Love and authentication,
Markus, J., Erik, S., Susanne, W., Liu, Y.,
Proc. of the 26th annual SIGCHI conf. on Human factors in computing systems (CHI 2008), pp.197-200, (2008).
ACM Digital Library
perference-based authenticationと言うべきか.passwordを忘れてしまった時に本人を確認する手法として提案.個人の好みというのは長期/短期記憶よりもその記憶が安定していて、かつ回答がぶれにくい.これを利用して高エントロピーの認証を実現しつつ、利便性の低下を最小限にする認証を提案する.という内容と理解.
■ Abstract
- ユーザはpasswordを忘れる.
- 高いfalse positiveとfalse negative.前者は低いエントロピーだったり一般に入手できる情報が使われていることが原因であり、後者は記憶困難なパスワードだったり頻繁にパスワードを変更することや入力ミスが挙げられる.
- よい"Security question"とは、一定長の生活から得た好みや知識に基づく内容にすべきであり、一般に入手できるような情報を使うべきではない
- オンラインの仲人サービスで使われているような質問がSecurity questionに適している!
- まずはじめに入力ミスを減らすためのインタフェースについて議論
- 提案手法に関する実験の詳細について議論
以降も走り書き
■ Introduction
- 認証 = パスワード
- だがユーザはパスワードの記憶とその維持が得意でない.また多くの場合ユーザは簡単な(ダメな)パスワードを使いがち
- 安全なパスワード = 記憶困難なパスワード
- パスワードを忘れてしまうことに対する新しいアプローチに関する研究.Human computer interactionとSecurityの領域に関する洞察からくるアプローチ
- password resetの方法はここ数年新しい方法の提案はない
- callセンターだとコストがかかる.[7]
- 代替策としては2つの方法が主流
- 1. とあるリソースにアクセス: 事前に登録しておいたE-mailに復旧用のWebサイトを通知
-- そのE-mailアカウントにアクセスできる限り有効.が、配送や不正なアクセスに関する問題がある
- 2. 他の個人情報に関する知識:
-- 推測攻撃、低エントロピー、公的情報により攻撃可能といった問題
- これら2つの方法の組み合わせ:
-- E-mailアカウントが無効になってしまったらNGとなる問題
- 種々の問題から、結局Securityは知識のみにより検証されていると言える
- 今日使われている知識ベースの検証方法も様々な問題あり
- 「好きなスポーツチームは?」: 低エントロピー、地理的要素に依存
- 「あなたのはじめてのペットの名前は?」: 共通したペットの名前で攻撃可能
- 「母親の旧姓は?」公的情報のminingにより攻撃可能.辞書攻撃可能
- 「あなたの生誕地は?」インターネット検索エンジンで回答発掘可能.辞書攻撃可能
- 最近、インターネット検索エンジンの能力はこの種の情報収集方法として脅威[8]
- 多くの場合、攻撃者は回答を推測または類推可能
- 多くの質問には多くの回答がある場合もある.しかしシステムが受け付けるのは1つ.これはユーザをイライラさせる.例) 生誕地は? という問いにBrooklynなのかNew YorkなのかNew York CityなのかNYCなのか...
- 誕生日や社会保障番号などはこういった揺らぎはないが、データを安全に保持しなければいけないという問題もある
- personal security questionの提案: 個人的な好み/嗜好に関連した問題を選ぶことで、公的データの大規模なminingによる攻撃を回避可能に
- Onlineのdating web siteからの情報収集による攻撃は困難.profileは公開されていてもcontact informationは公開されていない.つまりユーザ名がわからない.また想定している質問は、複数のdating web serviceから情報を収集して使用するので、それら全部を攻撃者が収集することは極めて困難と考えるため
- 低エントロピーによる脆弱性を克服でき、かつ種々の質問を使用することで高エントロピーを実現
- またこれはユーザビリティに大きな障害を与えることなく実現できる
- どうするか-> 複数回答選択肢による多数の質問を使う.
- 3つの選択肢による回答は必ず1つになる.2つにはならない(?).心理学に基づいた洞察でもあり、「好み」は時間を経過しても変化せず、それは短期記憶や長期記憶よりも安定している.
