エンドユーザーの識別情報保護スイートのための方法および装置
ユーザーの全体的なセキュリティー状態を示す表示器を含む方法を提供する。当該方法は、ユーザーが自らの識別情報を保護することができるセントラルダッシュボードを提供する。1つの実施形態では、セントラルダッシュボードは、様々な接続先における識別情報の集中コントロールを可能にする。
【発明の詳細な説明】
【技術分野】
【0001】
本件出願は、米国特許仮出願第61/115512号(2008年11月17日出願)に基づく優先権を主張する。
【0002】
本発明は、識別情報保護に関連し、特に、識別情報保護スイート(identity protection suite)のための改善されたシステムを提供する。
【背景技術】
【0003】
ユーザーは、コンピュータ上でより活動的になり、識別情報についての彼らの関心が増している。ユーザーは、自らのデジタル識別情報のセキュリティーについて心配している。様々な特徴のある識別情報を保護するために、非常に多くのツールが存在する。しかしながら、先行技術では、これらのユーザーのデジタル識別情報の特徴のそれぞれは、別々に処理されなければならない。ユーザーは、彼らのシステムと識別情報を保護することを試みるために、アンチウィルスソフト、暗号ソフト、その他のツールをダウンロードすることができる。
【発明の概要】
【発明が解決しようとする課題】
【0004】
ユーザーにとっての最大の関心事の1つは、401k口座から銀行口座やメールにいたるアカウントにアクセスするために用いられるパスワードである。ユーザーパスワードの盗難や、情報漏洩についての話は豊富にある。ユーザーは、彼らのアカウントを秘密にすることを望むだけでなく、利便性もまた望んでいる。近年、たいていのユーザーが有している、膨大な数のアカウントに関して、それらアカウントのそれぞれに対してパスワードを選択することと、それらパスワードは、それぞれ、十分な複雑さがあり、定期的に変更されることを保証することに問題がある。これは、消費者だけでなく銀行やその他の機関に対して、何百万ドルの損失の原因となる。
【課題を解決するための手段】
【0005】
ユーザーが自らの識別情報を保護することができるセントラルダッシュボードを与えることを含む方法を提供する。1つの実施形態では、セントラルダッシュボードは、様々な接続先(destination)における識別情報の集中コントロールを可能にする。
【0006】
本件出願において記載される方法および装置は、エンドユーザー識別情報保護スイート(IPS)である。当該IPSは、ユーザーに彼らの識別情報を保護できるようにするシステムを提供し、当該ユーザーに有用なフィードバックを与える。1つの実施形態において、識別情報は、例えば、オンライン識別情報(online identities)、クレジット識別情報(credit identities)、健康管理識別情報(healthcare identities)などの、複数のサブタイプを含む。エンドユーザーは、ラップトップ型コンピュータを購入する消費者、または、雇い主からコンピュータを受け取る企業のユーザー、または、IPSでのアカウントを有する共有システムのユーザーであるかもしれない。
【0007】
1つの実施形態では、IPSは、ユーザーに複数の識別情報を維持管理できるようにし、これらの識別情報のための保護を提供し、これらの識別情報のセキュリティーの表示器(indicator)を提供する。1つの実施形態では、識別情報へのアクセスは、生体認証(biometric)(例えば、指紋、虹彩認識、手形、顔認識、音声認識、タイピングパターン認識など)を介して提供される。これは、正しく認識されるユーザーに対する識別情報コントロールへのアクセスを、制限することによって、付加的なセキュリティーレベルをもたらす。別の実施形態では、パスワード、パスフレーズ、スマートカード、または、生体認証と1以上の前記認証方法との組合せを使用することができる。
【0008】
1つの実施形態では、認証は、さらに、単一解除機構(single release mechanism)を介して、格納されたパスワードへのアクセスも提供する。1つの実施形態では、前記単一解除機構は、例えば、諮問、顔認識、掌紋、音声認識、スマートカードなどのような生体認証であるかもしれない。1つの実施形態では、前記解除機構は、複数の証明書(credentials)(例えば、パスワードや生体認証)を含むことができる。
【0009】
さらに、1つの実施形態における方法は、強度に関して複数のパスワードを評価することを含む。1つの実施形態では、複数のパスワードにおける各パスワードは、特定のウェブサイト、ドキュメント、アプリケーション、または、ユーザーがパスワードを保有するか、ログインを行うその他のコンピュータアクセス可能なデータやサービスに関連する。パスワードの強度は、いかにたやすく当該パスワードを解読されるのかを表している。1つの実施形態では、複数のパスワードは、一緒に評価され、かつ、別々に評価される。パスワード評価は、パスワードの長さ、パスワードの複雑さ、パスワードの有効期限のうち1以上を含む。1つの実施形態では、さらに、本システムは、複数のパスワードを全体にわたって、パスワードの共通性を評価することで、複数のパスワードの全体的な強度についてのデータを提供する。
【0010】
1つの実施形態では、さらに、前記方法は、ユーザー識別情報のセキュリティーを評価するのに用いられる1以上の他の自己認識ツールへのインターフェースも提供する。1つの実施形態では、IPSは、識別情報保護ツールからフィードバックされるセキュリティー状態にアクセスして収集するための統一されたツールを提供する。前記ツールは、信用保護(credit protection)、オンライン識別情報保護、データ保護、健康状態へのアクセスと保護、および、識別情報および/またはデータ保護を提供するその他のツールを含むことができる。ここで留意すべきは、これらのツールは、コンピュータセキュリティー、データセキュリティー、または、マシンについての情報セキュリティーには、焦点を合わせていないことである。むしろ、これらのツールは、識別情報保護に関連する情報を厳重に保管するように設計されている。当該情報は、利用可能であり、制御可能であり、かつ/または、コンピュータでもしくはコンピュータを通して直接的に、あるいは、ネットワーク(例えば、インターネット、イントラネット、またはその他のネットワークアクセス可能なリソース)もしくはその他の手段を介してアクセス可能である。1つの実施形態では、本システムは、これらのツールのそれぞれの状態(例えば、可用性(availability)、利用度(utilization)など)を確認し、ツールに固有のセキュリティーレベルを図式的に表示する。
【0011】
1つの実施形態では、サードパーティによって供給されるツールは、本システムに組み込むことができる。1つの実施形態では、単一全体セキュリティー値(single overall security value)が計算される。1つの実施形態では、前記単一全体セキュリティー値は、ユーザーに図式的に表示される。先行技術では、例えば、ウィルス対策ソフト、暗号化ソフト、または、類似のソフトなどのようなセキュリティーシステムを監視および管理することの複雑さ、および、異なる場所からのアクセスや非常に異なる方法による管理を必要とする異なるシステムと絶えずやり取りしなければならないことのために、エンドユーザーの実際の保護レベルは、エンドユーザーが期待するもの、および、ユーザーに宣伝されているものからは著しく異なるものであった。1つの実施形態におけるIPS解決策は、これらのツールに対して統一されたインターフェースと操作を提供する。
【0012】
本発明は、同じ参照番号は同じような構成要素を参照する、添付の図面の図における例によって説明され、それによって制限されるものではない。
【図面の簡単な説明】
【0013】
【図1A】図1Aは、識別情報保護スイートに統合され得る構成要素からなる1つの実施形態のブロック図である。
【図1B】図1Bは、本発明が実施され得るネットワークの1つの実施形態のブロック図である。
【図2】図2は、エンドユーザー識別情報保護スイート(IPS)の1つの実施形態のブロック図である。
【図3】図3は、全体のセキュリティーレベルを評価するためのシステムを用いる1つの実施形態のフローチャート図である。
【図4】図4は、特定の識別情報のセキュリティーレベルを評価するシステムの1つの実施形態のフローチャート図である。
【図5】図5Aと図5Bは、パスワードの強度を評価するフローチャート図である。
【図6】図6は、パスワードシステムを利用するためのフローチャート図である。
【図7A】図7Aは、サイドバーガジェットの1つの実施形態のスクリーンショットである。
【図7B】図7Bは、ツールバー表示の1つの実施形態のスクリーンショットである。
【図7C】図7Cは、複数の識別情報を含むサイドバーガジェットの1つの実施形態のスクリーンショットである。
【図8】図8A〜Eは、IPSへのインターフェースの1つの実施形態のスクリーンショットである。
【図9】図9は、本発明で使用され得るコンピュータシステムの1つの実施形態のブロック図である。
【発明を実施するための形態】
【0014】
本発明の実施形態の以下の詳細な説明は、同じ参照番号は、同じような構成要素を示し、例として本発明を実施する具体的な実施形態を示す、添付された図面を参照する。これら実施形態の記載は、当業者が本発明を実施できるように、十分に詳細なものである。当業者は、他の実施形態が利用され得ることと、論理的な、機械的な、電気的な、機能的な変更およびそのほかの変更は、本発明の要旨を逸脱しない範囲で行われ得ることを理解する。したがって、以下の詳細な説明は、限定的な意味で解釈されるものではなく、本発明の範囲は、特許請求の範囲によってのみ定められる。
【0015】
図1Aは、識別情報保護スイートに統合され得るいくつかのツールからなる1つの実施形態のブロック図である。当該ブロック図は、IPSシステムで実装され得る識別情報保護体系(identity protection scheme)の可能な限りの側面を示す。ここで留意すべきは、実際の実装は、これら体系の側面の一部のみを含むことができ、または、ここには示されていない他の側面を含むことができる。
【0016】
1つの実施形態では、全体の“識別情報(identity)”とは、セキュリティーチェック、オンラインドキュメント貯蔵庫(online document vault)、信用監視(credit monitoring)、セキュリティー保護されたメールやインスタントメッセージ、視聴制限/児童保護(parental controls/child protection)、評判システム、保護されたアクセス、および、コンピュータアクセスコントロールのうち1つ以上のものを包含し得る様々な機能(feature)を含むことができる。セキュリティーチェックは、本システムに格納されたパスワードの強度を検証する。データ保護は、ユーザーに、ドキュメントをオンラインで安全に格納することを可能にする。1つの実施形態では、クレジット識別情報の機能は、簡単な“安全/注意/問題”型の表示器をユーザーに提供することができる。
【0017】
1つの実施形態では、アクセス保護は、IPS、識別情報ブラウザ、コンピュータ(デバイス)、および、ツール、アプリケーション、提供されるサービスまたはIPSを介してアクセスされるサービスのうち1つ以上のものへのアクセスを制御する。アクセス保護は、1つの実施形態では、生体認証のアクセス保護である。当該アクセス保護は、利用されているユーザー認証のセキュリティーの評価を含む。生体認証の使用は、たとえ複雑なパスワードでさえも、パスワードの使用よりも安全である。多要素認証(例えば、生体情報とパスワードまたはスマートカードを要求すること)は、単一要素認証よりも安全である。生体認証の使用は、ユーザーの身体的特徴(physical persona)を彼らのデジタル識別情報に結びつける認証方法を用いることで、強い識別情報保証を提供する。1つの実施形態では、妥当性確認(validation)の結果は、識別情報保護システムの一部として示される。これは、ユーザーの識別情報保護システムに関係する識別情報のための集中型ビューを可能にする。
【0018】
1つの実施形態では、評判システムは、リモート接続を経て信頼できる関係を確立するために“安全なユーザー”の考え(notion)を活用する。1つの実施形態では、安全なユーザー(例えば、安全なパスワード、安全な信用(secure credit)、安全なログオン、最新のウィルス対策保護を使用するユーザーなど)は、特定の相手または知らない相手に伝達するための個人情報窃盗(identity theft)に対して“十分に”保護されていることによって、信頼できる状態を活用できる。当該相手方は、これら安全なユーザーから取得した識別情報や情報を頼りにする。1つの実施形態では、評判システムは、さらに、ユーザーの“評判”または信頼性をさらに洗練するために、安全なユーザーによって行われるオンライン活動に関係する情報を活用する(例えば、有効なオンラインバンキング口座を持つことは、個人の識別情報を偽造することをより困難にさせる;ソーシャルネットワークで友人の幅広いネットワークを持つことは、個人の識別情報またはパーソナリティを証明することをより簡単にする;デジタル署名されたドキュメントを持つことは、これらのドキュメントに関する事実を証明することをより簡単にするなど)。1つの実施形態では、評判システムは、外部の評判システムから構成されるか、外部の評判システムを統合することができる。1つの実施形態では、評判システムは、ユーザーの身体的な実際の識別情報と認証とを結びつけるのに用いることができる。1つの実施形態では、ユーザーの身体的識別情報は、妥当であると認められるであろう。例えば、これは次のように行われるかもしれない:
1)その人が知っているであろうことのみを質問すること;
2)登録コードとともに、住所に書留郵便を送付すること(ただし、送付にはIDを要求する。それによって、指定された人のみがコードを取得することを保証し、アカウントと特定の人/住所を結び付ける);
3)例えば、管理者がいるキオスクやオフィスなどのような管理された場所で登録を要求すること;かつ/または
4)その他の手動のバックグランドチェックまたは識別情報チェックを行うこと。
【0019】
1つの実施形態では、ローミングシステムは、識別情報ローミングを提供する。それは、任意のブラウザや任意のシステムからのアクセスや認証を可能とする。1つの実施形態では、スマートフォン、または、その他のより小さなモバイル機器は、ローミングシステムに含めることもできる。これは、ユーザーが十分に安全なパスワードを利用できることを保証する。なぜなら、彼らは、どこでもそれらのパスワードにアクセスできるからである。さらに、ユーザーが利用状態にあるシステムであるかに関わらずユーザーフィードバックを提供する。1つの実施形態では、ローミングシステムは、認証されたユーザーに、任意のエンドポイントデバイス/ツールからIPSダッシュボード/ブラウザにアクセスすることを可能にする。1つの実施形態では、これは、すべての識別情報、セーブされたパスワード、IPSを介して提供されたその他のサービスやツールを含む。
【0020】
健康管理識別情報、クレジット識別情報、金融識別情報、ソーシャルネットワーキング識別情報は、IPSによって保護され得るいくつかの面(facet)である。例えば、クレジット識別情報は、EXPERIANTMによって提供される信用監視サービスのような信用監視サービス、一回限りのクレジットカード番号、その他の信用保証(credit securing)かつ/または監視オプションを含むことができる。健康管理識別情報は、GOOGLE(R)によって提供されるもの、またはその他のウェブベースデータストレージ、健康状態データベース、医者のファイルへのアクセスなどのような健康状態の記録を含む。1つの実施形態では、ソーシャルネットワーキング識別情報は、OpenIDや類似の識別情報、複数プレーヤーのゲームサイト、電子メールサイト、ブログサイト、セールスサイトなどを含む。
【0021】
これら、および他の機能は、IPSシステムで与えられる“識別情報保護”に従ってすべて収集され得る。ユーザーが自らの全体の識別情報状態を確かめられ得る集中した場所を提供することで、ユーザーインタラクションは簡略化される。1つの実施形態では、ユーザーは、単一インターフェースを介して、すべての機能が安全を生み出すように協力する様々な機能と、ユーザーの保護識別情報を管理できる。
【0022】
1つの実施形態では、全体の識別情報保護状態を示すことで、状態指標(status indicator)がユーザーに示される。1つの実施形態では、複数の状態指標は、様々なタイプの保護機能に対して利用できる。例えば、1つの実施形態では、それぞれの保護機能は、独立した評価を備え、そして、合算した全体のセキュリティー状態指標は、ユーザーのディスクトップに示される。当該ディスクトップ上に示されたものは、図7Aに示すようなウィジェット、例えば図7Bに示すようなタスクバーアイコン、ディスクトップアイコン、または、任意のフォーマットの表示であるかもしれない。当該任意のフォーマットの表示とは、コンピュータの通常動作中にユーザーに、一般に認識できるものである。したがって、1つの実施形態では、ユーザーは、別々に作動させる必要はなく、また、全体のセキュリティー状態を見るためにIPSシステムを選択する。
【0023】
図1Bは、本発明が実施されるネットワークの1つの実施形態のブロック図である。1つの実施形態では、IPSシステム110は、ユーザーコンピュータ120に存在する。IPSローミングサポート130は、ユーザーにとってアクセスし易いサーバ135に存在する。1つの実施形態では、IPSローミングサポート130は、認証されたユーザーに対してのみアクセス可能である。1つの実施形態では、生体認証は、ユーザーのデジタル識別情報が、彼らの実際の特徴(persona)に結び付けられる。サードパーティサーバ140は、ネットワーク150を介して、ユーザーまたはシステムによってアクセスされ得る。サードパーティサーバ140は、識別情報保護ツールプロバイダ160のほかに、アクセスポイント170もまた含むことができる。識別情報保護ツールプロバイダ160は、IPS110とやり取りする1以上の識別情報保護ツールを提供する。1つの実施形態では、アクセスポイントは、ユーザーの識別情報をチェックするために、本システムで用いられる。アクセスポイント170は、IPS110に格納されたパスワードを介して、ユーザーによってアクセスされ得る。
【0024】
