Tabletopシステムでの認証システムについて、特にTabletopsシステムを複数人で使用する際に問題となる「覗き見対策」としてmulti-touchによる認証方法の提案と評価を行った論文.複数の覗き見対策手法を提案した中で、"Pressure-Grid"手法は、PINとGraphical Passwordのどちらの認証手法においても覗き見対策としてよい対策となることが明らかになった.
David Kim, Paul Dunphy, Pam Briggs, Jonathan Hook, John W. Nicholson, James Nicholson, and Patrick Olivier:
Multi-touch authentication on tabletops.
Proc. of CHI (Human Factors in Computing Systems), pp. 1093-1102, 2010.
ACM Digital Library
* Design Considerations
公的空間におけるディスプレイやテーブルトップ環境での個人認証は、技術的に信頼できて効率が良いだけでなく、Social Context(使用場面)においても十分受け入れ可能なものであることが必要である.ユーザビリティに問題があると(i)ユーザ側で守るべき規則を守らなかったり(推測容易なパスワード、メモへの書き留め)、(ii) 単にそのシステムを使用しなくなる.また利用状況への理解が不十分だと、利用環境では起こりえないような振る舞いを仮定した認証システムとなってしまう.
* Shoulder Surfing Resistance
目標: 共有スペースにおいて利用状況的にも受け入れ可能で,かつ攻撃への耐性がある認証システムの設計
1. Reduce visibility: (視覚への依存軽減)
2. Subdivide action: (入力動作の細分化)
3. Dissipate attention: (注意の拡散)
4. Knowledge transformation: (知識による変換)
表1は要チェック
TabletopsによるMulti-touchインタラクションでは、以下の特性が見込める
1) 視覚的にも複雑な両手操作を可能にする.それは見ていただけではその再現が困難な操作になる
2) 物理的に直接的な操作が可能になる.これはユーザビリティやそのシステムの仕組み理解を容易にしうる
3) 共同作業している利用者は、かなり異なった視点でコンテンツを見ることになる
本論文における脅威モデルは、Tabletopsシステムを共同で使用している(どんな角度の位置からでも)第三者からの覗き見攻撃からの安全を確保することである.カメラを使用した覗き見攻撃は、知識ベースの認証における脅威の一つであるが,カメラによる覗き見は本論文で議論する脅威の対象外とする.我々は、認証行為をカメラで撮影するというような行為は、社会的慣習によって抑止できるものと考えている.
* Enhanced PIN input
- Shield PIN
手で囲うというgestureを検知すると、そのgestureの中にPIN入力用のkey padが表示される.これによりkey padを隠すという動作はオプションではなく強制化することができる.一部からは見えてしまうというのも、そのkey padのサイズや形状を工夫すれば、十分実用に堪えうると考える.また入力方法が基本的に変更無しである点もユーザビリティやシステムの理解という点では利点となる.[31]の論文も読んでみるべきか
- SlotPIN
冗長な情報&同時操作により覗き見攻撃を困難にする方法.数字がランダムに並べられているリール(配列)が4つ表示されている.この一番左側のリールは固定であり、この配列のどれかの行で
正しいPINを入力する.それは暗証番号の1桁目の数字がある行.正規利用者は残りの3つのリールを操作し、残りの桁の数字を入力する.このリールは直接操作で回転させる事はできない.これによりユーザが思わず自分の暗証番号を直接タッチしてしまわないようにしている.スロットマシンのようにリールの下に用意されている3つの可動リールを使って操作する.なおこの手法は最悪の場合、2回分の認証操作を録画されるだけで暗証番号を特定されてしまうので、Cameraベースの攻撃が想定される環境には適さない.
- Cued PIN
Slot PINの弱点を改善するため、Slot PINとShield PINを組み合わせた方法.Shield PINはシステムとユーザの間に秘密の通信路を確保し、どの行で秘密情報を入力するかの情報をシステムからユーザに通知する.行はA
〜Jとなっており、入力行は各桁毎にgestureをすることで提供される.あとはSlot PINと同じ方法で、各列の暗証番号を入力していく.今回は入力行がShield PINで伝えられているので、操作用のリールは4つある.
これによる改善点は2つある.1つはShield PINのgestureで隠す情報量が減ったので、確実に隠蔽することが可能になる.2つめは、暗証番号の各桁の入力位置がランダムになるため、カメラによる覗き見攻撃で複数回の認証行為を撮影されたとしても耐性のある手法となる.
* Multi-touch Graphical Passwords
- Color Rings
画面に72個のアイコンがランダムに配置される.色のついた「輪」が4つ表示されるので、それを投げ縄の要領で、事前にパスワードとして決定されているアイコンを囲むようにする.4本の指で画面を触ることで4つの色のついた輪が表示されるが、そのうち3つは「おとり」である.人による覗き見(短期記憶のみに
依存)であれば対策になりうると考える.問題は手の器用さが要求されることと、あとは凸包クリック手法と同様だが、正解のアイコンを探す手間がかかることである.
* Pressure Passwords
VisionベースのTabletopsシステムは指の大きさを得ることができる.つまり指の圧力値を得ることが可能である.この圧力を視覚的に捉えるのは困難であり、視覚に頼らない操作方法として覗き見対策となりうる可能性がある.
- Pressure Grid
指圧力を使用した、グリッドに配列されたオブジェクトを選択するための入力方法.暗証番号や再認ベースの画像認証など、なんらかのオブジェクトを選択する手法に適用可能.
両手から3本ずつ指を置く.するとそれにあわせて3x3のグリッドが表示される.両方の指で、自分が選択したいオブジェクトのXおよびY座標に該当する指に力を入れて圧力をかける.すると意図したオブジェクトが選択される.それを複数回繰り返す.両手をTabletopから離してしまったら認証処理はキャンセルされる.
論文[9]のDraw a SecretとはMulti-touch手法を使用し、Penを使用しない点が異なる.論文[1]とは列と行を同時に選択できる点で異なる.論文[11]とは付加的な認知負担を加えていない点で異なる.1つの制限としては、手の器用さが求められることである.カメラによる覗き見にも安全性があると言えるが,論文[10]にあるように爪の色が変化することを検知する手法により、圧力がかかっていることを検知される可能性もある.