March 04, 2007
携帯電話向け個人認証の問題と解決策の提案 - モバイル個人認証の提案と評価
モバイル個人認証の提案と評価
桜井鐘治、吉田真利子、撫中達司
コンピュータセキュリティシンポジウム2004 (CCS2004)、pp.625-630、Oct 2004.
携帯電話の個人認証に注目し、サーバから送られてくる乱数を基に画面上に質問を動的に生成し、それに対してユーザが自身のパスワードを基にしたキー操作を行う事で認証を行う認証手法を提案.操作性を確保しつつ、安全性を向上させた.という論文である.
以下は走り書き
- 携帯電話は、今やある種の物理トークン(赤外線、FeliCa)
- 携帯電話は文字入力が困難 => 文字列パスワードの適用は無理
- 4桁PINが主流.だが、これでは覗き見によるPIN漏洩の危険がある
=> 盗み見を気にする事なく認証できる仕組みが必要 => 質問応答型認証
- モバイル環境での個人認証モデルは三種類
1. ログイン認証 (ユーザ/サーバ間.サーバによるユーザの認証)
2. ローカル認証 (ユーザ/携帯電話間.端末によるユーザの認証)
3. 端末認証 (携帯電話/サーバ間.サーバによる端末の認証)
- モバイル個人認証に必要な要件
1. 認証操作を第三者に見られてもかまわないこと
2. 認証情報が漏洩しないこと
3. 携帯端末上で実施可能な事
4. ローカル認証(クライアント端末によるユーザ認証)が可能なこと
- ユーザの検索能力を利用.直接的なパスワード入力を排除した認証手法を提案
- 文字盤の下にサーバから送られてくる乱数を表示し、各列に対応する乱数の数値を入力する事で回答 (と、文字で書いても画面イメージがないとわからないですね)
- これではユーザビリティ上の問題があるので(論文中には3つの課題が挙げられている)、文字盤の各文字に背景色を付け、その背景色を使用して回答を行う.具体的に言うと、パスワード文字の背景色を事前に決定しておいた色に変化させて回答する.
- こうすることにより、第三者が覗き見ていても、何が回答として入力されたかをわからなくする.
最後の改良方法では、ユーザは暗証番号の他に、その暗証番号を示す色情報も記憶しなければならず、記憶負担が増える事が指摘されている.これに対する対応策も提案されているが、パスワード一文字目を好きな色で選択することで、毎回自由な色を選択色として使用することができるとある.これにより、総当たり攻撃に対する安全性は一文字分低下するが、覗き見攻撃に対しては一定の効果があると述べている.
ウーム.先客(?)がいたか〜という感じです.今更ながらこの論文を知りました.
当方が想像する、さらなる改良が望まれる点を挙げてみる.
- ビデオで認証行為を撮影されると想定すると、その撮影データの蓄積により安全性はどんどん低下する.これをできれば回避可能にしたい.
論文では2回までの認証強度が書かれているが、その回数が増えるに従い、安全性は低下すると理解した.ただし、この論文では携帯電話での認証を想定しているので、画面を動画としてキャプチャし、外部に漏洩するようなスパイウェアやトロイの木馬でも出現しない限り、おおよそ大丈夫であろう.ということだろう.
- 記憶負担は増える.これは仕方ない...か.ユーザの受容性を考えると、記憶負担はできるだけ軽減したい.
- 選択色の記憶負担を軽減するため、パスワード1文字目の選択色を利用する方法が提案されているが、これは別の問題を引き起こす可能性があるのではないだろうか?
-- パスワードによる認証なら一定長の文字列に制約し、その一文字分を選択色の決定に利用する事は許容できるだろうが、そんなに長い文字列をユーザが受容するだろうか?
-- この方法だと選択色は1色ですべてのパスワードを入力することになると推測する.そうだとすると、ビデオによる覗き見攻撃では、かなりの確率でパスワードの絞り込みが可能になっていくのではないだろうか?
この論文の内容は、"特開2006-018358"として特許申請され、かつすでに公開されているので、特許図書館で検索すればその内容を見ることができます.図面があるので、論文を入手できない人は参考になると思います.
また、この論文の内容と思われる内容をCyber Security Managementという雑誌で記事「携帯電話向け盗み見されない入力方式」として書かれているようです.当然ですが、無料では見られません.残念.
Cyber Security Management 2003, Vol.4, Number.48
Cyber Security Management 2003, Vol.4, Number.49