図2は、エンドユーザー識別情報保護スイート(IPS)の1つの実施形態のブロック図である。本システムは、ユーザーに自らの識別情報を登録させることを可能にする登録システム230を含む。1つの実施形態における識別情報登録235は、システムログインと結び付けられる。1つの実施形態では、WINDOWSTMオペレーティングシステムベースのシステムに対して、識別情報登録235は、当該オペレーティングシステムへのユーザーログインに結び付けられる。1つの実施形態では、本システムは、ユーザーに全体のコンピュータシステムに対するパスワードを作ることを促す。1つの実施形態では、識別情報登録235は、登録された生体識別情報(例えば、指紋、顔の特徴、掌紋、など)を含む。1つの実施形態では、識別情報登録235は、さらに、個々のシステムについての異なるアクセス特権、パスワード、セキュリティー設定とともに様々なユーザーを含む。例えば、登録された1つの識別情報は、子供か大人かの識別情報であるかもしれない。ログインが子供の識別情報を確認したとき、本システムは、インターネットアクセスに対するチャイルドフィルタを作動させ、特定の分野へのアクセスを制限する。どの識別情報データも、暗号化された形式で安全に格納される(225)。
【0025】
ユーザーID/パスワード登録240は、ユーザーに、システム内の様々なアプリケーション、システムおよびウェブサイトに対するパスワードを安全に格納させることを可能にする。ここで、登録されたデータは、技術的に安全性が保証されたストレージ(secured storage)におけるユーザーID/パスワードデータ220に格納される。1つの実施形態では、当該データは、暗号化形式で格納される。
【0026】
1つの実施形式では、ユーザーID/パスワードデータは、一度、認証システム270が識別情報登録235からユーザー使用データを認証すると、解除される。1つの実施形態では、認証は、ユーザーの身体的特徴(physical self)と彼らの識別情報を結びつけた、生体認証である。1つの実施形態では、認証システム270は、一定期間経過後に再度の妥当性確認する(re-validate)ことをユーザーに要求するために、タイムアウトを備える。別の実施形態では、独立した妥当性確認は、各パスワードを解除するために要求される。1つの実施形態では、パスワードは、その解除に付随する特定の妥当性基準を備えることができる。例えば、ユーザーは、彼らの銀行口座にアクセスするために、それぞれのパスワードの解除に対する再度の妥当性確認を要求することができるが、電子メールアカウントに対するパスワード解除の時間切れを許可することができる。ユーザーは、さらに、1つの実施形態では、特定のタイプのパスワードを解除するために異なるレベルの妥当性確認を要求することができる。例えば、ユーザーは、投資口座などに対するログインデータを解放するために、パスワードや生体認証に対する妥当性確認レベルを設定することができる。1つの実施形態では、パスワードタイプは、妥当性確認基準と関連づけられる。例えば、金融機関に関連付けられた任意のパスワードは、妥当性確認基準の1つの集合(例えば、パスフレーズ、生体認証、それぞれの解除のために要求される再度の妥当性確認)を有することができ、一方、ソーシャルネットワークに関連するパスワードは、異なる妥当性確認基準(例えば、パスワードや、長いタイムアウト時間)を有することができる。
【0027】
1つの実施形態では、ユーザーインターフェース275は、登録指示システム(registration prompting system)280を含む。それは、1つ実施形態において、ユーザーに当該システムを用いて特定のログインを登録することを促す。1つの実施形態では、アプリケーションまたはウェブサイトのログインページが確認されたとき、ユーザーは、ログインパスワード/ユーザーIDを当該システムに追加することを促される。1つの実施形態では、各ページに対して、ユーザーは、登録することを3回促される。それを過ぎると、1つの実施形態では、ユーザーは二度と促されることはない。1つの実施形態では、プロンプティング(prompting)は、ログインページを見せたときに、IPSシステムに対するロゴの表示も含む。1つの実施形態では、本システムは、ウェブサイトがユーザー名とパスワードを要求するときに確認する。別の実施形態では、本システムは、そのようなデータ(例えば、本システムが、登録することができるウェブサイトのリストを含む)を要求する標準的なサイトのリストを有する。
【0028】
1つの実施形態では、ログイン指示システム(log-in prompting system)は、ユーザーにクリックでログインデータを入れられるように、ログイン項目をポップアップする。1つの実施形態では、再認証が要求されたならば、ユーザーはログイン指示システムによって促される。別の実施形態では、ログインデータの差し込みは自動である。1つの実施形態では、本システムは自動的に当該データを差し込み、それを提出する。1つの実施形態では、ユーザーは、システム全体、パスワードタイプ、および/またはパスワードレベルごとに、優先するものを設定することができる。
【0029】
識別情報妥当性確認システム(identity validation system)245は、さまざまな方法で、ユーザー識別情報のセキュリティーを検証する。個別パスワード評価器(individual password evaluator)250は、個々のパスワードのセキュリティーを評価する。1つの実施形態では、図4に示す方法は用いられる。各パスワードは、長さ、文字セットおよび有効期間(maturity)に対して評価される。例えば、短いパスワード、または、標準US英字(standard U.S. alphabetic character)のみ用いたパスワード、または、予め設定された有効期間よりも古いパスワードは、“非常に安全ではない”とみなされるであろう。1つの実施形態では、これは赤いライトによって表示することができる。1つの実施形態では、ユーザーまたは管理者は、設定を調節することができる。例えば、何をもって、何をもって非常に安全でないか、安全かの設定を調節する。
【0030】
もちろん、ライトによる示唆は、単なる提案である。別の設定、多少の段階的な変化は、本発明の範囲内で用いることができる。
【0031】
さらに、1つの実施形態では、お互いに関連するすべてのパスワードを評価する、全パスワード評価器(overall password evaluator)がある。1つの実施形態では、このパスワード評価器は、パスワード間の共通性を求める。ユーザーは、しばしば複数アカウントに同じパスワードを利用する。それは、危険な習慣である。したがって、全パスワード評価器255は、お互いに関するパスワードを評価する。
【0032】
1つの実施形態では、識別情報妥当性確認システム245は、さらに、その他の識別情報評価器260を含む。1つの実施形態では、他のセキュリティー評価器は、ファイル暗号化ユーティリティを含むことができる。1つの実施形態では、ファイル暗号化ユーティリティは、1つのファイル、フォルダ全体、および/または、ハードディスクドライブ全体を暗号化することを、ユーザーに許可する。1つの実施形態では、識別情報妥当性確認システム245は、セキュリティーのレベルを表示する際に、ファイル暗号化ユーティリティからデータを受け取る。1つの実施形態では、ツールの評価は、三重評価(three-fold evaluation)となり得る。本システムは、アプリケーションが、有効(active)であるかどうか、適切にインストールされているかどうか、使用されているかどうかを判断することができる。有効なアプリケーションとは、活動中のもの、例えば、実行中のものである。適切にインストールされたアプリケーションとは、提供するように設計された、セキュリティー/保護機能を適切に提供するように、セットアップされているものである。そして、アプリケーションは、コンピュータ、および/または、ユーザーが当該アプリケーションを利用するならば、使用されているとする。1つの実施形態では、これら3つのステップは、セキュリティー表示の3つのレベルに対応する。1つの実施形態では、本システムは、さらに、ツールがデフォルトで用いられているかどうかを判断することができる。ツールは、その保護を与えるために、ユーザーインタラクションを要求されないならば、デフォルトで用いられているものとされる。
【0033】
1つの実施形態では、その他のセキュリティー評価器は、メッセージ伝達暗号化ツール(messaging encryption tool)を含む。メッセージ伝達暗号化ツールは、電子メールメッセージ、インスタントメッセージ(IM)通信、その他のメッセージ伝達通信を、暗号化かつ/または署名することができる。1つの実施形態では、メッセージ伝達暗号化は、さらに、セキュリティーを評価するために、次の1以上の割合を利用することもできる:暗号化されたメッセージの割合、署名されたメッセージの割合、暗号化または署名された通信であって、その応答も暗号化または署名された割合。上述のように、1つの実施形態では、メッセージ送達暗号化ツールは、生データ(raw data)を与えて、メッセージ伝達暗号化ツールに対するセキュリティー評価器260は、メッセージ伝達暗号化ツールに対する全体のセキュリティーレベルを求めるために、当該データを利用する。
【0034】
1つの実施形態では、その他のセキュリティー評価器は、チャイルドログイン(child log-in)の設定を可能にするための、構成ツール(configuration tool)を含む。1つの実施形態では、別々のログイン(separate log-in)は、子供あるいはその他の制限されたユーザーに対して設定されたとき、構成ツールは、様々な機能(feature)/ウェブサイト/アプリケーション/ファイルまたはディレクトリのユーザーアカウントへのアクセスを制限することを、ユーザーができるようにする。1つの実施形態では、セキュリティー評価器260は、チャイルドログインがセットアップされたかどうか、もしセットアップされたなら、十分に設定されているかどうかを判断する。ここで留意すべきは、用語“チャイルドログイン”が用いられているが、当該ログインは、ユーザーの年齢や能力にかかわらず、システムへのアクセスが制限される任意の副次的なユーザー(secondary user)について記述していることである。
【0035】
1つの実施形態では、その他のセキュリティー評価器は、ウィルス、ワームまたはトロイの木馬などのような、コンピュータシステムに対する脅威を発見するためのツールである、悪質プログラム検出器(malicious program detector)を含む。1つの実施形態では、セキュリティーレベルは、悪質プログラムのシグネチャ(signature)を更新した最終日時、完全検査/クリーンアップ(full test/clean-up)をシステムに関して実行した最終日時、および、メモリー常駐で連続的に検証ツール(verification tools)を実行した際の可用性および機能性(functioning)のうちの1つ以上によって判断される。
【0036】
1つの実施形態では、その他のセキュリティー評価器に加えて、識別情報妥当性確認システム245は、サードパーティ評価器インターフェース265を含むことができる。サードパーティ評価器インターフェース265は、サードパーティツールが、リモートで実行されること、あるいはローカルで実行されることを可能にし、識別情報妥当性確認の表示の中に、それらの結果を統合することを可能にする。1つの実施形態では、サードパーティ評価器インターフェース265は、ユーザーに、サードパーティUI286を用いてサードパーティツールを操作することを可能にする。1つの実施形態では、サードパーティUI286は、設定を変更するため、対話するため、さもなければ、サードパーティツールを操作するための、IPSからの直接的なユーザーインターフェースを提供する。これは、セキュリティーツールを操作するために、統一されたユーザーインターフェースを提供する。
【0037】
1つの実施形態では、サードパーティツールは、信用調査ツール(credit checking tool)、信用規制ツール(credit freeze tool)、ウェブ自己認識ツール(web identity tool)などのようなツールを含むことができる。1つの実施形態では、信用調査ツールは、ユーザーの信用度(credit rating)を調査する。1つの実施形態では、信用規制ツールは、ユーザーの名前で、新しいクレジットカード、または、その他の信用限度額(credit line)を利用できるようにするために、任意の新たな信用照会がなされたかどうかを調査し、信用限度額を“解凍する(unfreezing)”前、および、新しい信用の発行を許可する前に、ユーザーの確認(user's confirmation)を潜在的に必要とする。ウェブ自己認識ツールは、任意の不快な(offensive)あるいは問題となる(problematic)項目があるかどうか、アカウントが悪意のあるユーザーによってアクセスされたかどうか、または、オンラインで利用可能な情報は、ユーザーの介入なしに修正されているかどうかを、確かめるために、ユーザーのウェブ上の存在感(user's web presence)を評価する。これらのツールのいくつかは、インターネットなどのような、ネットワークをスキャンする。1つの実施形態では、当該ツールは、ユーザーのシステムというよりはむしろサーバから実行することができ、当該ツールは、IPSシステムに結果を簡単に報告することができる。1つの実施形態では、これらの調査結果は、サードパーティ評価器インターフェース265で受け取ることができる。その後、これらの調査/ツールの結果は、利用できるツールのそれぞれに対する、セキュリティー値を計算するために利用される。
【0038】
それぞれ個々のツールは、パスワード、セキュリティー評価器、または、サードパーティツールに対して、個別の評価を与える。ここで留意すべきは、本件出願において与えられるツールのリストは、単に模範的なものにすぎない。ユーザーの識別情報を保証するための有益な、任意のツールは、本システムに統合することができ、IPSからその設定を操作することができる。部分的な統合は、いくつかのツールに対して可能であり、それは、当該ツールの評価結果を、IPSシステムに表示することを許可する。
【0039】
1つの実施形態では、識別情報妥当性確認システム245は、ユーザーに対する全体のセキュリティー格付け(security rating)を算定する。1つの実施形態では、ユーザーまたは管理者は、さまざまな目的に対して、識別情報評価システム245を設定することができる。例えば、当該設定は、もし“非常に弱い”と格付けされる、特定のアプリケーションまたはツールが存在する場合、全体のセキュリティー格付けを自動的に格下げすることができる。また、当該設定は、特定のアプリケーションまたはツールの割合が下向きである場合にのみ、セキュリティー格付けを格下げすることができる。1つの実施形態では、本システムは、デフォルトの設定を用いて事前設定がなされている。しかし、1つの実施形態では、ユーザーまたは管理者は、彼ら自身の好みに、それらの設定を調節することができる。1つの実施形態では、ユーザーまたは管理者は、別のセキュリティー評価器および/またはサードパーティ評価ツールを追加するとき、ユーザーまたは管理者は、そのツールの設定を操作するための機会が与えられる。1つの実施形態では、本システムは、全体のセキュリティー格付けからツールを除外することができる。1つの実施形態では、本システムは、ツールの格付けを重く重み付けすることができる。
【0040】
ユーザーインターフェース275は、セキュリティー信号ロジック(security signal logic)275を含む。セキュリティー信号ロジック275は、識別情報妥当性確認システム245の出力に基づいて、セキュリティー信号を生成する。1つの実施形態では、セキュリティー信号ロジック275は、ユーザーの全体的なセキュリティー状態を表示する個々の色コードを生成する。1つの実施形態では、色は、緑色(良好)、黄色(危険あり)、赤色(問題あり)である。別の実施形態では、多少の段階的な変化(gradation)は、用いられ得る。1つの実施形態では、セキュリティー信号は、危険(insecure)(1)から非常に安全(highly secure)(10)までを分類するのに、1から10までの数値とすることができる。別の実施形態では、尺度は、弱いと強いと間で、段階的な変化(グラデーション)の表示を用いることができる。また、代替の表示方法を用いることができる。1つの実施形態では、当該表示方法は、一目で分かるように、システム状態を通知することである。
【0041】
1つの実施形態では、個々のセキュリティー信号の代わりに、複数のセキュリティー信号を示すこともできる。例えば、ユーザーの金融セキュリティーに関連する側面に対する“金融セキュリティー”信号、ユーザー個人に関連する側面に対する“個人的セキュリティー(personal security)”があるかもしれない。別の例として、異なるセキュリティー信号は、“データセキュリティー”、“金融セキュリティー”、“個人的セキュリティー”を参照することができる。セキュリティー信号の代替の区分もまた用いることができる。1つの実施形態では、これらの信号間で一部重複するかもしれない。例えば、金融セキュリティー信号は、ユーザーの銀行口座やその他の金融口座に対するパスワードのパスワード強度を含むことができるが、それらは、コンピュータセキュリティー規定(computer security rubric)によっても含むことができる。
【0042】
識別情報表示(identity display)284は、セキュリティー信号の目に見える表示器を生成する。1つの実施形態では、識別情報表示284は、IPSシステムが稼働中のアプリケーションでないときでさえ、ユーザーインターフェース機能(user interface feature)を生成する、常に目に見える表示である。例えば、識別情報表示は、ユーザーのシステムが、WINDOWSTM VISTATMまたはWINDOWS 7TMオペレーティングシステムを起動しているなら、ディスクトップウィジェットであるかもしれない。図7Aは、そのようなディスクトップウィジェットの模範的なものを示す。1つの実施形態では、ウィジェットの色は、ユーザーのセキュリティー状態が良好であることを表示する。図7Bは、記号(symbol)を表すツールバーアイテムを示す。当該記号は、様々なセキュリティー状態で異なるようにすることができ、セキュリティー状態に応じて異なる色を有することができ、セキュリティー状態を表すのに言葉あるいは画像を含むことができ、または、さもなければ、ユーザーのセキュリティー状態が何であるかを一目で分かるように明らかにすることができる。上で述べたように、ユーザーのセキュリティーの様々な側面に対して、複数のセキュリティー状態が存在し得る。図7Cは、関連するセキュリティー表示器を有する複数の識別情報を表示する、模範的なウィジェットを図示する。さらに、当該表示は、ゲージ、グラフの棒、あるは、ユーザーの全体的なセキュリティーを視覚的に表示する、任意のその多の表示とすることもできる。
