DigiLoog

続きを読む »

reCAPTCHAもAIで突破出来ると言われたりしているが、
普通のスパムやスクリプトキディなどは防げるのも事実だったりする。
実際に筆者が運用する色々なサービスでスパムなどを防いでいる実績もあり役立っている
とは言っても、クエリ試行されたらお財布が破産しちゃうため同等の代替サービスを探してみた。

有名どころだとCloudflare Turnstileが良さそうで、
Google reCAPTCHA同等のセキュリティ対策が簡単に実装出来る模様。
Contact Form 7にも対応しているので妥当な移行先として真っ先に上がると思う。

• Cloudflare Turnstile
• WordPress > Simple Cloudflare Turnstile

他には、Google Authenticatorを用いた多要素認証も考えられるが、
仕組み的に登録ユーザが前提となりメール送信フォームやコメント欄などパブリックでの実装が難しく、
reCAPTCHAの代替にはなり切れないのが事実。
管理画面のログインフォームなどアカウントを前提にするなら現時点で考えられるベター案ではあるので、
使い処によっては十分検討の余地は残っている。
また、Google Authenticatorに限らずWordPressの多要素認証プラグインが豊富なため、
簡単に導入出来るメリットもあったりする。

• Google Authenticator
• WordPressプラグイン > Two-Factor

変わり種だと少し前のオンラインバンクで見かけたパズル認証もあったが、
2023年にCVE-2023-44997のCSRF脆弱性が見つかり危険と判断されプラグイン非公開になっていた。
そもそも、パズル認証は多要素認証として脆弱という研究報告も上がっていたり、
画像認識処理のプログラミング登竜門的な所もあるらしく今さらコレを新規実装する事も無いと言える。

• JVN > JVNDB-2023-014614
• WordPressプラグイン > wp-forms-puzzle-captcha (閉鎖済)

………

今回どれを選択するか先行き不透明だが、第一候補はCloudflare Turnstileになりそうだった。
使用感がreCAPTCHA同等なのと実装も他より簡単総なのが候補に挙がった理由の一つとなる。

Google reCAPTCHA完全移行まで時間もありそうなので情報収集を進めながら、
実装難易度の確認と選定を行いセキュリティ強化を図りたいと思う。

« 続きを隠す