See you next time: a model for modern shoulder surfers

個人認証における覗き見攻撃リスクの評価法を提案した論文 (MobileHCI 2016)．攻撃モデルは，insiderと著者らは記載しているが，要は「人間が複数回覗き見る」という条件を想定しており，何回覗き見すれば，どの程度の確率で秘密情報の特定に至るか？を導出できるようにする手法である．

書誌情報:
O.Wiese, V.Roth,
“See you next time: a model for modern shoulder surfers”,
MobileHCI, 2016.
ACM DL: https://dl.acm.org/doi/10.1145/2935334.2935388

Abstract

友人等の近親者であれば，スマートフォンのアンロック操作を繰り返し覗き見することも可能である．このような攻撃者(insider:分かりやすい意味なら内部犯行だが，この論文ではそれにとどまらない言葉として使っているように思う)は，複数回の覗き見データを攻撃対象者の秘密特定に活用できる．このような前提に基づいて，人による覗き見攻撃に対するアンロック機能の安全性評価を再評価する必要がある．
本論文では，こういったinsider攻撃者による脅威を対象に覗き見攻撃のリスクを研究する方法について述べる．この方法はシミュレーションによるもので，その認証を破るのに必要な攻撃回数の推定である．また，このアプローチの柔軟性は新たな認証手法を設計する上で有益であると考える．CHI 2015で発表されたSwiPINに対して本手法を適用し，行なった解析について紹介する．その結果SwiPINは，6-11回の覗き見でなりすまされるであろうという結果となった．

Maybe update in near future.
— ends here