【0043】
ユーザーインターフェース275は、さらに、識別情報ブラウザ288を含むことができる。1つの実施形態では、識別情報ブラウザ288は、ユーザーのデジタル識別情報のスナップショットを取得するために、用いることができる。1つの実施形態では、本システムは、識別情報の様々なタイプによって、様々なツールをグループ分けする。例えば、識別情報は、オンライン識別情報、健康管理識別情報、金融識別情報、クレジット識別情報、ソーシャルネットワーキング識別情報、および/または、その他の識別情報を含むことができる。1つの実施形態では、識別情報ブラウザ288は、ユーザーの識別情報とやり取りするためにユーザーによって使用することができる。当該やり取りとは、例えば、彼らの医療データにアクセスすること、当該医療データを保護すること、および/または、当該医療データを管理すること、彼らのクレジットカードの支払いを見ることなどである。そのような識別情報の特定アクセスを生体情報保護ブラウザ(biometric-protected browser)に集約することは、消費者にとって、効果的であり、かつ、有益である。1つの実施形態では、IPSは、データプロバイダ(例えば、銀行、健康状態データ提供者、ソーシャルネットワーキングサイトなど)とともに機能することで、それらのソースからユーザーの個人データのビューを1つにまとめる。
【0044】
1つの実施形態では、企業規則システム(enterprise rule system)272は、企業体(corporate entity)または管理者に、評価ルールと、例えば、複数のユーザーシステムにわたる企業レベルの設定を定めることを可能とする。1つの実施形態では、企業規則システム272は、識別情報妥当性確認システム245だけでなく、識別情報登録235の要件もまた制御することができる。1つの実施形態では、企業規則システム272は、さらに、認証要件(例えば、パスワードと生体認証か、パスワードのみか)を設定することができる。1つの実施形態では、企業規則システム272は、さらに、ユーザーがIPSシステムを利用する必要のあるサイトを事前に登録することもできる。例えば、企業規則は、VPN(仮想専用線網(virtual private network))を利用するために、ユーザーはIPSシステムを介してログインしなければならず、生体認証とワンタイムパスワードで再認証しなければならないことを要求することができる。1つの実施形態では、企業規則システム272は、複数のユーザーシステムにわたって、パスワード強度を検査することができる。
【0045】
このように、IPSシステムは、統合された識別情報とセキュリティー管理を提供する。それらは、ユーザーに、彼らの全体的な状態だけでなく、個々のシステムの側面の状態も簡単に見ることができるようにする。さらに、IPSは、ユーザーに、様々なセキュリティーツールとやり取りすることを可能にする、統合されたシステムも提供する。
【0046】
図3は、システムのセキュリティーレベルを評価するために、本システムを用いる1つの実施形態のフローチャートである。プロセスは、セキュリティー評価が起動するときに、315から始まる。1つの実施形態では、セキュリティー評価は、変更が見つかったときに自動的に起動、周期的に起動、手動で起動、管理者によって起動することができ、あるいは、他のやり方で開始することができる。
【0047】
ブロック320における1つの実施形態では、本プロセスはオンライン識別情報が安全であるかどうかを決定する。1つの実施形態では、ユーザーは1以上のオンライン識別情報保護ツールを持つことができる。これらのツールは、ゲームサイトについての識別情報、電子メールの識別情報などを含むことができる。もし少なくとも1つのオンライン識別情報妥当性ツールがあるなら、本プロセスはブロック322に進む。ブロック322において、本プロセスは、オンライン識別0情報に対するセキュリティー状態を算定するために、オンライン識別情報妥当性確認ツールを利用する。もしオンライン識別情報セキュリティーツールが1つもないなら、1つの実施形態では、ブロック325におけるプロセスは、オンライン識別情報のセキュリティー値を最低値に設定する。別の実施形態では、デフォルト設定は“中央値(medium value)”設定であり、最低値は実際に問題が見つかったときのみに設定される。その後、本プロセスはブロック330に進む。
【0048】
ブロック330におけるプロセスは、健康管理識別情報に対して同様の妥当性確認を行う。ブロック340では金融識別情報、ブロック350ではクレジット識別情報、ブロック360ではソーシャルネットワーキング識別情報である。ここで留意すべきは、これらが、単に、識別情報の模範的な種類であるにすぎないことである。実際の実施では、これら識別情報の部分集合、または、上位集合(superset)を含むことができる。1つの実施形態では、単一の識別情報妥当性確認ツールのみが、このプロセスのために必要とされる。
【0049】
ブロック370において、全体のセキュリティー値は、それぞれの識別情報の相対的なスコアに基づいて、すべての識別情報に対して生成される。1つの実施形態では、様々な識別情報は、さらに、相対的な重み付けをすることができる。例えば、ユーザーは、自らのクレジット識別情報がソーシャルネットワーキング識別情報よりも価値があるということを指示することができる。したがって、クレジット識別情報の結果は、全体のスコアを計算する際に、より重く重み付けすることができる。その後、本プロセスは終了する。この全体のセキュリティー値は、ユーザーに表示することができる。1つの実施形態では、それは、ユーザーにある一定の変更を促すため、例えば、結果が改善されるように変更させるように、用いることもできる。
【0050】
図4は、特定の識別情報のセキュリティーレベルを評価するシステムの1つの実施形態のフローチャートである。1つの実施形態では、これは、上述の図3において参照されたツールによる評価の1つに相当する。
【0051】
ブロック420において、本プロセスは、ユーザーが、いかなるタイプの保護にも、同意するかどうかを判断する。もし同意しないなら、1つの実施形態では、ブロック425において、最低セキュリティーレベルが特定のツールに対して表示される。1つの実施形態では、1以上のツールに同意するように、忠告(suggestion)がユーザーになされる。その後、本プロセスはブロック475で終了する。
【0052】
もしユーザーがツールに同意するなら、本プロセスはブロック430に進む。ブロック430において、本プロセスは、ツールが適切に構成されているかどうかを判断する。1つの実施形態では、ツールは、必要とするデータにアクセスできるように適切に構成され、評価を実行するように設定される。
【0053】
もしツールが適切に構成されていないなら、ブロック435において、低いセキュリティーレベルが設定される。別の実施形態では、セキュリティーレベルは、最低セキュリティーレベルとなる。その後、本プロセスはブロック475で終了する。
【0054】
もしツールが適切に構成されているなら、本プロセスは、ブロック440に進む。ブロック440において、本プロセスは、その評価を実行するための、ツールに対するデータが、最近受け取られたものかどうかを判断する。もし受け取っているなら、ブロック465において、前記データは、該データに基づいてセキュリティーレベルを決定するために評価される。1つの実施形態では、前記データは問題ありまたは問題なしを示すことができる。もし問題ありが示されたなら、1つの実施形態では、ツールに対するセキュリティーレベルが下がることになる。1つの実施形態では、さらに、特定のセキュリティー評価結果に対して、独立したアラートあるいはその他の表示器も起動される。例えば、ツールが信用評価ツールである場合で、前記データが、対処すべきことを要する不正使用警告(fraud alert)を示している場合に、ユーザーは警告され得る。例えば、電子メールが送られるか、特別な警告信号がツールバー、ウィジェットあるいはその他の表示機構に付加されるか、音声警告が与えられるか、または、別の表示器が使用されるかもしれない。
【0055】
ブロック470において、セキュリティーレベルは、評価結果に基づいて設定される。1つの実施形態では、このセキュリティーレベルは、識別情報妥当性確認ツールに割り当てられる。さらに、それは、この特定の識別情報グループと、同様に全体のセキュリティー状態表示器とに対する、組み合わされたセキュリティー評価の計算にも用いられる。その後、本プロセスは終了する。
【0056】
ブロック440において、もし本プロセスが、データを最近受け取っていないと判断されたなら、本プロセスは、ブロック445に進む。ブロック445において、本プロセスは、前記データがプッシュ型かプル型かを判断する。ブッシュ型データは自動的にサービスによって送られる。プル型のデータは、本システムによって要求される。もし前記データがプル型データなら、ブロック450において、本プロセスは最新のデータを引き出す。その後、本プロセスは、ブロック465に進み、新たなデータに基づいてセキュリティー評価を実行する。
【0057】
もし前記データがプッシュ型データなら、本プロセスは、ブロック455において、時間経過(time lapse)が長すぎるかどうかを判断する。もし時間が長すぎなければ、ブロック465において、古いデータがセキュリティーレベルの評価に用いられる。もし時間経過が長すぎるなら、ブロック460における1つの実施形態では、本システムは、ツールに、データの不足を原因とする構成エラー(configuration error)があることを表示させ、セキュリティーレベルが、低いレベルに設定される。その後、本プロセスはブロック475で終了する。
【0058】
図5Aは、パスワードセキュリティーレベルを評価するシステムの1つの実施形態のフローチャートである。プロセスはブロック510から始まる。ブロック515において、セキュリティー評価に対するトリガーが検出される。1つの実施形態では、任意のツールまたは設定における変更は、セキュリティー評価の引き金となり得る。1つの実施形態では、セキュリティーツールまたはパスワードリストへの1以上の新たな項目の付加は、セキュリティー評価の引き金となり得る。1つの実施形態では、もし特定の期間が満了したなら、セキュリティー評価を起動することができる。
【0059】
ブロック520において、本プロセスは、本システムに登録されているパスワードがあるかどうかを判断する。本システムに登録されているパスワードが1つもなければ、本プロセスは、ブロック560に進む。
【0060】
もしブロック520において、本システムは登録されたパスワードがあると判断したなら、本プロセスはブロック530に進む。
【0061】
ブロック530において、本システムは、各パスワードに対するセキュリティー評価を実行する。1つの実施形態では、図5Bに示されるセキュリティー評価が実行される。ブロック535において、格付けは、パスワードごとに付けられる。1つの実施形態において、格付けは、3つの格付け(赤色、黄色、緑色)の1つである。別の実施形態では、別のレベルの集合が付けられるかもしれない。
【0062】
ブロック540において、本プロセスは、1つよりも多い登録されたパスワードがあるかどうかを判断する。もしあるとしたら、ブロック550においてパスワードの共通性が評価される。ブロック555において、連帯パスワードセキュリティー格付け(joint password security rating)が計算される。連帯パスワードセキュリティー格付けは、それぞれ個々のパスワードの格付けと、パスワード共通性格付け(password commonality rating)とに基づいて計算される。その後、本プロセスはブロック560に進む。
【0063】
ブロック560において、パスワードを含むすべての格付けおよびアプリケーションは、全体のセキュリティー状態を生成するのに用いられる。1つの実施形態では、格付けは、各セキュリティーツールの相対的な重要性によって重み付けされる。1つの実施形態では、本システムは、デフォルトの重み付けを含む。1つの実施形態では、デフォルトの重み付けは、金融関連のツールに、追加的な重みを与えることができる。1つの実施形態では、ユーザーまたは管理者は、利用する1つ以上のツールの相対的な重みを調節することができる。
【0064】
1つの実施形態では、ブロック565において、システム全体にわたるセキュリティー状態の表示器が生成される。上で述べたとおり、これは、ウィジェット(図7A)、ツールバーアイコン(図7B)、または、その他の視覚による識別子であるかもしれない。1つの実施形態では、視覚による識別子は、IPSが現在稼働中のアプリケーションでないときでさえも、目に見える表示を行う。しかし、1つの実施形態では、セキュリティー状態表示器が示される時はいつも、IPSシステムはバックグラウンドで実行している。ここで留意すべきは、図7Aと図7Bの例は、コード化された色であるのに対して他方では、代わりのコード化あるいは表示機構が用いられるかもしれない。例えば、当該表示は、数字、ゲージ、温度計、または、少なくとも2つのレベル(例えば、良いと悪い)を示すことができる、その他のあらゆるタイプの表示であるかもしれない。しかし、1つの実施形態では、さらにたくさんの段階(gradation)(例えば、10、20、あるいはそれ以上)があるかもしれない。その後、プロセスはブロック570で終了する。
【0065】
図6は、パスワードシステムを用いる1つの実施形態のフローチャートである。プロセスはブロック610から始まる。ブロック615において、ログインプロンプトを含むアプリケーションまたはページは、ユーザーによってアクセスされる。1つの実施形態では、ログオンプロンプトは、システムによって認識される。別の実施形態では、アドレス/アプリケーションは、システムによって認識される。
【0066】
ブロック620において、本プロセスは、ユーザーが登録されているかどうかを判断する。もしユーザーがシステムに登録された1以上の認証データを有しているなら、該ユーザーは登録されている。当該認証は、ユーザーIDおよびパスワード、生体認証、またはドキュメント、プログラム、サイトなどにアクセスするその他の手段を含むことができる。
【0067】
もしユーザーが登録されていないなら、ブロック625において、本プロセスは、ログインプロンプトが、予め設定された回数、現れているかどうかを判断する。1つの実施形態では、IPSシステムを利用することを望まないユーザーが苦にならないようにするために、IPSを使用することへの示唆は、制限された回数のみ現れる。もしプロンプトが、最大回数、現れているなら、本プロセスはブロック630で終了する。さもなければ、本プロセスは、ブロック645に進む。1つの実施形態では、当該最大回数は、ユーザーがオープンするか、またはそれ以外のやり方で、IPSシステムと対話するときに、再初期化される。
【0068】
もしユーザーがIPSシステムに、登録されているなら、ブロック620で決められるように、本プロセスはブロック635に進む。ブロック635において、本プロセスは、特定のアクセスページまたはアプリケーションが登録されているか否か、例えば、関係のあるパスワード/ユーザーIDが登録されているか否かを確かめる。もしそうならば、本プロセスは、ブロック640に進む。ブロック640において、ログイン動作が実行される。
【0069】
1つの実施形態では、ログイン動作は、ワンクリックログイン機能を画面に表示することである。1つの実施形態では、ログイン動作は、ユーザーID/パスワードを入れて、それをサブミットすることである。1つの実施形態では、ワンクリックログイン機能は、ユーザーに、一回のクリックだけでデフォルトの動作を実行できるようにする。一般に、デフォルトの動作は、ログインデータを入れて、それをサブミットすることかもしれない。1つの実施形態では、もし再認証が必要なければ、ユーザーインタラクション(user interaction)は、ログインを完了するために、全く必要とされない。1つの実施形態では、ワンクリックログイン機能から、ユーザーは、簡単に“ログイン変更(change log-in)”メニューにたどり着くことができ、または、IPSシステム内の別の動作を選択することができる。ログイン動作が実行された後、ブロック640において、本プロセスはブロック630で終了する。
【0070】
ブロック635において、もしログオン情報が登録されていないことが分かれば、本プロセスは、ブロック645に進む。また、これは、もしユーザーがIPSシステムにまだ登録されていない場合に到達するブロックでもある。
【0071】
ブロック645において、IPSプロンプトアイコンが表示される。IPSプロンプトアイコンは、IPSの識別情報保護システムが、このシステムにおいて利用可能であること、および、ユーザーがIPSシステムに現在のログインアカウントを追加することができることを、ユーザーに知らせる。
【0072】
ブロック650において、本プロセスは、ユーザーが登録することを選択した否かを確かめて、このログオン情報をIPSシステムに追加する。もしそうでないなら、本プロセスはブロック630において終了させ、ユーザーに、従来の方法を利用するアクセスを、完了させることを可能にする。
【0073】
もしユーザーが登録を選択したなら、本プロセスはブロック660に進む。ブロック660において、本プロセスは、ユーザーが、現在、IPSシステムにログインしているか否かを確かめる。1つの実施形態では、IPSシステムのログインは、定期的に期限切れになる。1つの実施形態では、ユーザーは、新たな登録事項を入れるために、毎回、IPSシステムにログインしなければならない。
【0074】
もしユーザーがログインしていないなら、ブロック665において、ユーザーはIPSシステムにログインすることを促される。ログインには、様々なタイプがあり得る。例えば、パスワード、生体認証、ワンタイムパスワード、スマートカード、現在知られている別のもの、または、これから開発される認証手段、または、これらログイン手段を組み合わせたものなどである。その後、本プロセスは、ブロック670に進む。
