Using Episodic Memory for User Authentication

「秘密の質問」による個人認証を，拡張したと言える個人認証の提案と評価に関する論文 (ACM Trans. on Privacy & Security 2019)．
ユーザのライフイベントに関する文章(?)を入力とし，そこから質問と回答を抽出して個人認証とする手法LEPs(Life-Experience Passwords)を提案．システムが質問文と正答を抽出することで，安全性と記憶可能性，回答の再利用防止を可能にする手法とのこと．欠点は操作時間が長くなる点．

書誌情報:
S.S.Woo, R.Artstein, E.Kaiser,
“Using Episodic Memory for User Authentication”,
ACM Trans. on Privacy and Security, April 2019.
ACM DL: https://dl.acm.org/doi/10.1145/3308992

Abstract

パスワード認証は広く使われているが，パスワードが思い出すことができなくなったり，自動プログラムに簡単に特定されたり，多くのサイトで同一パスワードを使い回しされているなどの問題がある．また，予備の認証として「セキュリティの質問」も使われているが，これは通常のパスワードよりも記憶しやすいと言える．その理由は，提示されている質問がユーザにとってヒントになっているからである．しかしそれは攻撃者が正答を推測する助けにもなってしまう．
そこで著者らは”life-experience passwords (LEPs)”を提案する．
LEPsはユーザが選択するいくつかのライフイベント（旅行，卒業，結婚など）についての事実によって構成され，パスワードと秘密の質問の中間的な要素を実現する．LEPs作成時には，ユーザの入力からシステムが事実を抽出し，それを問題と正答に変換する．認証時には問題がユーザに提示され，ユーザが入力した回答が正答と一致するかを検証することで処理を行う．今回の実装における質問設計(抽出?)が，パスワードやセキュリティ質問よりも安全であるとともに，その質問回答形式が「低いパスワード再利用性」と「高い思い出し可能性」を持つことを示す．

1. LEPsは，10の9〜14乗ほどパスワードより安全である(8文字長の完全にランダムなパスワードが比較対象)
2. LEPsはパスワードとの比較で３倍記憶可能性が高く，セキュリティ質問との比較でも同程度であった
3. LEPsはパスワードとの比較で1/2程度の再利用率であった．
   またLEPsとセキュリティ質問では，いくつかの質問が互いに似通った形で使われていることが明らかになった．これは推測攻撃の成功率を高める懸念があるが，我々の評価によれば，通常の友人で0.7%，家族や親しい友人でも9.5%しか推測ができないという結果になった．この結果は，セキュリティ質問に対する推測攻撃成功率のおよそ1/2という結果であった．
   一方，欠点としては認証操作時間が挙げられる．認証時間はパスワード認証のおよそ５倍という結果となった．これらの結果から，LEPsは安全性が求められる金融や機微な情報を扱うサーバでの認証おける多要素認証とするのが適していると言える．

Maybe update in near future.
— ends here