July 29, 2006
Spy-Resistant Keyboard: 公共ディスプレイでのパスワード入力における覗き見対策
SPY-RESISTANT KEYBOARD: More Secure Password Entry on Public Touch Screen Displays
Desney S.Tan, Pedram Keyani, Mary Czerwinski,
Proceedings of OZCHI 2005,
pp.1--10, November, 2005
ACM Digital Library
公共の場所にあるtouch displayにて,安全にパスワードを入力できるようにするための入力方法として,特殊なソフトウェアキーボードを提案する.という論文
(Security-sensitive onscreen virtual keyboardの設計)
しかし,入力手段をビデオで記録された場合の安全性はゼロである.評価結果も,普通(入力に時間がかかるようになったが,安全性は向上した)である.
以降はメモ.
■ Introduction
- Public displayでは,その大きさのためユーザが入力画面を隠すというのは難しい.
- パスワード入力時に,意図的に不要な文字を入力するとともに,削除操作を行うことで,覗き見している人によるパスワードの漏洩を困難にするという手段も考えられるが,これは入力ミスを誘発するとともに,そばにいる知り合いに対して不信感を示すことにもなり好ましくない.
- 覗き見攻撃に対する耐性を持つsoftware keyboardを提案.2つの特性を持たせる
1. 入力者の入力行為によって,パスワードに関する情報が明らかにならないこと.
2. 覗き見していた者が,正規のユーザと同じ入力行為を簡単にできないようにすること.
■ Background
- 所有物認証も,バイオメトリクスもハードウェアの導入が必要,また盗難や偽造による脅威が存在する.
- 知識照合型は,パスワードの「選択」が重要になる.ランダムな文字列を使用せよ,違うサービスには違うパスワードを使用せよ => 記憶負担の増大
- Casual Observerを対象とした,安全性つきソフトウェアキーボードの提案.(ってことはさほど悪意のない攻撃者を想定したシステム?)
■ GENERAL APPROACH
- パスワードの入力は,2つの行為,mapping phaseとselection phaseからなる
* mapping phase
mapping phaseでは,それぞれの文字がある特性に関連付けられた状態でキーボードとしてユーザに提示される.ここでいう特性とは,文字を表す別の特徴であり,色やキーの形や位置などが例として考えられる.ようするに,キーボード上の文字が文字として提示されるのではなく,別の表現で表現され,かつ文字とその表現の関連付けがユーザに提示される.と理解した.
* selection phase
キーボードから,文字割り当ての表示が消え,全てのキーは,キートップになんの表示もないキーとなる.ユーザは自身が入力したいキーの特性(位置/色/形等)を事前に記憶しておき,その記憶を頼りに,それらの特性を指示することで文字入力を行う.
- この手法は,覗き見によるパスワード発覚を困難にする2つの仕組みが実現されている
.
1. キーボードが文字毎にランダム化されているので,ユーザの入力行為を繰り返し覗き見ていてもパスワードを知ることは困難である.
2. 明示的な二段階処理により,ユーザの入力行為とキーと特性の割り当て分離されるため,ユーザの入力行為を見ていても,そこから入力文字を割り出すのは困難である.
つまり,キーと特性の割り当て状況をすべて記憶した上で,ユーザの入力行為を完全に覗き見ない限り,パスワードを知ることはできない.ということである.
(それゆえ,ビデオで撮影された場合は安全性が確保ができない)
■ Spy-Resistant Keyboard
- 1つの実装例として開発.文字を空間配置することでランダム化したキーボード.
- 各キーは,縦1列に3つの文字を配置しており,上からに下に向かって,小文字アルファベット,大文字アルファベット,数字または記号となっている.
- また各キーの小文字アルファベットは,赤の背景色,大文字アルファベットは黄色の背景色,数字や記号は青の背景色となっている.
- Shiftキーによる状態も使用する.各キー内の文字の一つには赤色の下線があり,Shiftを押すことで,その赤下線はキー内の文字を移動する.
入力方法は次の通り
1. ランダムに配置されたSpy-Resistant Keyboardがユーザに提示される
2. ユーザはそれを見て,自分が入力したい文字を探す.
3. Interactorボタンを押し,赤下線を自分の入力したい文字に移動させる.
4. Interactorを,入力したいキーまでDragする.Dragを開始すると,キーボード内のキートップから文字の表示は消える.よって覗き見をしていても,そのキーになんの文字があったかはわからない.これで1文字入力できたことになる.
5. 再度,文字をランダムに配置したキーボードをユーザに提示する.以降,入力が終るまで,繰り返し作業
■ Design Rationale
- 3つの工夫: 対話手法,キーの配置,Shift状態の利用
- 対話手法に関してだが,当初はDrag & Dropではなく,キーを直接選択する方法を用いていた.しかし,その方法では,キーの表示が消える前に,キーを選択してしまう人がいたため採用しなかった.Drag & Dropの採用は,2つのPhaseをユーザに意識させずに,2つのPhaseを導入したかったためである.
- 2つのInteractorを用意したのは,利き手や立ち位置による使いにくさを改善するためである.
- Shiftによる文字選択を用いた理由は,キーの数を減らし,文字探索の負担を減らすためである.当初は,1文字1キーで,Interactorを直接そのキーにDrag & Dropしていた.それでも安全性の確保ができるが,Shiftによる選択を導入することで,さらにランダム化が促され,覗き見者に対する安全性をさらに強化することが可能になる.
■ User Study
- 被験者は12人(男性8/女性4).視覚は正常で右利き,平均28.8歳である.
- 実験は入力者と覗き見者の組で行い,通常のソフトキーボードとSpy-Resisitant Keyboardの2つの入力手法で入力を行った.
- 入力者それぞれに,3つのパスワード(簡単,普通,難しい)を割り当てた.パスワードはすべて8文字である.
- 実験は,トータルで2つのインタフェース x 3つのパスワードの6回行い,かつ1回は入力者,もう1回は覗き見者の役割をさせた.
- 利便性は,入力完了までの時間と,バックスペースの使用回数,入力誤り率を測定
- 安全性は,覗き見者が推測したパスワードを収集した.
- Spy-Resistant Keyboardは通常のソフトキーボードの倍以上の時間がかかった.ただし,慣れによりおよそ倍程度まで時間は縮まった.
- Backspaceの使用回数は,双方のキーボード間で差異はなし
- 入力誤り率も双方のキーボードでの差異はなかった.
- 安全性は向上
- ソフトキーボードは,入力は簡単だが,その一方で不安もあるという意見がある.
- 安全性が向上するのなら,それなりの負担はかまわないという意見があった.
■ Discussion and Future Work
- 文字選択方法の対話手法のさらなる模索
- キーのランダム配置の工夫.文字の探索をより容易に,landmarkを持たせる
- もう一つの方法としては,キー配置はいつもの配置(常に同一)にしておき,選択(Drag)を開始すると,キーから文字の表示が消えるとともに,各キーがランダムに別の場所に移動する.ユーザは自分が入力するキーを目で追いかけ,移動が終ったらその移動先のキーを選択するという方法.
- パスワードの寿命に関するフィードバックも考える.