December 10, 2003
Photographic Authentication through Untrusted Terminals
Trevor Pering and Murali Sundar and John Light and Roy Want,
Photographic Authentication through Untrusted Terminals,
IEEE Pervasive Computing, Vo.2, No.1, pp.30--36, 2003.
移動先やモバイル環境などで使用せざるをえない信用できない端末(自分所有の計算機でない、インターネットアクセスポイント(Internet Cafe等)にある、共用の計算機)からの認証に写真を使った認証は適している.という論文である.ホームサーバが存在すると仮定し,そのサーバ内に個人の写真がたくさん保存されているという条件で,認証の度にその写真群の中からランダムに写真を選択して認証に供することでChallenge & Respose特性を持つこととなり、結果としてreplay攻撃に対する安全性を増すことができるとある.
IEEE Parvasive computingに掲載されていた記事である.論文は,こちらから取得可能である(有料).IEEE CSのDigital Libraryである
Casual Data(例: 自分の銀行口座の残高 (口座番号ではない))にアクセスするのに必要充分な安全性と、使い勝手の良さを提供する認証方法だと述べている.認証方法は以下の通り.
- 1回の認証で10回の照合が必要.言い換えると10回回答する必要がある.
- 1回の照合で画面に4枚の写真が提示する.これは自分の写真1枚と他人の写真3枚が含まれている
- 試行者は自分の写真を選択する
つまり4枚の写真群の中から自分の写真を10回連続して正確に選択できたら認証できるという仕組みである.
2種類の評価実験 1.可能性検証実験 , 2. replay攻撃実験、を行っている
可能性検証実験(feasibility)では実際に8人の被験者で認証を行ってもらったそうだ。各被験者は48〜およそ1,300枚の自分の写真を登録した上で認証を試みたが、全員とも90% 以上の成功率で認証に成功していた.つまり(4枚から1枚を選択) x 10回 at (1000枚以上の写真)でもユーザはこの手法で認証できたということである(本当かいな...そしてこれが時間経過しても維持できるのかな? それほど他人の写真と自分の写真との区別というのは人間にとって比較的容易だということか...).
実験後のインタビューでは、この認証手法が安全か?の問いに対する回答が割れた.「安全である」という人もいれば「危険である」という人もいたとのこと.ただし、この認証方法は楽しいし、操作は容易だという意見は一致した.また被験者の一人は認証しながら笑っていたらしい.なにやら懐かしくて楽しい写真が認証時に現れたとか...
replay攻撃実験では以下のように実験を行った.
仮定: 攻撃者があるユーザの認証行為を盗聴していたとする
攻撃者には全写真群を見せ、かつ正規のユーザの認証行為を覗かせた.その上で攻撃者には1回だけなりすまし攻撃を試みてもらった.
結果としては誰もなりすましには成功しなかった.ある攻撃対象者については、推測成功率が高かったが、それはそのユーザの写真があるカテゴリの写真 (家の建築風景)に偏っていたためであった。ただし今回の攻撃者たちはいわゆる素人(casual attacker)であった.したがって写真家などの人に攻撃者を演じてもらうと、この結果は大きく変わってくるかもしれない.
またこの認証手法に対する脅威として以下の考察が行われていた.
Replay Attack:
またの名をobserver attackとも言う. 二者間の通信を傍受し、後で同じデータを送ることでなりすましを成功させる方法。challenge image setを毎回変更すればよいと言っているが、それだけでは完全ではないともいっている。微妙である.
Cognitive Attack:
またの名をsimilarity attack / knowledge attackともいう.見た目/意味的類似による攻撃法と,攻撃対象者の知識ベースによる攻撃方法がある.知識ベースの攻撃方法はその試行時に特徴があるという.それは認識率が正規ユーザが試行した時と比較して,極めて低いことと,試行にかかる時間が長くなることである.これを用いてreplay攻撃と cognitive攻撃を分類することできる可能性があると述べている.類似型の攻撃は画像処理の技術を使うと高速かつ容易に実行できる可能性もあるとのこと.それゆえ似通った写真群を使うのは避けた方がいいようだ.
Polling Attack:
text passwordでいう辞書推論型攻撃と同種の攻撃と言える攻撃方法であり,提案している認証手法の場合には、認証システムが持つ画像を収集するのにこの攻撃が使われる可能性がある.よってこのような攻撃を受けても照合情報となっている画像が推論できないような提示法を考える必要があると述べている.
また論文では,Coincident Attack, Compromised Attackという信用できない端末を使用した場合にのみ発生すると考えられる攻撃方法についても考察している.Coincident Attackは信用できない端末上で悪事を働くagentやproxyが動作していた場合の脅威を考えており、Compromised Attackはその信用できない端末がすでに不正侵入されていた場合にどうやって安全な状態に戻すのか? ということについて考察している.
