September 12, 2007
DAI-HIPs: カテゴリーや意味で組み立てた秘密情報を画像で回答する認証手法
画像認証でサーベイをしていたら、興味深い画像認証の研究を見つけました
システムの詳細は、チュートリアルに書かれていますが、カテゴリー(キーワード/意味)の組み合わせによる秘密情報を画像を用いて回答する.という仕組みのよう
です.
勝手にコメント
- 記憶面でユーザに優しいシステムかどうかは微妙ではなかろうか?
- カテゴリー/意味により秘密情報が構成されているとすると、こういう攻撃方法が考えられる気がする? 1. 認証画面の画像群から秘密情報を構成しているカテゴリー/意味を抽出する. 2. それらの組み合わせの1つが秘密情報であろうから、それらで構築できるすべての組み合わせをbrute-force攻撃で試す.こうすれば、それなりの手数で認証を看破できてしまわないだろうか?
これに対する安全性を増すために、認証画面下に表示される画像に意味/カテゴリー的共通性がなくなるような画像提示をすると、ユーザの負担になるのは明確.
- ユーザビリティ面はDrag & Dropではなく、順番に画像をClickして選択する.という仕組みにすればより簡単だと思う.Drag & Dropにする意図はなんだろう? 回答順がバラバラでもよいという柔軟性を持たせたいのかもしれないが、秘密情報は順序依存だと思われるので、順不同でバラバラに回答をするのがシステムとして可能であったとしても、利用者側の視点にたった時にそれがmeritとなるのか? という疑問がある(でも、いい結果が出る気もする).
- 画像の意味を利用するものだとすると、ユーザによる勘違いの可能性もある.狸の画像を猫だと思い込んで繰り返し認証に失敗してしまうとか (重箱の隅系つっこみだな)
が、画像でない秘密情報を画像で回答する.という手法は非常に興味深いなと今更ながら思いました.猫認証/asirraを見た時にはなんとも思わなかったんだけど、これを見て脳みそが刺激された気がしました.画像認証の研究...まだまだ捨てたものではないかもしれない.
# なんて思うのは自分だけか?!
# [余談] システム名称の由来が妙に気になります... HIPs(Human Interactive Proofs)はいいとして、DAIはなんだろう?
Posted by z at September 12, 2007 04:03 AM