個人認証における覗き見攻撃への対策として、多数のアイコンが表示された中から、ユーザが事前に選択しておいたアイコンを数個を見つけ出し、それを線で結んで「凸包」を頭の中で作成する. その凸包の内部にあるアイコンを選択することで認証を行う. という手法がある.
- Graphical passwords - The Rutgers Scholar
- Huanyu Zhao, Xiaolin Li, "S3PAS: A Scalable Shoulder-Surfing Resistant Textual-Graphical Password Authentication Scheme," ainaw,pp.467-472, 21st International Conference on Advanced Information Networking and Applications Workshops (AINAW'07), 2007 - IEEE CS Digital Library
- A Shoulder-Surfing Resistant Graphical Password Scheme - WIW
この種の認証手法に広く適用可能な攻撃手法が存在するというご指摘をCMUの研究者から頂いたので、ここで紹介する.
--- begin here ---
基本的な考え方は、「shared secretとなり得ない組」を除外していくことで、結果的にパスワード画像群を絞り込む手法です
仮に、ユーザが画面の中央をクリックしたとすると、ユーザのクリックした位置を通る垂直の線を引いた場合に、線の右側に含まれる文字の組み合わせはパスワードとなり得ない (それらの組みあわせにより作られる三角形の中にはユーザのクリックした位置が含まれないため).もちろん左側も同様です.
これをさらに拡張すると、ユーザがある位置をクリックしたときに除外できるパスワードの数が計算できます。実際にスクリプトで計算してみたところ、ユーザが画面中央をクリックした場合に、除外できるパスワードの組がもっとも少ないですが、その場合でも68%のパスワードが除外されます.
このため10回認証過程を録画すればパスワードは一つに絞り込まれます
--- ends here ---
確かにこの攻撃方法は実行可能だなと当方もすぐに理解しました. 素晴らしい指摘です.
当方はこの攻撃手法には気付けませんでした
(どうも秘密を探し出せという考え方ばかりに思考が偏っていたようで...) .
フォーマルな検証は行っていないそうですが、これらの手法のように間接的に秘密情報を入力する認証手法には、同様の攻撃手法に対して脆弱になるのではと考えていらっしゃるそうです.