Trevor Pering and Murali Sundar and John Light and Roy Want,
Photographic Authentication through Untrusted Terminals,
IEEE Pervasive Computing, Vo.2, No.1, pp.30--36, 2003.
この記事はこちらに移動しました. 本URLは,2020年6月には削除します.ご了承下さい
移動先やモバイル環境などで使用せざるをえない信用できない端末(自分所有の計算機でない、インターネットアクセスポイント(Internet Cafe等)にある、共用の計算機)からの認証に写真を使った認証は適している.という論文である.ホームサーバが存在すると仮定し,そのサーバ内に個人の写真がたくさん保存されているという条件で,認証の度にその写真群の中からランダムに写真を選択して認証に供することでChallenge & Respose特性を持つこととなり、結果としてreplay攻撃に対する安全性を増すことができるとある.
IEEE Parvasive computingに掲載されていた記事である.論文は,こちらから取得可能である(有料).IEEE CSのDigital Libraryである
Casual Data(例: 自分の銀行口座の残高 (口座番号ではない))にアクセスするのに必要充分な安全性と、使い勝手の良さを提供する認証方法だと述べている.認証方法は以下の通り.
- 1回の認証で10回の照合が必要.言い換えると10回回答する必要がある.
- 1回の照合で画面に4枚の写真が提示する.これは自分の写真1枚と他人の写真3枚が含まれている
- 試行者は自分の写真を選択する
つまり4枚の写真群の中から自分の写真を10回連続して正確に選択できたら認証できるという仕組みである.
2種類の評価実験 1.可能性検証実験 , 2. replay攻撃実験、を行っている
可能性検証実験(feasibility)では実際に8人の被験者で認証を行ってもらったそうだ。各被験者は48〜およそ1,300枚の自分の写真を登録した上で認証を試みたが、全員とも90% 以上の成功率で認証に成功していた.つまり(4枚から1枚を選択) x 10回 at (1000枚以上の写真)でもユーザはこの手法で認証できたということである(本当かいな...そしてこれが時間経過しても維持できるのかな? それほど他人の写真と自分の写真との区別というのは人間にとって比較的容易だということか...).
実験後のインタビューでは、この認証手法が安全か?の問いに対する回答が割れた.「安全である」という人もいれば「危険である」という人もいたとのこと.ただし、この認証方法は楽しいし、操作は容易だという意見は一致した.また被験者の一人は認証しながら笑っていたらしい.なにやら懐かしくて楽しい写真が認証時に現れたとか...
replay攻撃実験では以下のように実験を行った.
仮定: 攻撃者があるユーザの認証行為を盗聴していたとする
攻撃者には全写真群を見せ、かつ正規のユーザの認証行為を覗かせた.その上で攻撃者には1回だけなりすまし攻撃を試みてもらった.
結果としては誰もなりすましには成功しなかった.ある攻撃対象者については、推測成功率が高かったが、それはそのユーザの写真があるカテゴリの写真 (家の建築風景)に偏っていたためであった。ただし今回の攻撃者たちはいわゆる素人(casual attacker)であった.したがって写真家などの人に攻撃者を演じてもらうと、この結果は大きく変わってくるかもしれない.
またこの認証手法に対する脅威として以下の考察が行われていた.
Replay Attack:
またの名をobserver attackとも言う. 二者間の通信を傍受し、後で同じデータを送ることでなりすましを成功させる方法。challenge image setを毎回変更すればよいと言っているが、それだけでは完全ではないともいっている。微妙である.
Cognitive Attack:
またの名をsimilarity attack / knowledge attackともいう.見た目/意味的類似による攻撃法と,攻撃対象者の知識ベースによる攻撃方法がある.知識ベースの攻撃方法はその試行時に特徴があるという.それは認識率が正規ユーザが試行した時と比較して,極めて低いことと,試行にかかる時間が長くなることである.これを用いてreplay攻撃と cognitive攻撃を分類することできる可能性があると述べている.類似型の攻撃は画像処理の技術を使うと高速かつ容易に実行できる可能性もあるとのこと.それゆえ似通った写真群を使うのは避けた方がいいようだ.
Polling Attack:
text passwordでいう辞書推論型攻撃と同種の攻撃と言える攻撃方法であり,提案している認証手法の場合には、認証システムが持つ画像を収集するのにこの攻撃が使われる可能性がある.よってこのような攻撃を受けても照合情報となっている画像が推論できないような提示法を考える必要があると述べている.
また論文では,Coincident Attack, Compromised Attackという信用できない端末を使用した場合にのみ発生すると考えられる攻撃方法についても考察している.Coincident Attackは信用できない端末上で悪事を働くagentやproxyが動作していた場合の脅威を考えており、Compromised Attackはその信用できない端末がすでに不正侵入されていた場合にどうやって安全な状態に戻すのか? ということについて考察している.
またシステムに対する攻撃実験で、攻撃者は正規のユーザよりも画像の認識およびパス画像の選択に時間がかかることがわかった。これを利用して認証照合時にtime outを設けることでより安全性を高めるというfuture workを提案している
また画像であるがゆえに発生すると考えられる攻撃方法について考えるべきだろうといっている,色に基づくヒストグラムや顔認識,フィルタ処理などの画像処理によって発覚する危険性も無視できない.この種の認証方法に対する攻撃方法で大事なことは「この画像はあのユーザが持っているものではない」という特定(絞り込み)をすることである.したがっておとり画像に工夫をすればよい.おとり画像が他のユーザが登録した画像なら,Webから収集してきた画像より見分けが困難になるだろう.しかし,どの程度うまく機能するかは不明である.
Posted by z at December 10, 2003 03:02 AM