【0075】
ブロック670において、ユーザーは、アカウント/サイト/アプリケーションにアクセスするためのユーザー名とパスワードを入力することを促される。そして、本プロセスは、このデータを格納する。1つの実施形態では、ユーザーは、この特定のユーザーID/パスワードに対するお好み(preference)を設定する機会が与えられる。例えば、ユーザーは、金融口座にログインするために、追加の認証を行うことを好むかもしれない。その場合、生体認証を経由するログインが、このパスワード/ユーザーIDペアを解除するために要求されることを、ユーザーは指定することができる。そして、本プロセスは終了する。
【0076】
図8AからEは、IPSに対するインターフェースの1つの実施形態のスクリーンショットである。図8Aは、IPSインターフェースの典型的なスクリーンショットを示す。当該システムは、複数の典型的な識別情報を示す。1つの実施形態では、識別情報のそれぞれは、特定のタイプのツールに関係づけられる。ツールは、自動的に、さまざまな識別情報に割り当てられる。1つの実施形態では、ユーザーは、ツールを特定の識別情報に割り当てることができる。1つの実施形態では、識別情報のそれぞれは、関連付けられたセキュリティー格付けを有する。
【0077】
図8Bは、典型的なセキュリティーチェック画面を示す。図に示すように、すべてのパスワードに対する“平均セキュリティー強度(average security strength)”は、この画面に表示される。図に示すように、それぞれのパスワードに対するセキュリティー強度も示されている。さらに、パスワードの集合は、カテゴリー(例えば、金融、医療、ソーシャルネットワーク、など)によってグループ分けすることができ、カテゴリーレベルのセキュリティー強度表示器が表示される。
【0078】
図8Cはデジタル識別情報の1つの実施形態を示す。1つの実施形態では、デジタル識別情報は、カテゴリーによって種類に分けられる。
【0079】
図8Dは、生体情報(この場合においては、指紋)を用いたIPSシステムにログインすることの1つの実施形態を示す。示された例は、生体認証という1つだけの認証手段を用いているが、これは単に典型的なものであることに留意されたい。ログインは、パスワード、別のタイプの生体情報、スマートカード、または、その他の認証メカニズム、または、それらメカニズムの組合せであるかもしれない。
【0080】
図8Eは、ユーザーに、パスワードに対するセキュリティーレベルを分けるために、用いられるしきい値を、調節できるようにするインターフェースの1つの実施形態を示す。1つの実施形態では、同様のインターフェースは、カテゴリーごと、または、全システムに対する、全体の状態の算出と同様に、個々のセキュリティーツールを評価するためにも利用することができる。
【0081】
図9は、本発明を用いたコンピュータシステムの1つの実施形態である。当業者にとって明らかなことであろうが、様々なシステムアーキテクチャからなる、その他の代替的なシステムもまた用いることができる。
【0082】
図9に図示されるデータ処理システムは、バス、または、情報を通信するためのその他の内部通信手段915と、情報を処理するための、バス915に連結した処理ユニット(processing unit)910とを含む。当該システムは、さらに、情報やプロセッサ910で実行されるべき命令を格納するための、バス915に連結されるランダムアクセスメモリー(RAM)、または、その他の揮発性ストレージ装置950(メモリーと呼ぶ)を含む。さらに、メインメモリー950は、プロセッサ910による命令の実行中において、一時的な変数、または、その他の中間的な情報を格納するためも用いることができる。また、システムは、静的な情報やプロセッサ910に対する命令を格納するための、バス915に連結されたリードオンリーメモリー(ROM)および/または不揮発性ストレージ装置920と、磁気ディスクまたは光ディスク、それに相当するディスクドライブなどのようなデータストレージ装置925とを含む。データストレージ装置925は、情報や命令を格納するために、バス915に連結される。
【0083】
当該システムは、さらに、コンピュータユーザーに情報を表示するための、バス965を経由してバス915に連結されたブラウン管(CRT)または液晶ディスプレイ(LCD)などのような、表示装置970に連結される。また、英数字やその他のキーを含む、英数字入力装置975も、プロセッサ910に対して情報やコマンド選択の通信を行うために、バス965を介してバス915に連結される。付加的な入力デバイスは、例えば、マウス、トラックボール、ペン型入力機器、または、カーソル指示キー(cursor direction keys)などのような、カーソル制御装置980である。それは、処理ユニット910に対する指示情報やコマンド選択の通信を行うため、および、表示装置970上のカーソルの移動を制御するために、バス965を経由してバス915に連結される。
【0084】
コンピュータシステム900に、オプションとして連結することができる他の装置は、ネットワークを介して分散システムの他のノードをアクセスするための通信装置990である。通信装置990は、例えば、イーサーネット、トークンリング、インターネット、または、ワイドエリアネットワークなどと連結するために用いられるような、複数の市販されているネットワーキング周辺機器のうちのいくつかを含むことができる。通信装置990は、さらに、ヌルモデム接続(null-modem connection)、または、コンピュータシステム900と外部間の接続性(connectivity)を提供する、その他のメカニズムであるかもしない。
【0085】
コンピュータシステム900に、オプションとして連結することができる、他の装置は、生体センサー(biometric sensor)995である。生体センサー995は、指紋リーダー、虹彩スキャナー、顔認証または虹彩検出用のカメラ、音声認識用のマイクロフォン、あるいは、生体情報を得るためのその他のツールであるかもしれない。1つの実施形態では、当該システムは、スマートカードまたは同様の認証デバイスを受け入れるためのポートを含むことができる。図9に図示されたこのシステムのいくつかの、または、すべての構成要素、および、関連するハードウェアは、本発明の様々な実施形態において用いることができる。
【0086】
どんなシステムの構成でも、特定の実装に従って、さまざまな目的に対して使用され得ることは、当業者によって高く評価されるだろう。本発明を実装する、制御ロジック(control logic)またはソフトウェアは、メインメモリー950、データストレージ装置925、または、プロセッサ910にローカルまたはリモートにアクセス可能な、その他のストレージ媒体に格納することができる。
【0087】
本件出願に記載された、システム、方法およびプロセスは、メインメモリー950、または、不揮発性メモリー920に格納されたソフトウェアとして実装することができ、プロセッサ910によって実行されることは、当業者にとって明らかであろう。さらに、この制御ロジックまたはソフトウェアは、そこに組み入れられるコンピュータ読取り可能なプログラムコードを備え、データストレージ装置925によって読取り可能であるコンピュータ読取り可能な媒体からなる製品に含めることができ、本件出願における方法や教示したことに従って、プロセッサ910により動作する。
【0088】
また、本発明は、上述したコンピュータハードウェアのサブセットを含む、ハンドヘルド機器またはポータブル機器に具体化することもできる。例えば、ハンドヘルド機器(handheld device)は、バス915、プロセッサ910、メモリー950および/または925のみを含むように構成することもできる。また、ハンドヘルド機器は、ユーザーが使用可能なオプションの集合から選択され得る、ボタンまたは入力信号方式コンポーネントを含むように構成することもできる。また、ハンドヘルド機器は、当該ハンドヘルド機器のユーザーに情報を表示するための、液晶ディスプレイ(LCD)または表示要素マトリックス(display element matrix)などのような出力装置を含むように構成することもできる。従来の方法は、そのようなハンドヘルド装置を実装するために用いることができる。そのような装置向けの本発明の実装は、本件出願に記述されているような本発明が開示された技術分野の当業者にとって明らかなものであろう。
【0089】
また、本発明は、上述したコンピュータハードウェアコンポーネントのサブセットを含む、特殊用途の装置に具体化される。例えば、当該装置は、プロセッサ910、データストレージ装置925、バス915、メモリー950、および、ただの基本的なコミュニケーション機構(rudimentary communications mechanisms)、例えば、基本的な操作で装置と対話することを可能にする小型タッチスクリーンなどのような機構を、含むことができる。一般に、より特殊な用途の装置は、より少数の構成要素が、装置を機能させるために必要とされる。いくつかの装置では、ユーザーとの対話は、タッチスクリーン、または、小型の機構を用いて行われるかもしれない。どの構成のシステムも、特定の実装に従って、様々な用途に用いられ得ることは、当業者によって高く評価されるだろう。本発明を実装する、制御ロジックまたはソフトウェアは、プロセッサ910にローカルまたはリモートにアクセス可能な任意の機械可読媒体に格納することができる。機械可読媒体は、機械(例えば、コンピュータ)によって読取り可能な形式で格納するか、読取り可能な形式に変換するための任意の機構を含む。例えば、機械読取り可能媒体は、リードオンリーメモリー(ROM)、ランダムアクセスメモリー(RAM)、磁気ディスクストレージ媒体、光学式ストレージ媒体、フラッシュメモリー装置、電気的、光学的、音響的またはその他の形式の伝搬信号(例えば、搬送波、赤外線波、デジタル信号など)を含む。
【0090】
前述の詳細な説明において、本発明は、詳細な典型的実施形態に関して記載されている。しかし、さまざまな改良や変更は、特許請求の範囲に定める本発明の幅広い精神と範囲から逸脱することなく、行うことができる。したがって、明細書および図面は、制限的な意図というよりもむしろ、例示的なものにすぎないと考えるべきである。
【技術分野】
【0001】
本件出願は、米国特許仮出願第61/115512号(2008年11月17日出願)に基づく優先権を主張する。
【0002】
本発明は、識別情報保護に関連し、特に、識別情報保護スイート(identity protection suite)のための改善されたシステムを提供する。
【背景技術】
【0003】
ユーザーは、コンピュータ上でより活動的になり、識別情報についての彼らの関心が増している。ユーザーは、自らのデジタル識別情報のセキュリティーについて心配している。様々な特徴のある識別情報を保護するために、非常に多くのツールが存在する。しかしながら、先行技術では、これらのユーザーのデジタル識別情報の特徴のそれぞれは、別々に処理されなければならない。ユーザーは、彼らのシステムと識別情報を保護することを試みるために、アンチウィルスソフト、暗号ソフト、その他のツールをダウンロードすることができる。
【発明の概要】
【発明が解決しようとする課題】
【0004】
ユーザーにとっての最大の関心事の1つは、401k口座から銀行口座やメールにいたるアカウントにアクセスするために用いられるパスワードである。ユーザーパスワードの盗難や、情報漏洩についての話は豊富にある。ユーザーは、彼らのアカウントを秘密にすることを望むだけでなく、利便性もまた望んでいる。近年、たいていのユーザーが有している、膨大な数のアカウントに関して、それらアカウントのそれぞれに対してパスワードを選択することと、それらパスワードは、それぞれ、十分な複雑さがあり、定期的に変更されることを保証することに問題がある。これは、消費者だけでなく銀行やその他の機関に対して、何百万ドルの損失の原因となる。
【課題を解決するための手段】
【0005】
ユーザーが自らの識別情報を保護することができるセントラルダッシュボードを与えることを含む方法を提供する。1つの実施形態では、セントラルダッシュボードは、様々な接続先(destination)における識別情報の集中コントロールを可能にする。
【0006】
本件出願において記載される方法および装置は、エンドユーザー識別情報保護スイート(IPS)である。当該IPSは、ユーザーに彼らの識別情報を保護できるようにするシステムを提供し、当該ユーザーに有用なフィードバックを与える。1つの実施形態において、識別情報は、例えば、オンライン識別情報(online identities)、クレジット識別情報(credit identities)、健康管理識別情報(healthcare identities)などの、複数のサブタイプを含む。エンドユーザーは、ラップトップ型コンピュータを購入する消費者、または、雇い主からコンピュータを受け取る企業のユーザー、または、IPSでのアカウントを有する共有システムのユーザーであるかもしれない。
【0007】
1つの実施形態では、IPSは、ユーザーに複数の識別情報を維持管理できるようにし、これらの識別情報のための保護を提供し、これらの識別情報のセキュリティーの表示器(indicator)を提供する。1つの実施形態では、識別情報へのアクセスは、生体認証(biometric)(例えば、指紋、虹彩認識、手形、顔認識、音声認識、タイピングパターン認識など)を介して提供される。これは、正しく認識されるユーザーに対する識別情報コントロールへのアクセスを、制限することによって、付加的なセキュリティーレベルをもたらす。別の実施形態では、パスワード、パスフレーズ、スマートカード、または、生体認証と1以上の前記認証方法との組合せを使用することができる。
【0008】
1つの実施形態では、認証は、さらに、単一解除機構(single release mechanism)を介して、格納されたパスワードへのアクセスも提供する。1つの実施形態では、前記単一解除機構は、例えば、諮問、顔認識、掌紋、音声認識、スマートカードなどのような生体認証であるかもしれない。1つの実施形態では、前記解除機構は、複数の証明書(credentials)(例えば、パスワードや生体認証)を含むことができる。
【0009】
さらに、1つの実施形態における方法は、強度に関して複数のパスワードを評価することを含む。1つの実施形態では、複数のパスワードにおける各パスワードは、特定のウェブサイト、ドキュメント、アプリケーション、または、ユーザーがパスワードを保有するか、ログインを行うその他のコンピュータアクセス可能なデータやサービスに関連する。パスワードの強度は、いかにたやすく当該パスワードを解読されるのかを表している。1つの実施形態では、複数のパスワードは、一緒に評価され、かつ、別々に評価される。パスワード評価は、パスワードの長さ、パスワードの複雑さ、パスワードの有効期限のうち1以上を含む。1つの実施形態では、さらに、本システムは、複数のパスワードを全体にわたって、パスワードの共通性を評価することで、複数のパスワードの全体的な強度についてのデータを提供する。
【0010】
1つの実施形態では、さらに、前記方法は、ユーザー識別情報のセキュリティーを評価するのに用いられる1以上の他の自己認識ツールへのインターフェースも提供する。1つの実施形態では、IPSは、識別情報保護ツールからフィードバックされるセキュリティー状態にアクセスして収集するための統一されたツールを提供する。前記ツールは、信用保護(credit protection)、オンライン識別情報保護、データ保護、健康状態へのアクセスと保護、および、識別情報および/またはデータ保護を提供するその他のツールを含むことができる。ここで留意すべきは、これらのツールは、コンピュータセキュリティー、データセキュリティー、または、マシンについての情報セキュリティーには、焦点を合わせていないことである。むしろ、これらのツールは、識別情報保護に関連する情報を厳重に保管するように設計されている。当該情報は、利用可能であり、制御可能であり、かつ/または、コンピュータでもしくはコンピュータを通して直接的に、あるいは、ネットワーク(例えば、インターネット、イントラネット、またはその他のネットワークアクセス可能なリソース)もしくはその他の手段を介してアクセス可能である。1つの実施形態では、本システムは、これらのツールのそれぞれの状態(例えば、可用性(availability)、利用度(utilization)など)を確認し、ツールに固有のセキュリティーレベルを図式的に表示する。
【0011】
1つの実施形態では、サードパーティによって供給されるツールは、本システムに組み込むことができる。1つの実施形態では、単一全体セキュリティー値(single overall security value)が計算される。1つの実施形態では、前記単一全体セキュリティー値は、ユーザーに図式的に表示される。先行技術では、例えば、ウィルス対策ソフト、暗号化ソフト、または、類似のソフトなどのようなセキュリティーシステムを監視および管理することの複雑さ、および、異なる場所からのアクセスや非常に異なる方法による管理を必要とする異なるシステムと絶えずやり取りしなければならないことのために、エンドユーザーの実際の保護レベルは、エンドユーザーが期待するもの、および、ユーザーに宣伝されているものからは著しく異なるものであった。1つの実施形態におけるIPS解決策は、これらのツールに対して統一されたインターフェースと操作を提供する。
【0012】
本発明は、同じ参照番号は同じような構成要素を参照する、添付の図面の図における例によって説明され、それによって制限されるものではない。
【図面の簡単な説明】
【0013】
【図1A】図1Aは、識別情報保護スイートに統合され得る構成要素からなる1つの実施形態のブロック図である。
【図1B】図1Bは、本発明が実施され得るネットワークの1つの実施形態のブロック図である。
【図2】図2は、エンドユーザー識別情報保護スイート(IPS)の1つの実施形態のブロック図である。
【図3】図3は、全体のセキュリティーレベルを評価するためのシステムを用いる1つの実施形態のフローチャート図である。
【図4】図4は、特定の識別情報のセキュリティーレベルを評価するシステムの1つの実施形態のフローチャート図である。
【図5】図5Aと図5Bは、パスワードの強度を評価するフローチャート図である。
【図6】図6は、パスワードシステムを利用するためのフローチャート図である。
【図7A】図7Aは、サイドバーガジェットの1つの実施形態のスクリーンショットである。
