December 09, 2003
Déjà Vu: A User Study Using Images for Authentication
Deja Vu: A User Study Using Images for Authentication,
Rachna Dhamija and Adrian Perrig,
Proc. of 9th USENIX Security Symposium, pp.45--58, 2000.
論文は次のどちらかのWebページから取得可能.
Projec web page at Berkeley. USENIX Security Symp. 2000
この記事はこちらに移動しました. 本URLは,2020年6月以降に削除します.ご了承下さい
認識選択(Recognition-based)の画像認証方式は、これが最初の論文であると理解している.
画像を使った認証システムを研究する上で読んでおいた方がいい「基本」論文だと思う.
この論文はrecognition-based image authenticationの話をしている.基本方針は...
- パスワードを正確に思い出せる.という前提を破棄する
- ユーザが脆弱なパスワードを使えないようにする
- パスワードを書き留めたり,共有できないようにする
これらの考え方だけでも十分革新的(納得のいく改善の方向性)だと思ったり.
Portfolio(パスワードとなる画像)の画像種がランダム画像だというのが,利点にもなるが,欠点にもなっている.写真を使えば,確かに推測可能な画像をユーザは選ぶだろう.それは書きとめ可能になり,共有可能になる恐れがあるからである.と述べているがそうだろうか? だからランダムアートを使うのだという.確かにランダムアートを使えば書き留めは困難になるし,共有も難しくなる.が,それでも書き留めは可能なのではないか? それに今の時代,プリンターがあるのだから,書き留め不可能でも,印刷してしまえばそれまでである.だからこそそうではなくて,違う解決方法があってもいいと考えた.
またランダム画像を使うことの利点は記憶容量が小さくてすむことである.ランダム画像はseedと呼ばれる8byte長の数値から再現可能なため,サーバが画像を直接保持する必要はない.しかし,このseedをいかにして安全に保持するか? という点が問題になる.解決策としては複数のサーバに点在させるなどの方法があるだろうと述べている.
■ observation(のぞき見)攻撃に対する対策法としては以下の方法を提案している
- portfolioの数を増やす.特に一回のchallenge setで表示される数以上のportfolioを用意することで、すべてのportfolioが攻撃者に知られてしまうのを防ぐ.この方法でもいまだ脆弱であることに違いはないが、それでも現状よりはなりすましが困難になる.Challenge & Responseになる.
- どの画像を選択したかをわからないようにする.どの画像を選んだか、どのキーを押したかをわからないようにする
- portfolio画像を加工し、portfolioがどんな画像だったかをわからなくする.どんな画像処理がいいかは今後の課題である.
■Intersection(積集合)攻撃に対する対策方法としては以下の4つを提案している
- 常にまったく同じportfolioとdecoy imageを使った認証試行にする
これは原理的にintersection攻撃を不能にする.が、問題は正規のユーザが囮画像を覚えてしまい、しまいにはportfolioと勘違いしてしまうのではないか? それと攻撃者がこのchallenge setを記憶し、将来、portfolioが変更され、かつdecoy imageが変更されなかったとすると、decoyとportfolioが判別できるようになり、結果としてなりすまされる恐れがある.
- いくつか(少数)のおとり画像をある一定期間、認証試行で使い続ける
懸念は上に同じ.正規ユーザが囮画像を学習してしまい,portfolioと勘違いするのでは? また将来portfolioを更新したときに、decoyとportfolioが明確に判別できるようになってしまい、結果としてなりすましが容易に可能になってしまう恐れがある.
- 認証を複数の段階に分割し,それぞれの認証段階にランダムに決定した複数枚のportfolioを仕込む.認証をする際にある照合段階で回答を謝ったら,それ以降の照合段階ではportfolioを一切提示しないようにする.
- 認証に失敗する確率が低くなったので,アカウントを使用不能にするまでの認証失敗回数の条件をきつく(連続試行回数を少なく)する.この方法はDoS攻撃の温床となる危険性があるので現実的ではない.またアカウントロックをどう提供するかによるが、単に数分間使えなくなるだけといったアカウントロックであれば、これは現実的には攻撃者にとってまったく意味がない
とにかく、画像認証が気になる方は一読すべき論文だと思う.
Posted by z at December 9, 2003 02:15 AM