An Empirical Study of Wireless Carrier Authentication for SIM Swaps

SMS Swapによる攻撃に対する脆弱性の調査.SMSによる二要素認証のコード通知は実際に運用されているが,この認証に対する攻撃として SMS Swap攻撃 によるなりすましの問題がある.この問題について調査した結果,いくつかのWeb(キャリア?)では実際にこの攻撃に対して脆弱であることが確認できた.という研究.
(SOUPS 2020)

著者らのWebで情報公開も行っている
URL: https://www.issms2fasecure.com/.

Read More

Mental Models of Domain Names and URLs

Webを通じたフィッシング詐欺の被害はあとを絶たない.ユーザが「なぜ」なりすまされているURLやドメイン名を見極められないかを調査するため,インタビューによりユーザのドメイン名やURLの理解について調査した論文
(SOUPS 2020)

Read More

I cannot do anything: User's Behavior and Protection Strategy upon Losing, or Identifying Unauthorized Access to Online Account

オンラインアカウントがアクセス不能になったり第三者に不正アクセスされた際,ユーザがどう対応すべきか?に関する文献や資料が十分とは言いがたい.この問題に対する調査として,半構造化インタビューを実施し,ユーザがどう対応するのか,どういう問題を抱えているのかを調査した.
(SOUPS 2020)

Read More

「自分証明書」:携帯電話を用いた本人証明(本人確認手段)について

最近になって,以下のような議論が始まるというニュースが出てきたので,2011.03.11の東日本大震災の時に当方が考えていた携帯電話による本人確認の方法「自分証明書」の拙稿を公開しておこうと思う.

Read More

iPhone 7の修理のため,Apple Storeに行ってきた

寝る前にiOS 13.5のアップデートを仕掛け,寝て起きたらiPhone 7の電源がOnにならない状況になっていた.まさにiPhone 7が【文鎮】になってしまい候.このCovid-19の在宅勤務の状況で携帯電話が使えないのは致命的なのでドタバタと対応をした.その顛末を書き残しておこうと思う.

Read More

Using Episodic Memory for User Authentication

「秘密の質問」による個人認証を,拡張したと言える個人認証の提案と評価に関する論文 (ACM Trans. on Privacy & Security 2019).
ユーザのライフイベントに関する文章(?)を入力とし,そこから質問と回答を抽出して個人認証とする手法LEPs(Life-Experience Passwords)を提案.システムが質問文と正答を抽出することで,安全性と記憶可能性,回答の再利用防止を可能にする手法とのこと.欠点は操作時間が長くなる点.

Read More

Improving user authentication on mobile devices: a touchscreen graphical password

描画式のGraphical passwordを複数レイヤでの図画に拡張する認証手法とその評価に関する論文(MobileHCI 2013).
提案手法名が”Touchscreen Multi-layered Drawing (TMD)”であるので,手法の内容が類推できると思う.著名な描画式の画像認証にDraw A Secret(DAS)があるが,それの拡張であるといえ,評価についてもDASと比較を行なっている.

Read More

Patterns in the wild: a field study of the usability of pattern and pin-based authentication on mobile devices

携帯端末での利用における暗証番号認証とパターンロック認証の利便性(Usability)について評価を行なった論文 (MobileHCI 2013).
測定値自体は暗証番号の方が良い結果なのだが(操作時間や認証成功率),アンケートによる主観的印象ではパターンロックの方が好まれるという結果になっている.ただし,実験条件には注意を払う必要がある.

Read More

Evaluating Attack and Defense Strategies for Smartphone PIN Shoulder Surfing

暗証番号認証に対する覗き見攻撃について,いくつかの対策手法の安全性を実際に評価した論文(CHI 2018).
覗き見られないよう端末を傾けたり,暗証番号入力に圧力を応用しても覗き見攻撃に対してはあまり防御にならないことを実際に評価した研究.

Read More

SwiPIN: Fast and Secure PIN-Entry on Smartphones

暗証番号認証に色とSwipe操作を組み合わせた個人認証の提案に関する研究(CHI 2015).
覗き見攻撃に対する安全性を向上しつつ,高速入力と簡単操作で既存の暗証番号認証からの移行も容易である.

Read More

See you next time: a model for modern shoulder surfers

個人認証における覗き見攻撃リスクの評価法を提案した論文 (MobileHCI 2016).攻撃モデルは,insiderと著者らは記載しているが,要は「人間が複数回覗き見る」という条件を想定しており,何回覗き見すれば,どの程度の確率で秘密情報の特定に至るか?を導出できるようにする手法である.

Read More

On Multiple Password Interference of Touch Screen Patterns and Text Passwords

「パターンロックを複数個保持」するのと「文字列パスワードを複数個保持」するのでは,どちらの方が記憶保持可能か?という調査を行なった論文(CHI 2016).
3個であればパターンロックの方が良い結果になったとのことだが,個数が増えると有意差はないという結果も示されている.

Read More