【図7B】図7Bは、ツールバー表示の1つの実施形態のスクリーンショットである。
【図7C】図7Cは、複数の識別情報を含むサイドバーガジェットの1つの実施形態のスクリーンショットである。
【図8】図8A〜Eは、IPSへのインターフェースの1つの実施形態のスクリーンショットである。
【図9】図9は、本発明で使用され得るコンピュータシステムの1つの実施形態のブロック図である。
【発明を実施するための形態】
【0014】
本発明の実施形態の以下の詳細な説明は、同じ参照番号は、同じような構成要素を示し、例として本発明を実施する具体的な実施形態を示す、添付された図面を参照する。これら実施形態の記載は、当業者が本発明を実施できるように、十分に詳細なものである。当業者は、他の実施形態が利用され得ることと、論理的な、機械的な、電気的な、機能的な変更およびそのほかの変更は、本発明の要旨を逸脱しない範囲で行われ得ることを理解する。したがって、以下の詳細な説明は、限定的な意味で解釈されるものではなく、本発明の範囲は、特許請求の範囲によってのみ定められる。
【0015】
図1Aは、識別情報保護スイートに統合され得るいくつかのツールからなる1つの実施形態のブロック図である。当該ブロック図は、IPSシステムで実装され得る識別情報保護体系(identity protection scheme)の可能な限りの側面を示す。ここで留意すべきは、実際の実装は、これら体系の側面の一部のみを含むことができ、または、ここには示されていない他の側面を含むことができる。
【0016】
1つの実施形態では、全体の“識別情報(identity)”とは、セキュリティーチェック、オンラインドキュメント貯蔵庫(online document vault)、信用監視(credit monitoring)、セキュリティー保護されたメールやインスタントメッセージ、視聴制限/児童保護(parental controls/child protection)、評判システム、保護されたアクセス、および、コンピュータアクセスコントロールのうち1つ以上のものを包含し得る様々な機能(feature)を含むことができる。セキュリティーチェックは、本システムに格納されたパスワードの強度を検証する。データ保護は、ユーザーに、ドキュメントをオンラインで安全に格納することを可能にする。1つの実施形態では、クレジット識別情報の機能は、簡単な“安全/注意/問題”型の表示器をユーザーに提供することができる。
【0017】
1つの実施形態では、アクセス保護は、IPS、識別情報ブラウザ、コンピュータ(デバイス)、および、ツール、アプリケーション、提供されるサービスまたはIPSを介してアクセスされるサービスのうち1つ以上のものへのアクセスを制御する。アクセス保護は、1つの実施形態では、生体認証のアクセス保護である。当該アクセス保護は、利用されているユーザー認証のセキュリティーの評価を含む。生体認証の使用は、たとえ複雑なパスワードでさえも、パスワードの使用よりも安全である。多要素認証(例えば、生体情報とパスワードまたはスマートカードを要求すること)は、単一要素認証よりも安全である。生体認証の使用は、ユーザーの身体的特徴(physical persona)を彼らのデジタル識別情報に結びつける認証方法を用いることで、強い識別情報保証を提供する。1つの実施形態では、妥当性確認(validation)の結果は、識別情報保護システムの一部として示される。これは、ユーザーの識別情報保護システムに関係する識別情報のための集中型ビューを可能にする。
【0018】
1つの実施形態では、評判システムは、リモート接続を経て信頼できる関係を確立するために“安全なユーザー”の考え(notion)を活用する。1つの実施形態では、安全なユーザー(例えば、安全なパスワード、安全な信用(secure credit)、安全なログオン、最新のウィルス対策保護を使用するユーザーなど)は、特定の相手または知らない相手に伝達するための個人情報窃盗(identity theft)に対して“十分に”保護されていることによって、信頼できる状態を活用できる。当該相手方は、これら安全なユーザーから取得した識別情報や情報を頼りにする。1つの実施形態では、評判システムは、さらに、ユーザーの“評判”または信頼性をさらに洗練するために、安全なユーザーによって行われるオンライン活動に関係する情報を活用する(例えば、有効なオンラインバンキング口座を持つことは、個人の識別情報を偽造することをより困難にさせる;ソーシャルネットワークで友人の幅広いネットワークを持つことは、個人の識別情報またはパーソナリティを証明することをより簡単にする;デジタル署名されたドキュメントを持つことは、これらのドキュメントに関する事実を証明することをより簡単にするなど)。1つの実施形態では、評判システムは、外部の評判システムから構成されるか、外部の評判システムを統合することができる。1つの実施形態では、評判システムは、ユーザーの身体的な実際の識別情報と認証とを結びつけるのに用いることができる。1つの実施形態では、ユーザーの身体的識別情報は、妥当であると認められるであろう。例えば、これは次のように行われるかもしれない:
1)その人が知っているであろうことのみを質問すること;
2)登録コードとともに、住所に書留郵便を送付すること(ただし、送付にはIDを要求する。それによって、指定された人のみがコードを取得することを保証し、アカウントと特定の人/住所を結び付ける);
3)例えば、管理者がいるキオスクやオフィスなどのような管理された場所で登録を要求すること;かつ/または
4)その他の手動のバックグランドチェックまたは識別情報チェックを行うこと。
【0019】
1つの実施形態では、ローミングシステムは、識別情報ローミングを提供する。それは、任意のブラウザや任意のシステムからのアクセスや認証を可能とする。1つの実施形態では、スマートフォン、または、その他のより小さなモバイル機器は、ローミングシステムに含めることもできる。これは、ユーザーが十分に安全なパスワードを利用できることを保証する。なぜなら、彼らは、どこでもそれらのパスワードにアクセスできるからである。さらに、ユーザーが利用状態にあるシステムであるかに関わらずユーザーフィードバックを提供する。1つの実施形態では、ローミングシステムは、認証されたユーザーに、任意のエンドポイントデバイス/ツールからIPSダッシュボード/ブラウザにアクセスすることを可能にする。1つの実施形態では、これは、すべての識別情報、セーブされたパスワード、IPSを介して提供されたその他のサービスやツールを含む。
【0020】
健康管理識別情報、クレジット識別情報、金融識別情報、ソーシャルネットワーキング識別情報は、IPSによって保護され得るいくつかの面(facet)である。例えば、クレジット識別情報は、EXPERIANTMによって提供される信用監視サービスのような信用監視サービス、一回限りのクレジットカード番号、その他の信用保証(credit securing)かつ/または監視オプションを含むことができる。健康管理識別情報は、GOOGLE(R)によって提供されるもの、またはその他のウェブベースデータストレージ、健康状態データベース、医者のファイルへのアクセスなどのような健康状態の記録を含む。1つの実施形態では、ソーシャルネットワーキング識別情報は、OpenIDや類似の識別情報、複数プレーヤーのゲームサイト、電子メールサイト、ブログサイト、セールスサイトなどを含む。
【0021】
これら、および他の機能は、IPSシステムで与えられる“識別情報保護”に従ってすべて収集され得る。ユーザーが自らの全体の識別情報状態を確かめられ得る集中した場所を提供することで、ユーザーインタラクションは簡略化される。1つの実施形態では、ユーザーは、単一インターフェースを介して、すべての機能が安全を生み出すように協力する様々な機能と、ユーザーの保護識別情報を管理できる。
【0022】
1つの実施形態では、全体の識別情報保護状態を示すことで、状態指標(status indicator)がユーザーに示される。1つの実施形態では、複数の状態指標は、様々なタイプの保護機能に対して利用できる。例えば、1つの実施形態では、それぞれの保護機能は、独立した評価を備え、そして、合算した全体のセキュリティー状態指標は、ユーザーのディスクトップに示される。当該ディスクトップ上に示されたものは、図7Aに示すようなウィジェット、例えば図7Bに示すようなタスクバーアイコン、ディスクトップアイコン、または、任意のフォーマットの表示であるかもしれない。当該任意のフォーマットの表示とは、コンピュータの通常動作中にユーザーに、一般に認識できるものである。したがって、1つの実施形態では、ユーザーは、別々に作動させる必要はなく、また、全体のセキュリティー状態を見るためにIPSシステムを選択する。
【0023】
図1Bは、本発明が実施されるネットワークの1つの実施形態のブロック図である。1つの実施形態では、IPSシステム110は、ユーザーコンピュータ120に存在する。IPSローミングサポート130は、ユーザーにとってアクセスし易いサーバ135に存在する。1つの実施形態では、IPSローミングサポート130は、認証されたユーザーに対してのみアクセス可能である。1つの実施形態では、生体認証は、ユーザーのデジタル識別情報が、彼らの実際の特徴(persona)に結び付けられる。サードパーティサーバ140は、ネットワーク150を介して、ユーザーまたはシステムによってアクセスされ得る。サードパーティサーバ140は、識別情報保護ツールプロバイダ160のほかに、アクセスポイント170もまた含むことができる。識別情報保護ツールプロバイダ160は、IPS110とやり取りする1以上の識別情報保護ツールを提供する。1つの実施形態では、アクセスポイントは、ユーザーの識別情報をチェックするために、本システムで用いられる。アクセスポイント170は、IPS110に格納されたパスワードを介して、ユーザーによってアクセスされ得る。
【0024】
図2は、エンドユーザー識別情報保護スイート(IPS)の1つの実施形態のブロック図である。本システムは、ユーザーに自らの識別情報を登録させることを可能にする登録システム230を含む。1つの実施形態における識別情報登録235は、システムログインと結び付けられる。1つの実施形態では、WINDOWSTMオペレーティングシステムベースのシステムに対して、識別情報登録235は、当該オペレーティングシステムへのユーザーログインに結び付けられる。1つの実施形態では、本システムは、ユーザーに全体のコンピュータシステムに対するパスワードを作ることを促す。1つの実施形態では、識別情報登録235は、登録された生体識別情報(例えば、指紋、顔の特徴、掌紋、など)を含む。1つの実施形態では、識別情報登録235は、さらに、個々のシステムについての異なるアクセス特権、パスワード、セキュリティー設定とともに様々なユーザーを含む。例えば、登録された1つの識別情報は、子供か大人かの識別情報であるかもしれない。ログインが子供の識別情報を確認したとき、本システムは、インターネットアクセスに対するチャイルドフィルタを作動させ、特定の分野へのアクセスを制限する。どの識別情報データも、暗号化された形式で安全に格納される(225)。
【0025】
ユーザーID/パスワード登録240は、ユーザーに、システム内の様々なアプリケーション、システムおよびウェブサイトに対するパスワードを安全に格納させることを可能にする。ここで、登録されたデータは、技術的に安全性が保証されたストレージ(secured storage)におけるユーザーID/パスワードデータ220に格納される。1つの実施形態では、当該データは、暗号化形式で格納される。
【0026】
1つの実施形式では、ユーザーID/パスワードデータは、一度、認証システム270が識別情報登録235からユーザー使用データを認証すると、解除される。1つの実施形態では、認証は、ユーザーの身体的特徴(physical self)と彼らの識別情報を結びつけた、生体認証である。1つの実施形態では、認証システム270は、一定期間経過後に再度の妥当性確認する(re-validate)ことをユーザーに要求するために、タイムアウトを備える。別の実施形態では、独立した妥当性確認は、各パスワードを解除するために要求される。1つの実施形態では、パスワードは、その解除に付随する特定の妥当性基準を備えることができる。例えば、ユーザーは、彼らの銀行口座にアクセスするために、それぞれのパスワードの解除に対する再度の妥当性確認を要求することができるが、電子メールアカウントに対するパスワード解除の時間切れを許可することができる。ユーザーは、さらに、1つの実施形態では、特定のタイプのパスワードを解除するために異なるレベルの妥当性確認を要求することができる。例えば、ユーザーは、投資口座などに対するログインデータを解放するために、パスワードや生体認証に対する妥当性確認レベルを設定することができる。1つの実施形態では、パスワードタイプは、妥当性確認基準と関連づけられる。例えば、金融機関に関連付けられた任意のパスワードは、妥当性確認基準の1つの集合(例えば、パスフレーズ、生体認証、それぞれの解除のために要求される再度の妥当性確認)を有することができ、一方、ソーシャルネットワークに関連するパスワードは、異なる妥当性確認基準(例えば、パスワードや、長いタイムアウト時間)を有することができる。
【0027】
1つの実施形態では、ユーザーインターフェース275は、登録指示システム(registration prompting system)280を含む。それは、1つ実施形態において、ユーザーに当該システムを用いて特定のログインを登録することを促す。1つの実施形態では、アプリケーションまたはウェブサイトのログインページが確認されたとき、ユーザーは、ログインパスワード/ユーザーIDを当該システムに追加することを促される。1つの実施形態では、各ページに対して、ユーザーは、登録することを3回促される。それを過ぎると、1つの実施形態では、ユーザーは二度と促されることはない。1つの実施形態では、プロンプティング(prompting)は、ログインページを見せたときに、IPSシステムに対するロゴの表示も含む。1つの実施形態では、本システムは、ウェブサイトがユーザー名とパスワードを要求するときに確認する。別の実施形態では、本システムは、そのようなデータ(例えば、本システムが、登録することができるウェブサイトのリストを含む)を要求する標準的なサイトのリストを有する。
【0028】
1つの実施形態では、ログイン指示システム(log-in prompting system)は、ユーザーにクリックでログインデータを入れられるように、ログイン項目をポップアップする。1つの実施形態では、再認証が要求されたならば、ユーザーはログイン指示システムによって促される。別の実施形態では、ログインデータの差し込みは自動である。1つの実施形態では、本システムは自動的に当該データを差し込み、それを提出する。1つの実施形態では、ユーザーは、システム全体、パスワードタイプ、および/またはパスワードレベルごとに、優先するものを設定することができる。
【0029】
識別情報妥当性確認システム(identity validation system)245は、さまざまな方法で、ユーザー識別情報のセキュリティーを検証する。個別パスワード評価器(individual password evaluator)250は、個々のパスワードのセキュリティーを評価する。1つの実施形態では、図4に示す方法は用いられる。各パスワードは、長さ、文字セットおよび有効期間(maturity)に対して評価される。例えば、短いパスワード、または、標準US英字(standard U.S. alphabetic character)のみ用いたパスワード、または、予め設定された有効期間よりも古いパスワードは、“非常に安全ではない”とみなされるであろう。1つの実施形態では、これは赤いライトによって表示することができる。1つの実施形態では、ユーザーまたは管理者は、設定を調節することができる。例えば、何をもって、何をもって非常に安全でないか、安全かの設定を調節する。
【0030】
もちろん、ライトによる示唆は、単なる提案である。別の設定、多少の段階的な変化は、本発明の範囲内で用いることができる。
【0031】
さらに、1つの実施形態では、お互いに関連するすべてのパスワードを評価する、全パスワード評価器(overall password evaluator)がある。1つの実施形態では、このパスワード評価器は、パスワード間の共通性を求める。ユーザーは、しばしば複数アカウントに同じパスワードを利用する。それは、危険な習慣である。したがって、全パスワード評価器255は、お互いに関するパスワードを評価する。
【0032】
1つの実施形態では、識別情報妥当性確認システム245は、さらに、その他の識別情報評価器260を含む。1つの実施形態では、他のセキュリティー評価器は、ファイル暗号化ユーティリティを含むことができる。1つの実施形態では、ファイル暗号化ユーティリティは、1つのファイル、フォルダ全体、および/または、ハードディスクドライブ全体を暗号化することを、ユーザーに許可する。1つの実施形態では、識別情報妥当性確認システム245は、セキュリティーのレベルを表示する際に、ファイル暗号化ユーティリティからデータを受け取る。1つの実施形態では、ツールの評価は、三重評価(three-fold evaluation)となり得る。本システムは、アプリケーションが、有効(active)であるかどうか、適切にインストールされているかどうか、使用されているかどうかを判断することができる。有効なアプリケーションとは、活動中のもの、例えば、実行中のものである。適切にインストールされたアプリケーションとは、提供するように設計された、セキュリティー/保護機能を適切に提供するように、セットアップされているものである。そして、アプリケーションは、コンピュータ、および/または、ユーザーが当該アプリケーションを利用するならば、使用されているとする。1つの実施形態では、これら3つのステップは、セキュリティー表示の3つのレベルに対応する。1つの実施形態では、本システムは、さらに、ツールがデフォルトで用いられているかどうかを判断することができる。ツールは、その保護を与えるために、ユーザーインタラクションを要求されないならば、デフォルトで用いられているものとされる。
【0033】
