Huanyu Zhao, Xiaolin Li:
"S3PAS: A Scalable Shoulder-Surfing Resistant Textual-Graphical Password Authentication Scheme,"
AINAW, pp.467-472, 21st International Conference on Advanced Information Networking and Applications Workshops (AINAW'07), 2007
http://www2.computer.org/portal/web/csdl/doi/10.1109/AINAW.2007.317 - IEEE CS Digital Library
文字列パスワードも画像認証も「覗き見攻撃」には脆弱.そこで以下の特徴を備えたシステムS3PASを開発
1. 人間,隠しカメラやスパイウェアでも秘密情報(パスワード/パス画像)が漏洩しない
2. 既存のパスワードシステムに適用可能で,さらなる利点を提供.文字列パスワード認証でも画像認証でも適用でき,かつ既存システム以上の安全性を提供
3. brute-force攻撃に対しても安全
4. 入力デバイスとしてマウスとキーボードのどちらも利用可能
AVI2006で S.Wiedenbeck, J.Waters, L.Sobrado, J.C.Birgetらが発表した論文
"Design and evaluation of a shoulder-surfing resistant graphical password scheme" とおなじものである.細かい点はよいとして,根本的に何が新規点なのかはわからなかった. この論文(AVI2006で発表された論文)は,以下のURLで取得可能
http://clam.rutgers.edu/~birget/grPssw/
- 画像認証には3つの形態
1. PassPoints型 (画像内の位置指定)
2. Passface型 (画像の再認)
3. Draw-A-Secret型 (既定の描画を再現)
覗き見攻撃対策としての参考文献は,6,4,9を挙げている.
# 参考文献9を挙げておいて,なぜAVI2006の論文を参照しなかったのだろうか?
繰り返すが,基本的な仕組みはAVI2006の論文と同じ.三角形を作るシンボルを文字列パスワードからどう生成するかについて,若干の提案をしているようにも読めるが,個人的にはAVI2006の論文を読んでいれば,ほとんど自明という感をいがめない.
画像認証だけでなく文字列認証にも適用可能だという根拠は,認証画面でアイコン画像を表示するかわりに,アイコン画像化された文字を提示するだけのように見える.
文字列認証に対応させるのになんらかの問題があって,それに対して工夫を施した...ようには思えない.
文字入力への対応も,マウスでクリックするかわりに三角内に存在する文字をキーボードから入力するというもの.ということは,画像認証の場合は何を回答として文字列入力するのだろうか? それとも文字列入力による回答はできないのだろうか?
ランダムクリック攻撃に対する安全性解析もよく理解できない.あまりにも成功率が低いという数値が提示されているが,同様の攻撃で,認証画面中央部付近をクリックすると高い確率で攻撃に成功してしまうという指摘をしている参考文献[6]の指摘を安全性の考察の節では引用していない.
うーむ
Posted by z at January 29, 2009 03:55 AM