Kumar, M., Garfinkel, T., Boneh, D., and Winograd, T.:
"Reducing shoulder-surfing by using gaze-based password entry",
In Proceedings of the 3rd Symposium on Usable Privacy and Security (SOUPS '07),
pp.13-19, DOI= http://doi.acm.org/10.1145/1280680.1280683
個人認証に対する覗き見攻撃への対策としてGaze-based authenticationを提案.
個人認証における覗き見攻撃に対する対策として,視線(eye tracking)を利用した秘密情報の入力手法を提案した論文
- 視線追跡を用いた入力方法は...
入力方法は単純(直感的), 認証手法をあらためて学習する必要なし, そして覗き見攻撃に対する安全性向上 => それすなわち安全性と利便性のバランス向上に寄与
- 視線追跡センサーの機能は年々向上しており,価格も下がるはず
- AppleのMac Bookに代表されるiSightのように、情報機器にカメラが搭載され始めている. 今後,視線追跡機能が付与される可能性もあるだろう.
- 大きな問題は、キャリブレーションの必要性. しかし,各利用者のカード(Cash card)に各利用者に対するキャリブレーション情報が格納され, ATMにカードをいれると自動的にキャリブレーションが行われるようになれば大丈夫かと
- 当然ながら, カメラで眼球が撮影できないようになっている場合はNG (例: サングラス)
- 脅威モデル
攻撃者はキーボードなどの入力デバイスと画面を観察可能, また音声も聴取可能. また正規利用者の頭の動きを観察することが可能だが, 眼球の動きは見れないものとする.という条件
# 画面表示と正規利用者の眼球の動きを同期した状態で録画すれば,なりすましは可能としている. が,これは相当困難なことと想定するとともに, 現実の覗き見攻撃として想定される多くの問題を改善しうる手法として視線追跡による入力方法を提案
- システム設計上の選択肢
-- Target size
キーボードの各キーのサイズ
-- Keyboard Layout
QWERTYとAlphabet,そしてテンキー配列
-- Trigger Mechanism
文字の入力契機となるトリガーは2種類
1. 秘密文字をしばらく眺め続ける (dwell based)
2. 別のキーを押下することで指示 (multi-modal based)
multi-modal basedの場合は,入力のタイミングを攻撃者に知らせてしまう.
dwell basedの場合はそれがない.実験結果からもdwell basedの方が入力
時間は短くなったとのこと.
-- Feedback
秘密情報がきちんと入力されたことをユーザにフィードバックするか?
参考文献21では,視覚的なフィードバックなしで行ったそうだが,やはりフィードバックは必要だと判断.
アスタリスク表示により入力文字数を表すありがちなフィードバックを実装. これにより入力タイミングが攻撃者に漏洩するのを防ぐため,そのフィードバックの表示は一定のタイミング毎に更新.
# そうだとしても,秘密情報の文字数は攻撃者に漏洩してしまう.
-- Shifted Character
各キーには,小文字と大文字の双方を表示.スペース節約のため. キーボードにはシフトキーを用意されており, 大文字(Shifted Character)を入力するには,シフトキーを一旦アクティブにした後, 入力したい文字キーをアクティブにする.
これにより,攻撃者になんらかの秘密情報を漏らすことなくShifted Characterの入力が可能.
- 評価実験
-- 次の3パターンで評価
0. Keyboard入力
1. (Gaze-based, Key Trigger, QWERTY layout)
2. (Gaze-based, Dwell, QWERTY layout)
3. (Gaze-based, Dwell, Alpha layout)
- 結果
-- Gaze-basedの秘密情報入力時間は10秒前後、キーボード入力の4,5倍の入力時間
-- 有意差はないが, 同じキー配列ならばDwell basedの方がTrigger basedよりも入力時間が短い
-- Trigger方式のエラー率が高い.視線移動とキー操作の同期は現時点では困難だと判断せざるを得ない.が,システムの改良によってカバーできる可能性はある.
-- 主観的評価では,60%以上の被験者がTriggerの方がDwellよりも入力時間が短く,かつ正確に入力できていたと感じていた. 客観的実験結果と大きく異なるユーザの認識.
-- 同じく主観的評価では,80%以上の被験者が公的空間でのパスワード入力はキーボードよりも視線の方がよいと言っていた
-- キーボードレイアウトの差は,慣れの問題と思われる.
-- 認証時間は,キーボードより4,5倍かかるが,提案されている他の覗き見攻撃に対策の手法よりは優秀な結果だと言える.
-- キーやマウスによる入力はないので,キーロガーによる「現状」の脅威は回避可能
# サーベイはひどく(?)充実している.さすがはStanford(?)
□ はじめの問題意識の記載も参考までに残しておく
- 既存の覗き見対策は、安全性の肩代わりとして利便性を損なっている
-- security tokenが必要な手法
-- 直接的なfeedbackを与えない入力方法
-- 入力値の特定を困難にするため付加的な操作が必要な方法
などなど
- 提案手法は、shoulder-surfingならびにacoustics attackに対して安全性を確保しうるgaze-basedの認証手法を提案
- 覗き見攻撃とはcameraだけでなく双眼鏡、キーボードの音そしてディスプレイからの漏えい電磁波などでも可能.パスワードが暗号化されていたり、安全なプロトコルを使用していたとしても、入力時に覗き見られたら元も子もない. ある意味、パスワード入力時の人間の行動はweakest linkであると言える.
□ 既存の認証手法のpros & cons
- 生体認証: shoulder surfingに対する一定の安全性はある.が、この手法は、秘密情報が秘密でないことと、秘密の更新が極めて困難である点が問題
- 物理token: RSA SecurID: 覗き見には安全.だが、持ち歩く必要あり. 紛失盗難の危険性あり
- 一般的な覗き見耐性のための手法はNoiseを増やすことで、入力値の特定を困難にしている
-- Rothらの手法は、回答回数が増大する
-- Wiedenbeckらの提案する画像認証ベースの覗き見耐性手法: 新たな認証手法の習得と認証操作が長くなる
-- 複数の画像から既定の画像を選択する認証手法は時間がかかるし、画像を記憶しなければならない.
-- TanらのSpy resistant keyboard: 複雑なキーボードと操作手法に慣れる必要あり