1つの実施形態では、その他のセキュリティー評価器は、メッセージ伝達暗号化ツール(messaging encryption tool)を含む。メッセージ伝達暗号化ツールは、電子メールメッセージ、インスタントメッセージ(IM)通信、その他のメッセージ伝達通信を、暗号化かつ/または署名することができる。1つの実施形態では、メッセージ伝達暗号化は、さらに、セキュリティーを評価するために、次の1以上の割合を利用することもできる:暗号化されたメッセージの割合、署名されたメッセージの割合、暗号化または署名された通信であって、その応答も暗号化または署名された割合。上述のように、1つの実施形態では、メッセージ送達暗号化ツールは、生データ(raw data)を与えて、メッセージ伝達暗号化ツールに対するセキュリティー評価器260は、メッセージ伝達暗号化ツールに対する全体のセキュリティーレベルを求めるために、当該データを利用する。
【0034】
1つの実施形態では、その他のセキュリティー評価器は、チャイルドログイン(child log-in)の設定を可能にするための、構成ツール(configuration tool)を含む。1つの実施形態では、別々のログイン(separate log-in)は、子供あるいはその他の制限されたユーザーに対して設定されたとき、構成ツールは、様々な機能(feature)/ウェブサイト/アプリケーション/ファイルまたはディレクトリのユーザーアカウントへのアクセスを制限することを、ユーザーができるようにする。1つの実施形態では、セキュリティー評価器260は、チャイルドログインがセットアップされたかどうか、もしセットアップされたなら、十分に設定されているかどうかを判断する。ここで留意すべきは、用語“チャイルドログイン”が用いられているが、当該ログインは、ユーザーの年齢や能力にかかわらず、システムへのアクセスが制限される任意の副次的なユーザー(secondary user)について記述していることである。
【0035】
1つの実施形態では、その他のセキュリティー評価器は、ウィルス、ワームまたはトロイの木馬などのような、コンピュータシステムに対する脅威を発見するためのツールである、悪質プログラム検出器(malicious program detector)を含む。1つの実施形態では、セキュリティーレベルは、悪質プログラムのシグネチャ(signature)を更新した最終日時、完全検査/クリーンアップ(full test/clean-up)をシステムに関して実行した最終日時、および、メモリー常駐で連続的に検証ツール(verification tools)を実行した際の可用性および機能性(functioning)のうちの1つ以上によって判断される。
【0036】
1つの実施形態では、その他のセキュリティー評価器に加えて、識別情報妥当性確認システム245は、サードパーティ評価器インターフェース265を含むことができる。サードパーティ評価器インターフェース265は、サードパーティツールが、リモートで実行されること、あるいはローカルで実行されることを可能にし、識別情報妥当性確認の表示の中に、それらの結果を統合することを可能にする。1つの実施形態では、サードパーティ評価器インターフェース265は、ユーザーに、サードパーティUI286を用いてサードパーティツールを操作することを可能にする。1つの実施形態では、サードパーティUI286は、設定を変更するため、対話するため、さもなければ、サードパーティツールを操作するための、IPSからの直接的なユーザーインターフェースを提供する。これは、セキュリティーツールを操作するために、統一されたユーザーインターフェースを提供する。
【0037】
1つの実施形態では、サードパーティツールは、信用調査ツール(credit checking tool)、信用規制ツール(credit freeze tool)、ウェブ自己認識ツール(web identity tool)などのようなツールを含むことができる。1つの実施形態では、信用調査ツールは、ユーザーの信用度(credit rating)を調査する。1つの実施形態では、信用規制ツールは、ユーザーの名前で、新しいクレジットカード、または、その他の信用限度額(credit line)を利用できるようにするために、任意の新たな信用照会がなされたかどうかを調査し、信用限度額を“解凍する(unfreezing)”前、および、新しい信用の発行を許可する前に、ユーザーの確認(user's confirmation)を潜在的に必要とする。ウェブ自己認識ツールは、任意の不快な(offensive)あるいは問題となる(problematic)項目があるかどうか、アカウントが悪意のあるユーザーによってアクセスされたかどうか、または、オンラインで利用可能な情報は、ユーザーの介入なしに修正されているかどうかを、確かめるために、ユーザーのウェブ上の存在感(user's web presence)を評価する。これらのツールのいくつかは、インターネットなどのような、ネットワークをスキャンする。1つの実施形態では、当該ツールは、ユーザーのシステムというよりはむしろサーバから実行することができ、当該ツールは、IPSシステムに結果を簡単に報告することができる。1つの実施形態では、これらの調査結果は、サードパーティ評価器インターフェース265で受け取ることができる。その後、これらの調査/ツールの結果は、利用できるツールのそれぞれに対する、セキュリティー値を計算するために利用される。
【0038】
それぞれ個々のツールは、パスワード、セキュリティー評価器、または、サードパーティツールに対して、個別の評価を与える。ここで留意すべきは、本件出願において与えられるツールのリストは、単に模範的なものにすぎない。ユーザーの識別情報を保証するための有益な、任意のツールは、本システムに統合することができ、IPSからその設定を操作することができる。部分的な統合は、いくつかのツールに対して可能であり、それは、当該ツールの評価結果を、IPSシステムに表示することを許可する。
【0039】
1つの実施形態では、識別情報妥当性確認システム245は、ユーザーに対する全体のセキュリティー格付け(security rating)を算定する。1つの実施形態では、ユーザーまたは管理者は、さまざまな目的に対して、識別情報評価システム245を設定することができる。例えば、当該設定は、もし“非常に弱い”と格付けされる、特定のアプリケーションまたはツールが存在する場合、全体のセキュリティー格付けを自動的に格下げすることができる。また、当該設定は、特定のアプリケーションまたはツールの割合が下向きである場合にのみ、セキュリティー格付けを格下げすることができる。1つの実施形態では、本システムは、デフォルトの設定を用いて事前設定がなされている。しかし、1つの実施形態では、ユーザーまたは管理者は、彼ら自身の好みに、それらの設定を調節することができる。1つの実施形態では、ユーザーまたは管理者は、別のセキュリティー評価器および/またはサードパーティ評価ツールを追加するとき、ユーザーまたは管理者は、そのツールの設定を操作するための機会が与えられる。1つの実施形態では、本システムは、全体のセキュリティー格付けからツールを除外することができる。1つの実施形態では、本システムは、ツールの格付けを重く重み付けすることができる。
【0040】
ユーザーインターフェース275は、セキュリティー信号ロジック(security signal logic)275を含む。セキュリティー信号ロジック275は、識別情報妥当性確認システム245の出力に基づいて、セキュリティー信号を生成する。1つの実施形態では、セキュリティー信号ロジック275は、ユーザーの全体的なセキュリティー状態を表示する個々の色コードを生成する。1つの実施形態では、色は、緑色(良好)、黄色(危険あり)、赤色(問題あり)である。別の実施形態では、多少の段階的な変化(gradation)は、用いられ得る。1つの実施形態では、セキュリティー信号は、危険(insecure)(1)から非常に安全(highly secure)(10)までを分類するのに、1から10までの数値とすることができる。別の実施形態では、尺度は、弱いと強いと間で、段階的な変化(グラデーション)の表示を用いることができる。また、代替の表示方法を用いることができる。1つの実施形態では、当該表示方法は、一目で分かるように、システム状態を通知することである。
【0041】
1つの実施形態では、個々のセキュリティー信号の代わりに、複数のセキュリティー信号を示すこともできる。例えば、ユーザーの金融セキュリティーに関連する側面に対する“金融セキュリティー”信号、ユーザー個人に関連する側面に対する“個人的セキュリティー(personal security)”があるかもしれない。別の例として、異なるセキュリティー信号は、“データセキュリティー”、“金融セキュリティー”、“個人的セキュリティー”を参照することができる。セキュリティー信号の代替の区分もまた用いることができる。1つの実施形態では、これらの信号間で一部重複するかもしれない。例えば、金融セキュリティー信号は、ユーザーの銀行口座やその他の金融口座に対するパスワードのパスワード強度を含むことができるが、それらは、コンピュータセキュリティー規定(computer security rubric)によっても含むことができる。
【0042】
識別情報表示(identity display)284は、セキュリティー信号の目に見える表示器を生成する。1つの実施形態では、識別情報表示284は、IPSシステムが稼働中のアプリケーションでないときでさえ、ユーザーインターフェース機能(user interface feature)を生成する、常に目に見える表示である。例えば、識別情報表示は、ユーザーのシステムが、WINDOWSTM VISTATMまたはWINDOWS 7TMオペレーティングシステムを起動しているなら、ディスクトップウィジェットであるかもしれない。図7Aは、そのようなディスクトップウィジェットの模範的なものを示す。1つの実施形態では、ウィジェットの色は、ユーザーのセキュリティー状態が良好であることを表示する。図7Bは、記号(symbol)を表すツールバーアイテムを示す。当該記号は、様々なセキュリティー状態で異なるようにすることができ、セキュリティー状態に応じて異なる色を有することができ、セキュリティー状態を表すのに言葉あるいは画像を含むことができ、または、さもなければ、ユーザーのセキュリティー状態が何であるかを一目で分かるように明らかにすることができる。上で述べたように、ユーザーのセキュリティーの様々な側面に対して、複数のセキュリティー状態が存在し得る。図7Cは、関連するセキュリティー表示器を有する複数の識別情報を表示する、模範的なウィジェットを図示する。さらに、当該表示は、ゲージ、グラフの棒、あるは、ユーザーの全体的なセキュリティーを視覚的に表示する、任意のその多の表示とすることもできる。
【0043】
ユーザーインターフェース275は、さらに、識別情報ブラウザ288を含むことができる。1つの実施形態では、識別情報ブラウザ288は、ユーザーのデジタル識別情報のスナップショットを取得するために、用いることができる。1つの実施形態では、本システムは、識別情報の様々なタイプによって、様々なツールをグループ分けする。例えば、識別情報は、オンライン識別情報、健康管理識別情報、金融識別情報、クレジット識別情報、ソーシャルネットワーキング識別情報、および/または、その他の識別情報を含むことができる。1つの実施形態では、識別情報ブラウザ288は、ユーザーの識別情報とやり取りするためにユーザーによって使用することができる。当該やり取りとは、例えば、彼らの医療データにアクセスすること、当該医療データを保護すること、および/または、当該医療データを管理すること、彼らのクレジットカードの支払いを見ることなどである。そのような識別情報の特定アクセスを生体情報保護ブラウザ(biometric-protected browser)に集約することは、消費者にとって、効果的であり、かつ、有益である。1つの実施形態では、IPSは、データプロバイダ(例えば、銀行、健康状態データ提供者、ソーシャルネットワーキングサイトなど)とともに機能することで、それらのソースからユーザーの個人データのビューを1つにまとめる。
【0044】
1つの実施形態では、企業規則システム(enterprise rule system)272は、企業体(corporate entity)または管理者に、評価ルールと、例えば、複数のユーザーシステムにわたる企業レベルの設定を定めることを可能とする。1つの実施形態では、企業規則システム272は、識別情報妥当性確認システム245だけでなく、識別情報登録235の要件もまた制御することができる。1つの実施形態では、企業規則システム272は、さらに、認証要件(例えば、パスワードと生体認証か、パスワードのみか)を設定することができる。1つの実施形態では、企業規則システム272は、さらに、ユーザーがIPSシステムを利用する必要のあるサイトを事前に登録することもできる。例えば、企業規則は、VPN(仮想専用線網(virtual private network))を利用するために、ユーザーはIPSシステムを介してログインしなければならず、生体認証とワンタイムパスワードで再認証しなければならないことを要求することができる。1つの実施形態では、企業規則システム272は、複数のユーザーシステムにわたって、パスワード強度を検査することができる。
【0045】
このように、IPSシステムは、統合された識別情報とセキュリティー管理を提供する。それらは、ユーザーに、彼らの全体的な状態だけでなく、個々のシステムの側面の状態も簡単に見ることができるようにする。さらに、IPSは、ユーザーに、様々なセキュリティーツールとやり取りすることを可能にする、統合されたシステムも提供する。
【0046】
図3は、システムのセキュリティーレベルを評価するために、本システムを用いる1つの実施形態のフローチャートである。プロセスは、セキュリティー評価が起動するときに、315から始まる。1つの実施形態では、セキュリティー評価は、変更が見つかったときに自動的に起動、周期的に起動、手動で起動、管理者によって起動することができ、あるいは、他のやり方で開始することができる。
【0047】
ブロック320における1つの実施形態では、本プロセスはオンライン識別情報が安全であるかどうかを決定する。1つの実施形態では、ユーザーは1以上のオンライン識別情報保護ツールを持つことができる。これらのツールは、ゲームサイトについての識別情報、電子メールの識別情報などを含むことができる。もし少なくとも1つのオンライン識別情報妥当性ツールがあるなら、本プロセスはブロック322に進む。ブロック322において、本プロセスは、オンライン識別0情報に対するセキュリティー状態を算定するために、オンライン識別情報妥当性確認ツールを利用する。もしオンライン識別情報セキュリティーツールが1つもないなら、1つの実施形態では、ブロック325におけるプロセスは、オンライン識別情報のセキュリティー値を最低値に設定する。別の実施形態では、デフォルト設定は“中央値(medium value)”設定であり、最低値は実際に問題が見つかったときのみに設定される。その後、本プロセスはブロック330に進む。
【0048】
ブロック330におけるプロセスは、健康管理識別情報に対して同様の妥当性確認を行う。ブロック340では金融識別情報、ブロック350ではクレジット識別情報、ブロック360ではソーシャルネットワーキング識別情報である。ここで留意すべきは、これらが、単に、識別情報の模範的な種類であるにすぎないことである。実際の実施では、これら識別情報の部分集合、または、上位集合(superset)を含むことができる。1つの実施形態では、単一の識別情報妥当性確認ツールのみが、このプロセスのために必要とされる。
【0049】
ブロック370において、全体のセキュリティー値は、それぞれの識別情報の相対的なスコアに基づいて、すべての識別情報に対して生成される。1つの実施形態では、様々な識別情報は、さらに、相対的な重み付けをすることができる。例えば、ユーザーは、自らのクレジット識別情報がソーシャルネットワーキング識別情報よりも価値があるということを指示することができる。したがって、クレジット識別情報の結果は、全体のスコアを計算する際に、より重く重み付けすることができる。その後、本プロセスは終了する。この全体のセキュリティー値は、ユーザーに表示することができる。1つの実施形態では、それは、ユーザーにある一定の変更を促すため、例えば、結果が改善されるように変更させるように、用いることもできる。
【0050】
図4は、特定の識別情報のセキュリティーレベルを評価するシステムの1つの実施形態のフローチャートである。1つの実施形態では、これは、上述の図3において参照されたツールによる評価の1つに相当する。
【0051】
ブロック420において、本プロセスは、ユーザーが、いかなるタイプの保護にも、同意するかどうかを判断する。もし同意しないなら、1つの実施形態では、ブロック425において、最低セキュリティーレベルが特定のツールに対して表示される。1つの実施形態では、1以上のツールに同意するように、忠告(suggestion)がユーザーになされる。その後、本プロセスはブロック475で終了する。
【0052】
もしユーザーがツールに同意するなら、本プロセスはブロック430に進む。ブロック430において、本プロセスは、ツールが適切に構成されているかどうかを判断する。1つの実施形態では、ツールは、必要とするデータにアクセスできるように適切に構成され、評価を実行するように設定される。
【0053】
もしツールが適切に構成されていないなら、ブロック435において、低いセキュリティーレベルが設定される。別の実施形態では、セキュリティーレベルは、最低セキュリティーレベルとなる。その後、本プロセスはブロック475で終了する。
【0054】
もしツールが適切に構成されているなら、本プロセスは、ブロック440に進む。ブロック440において、本プロセスは、その評価を実行するための、ツールに対するデータが、最近受け取られたものかどうかを判断する。もし受け取っているなら、ブロック465において、前記データは、該データに基づいてセキュリティーレベルを決定するために評価される。1つの実施形態では、前記データは問題ありまたは問題なしを示すことができる。もし問題ありが示されたなら、1つの実施形態では、ツールに対するセキュリティーレベルが下がることになる。1つの実施形態では、さらに、特定のセキュリティー評価結果に対して、独立したアラートあるいはその他の表示器も起動される。例えば、ツールが信用評価ツールである場合で、前記データが、対処すべきことを要する不正使用警告(fraud alert)を示している場合に、ユーザーは警告され得る。例えば、電子メールが送られるか、特別な警告信号がツールバー、ウィジェットあるいはその他の表示機構に付加されるか、音声警告が与えられるか、または、別の表示器が使用されるかもしれない。
