August 03, 2006
画像と音の組み合わせによる認証方法の提案
Using A Combination of Sound and Images to Authenticate Web Users,
Jim Liddell, Karen V.Renaud and Antonella De Angeli,
HCI 2003. 17th Annual Human Computer Interaction Conference. Designing for Society. Bath, England. 8-12 Sept, 2003.
論文はこちらからdownload可能
画像と音を組み合わせた認証方法の提案.
Audio-Visual Associative Protocol (AVAP) an authentication scheme relying on the previously-proven efficacy of pictorial passwords and on the benefits of non-speech audio.
ということで、未開発の連想記憶を認証に使うことを考えたんだそうだ.
が、やっぱり結果はいまいちだったとのこと.
* ユーザは、日々の体験の中から、ある音と、その音を聞いていた時の視覚イメージを関連づけて記録しておく.それを用いてユーザ認証を行うという仕組み.その関連付けした記録は、随時記録して残しておくそうだが、そもそもこれが現状では困難だし、面倒そうだ.
* 認証時には、ユーザはシステムからランダムに選択された音を聞かされる.ユーザは、この音を聞いて、この音と関連づけられている画像を10枚の画像の中から選択する.これを複数回繰り返し、すべて正解であれば、正規のユーザとして認める.という具合である.
* この手法の利点の一つとして、ユーザによるパスワードの記録が困難なので、人為的な脆弱性は少ないと言える.
* semantically-similarな画像群を使うとある.安全性向上が見込まれるが、正規ユーザによる混乱もあるのでは? と推測する.どうなんだろう?
* 1回目の評価.PINとVIP(画像認証)とAVAPで比較をしたが、エラー発生率はAVAPが一番多かった(24%).またAVAPは他の手法と比較して利用頻度も低かった.その理由は、音の利用が思っている以上に難しいこと(環境問題や、platform依存の問題)と、認証に時間がかかることである.
* やはり関連付けが難しい.ユーザは適当に関連付けしてしまう.(そうだろうよ)
* 他にも、音は聞かず、単に画像認証にしてしまうとか、時間がかかることにイライラする、類似した画像の判別に苦労する、画像自体が抽象的すぎてわからない(図1のこと?).などの問題が発生.
* 2回目の評価.類似画像の使用をやめ、より現実的な画像(図3)を使うようにした.が、エラー発生率に大きな変化は見られなかった.
* AVAPへの反応は良かったのだが、認証時間だけは不満が多かった.またSecurity、簡単さ、効率の面も、被験者から大きな差異は指摘されなかった.
* 事後のアンケートから、AVAPは楽しいが、予測可能性に関する懸念や、良く聴くような音楽の利用を嫌がるといったコメントもあった.
* 結論として、記憶面での改善は実現できず、高い安全性が求められるところでの認証には使えないが、leisure-based web serviceならいいかも! っておいおい.「楽しい」というコメントが多かったのは、目新しさの効果が大きいと思う.継続的に使われるようになったら、時間がかかるという欠点が、楽しさの利点を消し去ってあまりあるかもしれないと邪見に考えても見る.
* 音や映像は、その閲覧(?)に時間がかかるのが欠点であり、認証の材料としては使いにくいのは事実だ.だからといって、ダメだというのではなく、秘密情報そのものとして使うのではなく、音や映像の...を認証に使うとかいう方法はないかな、と思ったりもする.
また、映画をよく見る人なら、この音と画像(シーン)の関連付けはすでに「できあがっている」と言えるので、うまくいくかなとも考えたが、その映画を見た人なら誰でも認証できてしまうので、個人認証にはならないな...うーむ.
Posted by z at August 3, 2006 02:45 AM