- false positive, false negativeを測定するために複数の実験を実施
- 1. 個々の質問に対するエントロピーを測定
- 2. 質問に対するユーザの好みが変化しないかを測定
- 3. 質問に応じて攻撃者が認証に成功してしまう確率分布を測定
- 攻撃者は赤の他人と知り合いを想定
■ Design Principles
- パスワードの生成は大変な作業として知られている
- 認証のための質問を考えるのも同様
- この労苦ゆえに、ユーザは共通の質問を使い回し、そしてそれゆえに回答も再利用する傾向にある
- 認証は日常生活の一こまとなっており、HCI分野での問題でもある.それゆえ簡単さ、使用時間、単純さそして効率が問題とされる
- 使用される質問、質問の数、そして質問の形式が重要な問題.そしてその対話手法が最も大きな問題.操作は簡単で説明なしで操作が理解できることが望ましい
- そしてそれは高いセキュリティと外部に実体化された知識の利用を最小化されていることの双方が望まれる
- personal security questionの概念はこれらを全て解決.
- 実験結果から、被験者は10個の質問を平均20秒以内に回答できていた
- 要求される安全性にもよるが、10から90個の質問が使用されると推測している
■ Preference-based Security Questions
□ The Authentication Approach
- 2つの作業フェーズ: setup(初期設定)とauthentication(認証)
- setup: アカウントを登録、多数の質問に対して回答する.質問内容はTV番組、音楽、食べ物、スポーツなど
-- 例) country musicは好き?、試合を見るのは好き?
- 回答は 1) 大好き 2) どちらでもない 3) 大嫌いの三択.回答は認証サーバに送られる.
- ユーザがパスワードを忘れたとき、システムはユーザにsetupの時に回答させた質問を提示し、答えさせる.質問の数は要求される安全性に依存
- 認証に成功するためには、数回のエラーは許されるものの、ほとんどの回答には正解する必要がある.
- 特にsmall errorとbig errorの概念を使って区別する.big errorは大好きを大嫌いと回答する場合.small errorは大好きをどちらでもないと回答する場合
- 正規ユーザならばbig errorはそんなに多数発生しない.実験結果もこの事実を追認する形に.
- 認証の成否判断は、ユーザが得たスコアがしきい値を越えるかどうかで判定
- 正解ならスコア加算、不正解(big error)なら減算、どちらでもないとsetup時に回答した問題に正答してもカウントはしない(攻撃者による全"どちらでもない"回答攻撃に対処するため)
■ How Can One Find Good Questions?
- [10]の方法により候補とした質問群の善し悪しを決めるエントロピーを計算[10]
- よい質問のエントロピーは0.61〜1.57.TVを見るのは好きか? といった質問はエントロピーが低くてダメだった.
- ダメな質問は、認証用の質問からはずし、エントロピーの高い質問のみを認証用質問として使用した.=> 攻撃者による推測攻撃を回避するため
■ Experiments
- 423人の大学生で第一実験を実施.いくつかのdating web siteから193の質問を収集して実施.
- 第二実験では、193個の質問から96個の質問を選んで認証作業(setup & authentication)を実施.選んだ質問のエントロピーは1.35から1.57.
- setup実施後7-14日に認証を実施.2つのグループに分けて実施.1つめのグループは46人の被験者で認証を実施.$5.00の報奨金が出る.2つめのグループは26人で同額の報奨金が出るが、正解率が高い場合さらに$5.00の褒美が出るようにした.報償の追加により正解率が変化するかを知るための策.
- 第三の実験はfalse positive測定のための実験.他人による攻撃はbotによる攻撃.botは各問題における回答分布を知っており、もっとも回答分布の多かった回答を選択する.知人による攻撃は、被験者による実験を行った.評価はスコアとsmall error, big errorの数で実施
□ What are the Error Rates?
- 実験の目的は、false negativeとfalse positiveを最小にする最適パラメータ(しきい値)の取得
- しきい値Tが50%だとした場合、false negativeは0%、Abotによるfalse positiveは3.8%、知人による攻撃は10.5%となった.(図1)
□ Use of fewer questions
- 実験結果から96もの質問は不要
- どうやって質問を減らすか.質問の数と組み合わせが問題になる
- 50個のランダムな組み合わせを生成し、エラー率がどう変わるか実験(図2)
- 16個の質問でも利用に耐える.24個かそれ以上ならばエラー率も十分低い結果に.この試行錯誤の結果、false positiveを1%以下でfalse negativeを0%にすることができた
■ Conclusions
- 好みベースの認証(preference-based authenticaiton)の提案.パスワードを忘れてしまった時に使用することを想定
- できるだけ少ない要件(時間、記憶、手間)で対話性を持たせた認証を設計すること
- これらの要件は明らかに適切な安全性を確保することと対立する要件である
- が、実験結果から、提案手法はよいバランスを実現できたと考えている.低エラー率と過度な手間や時間を取らせない.また手法の理解も容易であり、手早く操作できる.被験者でこの手法を怖がったり、手間取った人はいなかった.
◇ 気になる参考文献
8
* http://www.i-forgot-my-password.com/ も参照のこと
Posted by z at June 9, 2008 05:51 AM