De Luca, A., von Zezschwitz, E., and Hußmann:
Vibrapass: secure authentication based on shared lies
In Proceedings of the 27th international Conference on Human Factors in Computing Systems (Boston, MA, USA, April 04 - 09, 2009). CHI '09. pp.913-916
http://doi.acm.org/10.1145/1518701.1518840
Observation attack(覗き見攻撃)への対策として以下の方法を用いた認証手法を提案
- ユーザの持っている携帯電話のバイブレーションを利用
- ウソ回答を正規回答に混ぜて回答する
以下はメモ
- public displayでの役割は増加 (列車の自動券売機、飛行機のcheck-in端末、そして銀行ATMなど)
- 主たる対策手法は3種にわけられる
- ソフトウェアでの対策
-- 問題: これらは映像記録に脆弱である
- 認証システム側に付加されたハードウェアを利用した入力方法 = 生体認証/振動,触覚デバイスなど
-- public displayでは、そのデバイスの信頼性が問題になる (自分の所有するデバイスとは違い、なんらかの仕掛けがなされるかもしれない)
- ユーザ自身の持つハードウェアを利用した入力手法
-- これなら攻撃者に細工される危険はない、が、降るまい認証などだと曖昧な回答になる
仕組みは簡単、ユーザの端末をpublic displayと接続し、認証を始める.認証システム側ではランダムな0/1列を作成する (例: 010010).1の時にはユーザの携帯端末を振動させ、ユーザに嘘の回答を指示するというものである.つまり、4桁の暗証番号に2回分の嘘回答を混ぜさせることで、覗き見されたとしても、暗証番号の抽出を困難にし、その安全性を確保する.
- 利点: 通信機能は必要だが、認証システムにハードウェアを付加する必要はない
- 利点: man-in-the-middle攻撃の脅威はない: 携帯端末で値を入力して、public displayに送付する方法ではman-in-the-middle 攻撃の脅威に対応できないが、本手法は信号を受けるだけなので、この脅威は回避できる.
- 脆弱性: 複数回の入力行為を記録されると、暗証番号が抽出可能 (最悪の場合、2回分の入力記録で暗証番号が特定可能になりうる)
# ここの言い訳がすごい.そういう認証端末はすぐに修理される.そしてそういった端末をユーザが短期間に二度も操作することはない... ときたもんだ.
- 評価実験
- 被験者は24人(うち女性8名)、平均年齢23歳
- 3回連続して認証に失敗した事例は、8文字のPIN/Passwordで、嘘回答加増率50%および100%の時に多く発生した.
- 嘘回答加増率30%では、認証失敗事例はなかった
- 認証時間は、PIN/Password文字列と、嘘回答加増率に依存する (仮定通りの結果)
- Security Evaluation
- 2つのビデオによる映像記録と音声録音を記録を基に攻撃実験をしたら、32.5%でなりすましに成功した
-- 主たる要因はバイブレーションの音が聞こえたため
- また別の秘密情報特定要因として「ダメな嘘回答」が指摘された.(例: 同じキーを連続して入力した場合など)
- User Preference
- 嘘回答加増率は、被験者全員が30%-50%が好んだ
-- 50%を選んだ被験者の一人は"good trade-off between usability and secuirty"と言った
今後の課題
- ズボンを来ていない人、ポケットのない服の人はどうするんだ? (手でデバイスを持つとか、ちょっとどうにかしてデバイスを隠せば良いのでは?)
- 嘘回答の"quality"問題: "bad lies"では、それが嘘の回答であることが見破られてしまう
- 長期実験でのPIN/Passwordの想起(recall)に影響があるかの調査
うーん、デバイスを使って回答指示情報をユーザに伝えるのはUndercoverと同じようだが、それによって得られる安全性のレベルはずいぶん違うなという感じ.確かに、30-50%の嘘回答混入ならば、認証ミスも少なく、回答の高速入力は可能だろうけど、その代わりに得られる安全性もそれなりのような気もしなくもない.