January 22, 2004
VIP: a visual approach to user authentication
Antonella De Angeli, Mike Coutts, Lynne Coventry and Graham L. Johnson,
VIP: a visual approach to user authentication,
Advanced Visual Interfaces (AVI2002), pp.316--323, 2002
論文は、著者の一人であるDe AngeliのWebページから取得可能
この記事はこちらに移動しました. 本URLは,2020年6月以降に削除する予定です.ご了承下さい
AVI2002にて発表された論文.銀行ATMにあるような数字(PIN)による認証インタフェースに画像を適用してユーザ評価を行った論文.
基本的に評価論文のようで、システム的に新たな提案があるものではないようだ.システム的に「Deja Vu」との差分はないと思われる.4通りの評価方法でユーザ評価をしているが,その方法が微妙(一部の評価は意味がない(自明? でもやることに意義がある?!))のではないかと思われる.評価方法は以下の通り.
1. 10個の数値の中から4つの数字を事前に決めておいた順番で選択
これは従来のテンキーによる4桁数字認証と同じである
2. 10個の画像の中から4つの画像を事前に決めておいた順番で選択
ただし,自分のパスワード画像は常に決められた位置に表示される.つまり上記の4桁数字による認証で数字の代わりに画像を使ったという実験になる.なお自分のパスワード画像以外の画像は画像データベースから任意で選択され,表示される.
3. 10個の画像の中から4つの画像を事前に決めておいた順番で選択
今度は上とは異なりユーザのパスワード画像の表示位置もランダムになる.パスワードが増以外の画像は上と同じくランダムに選択され,表示される.
4.portfolioベースで12枚の画像の中から事前に決めておいた8枚の画像のうち4枚を選択する
これは12枚の画像の中から自分のパスワード画像である8枚の画像のうちの4枚を順不定で選択するというものである.またパスワード画像の提示位置もランダムである.
というわけで,評価をする前からなんとなく評価結果がわかる気がする.と思いませんか?
エラー発生率をみても想像した通りになっています.(2 < 1 < 3 < 4の順でエラー発生率が少ない).それよりももっと疑問視したいのは,場所が固定でその入力順も決まっているのなら,数字はもちろん画像でもなく,すべて真っ白の格子が並んでいるだけでもいいのではないかと思うのは私だけでしょうか?
というわけで,みなまで書かないが、4番目がもっとも悪いデザインということになっている.その理由は以下の通り
I. 8枚の画像を順序も関係なく覚えなければならない
II. そのうちの4枚がランダムに選択されて表示される.なので提示された画像を全部眺めなければならない
III. 似た画像を自分のパスワード画像と勘違いする
IV. パスワード画像およびその表示位置がランダムなので学習効果が期待できない
IIIは画像データベースに作り込みをして,類似した画像をおとりとして提示しないようにするというのが妥当な対策(論文にも書かれている).I. は覚えなければいけないのは当然だが,順序が関係ないほうが覚えやすいと思うのだが... II.はやむをえないとすべきか... IV.はどうだろう... その認証を使用する頻度が高ければ,パス画像を覚えていくと思うので,多少の学習効果は期待できると思うのだが.この論文では銀行のATMを仮定しているから,認証にかかる時間が問題になるといいたいのかもしれない.
読んではいないが、以下の論文は、この論文を元にしたJournal paperのようである.
De Angeli, A., Coventry , L., Johnson, G., Renaud, K.,
Is a picture really worth a thousand words? Exploring the feasibility of graphical authentication systems,
International Journal of Human-Computer Studies, 63 (1-2), 128-152. 2005
この論文も、A.D.AngeliのWebページから取得可能である.
Posted by z at January 22, 2004 07:28 PM