【0055】
ブロック470において、セキュリティーレベルは、評価結果に基づいて設定される。1つの実施形態では、このセキュリティーレベルは、識別情報妥当性確認ツールに割り当てられる。さらに、それは、この特定の識別情報グループと、同様に全体のセキュリティー状態表示器とに対する、組み合わされたセキュリティー評価の計算にも用いられる。その後、本プロセスは終了する。
【0056】
ブロック440において、もし本プロセスが、データを最近受け取っていないと判断されたなら、本プロセスは、ブロック445に進む。ブロック445において、本プロセスは、前記データがプッシュ型かプル型かを判断する。ブッシュ型データは自動的にサービスによって送られる。プル型のデータは、本システムによって要求される。もし前記データがプル型データなら、ブロック450において、本プロセスは最新のデータを引き出す。その後、本プロセスは、ブロック465に進み、新たなデータに基づいてセキュリティー評価を実行する。
【0057】
もし前記データがプッシュ型データなら、本プロセスは、ブロック455において、時間経過(time lapse)が長すぎるかどうかを判断する。もし時間が長すぎなければ、ブロック465において、古いデータがセキュリティーレベルの評価に用いられる。もし時間経過が長すぎるなら、ブロック460における1つの実施形態では、本システムは、ツールに、データの不足を原因とする構成エラー(configuration error)があることを表示させ、セキュリティーレベルが、低いレベルに設定される。その後、本プロセスはブロック475で終了する。
【0058】
図5Aは、パスワードセキュリティーレベルを評価するシステムの1つの実施形態のフローチャートである。プロセスはブロック510から始まる。ブロック515において、セキュリティー評価に対するトリガーが検出される。1つの実施形態では、任意のツールまたは設定における変更は、セキュリティー評価の引き金となり得る。1つの実施形態では、セキュリティーツールまたはパスワードリストへの1以上の新たな項目の付加は、セキュリティー評価の引き金となり得る。1つの実施形態では、もし特定の期間が満了したなら、セキュリティー評価を起動することができる。
【0059】
ブロック520において、本プロセスは、本システムに登録されているパスワードがあるかどうかを判断する。本システムに登録されているパスワードが1つもなければ、本プロセスは、ブロック560に進む。
【0060】
もしブロック520において、本システムは登録されたパスワードがあると判断したなら、本プロセスはブロック530に進む。
【0061】
ブロック530において、本システムは、各パスワードに対するセキュリティー評価を実行する。1つの実施形態では、図5Bに示されるセキュリティー評価が実行される。ブロック535において、格付けは、パスワードごとに付けられる。1つの実施形態において、格付けは、3つの格付け(赤色、黄色、緑色)の1つである。別の実施形態では、別のレベルの集合が付けられるかもしれない。
【0062】
ブロック540において、本プロセスは、1つよりも多い登録されたパスワードがあるかどうかを判断する。もしあるとしたら、ブロック550においてパスワードの共通性が評価される。ブロック555において、連帯パスワードセキュリティー格付け(joint password security rating)が計算される。連帯パスワードセキュリティー格付けは、それぞれ個々のパスワードの格付けと、パスワード共通性格付け(password commonality rating)とに基づいて計算される。その後、本プロセスはブロック560に進む。
【0063】
ブロック560において、パスワードを含むすべての格付けおよびアプリケーションは、全体のセキュリティー状態を生成するのに用いられる。1つの実施形態では、格付けは、各セキュリティーツールの相対的な重要性によって重み付けされる。1つの実施形態では、本システムは、デフォルトの重み付けを含む。1つの実施形態では、デフォルトの重み付けは、金融関連のツールに、追加的な重みを与えることができる。1つの実施形態では、ユーザーまたは管理者は、利用する1つ以上のツールの相対的な重みを調節することができる。
【0064】
1つの実施形態では、ブロック565において、システム全体にわたるセキュリティー状態の表示器が生成される。上で述べたとおり、これは、ウィジェット(図7A)、ツールバーアイコン(図7B)、または、その他の視覚による識別子であるかもしれない。1つの実施形態では、視覚による識別子は、IPSが現在稼働中のアプリケーションでないときでさえも、目に見える表示を行う。しかし、1つの実施形態では、セキュリティー状態表示器が示される時はいつも、IPSシステムはバックグラウンドで実行している。ここで留意すべきは、図7Aと図7Bの例は、コード化された色であるのに対して他方では、代わりのコード化あるいは表示機構が用いられるかもしれない。例えば、当該表示は、数字、ゲージ、温度計、または、少なくとも2つのレベル(例えば、良いと悪い)を示すことができる、その他のあらゆるタイプの表示であるかもしれない。しかし、1つの実施形態では、さらにたくさんの段階(gradation)(例えば、10、20、あるいはそれ以上)があるかもしれない。その後、プロセスはブロック570で終了する。
【0065】
図6は、パスワードシステムを用いる1つの実施形態のフローチャートである。プロセスはブロック610から始まる。ブロック615において、ログインプロンプトを含むアプリケーションまたはページは、ユーザーによってアクセスされる。1つの実施形態では、ログオンプロンプトは、システムによって認識される。別の実施形態では、アドレス/アプリケーションは、システムによって認識される。
【0066】
ブロック620において、本プロセスは、ユーザーが登録されているかどうかを判断する。もしユーザーがシステムに登録された1以上の認証データを有しているなら、該ユーザーは登録されている。当該認証は、ユーザーIDおよびパスワード、生体認証、またはドキュメント、プログラム、サイトなどにアクセスするその他の手段を含むことができる。
【0067】
もしユーザーが登録されていないなら、ブロック625において、本プロセスは、ログインプロンプトが、予め設定された回数、現れているかどうかを判断する。1つの実施形態では、IPSシステムを利用することを望まないユーザーが苦にならないようにするために、IPSを使用することへの示唆は、制限された回数のみ現れる。もしプロンプトが、最大回数、現れているなら、本プロセスはブロック630で終了する。さもなければ、本プロセスは、ブロック645に進む。1つの実施形態では、当該最大回数は、ユーザーがオープンするか、またはそれ以外のやり方で、IPSシステムと対話するときに、再初期化される。
【0068】
もしユーザーがIPSシステムに、登録されているなら、ブロック620で決められるように、本プロセスはブロック635に進む。ブロック635において、本プロセスは、特定のアクセスページまたはアプリケーションが登録されているか否か、例えば、関係のあるパスワード/ユーザーIDが登録されているか否かを確かめる。もしそうならば、本プロセスは、ブロック640に進む。ブロック640において、ログイン動作が実行される。
【0069】
1つの実施形態では、ログイン動作は、ワンクリックログイン機能を画面に表示することである。1つの実施形態では、ログイン動作は、ユーザーID/パスワードを入れて、それをサブミットすることである。1つの実施形態では、ワンクリックログイン機能は、ユーザーに、一回のクリックだけでデフォルトの動作を実行できるようにする。一般に、デフォルトの動作は、ログインデータを入れて、それをサブミットすることかもしれない。1つの実施形態では、もし再認証が必要なければ、ユーザーインタラクション(user interaction)は、ログインを完了するために、全く必要とされない。1つの実施形態では、ワンクリックログイン機能から、ユーザーは、簡単に“ログイン変更(change log-in)”メニューにたどり着くことができ、または、IPSシステム内の別の動作を選択することができる。ログイン動作が実行された後、ブロック640において、本プロセスはブロック630で終了する。
【0070】
ブロック635において、もしログオン情報が登録されていないことが分かれば、本プロセスは、ブロック645に進む。また、これは、もしユーザーがIPSシステムにまだ登録されていない場合に到達するブロックでもある。
【0071】
ブロック645において、IPSプロンプトアイコンが表示される。IPSプロンプトアイコンは、IPSの識別情報保護システムが、このシステムにおいて利用可能であること、および、ユーザーがIPSシステムに現在のログインアカウントを追加することができることを、ユーザーに知らせる。
【0072】
ブロック650において、本プロセスは、ユーザーが登録することを選択した否かを確かめて、このログオン情報をIPSシステムに追加する。もしそうでないなら、本プロセスはブロック630において終了させ、ユーザーに、従来の方法を利用するアクセスを、完了させることを可能にする。
【0073】
もしユーザーが登録を選択したなら、本プロセスはブロック660に進む。ブロック660において、本プロセスは、ユーザーが、現在、IPSシステムにログインしているか否かを確かめる。1つの実施形態では、IPSシステムのログインは、定期的に期限切れになる。1つの実施形態では、ユーザーは、新たな登録事項を入れるために、毎回、IPSシステムにログインしなければならない。
【0074】
もしユーザーがログインしていないなら、ブロック665において、ユーザーはIPSシステムにログインすることを促される。ログインには、様々なタイプがあり得る。例えば、パスワード、生体認証、ワンタイムパスワード、スマートカード、現在知られている別のもの、または、これから開発される認証手段、または、これらログイン手段を組み合わせたものなどである。その後、本プロセスは、ブロック670に進む。
【0075】
ブロック670において、ユーザーは、アカウント/サイト/アプリケーションにアクセスするためのユーザー名とパスワードを入力することを促される。そして、本プロセスは、このデータを格納する。1つの実施形態では、ユーザーは、この特定のユーザーID/パスワードに対するお好み(preference)を設定する機会が与えられる。例えば、ユーザーは、金融口座にログインするために、追加の認証を行うことを好むかもしれない。その場合、生体認証を経由するログインが、このパスワード/ユーザーIDペアを解除するために要求されることを、ユーザーは指定することができる。そして、本プロセスは終了する。
【0076】
図8AからEは、IPSに対するインターフェースの1つの実施形態のスクリーンショットである。図8Aは、IPSインターフェースの典型的なスクリーンショットを示す。当該システムは、複数の典型的な識別情報を示す。1つの実施形態では、識別情報のそれぞれは、特定のタイプのツールに関係づけられる。ツールは、自動的に、さまざまな識別情報に割り当てられる。1つの実施形態では、ユーザーは、ツールを特定の識別情報に割り当てることができる。1つの実施形態では、識別情報のそれぞれは、関連付けられたセキュリティー格付けを有する。
【0077】
図8Bは、典型的なセキュリティーチェック画面を示す。図に示すように、すべてのパスワードに対する“平均セキュリティー強度(average security strength)”は、この画面に表示される。図に示すように、それぞれのパスワードに対するセキュリティー強度も示されている。さらに、パスワードの集合は、カテゴリー(例えば、金融、医療、ソーシャルネットワーク、など)によってグループ分けすることができ、カテゴリーレベルのセキュリティー強度表示器が表示される。
【0078】
図8Cはデジタル識別情報の1つの実施形態を示す。1つの実施形態では、デジタル識別情報は、カテゴリーによって種類に分けられる。
【0079】
図8Dは、生体情報(この場合においては、指紋)を用いたIPSシステムにログインすることの1つの実施形態を示す。示された例は、生体認証という1つだけの認証手段を用いているが、これは単に典型的なものであることに留意されたい。ログインは、パスワード、別のタイプの生体情報、スマートカード、または、その他の認証メカニズム、または、それらメカニズムの組合せであるかもしれない。
【0080】
図8Eは、ユーザーに、パスワードに対するセキュリティーレベルを分けるために、用いられるしきい値を、調節できるようにするインターフェースの1つの実施形態を示す。1つの実施形態では、同様のインターフェースは、カテゴリーごと、または、全システムに対する、全体の状態の算出と同様に、個々のセキュリティーツールを評価するためにも利用することができる。
【0081】
図9は、本発明を用いたコンピュータシステムの1つの実施形態である。当業者にとって明らかなことであろうが、様々なシステムアーキテクチャからなる、その他の代替的なシステムもまた用いることができる。
【0082】
図9に図示されるデータ処理システムは、バス、または、情報を通信するためのその他の内部通信手段915と、情報を処理するための、バス915に連結した処理ユニット(processing unit)910とを含む。当該システムは、さらに、情報やプロセッサ910で実行されるべき命令を格納するための、バス915に連結されるランダムアクセスメモリー(RAM)、または、その他の揮発性ストレージ装置950(メモリーと呼ぶ)を含む。さらに、メインメモリー950は、プロセッサ910による命令の実行中において、一時的な変数、または、その他の中間的な情報を格納するためも用いることができる。また、システムは、静的な情報やプロセッサ910に対する命令を格納するための、バス915に連結されたリードオンリーメモリー(ROM)および/または不揮発性ストレージ装置920と、磁気ディスクまたは光ディスク、それに相当するディスクドライブなどのようなデータストレージ装置925とを含む。データストレージ装置925は、情報や命令を格納するために、バス915に連結される。
【0083】
当該システムは、さらに、コンピュータユーザーに情報を表示するための、バス965を経由してバス915に連結されたブラウン管(CRT)または液晶ディスプレイ(LCD)などのような、表示装置970に連結される。また、英数字やその他のキーを含む、英数字入力装置975も、プロセッサ910に対して情報やコマンド選択の通信を行うために、バス965を介してバス915に連結される。付加的な入力デバイスは、例えば、マウス、トラックボール、ペン型入力機器、または、カーソル指示キー(cursor direction keys)などのような、カーソル制御装置980である。それは、処理ユニット910に対する指示情報やコマンド選択の通信を行うため、および、表示装置970上のカーソルの移動を制御するために、バス965を経由してバス915に連結される。
【0084】
コンピュータシステム900に、オプションとして連結することができる他の装置は、ネットワークを介して分散システムの他のノードをアクセスするための通信装置990である。通信装置990は、例えば、イーサーネット、トークンリング、インターネット、または、ワイドエリアネットワークなどと連結するために用いられるような、複数の市販されているネットワーキング周辺機器のうちのいくつかを含むことができる。通信装置990は、さらに、ヌルモデム接続(null-modem connection)、または、コンピュータシステム900と外部間の接続性(connectivity)を提供する、その他のメカニズムであるかもしない。
【0085】
コンピュータシステム900に、オプションとして連結することができる、他の装置は、生体センサー(biometric sensor)995である。生体センサー995は、指紋リーダー、虹彩スキャナー、顔認証または虹彩検出用のカメラ、音声認識用のマイクロフォン、あるいは、生体情報を得るためのその他のツールであるかもしれない。1つの実施形態では、当該システムは、スマートカードまたは同様の認証デバイスを受け入れるためのポートを含むことができる。図9に図示されたこのシステムのいくつかの、または、すべての構成要素、および、関連するハードウェアは、本発明の様々な実施形態において用いることができる。
【0086】
どんなシステムの構成でも、特定の実装に従って、さまざまな目的に対して使用され得ることは、当業者によって高く評価されるだろう。本発明を実装する、制御ロジック(control logic)またはソフトウェアは、メインメモリー950、データストレージ装置925、または、プロセッサ910にローカルまたはリモートにアクセス可能な、その他のストレージ媒体に格納することができる。
【0087】
本件出願に記載された、システム、方法およびプロセスは、メインメモリー950、または、不揮発性メモリー920に格納されたソフトウェアとして実装することができ、プロセッサ910によって実行されることは、当業者にとって明らかであろう。さらに、この制御ロジックまたはソフトウェアは、そこに組み入れられるコンピュータ読取り可能なプログラムコードを備え、データストレージ装置925によって読取り可能であるコンピュータ読取り可能な媒体からなる製品に含めることができ、本件出願における方法や教示したことに従って、プロセッサ910により動作する。
【0088】
また、本発明は、上述したコンピュータハードウェアのサブセットを含む、ハンドヘルド機器またはポータブル機器に具体化することもできる。例えば、ハンドヘルド機器(handheld device)は、バス915、プロセッサ910、メモリー950および/または925のみを含むように構成することもできる。また、ハンドヘルド機器は、ユーザーが使用可能なオプションの集合から選択され得る、ボタンまたは入力信号方式コンポーネントを含むように構成することもできる。また、ハンドヘルド機器は、当該ハンドヘルド機器のユーザーに情報を表示するための、液晶ディスプレイ(LCD)または表示要素マトリックス(display element matrix)などのような出力装置を含むように構成することもできる。従来の方法は、そのようなハンドヘルド装置を実装するために用いることができる。そのような装置向けの本発明の実装は、本件出願に記述されているような本発明が開示された技術分野の当業者にとって明らかなものであろう。
【0089】
