | Nomura Research Institute Ltd | User authentication device, method and computer program |
-
2010
- 2010-10-08 JP JP2010228940A patent/JP5482614B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2012083917A (en) | 2012-04-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9639174B2 (en) | Mobile device display content based on shaking the device | |
US9799029B2 (en) | Securely receiving data input at a computing device without storing the data locally | |
US20210326875A1 (en) | User account controls for online transactions | |
US20120302210A1 (en) | System, method, and program for generating screen | |
US20140075367A1 (en) | Supplementing a Virtual Input Keyboard | |
JP5482614B2 (en) | Information processing system, information processing apparatus, server apparatus, information processing method, and computer program | |
US20130106916A1 (en) | Drag and drop human authentication | |
US8826460B2 (en) | Data exchange between applications of an electronic device | |
US9852119B2 (en) | Device for securing contents of a web page | |
JP2013077297A (en) | Information processor and control method thereof | |
JP2007206850A (en) | Login management device and program | |
JP5182038B2 (en) | COMMUNICATION SYSTEM, INFORMATION RECORDING DEVICE, PROVIDING DEVICE, AND COMMUNICATION METHOD | |
JP5475226B2 (en) | External sales support system and method | |
JP5708842B2 (en) | Information processing system, information processing apparatus, control method thereof, and program | |
JP5197681B2 (en) | Login seal management system and management server | |
JP5981663B2 (en) | Information processing apparatus, information processing method, program, storage medium, and password input apparatus | |
JPWO2015019398A1 (en) | Screen display program | |
JP2013210867A (en) | Display control apparatus, display control method, program, and display device | |
US8955061B2 (en) | Information processing apparatus, authentication system, authentication method, and program | |
JP6164032B2 (en) | Program, input screen display method, and information processing apparatus | |
JP5165172B2 (en) | Foreign patent application support system | |
JP6450020B2 (en) | Display control system, display control method, and display control program | |
JP3246002U (en) | information processing system | |
JP6953696B2 (en) | Portal server, client terminal, portal system, portal site display method, and program | |
JP2005275772A (en) | Information processing system, information processing method, program, and recording medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20120130 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20120130 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120629 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120801 |
|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20130531 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20130531 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130717 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130723 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130920 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131029 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131224 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140121 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140203 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5482614 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313115 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |