December 29, 2010
Paper: ColorPIN - Securing PIN Entry through Indirect Input
銀行ATMでの認証における覗き見の脅威に対する対策提案の論文。
CHI2010の論文である。
Alexander De Luca, Katja Hertzschuch, and Heinrich Hussmann. 2010. ColorPIN: securing PIN entry through indirect input. In Proceedings of the 28th international conference on Human factors in computing systems (CHI '10). ACM, New York, NY, USA, 1103-1106. DOI=10.1145/1753326.1753490 http://doi.acm.org/10.1145/1753326.1753490
- ACM Digital Library
- Author's web page
タイトルの通り、暗証番号に色を付与して覚えておく。つまり覚えるのは暗証番号4桁のかわりに、暗証番号4桁プラス各桁の色となる(例: 1234+黒赤白黒)。論文内の提案では色は3色。これにより、1回認証行為を録画されても、まだ81もの暗証番号候補が残るため、安全性が向上するとしている。
- 以下は走り書き
- 脅威モデル
攻撃者は、銀行ATMを完全に掌握しているものとし、また銀行カードをコピーできるハードウェアも設置されているものとする。また操作したキーパッドと画面はすべて記録される。また覗き見攻撃も想定される。
- 認証方法
画面は以下の通り。ユーザが記憶している暗証番号と色の組み合わせを用いると、認証画面から入力すべき文字が一意に定まるので、その文字をキー入力する。つまり、下の認証例だと暗証番号1234と色の組み合わせから、"QFHL"という入力文字が決定する。
しかし認証画面を見てもらうとわかるが、この認証画面と入力文字が記録されたとしても、色情報が不明である限り、入力文字からは3つのアルファベットが候補として得られるため、1回の覗き見であれば、4桁暗証番号だとすると、3の4乗で81個の暗証番号までしか絞り込めない。という仕組みである。
- 評価
手法として、暗証番号認証とColorPIN方式、暗証番号としてランダムに割り当てたものと、自分で決定したものの2種類を用い、合計4パターンで認証実験を実施。被験者は24人(15〜57歳 (avg.28歳)、男性18名, 女性8名)。
認証時間はColorPINの方が、暗証番号よりも時間がかかる(論文にグラフあり)。
認証は3回の試行まで許可したが、それまでにすべての認証試行が成功した。また訂正行為はどちらの認証手法でも若干数あった。よって誤り率はどちらも差はないと判定。
安全性は、攻撃実験をしたところ、暗証番号は37(of 48)のケースで見破られたのに対し、ColorPINは2(of 48)のケースのみ見破られた。またその見破られたケースは被験者が暗証番号を指差してしまったという事例であった。よって安全性はColorPINの方が優れているという結果になった。
- 考察
認証時間であるが、暗証番号認証よりは時間がかかるものの、他の関連研究で提案されている認証手法との比較では認証時間は短い部類に入る。
記憶負担と操作方法が毎回異なることによる負担の軽減は、今後の課題。