また、本発明は、上述したコンピュータハードウェアコンポーネントのサブセットを含む、特殊用途の装置に具体化される。例えば、当該装置は、プロセッサ910、データストレージ装置925、バス915、メモリー950、および、ただの基本的なコミュニケーション機構(rudimentary communications mechanisms)、例えば、基本的な操作で装置と対話することを可能にする小型タッチスクリーンなどのような機構を、含むことができる。一般に、より特殊な用途の装置は、より少数の構成要素が、装置を機能させるために必要とされる。いくつかの装置では、ユーザーとの対話は、タッチスクリーン、または、小型の機構を用いて行われるかもしれない。どの構成のシステムも、特定の実装に従って、様々な用途に用いられ得ることは、当業者によって高く評価されるだろう。本発明を実装する、制御ロジックまたはソフトウェアは、プロセッサ910にローカルまたはリモートにアクセス可能な任意の機械可読媒体に格納することができる。機械可読媒体は、機械(例えば、コンピュータ)によって読取り可能な形式で格納するか、読取り可能な形式に変換するための任意の機構を含む。例えば、機械読取り可能媒体は、リードオンリーメモリー(ROM)、ランダムアクセスメモリー(RAM)、磁気ディスクストレージ媒体、光学式ストレージ媒体、フラッシュメモリー装置、電気的、光学的、音響的またはその他の形式の伝搬信号(例えば、搬送波、赤外線波、デジタル信号など)を含む。
【0090】
前述の詳細な説明において、本発明は、詳細な典型的実施形態に関して記載されている。しかし、さまざまな改良や変更は、特許請求の範囲に定める本発明の幅広い精神と範囲から逸脱することなく、行うことができる。したがって、明細書および図面は、制限的な意図というよりもむしろ、例示的なものにすぎないと考えるべきである。
【特許請求の範囲】
【請求項1】
コンピュータに実装される識別情報保護システムおいて、
前記コンピュータの外側におけるユーザーのセキュリティーを評価するために、少なくとも1つの自己認識ツールを含む、ユーザー識別情報の保護のためのダッシュボードと、
前記ユーザーの身体的生体データを、前記ユーザー自身のデジタル識別情報と類別する生体認証セキュリティー機構であって、前記ユーザーのみが前記ダッシュボードにアクセスできることを保証するための生体認証セキュリティー機構と
を含む識別情報保護システム。
【請求項2】
セキュリティー状態を前記ユーザーに提供するためのセキュリティー状態表示機構をさらに含む、請求項1に記載の識別情報保護システム。
【請求項3】
前記自己認識ツールは、複数の別々に保存されたパスワードおよび一緒に保存されたパスワードを評価するためのパスワード評価器を含む、請求項1に記載の識別情報保護システム。
【請求項4】
前記自己認識ツールは、信用保護サービスを含む、請求項1に記載の識別情報保護システム。
【請求項5】
前記信用保護サービスは、信用レポート、信用スコア、信用ロック、および、アカウントアクセス記録の1つ以上のものを提供する信用監視サービスを含む、請求項4に記載の識別情報保護システム。
【請求項6】
前記信用保護サービスは、前記ユーザーが一回限りのクレジットカード番号を生成し、それを購買に利用することを可能にするための、サードパーティによって提供される、一回限りのクレジットカード番号生成器を含む、請求項4に記載の識別情報保護システム。
【請求項7】
前記自己認識ツールは、ファイルタイムスタンプサービス、仮想貸金庫、認証されたユーザーIDとの通信をつなぐための通信連結機構のうち1つ以上のものを提供するデータ保護ツールを含む、請求項1に記載の識別情報保護システム。
【請求項8】
前記ユーザーのデジタル識別情報を提供し、さまざまな種類の識別情報によってツールを分類する識別情報ブラウザをさらに含む、請求項1に記載の識別情報保護システム。
【請求項9】
前記識別情報は、オンライン識別情報、健康管理識別情報、金融識別情報、クレジット識別情報、ソーシャルネットワーキング識別情報のうち1つ以上のものを含む、請求項8に記載の識別情報保護システム。
【請求項10】
エンドユーザー識別情報保護スイート(IPS)において、
少なくとも1つの自己認識ツールのセキュリティーレベルを評価する識別情報妥当性確認システムであって、前記自己認識ツールは、コンピュータセキュリティーに関するものでなく、前記ユーザーの識別情報に関係する、識別情報妥当性確認システムと、
前記ユーザーの全体的なセキュリティー状態を表示するセキュリティー状態信号を生成するためのセキュリティー信号ロジックであって、前記セキュリティー状態信号は、複数の自己認識ツールのそれぞれのセキュリティーレベルの組合せを含む、セキュリティー信号ロジックと
を含む、識別情報保護スイート。
【請求項11】
単一解除機構を通じて、複数のアクセス可能なパスワードを管理するための、技術的に安全性が保証されたストレージと、
複数のパスワードの強度を評価するための個別パスワード評価器と、
複数のパスワードを一緒に評価するための合同パスワード評価器と、
セキュリティー状態信号を生成するために、前記個別パスワード評価器と前記合同パスワード評価器からのデータを使用するセキュリティー信号ロジックと
をさらに含む、請求項10に記載の識別情報保護スイート。
【請求項12】
前記個別パスワード評価器は、パスワードの長さ、パスワードの複雑さ、パスワードの有効期限のうち1つ以上のものを利用し、
前記合同パスワード評価器は、複数のパスワード全体にわたって、パスワードの共通性の評価を利用することを特徴とする請求項11に記載の識別情報保護スイート。
【請求項13】
前記単一解除機構は、指紋認識、顔認識、虹彩識別、音声認識、キーストローク評価、パスワード、トークン、および、スマートカードのうち1つ以上のものを含む、請求項11に記載の識別情報保護スイート。
【請求項14】
前記セキュリティー状態信号は、前記ユーザーの前記セキュリティー状態を表示し、絶え間なく視覚によるフィードバックを前記ユーザーに提供するために、単一の色表示器を含む、請求項10に記載の識別情報保護スイート。
【請求項15】
複数のアプリケーションのそれぞれごとに対する複数のセキュリティー状態信号をさらに含む、請求項14に記載の識別情報保護スイート。
【請求項16】
セキュリティーツールの評価に関する外部アプリケーションからデータを受信して、前記外部アプリケーションに対するセキュリティーレベル評価を生成するためのサードパーティ評価器をさらに含む、請求項10に記載の識別情報保護スイート。
【請求項17】
ユーザーが前記IPSから少なくとも1つのアプリケーションを制御することを可能にする、前記少なくとも1つのアプリケーションへのユーザーインターフェースをさらに含む、請求項10に記載の識別情報保護スイート。
【請求項18】
前記ユーザーインターフェースは、前記少なくとも1つのアプリケーションのネイティブインターフェースへのリンクを提供することを特徴とする請求項17に記載の識別情報保護スイート。
【請求項19】
前記IPSが、活動状態のアプリケーションでないときに可視可能な、前記セキュリティー信号のディスクトップ視覚表示を提供するための識別情報表示装置をさらに含む、請求項10に記載の識別情報保護スイート。
【請求項20】
エンドユーザー識別情報保護スイートを、コンピュータに実行させるための方法において、
少なくとも1つのセキュリティーアプリケーションに基づいてセキュリティーレベルを分析することと、
前記ユーザーに対する全体的なセキュリティー状態値を生成することと、
前記全体的なセキュリティー状態値に基づいて、一目で分かる表示器を前記ユーザーに提供するための視覚表示を生成することと
を含む方法。
【請求項21】
前記少なくとも1つのセキュリティーアプリケーションは、暗号化、パスワードセキュリティー、および、金融セキュリティーアプリケーションのうちの1つ以上のものを含む、請求項20に記載の方法。
【請求項22】
セキュリティーアプリケーションにアクセスするための単一インターフェースを提供するために、前記エンドユーザー識別情報保護スイートを経由する、前記少なくとも1つのセキュリティーアプリケーションへのインターフェースを提供することをさらに含む、請求項20に記載の方法。
【請求項23】
前記視覚表示は、前記エンドユーザー識別情報保護スイートが活動状態のアプリケーションでないとき、前記ユーザーにとって可視可能であることを、特徴とする請求項20に記載の方法。
【請求項24】
複数の保存されたパスワードのセキュリティーを評価することであって、それぞれのパスワードを、別々および一緒に評価することと、
前記複数の保存されたパスワードに対するセキュリティー状態値を生成することと
をさらに含む、請求項20に記載の方法。
【請求項25】
全体的なセキュリティー状態値に加えて、評価された前記アプリケーションのそれぞれに対するセキュリティー状態値を表示することをさらに含む、請求項24に記載の方法。
【請求項26】
コンピュータにより実行される、エンドユーザー保護スイートのためのシステムにおいて、
それぞれの評価器がアプリケーションのセキュリティー状態を評価する、少なくとも2つの評価器を含む識別情報妥当性確認システムと、
前記識別情報妥当性確認システムによって決定されるように、前記アプリケーションの前記セキュリティー状態に基づいて、全体的なセキュリティー状態信号を生成するためのセキュリティー信号ロジックと
を含むシステム。
【請求項27】
前記評価器は、パスワード評価器、サードパーティ評価器インターフェース、および、暗号化評価器のうち1つ以上のものを含む、請求項26に記載のシステム。
【請求項1】
コンピュータに実装される識別情報保護システムおいて、
前記コンピュータの外側におけるユーザーのセキュリティーを評価するために、少なくとも1つの自己認識ツールを含む、ユーザー識別情報の保護のためのダッシュボードと、
前記ユーザーの身体的生体データを、前記ユーザー自身のデジタル識別情報と類別する生体認証セキュリティー機構であって、前記ユーザーのみが前記ダッシュボードにアクセスできることを保証するための生体認証セキュリティー機構と
を含む識別情報保護システム。
【請求項2】
セキュリティー状態を前記ユーザーに提供するためのセキュリティー状態表示機構をさらに含む、請求項1に記載の識別情報保護システム。
【請求項3】
前記自己認識ツールは、複数の別々に保存されたパスワードおよび一緒に保存されたパスワードを評価するためのパスワード評価器を含む、請求項1に記載の識別情報保護システム。
【請求項4】
前記自己認識ツールは、信用保護サービスを含む、請求項1に記載の識別情報保護システム。
【請求項5】
前記信用保護サービスは、信用レポート、信用スコア、信用ロック、および、アカウントアクセス記録の1つ以上のものを提供する信用監視サービスを含む、請求項4に記載の識別情報保護システム。
【請求項6】
前記信用保護サービスは、前記ユーザーが一回限りのクレジットカード番号を生成し、それを購買に利用することを可能にするための、サードパーティによって提供される、一回限りのクレジットカード番号生成器を含む、請求項4に記載の識別情報保護システム。
【請求項7】
前記自己認識ツールは、ファイルタイムスタンプサービス、仮想貸金庫、認証されたユーザーIDとの通信をつなぐための通信連結機構のうち1つ以上のものを提供するデータ保護ツールを含む、請求項1に記載の識別情報保護システム。
【請求項8】
前記ユーザーのデジタル識別情報を提供し、さまざまな種類の識別情報によってツールを分類する識別情報ブラウザをさらに含む、請求項1に記載の識別情報保護システム。
【請求項9】
前記識別情報は、オンライン識別情報、健康管理識別情報、金融識別情報、クレジット識別情報、ソーシャルネットワーキング識別情報のうち1つ以上のものを含む、請求項8に記載の識別情報保護システム。
【請求項10】
エンドユーザー識別情報保護スイート(IPS)において、
少なくとも1つの自己認識ツールのセキュリティーレベルを評価する識別情報妥当性確認システムであって、前記自己認識ツールは、コンピュータセキュリティーに関するものでなく、前記ユーザーの識別情報に関係する、識別情報妥当性確認システムと、
前記ユーザーの全体的なセキュリティー状態を表示するセキュリティー状態信号を生成するためのセキュリティー信号ロジックであって、前記セキュリティー状態信号は、複数の自己認識ツールのそれぞれのセキュリティーレベルの組合せを含む、セキュリティー信号ロジックと
を含む、識別情報保護スイート。
【請求項11】
単一解除機構を通じて、複数のアクセス可能なパスワードを管理するための、技術的に安全性が保証されたストレージと、
複数のパスワードの強度を評価するための個別パスワード評価器と、
複数のパスワードを一緒に評価するための合同パスワード評価器と、
セキュリティー状態信号を生成するために、前記個別パスワード評価器と前記合同パスワード評価器からのデータを使用するセキュリティー信号ロジックと
をさらに含む、請求項10に記載の識別情報保護スイート。
【請求項12】
前記個別パスワード評価器は、パスワードの長さ、パスワードの複雑さ、パスワードの有効期限のうち1つ以上のものを利用し、
前記合同パスワード評価器は、複数のパスワード全体にわたって、パスワードの共通性の評価を利用することを特徴とする請求項11に記載の識別情報保護スイート。
【請求項13】
前記単一解除機構は、指紋認識、顔認識、虹彩識別、音声認識、キーストローク評価、パスワード、トークン、および、スマートカードのうち1つ以上のものを含む、請求項11に記載の識別情報保護スイート。
【請求項14】
前記セキュリティー状態信号は、前記ユーザーの前記セキュリティー状態を表示し、絶え間なく視覚によるフィードバックを前記ユーザーに提供するために、単一の色表示器を含む、請求項10に記載の識別情報保護スイート。
【請求項15】
複数のアプリケーションのそれぞれごとに対する複数のセキュリティー状態信号をさらに含む、請求項14に記載の識別情報保護スイート。
【請求項16】
セキュリティーツールの評価に関する外部アプリケーションからデータを受信して、前記外部アプリケーションに対するセキュリティーレベル評価を生成するためのサードパーティ評価器をさらに含む、請求項10に記載の識別情報保護スイート。
【請求項17】
ユーザーが前記IPSから少なくとも1つのアプリケーションを制御することを可能にする、前記少なくとも1つのアプリケーションへのユーザーインターフェースをさらに含む、請求項10に記載の識別情報保護スイート。
【請求項18】
前記ユーザーインターフェースは、前記少なくとも1つのアプリケーションのネイティブインターフェースへのリンクを提供することを特徴とする請求項17に記載の識別情報保護スイート。
【請求項19】
前記IPSが、活動状態のアプリケーションでないときに可視可能な、前記セキュリティー信号のディスクトップ視覚表示を提供するための識別情報表示装置をさらに含む、請求項10に記載の識別情報保護スイート。
【請求項20】
エンドユーザー識別情報保護スイートを、コンピュータに実行させるための方法において、
少なくとも1つのセキュリティーアプリケーションに基づいてセキュリティーレベルを分析することと、
前記ユーザーに対する全体的なセキュリティー状態値を生成することと、
前記全体的なセキュリティー状態値に基づいて、一目で分かる表示器を前記ユーザーに提供するための視覚表示を生成することと
を含む方法。
【請求項21】
前記少なくとも1つのセキュリティーアプリケーションは、暗号化、パスワードセキュリティー、および、金融セキュリティーアプリケーションのうちの1つ以上のものを含む、請求項20に記載の方法。
【請求項22】
セキュリティーアプリケーションにアクセスするための単一インターフェースを提供するために、前記エンドユーザー識別情報保護スイートを経由する、前記少なくとも1つのセキュリティーアプリケーションへのインターフェースを提供することをさらに含む、請求項20に記載の方法。
【請求項23】
前記視覚表示は、前記エンドユーザー識別情報保護スイートが活動状態のアプリケーションでないとき、前記ユーザーにとって可視可能であることを、特徴とする請求項20に記載の方法。
【請求項24】
複数の保存されたパスワードのセキュリティーを評価することであって、それぞれのパスワードを、別々および一緒に評価することと、
前記複数の保存されたパスワードに対するセキュリティー状態値を生成することと
をさらに含む、請求項20に記載の方法。
【請求項25】
全体的なセキュリティー状態値に加えて、評価された前記アプリケーションのそれぞれに対するセキュリティー状態値を表示することをさらに含む、請求項24に記載の方法。
【請求項26】
コンピュータにより実行される、エンドユーザー保護スイートのためのシステムにおいて、
それぞれの評価器がアプリケーションのセキュリティー状態を評価する、少なくとも2つの評価器を含む識別情報妥当性確認システムと、
前記識別情報妥当性確認システムによって決定されるように、前記アプリケーションの前記セキュリティー状態に基づいて、全体的なセキュリティー状態信号を生成するためのセキュリティー信号ロジックと
を含むシステム。
【請求項27】
前記評価器は、パスワード評価器、サードパーティ評価器インターフェース、および、暗号化評価器のうち1つ以上のものを含む、請求項26に記載のシステム。
【図1A】
【図1B】
【図2】
【図3】
【図4】
【図5A】
【図5B】
【図6】
【図7A】
【図7B】
【図7C】
【図8A】
【図8B】
【図8C】
【図8D】
【図8E】
【図9】
【図1B】
【図2】
【図3】
【図4】
【図5A】
【図5B】
【図6】
【図7A】
【図7B】
【図7C】
【図8A】
【図8B】
【図8C】
【図8D】
【図8E】
【図9】
【公表番号】特表2012−509526(P2012−509526A)
【公表日】平成24年4月19日(2012.4.19)
【国際特許分類】
【出願番号】特願2011−536595(P2011−536595)
【出願日】平成21年11月17日(2009.11.17)
【国際出願番号】PCT/US2009/064767
【国際公開番号】WO2010/057174
【国際公開日】平成22年5月20日(2010.5.20)
【出願人】(511118687)ディジタルペルソナ インコーポレイテッド (1)
【Fターム(参考)】
【公表日】平成24年4月19日(2012.4.19)
【国際特許分類】
【出願日】平成21年11月17日(2009.11.17)
【国際出願番号】PCT/US2009/064767
【国際公開番号】WO2010/057174
【国際公開日】平成22年5月20日(2010.5.20)
【出願人】(511118687)ディジタルペルソナ インコーポレイテッド (1)
【Fターム(参考)】
[ Back to top ]