AlphaNumericパスワードと画像や図形を使ったパスワードの認証システムにおいて、どちらが覗き見攻撃に弱いか? ということを評価した論文.答えが見えているな〜と読む前には思ったが,はたしていかに?
F.Tari, A.A.Ozok and S.H.Holden,
A comparison of perceived and real shoulder-surfing risks between alphanumeric and graphical passwords,
Proceedings of the second symposium on Usable privacy and security (SOUPS'06),
pp.56-66, 2006.
ACM Digital Library
辞書にない単語や安全なパスワードよりはGraphicalパスワードの方が記憶が容易であるが,覗き見に対してはどうだろうか? というのが動機.Passfaceと文字列パスワード認証でそれぞれ2つづつ、合計4つの設定条件を設け,覗き見攻撃の脅威に対して、実際に測定した脅威とユーザが感じる脅威のレベルを比較した.(passfaceはマウスによる回答とキーボードによる回答、パスワードは辞書に載っている文字列と載っていない文字列)
結果は、passfaceをキーボードで回答する方法が最も覗き見攻撃に対して安全であり、それは実際の測定結果とユーザの認知する脅威レベルとで認識のズレはなかった.しかし、最も脆弱な方法は、ユーザが認知する最も脆弱な認証手法はpassfaceをマウスで入力する方法だったのに対し、実際に測定した結果では、辞書に載っていない文字列パスワードの方がより脆弱であった.
以下はメモ
- パスワードとして推奨される一定長以上の辞書に載っていない単語の入力は、辞書に載っている単語の入力よりも40%も遅い.この結果が論文として発表されていることを初めて知った.(参考文献37).これは、安全なパスワードを使用するにしたがい、覗き見攻撃に対して脆弱になるということを意味する.これがこの論文のキモと言えなくもない
- 現状のSecurity & Usabilityの研究は二つの流れがある.1.Computer Securityの分野では、ユーザビリティに配慮せず、攻撃者によるパスワードをクラック方法にのみ注目.2.ユーザビリティの分野の人は、安全性への影響を配慮せずに、パスワードの安全性やユーザの満足度にのみ注目.さらにもう一つの主張は、双方を十分に配慮して、製品を一から設計し直さなければならないというものである.
- helpdesk(ヘルプデスク)の仕事のおよそ30%がパスワードのリセット依頼.ま、よくある話だが、Gartnerの報告があるらしい(参考文献44,45)
- passfaceは自分のパスワードとする顔写真を自分で選択できなくしたらしい(参考文献30).
- パスワード破りの攻撃方法は3つのカテゴリー.1. 推測(guessing)、2.やみくも(cracking)、3. そそのかし(harvesting).しかし、それよりもより大きな脅威としてSocial engineeringと覗き見がある.攻撃者は、「ゴミ箱をあさり」「説得し(パスワードを聞き出す)」「観察する(のぞき見る)」のだ.これはGraphicalパスワードとて回避可能とは言いがたい...
- 5つの顔写真、5文字のパスワード(辞書内の単語とそうでないもの)で実験実施
- 評価項目は以下の4つ
1. 覗き見によって、どの程度回答を特定しやすいと感じるか (7段階)
2. 覗き見攻撃にどの程度脆弱だと感じるか (7段階)
3. それぞれの認証方法がどの程度攻撃しやすいと感じるか? (7段階)
4. パスワードやパス顔写真を取得するのになんらかの戦略を用いたか? (自由回答)
- 辞書にない文字列パスワードとマウスによるpassface認証が他の2つの認証よりも覗き見に脆弱であるという結果.さらに最も覗き見が難しいのは,keyboard入力によるpassface認証であった.
- 一般的にキーボードによる入力の方が安全であると感じられているが,それでも十分な安全性が得られているとは感じていない
- 結果としてmouse入力によるpassface認証だけが、認知結果も攻撃実験結果も脆弱であると認知され,その通りの結果となった.password認証の方は、辞書にある単語であるなしに関わらず,認知と実際の攻撃実験の結果が食い違うという結果となった.
- 辞書にある単語のパスワード認証より、辞書にない文字列のパスワード認証の方が、覗き見には脆弱という結果となり、これはユーザが認知している結果と食い違ったが,これはユーザがパスワードの安全性として認知している「辞書攻撃」への安全性をそのまま覗き見攻撃に持ち込んでしまった結果として誤解しているものと推測される.
- 興味深い結果あり.覗き見攻撃に対する脆弱性の一端を考えるとともに、個人認証に置ける安全性と利便性の両立に向けた一つのデータとして将来の研究の指針となるであろう
■ コメント
というか、当方の意見としては、覗き見攻撃のしやすさを考えれば、辞書に載っている単語か否かはどうでもよくて、問題はパスワード文字列をよどむことなく即座に入力できるかどうかが問題なのではないだろうか? という疑問がある.初めて入力を依頼された文字列が、単語かランダムな文字列かで入力速度に差が出るのはある程度予測できる.また、仮に一定期間その単語を使用していたとしても,その入力速度は単語とランダム文字列では差が出てしまうものかもしれない.ま、この点は考察でも触れられている.
これを考えれば,passfaceがmouse入力とkeyboard入力でどちらが覗き見に脆弱かも明白であろう.画面だけ見ていれば良いmouse入力よりも,画面とキーボードの双方を見なければならないkeyboard入力の方が覗き見に対して安全であるのは容易に推測できると思うのだが...
それとこの結果を肯定すると、すべての攻撃方法に対して安全なパスワードというのは、どんなものなのだろうか? と考えさせられてしまう.単語だと辞書攻撃に脆弱となり、ランダムな文字列だと(入力速度が遅いと仮定すると)覗き見攻撃に脆弱だと...パスフレーズの接頭語によるパスワードも、入力速度が遅くなりがち(頭で考えながら、接頭語のみをエイッエイッと入力しそうなため)なので覗き見攻撃に対して脆弱になりそうな気がするし...