またシステムに対する攻撃実験で、攻撃者は正規のユーザよりも画像の認識およびパス画像の選択に時間がかかることがわかった。これを利用して認証照合時にtime outを設けることでより安全性を高めるというfuture workを提案している
また画像であるがゆえに発生すると考えられる攻撃方法について考えるべきだろうといっている,色に基づくヒストグラムや顔認識,フィルタ処理などの画像処理によって発覚する危険性も無視できない.この種の認証方法に対する攻撃方法で大事なことは「この画像はあのユーザが持っているものではない」という特定(絞り込み)をすることである.したがっておとり画像に工夫をすればよい.おとり画像が他のユーザが登録した画像なら,Webから収集してきた画像より見分けが困難になるだろう.しかし,どの程度うまく機能するかは不明である.
December 09, 2003
Déjà Vu: A User Study Using Images for Authentication
Deja Vu: A User Study Using Images for Authentication,
Rachna Dhamija and Adrian Perrig,
Proc. of 9th USENIX Security Symposium, pp.45--58, 2000.
論文は次のどちらかのWebページから取得可能.
Projec web page at Berkeley. USENIX Security Symp. 2000
認識選択(Recognition-based)の画像認証方式は、これが最初の論文であると理解している.
画像を使った認証システムを研究する上で読んでおいた方がいい「基本」論文だと思う.
この論文はrecognition-based image authenticationの話をしている.基本方針は...
- パスワードを正確に思い出せる.という前提を破棄する
- ユーザが脆弱なパスワードを使えないようにする
- パスワードを書き留めたり,共有できないようにする
これらの考え方だけでも十分革新的(納得のいく改善の方向性)だと思ったり.
Portfolio(パスワードとなる画像)の画像種がランダム画像だというのが,利点にもなるが,欠点にもなっている.写真を使えば,確かに推測可能な画像をユーザは選ぶだろう.それは書きとめ可能になり,共有可能になる恐れがあるからである.と述べているがそうだろうか? だからランダムアートを使うのだという.確かにランダムアートを使えば書き留めは困難になるし,共有も難しくなる.が,それでも書き留めは可能なのではないか? それに今の時代,プリンターがあるのだから,書き留め不可能でも,印刷してしまえばそれまでである.だからこそそうではなくて,違う解決方法があってもいいと考えた.
またランダム画像を使うことの利点は記憶容量が小さくてすむことである.ランダム画像はseedと呼ばれる8byte長の数値から再現可能なため,サーバが画像を直接保持する必要はない.しかし,このseedをいかにして安全に保持するか? という点が問題になる.解決策としては複数のサーバに点在させるなどの方法があるだろうと述べている.
■ observation(のぞき見)攻撃に対する対策法としては以下の方法を提案している
- portfolioの数を増やす.特に一回のchallenge setで表示される数以上のportfolioを用意することで、すべてのportfolioが攻撃者に知られてしまうのを防ぐ.この方法でもいまだ脆弱であることに違いはないが、それでも現状よりはなりすましが困難になる.Challenge & Responseになる.
- どの画像を選択したかをわからないようにする.どの画像を選んだか、どのキーを押したかをわからないようにする
- portfolio画像を加工し、portfolioがどんな画像だったかをわからなくする.どんな画像処理がいいかは今後の課題である.
■Intersection(積集合)攻撃に対する対策方法としては以下の4つを提案している
- 常にまったく同じportfolioとdecoy imageを使った認証試行にする
これは原理的にintersection攻撃を不能にする.が、問題は正規のユーザが囮画像を覚えてしまい、しまいにはportfolioと勘違いしてしまうのではないか? それと攻撃者がこのchallenge setを記憶し、将来、portfolioが変更され、かつdecoy imageが変更されなかったとすると、decoyとportfolioが判別できるようになり、結果としてなりすまされる恐れがある.
- いくつか(少数)のおとり画像をある一定期間、認証試行で使い続ける
懸念は上に同じ.正規ユーザが囮画像を学習してしまい,portfolioと勘違いするのでは? また将来portfolioを更新したときに、decoyとportfolioが明確に判別できるようになってしまい、結果としてなりすましが容易に可能になってしまう恐れがある.
- 認証を複数の段階に分割し,それぞれの認証段階にランダムに決定した複数枚のportfolioを仕込む.認証をする際にある照合段階で回答を謝ったら,それ以降の照合段階ではportfolioを一切提示しないようにする.
- 認証に失敗する確率が低くなったので,アカウントを使用不能にするまでの認証失敗回数の条件をきつく(連続試行回数を少なく)する.この方法はDoS攻撃の温床となる危険性があるので現実的ではない.またアカウントロックをどう提供するかによるが、単に数分間使えなくなるだけといったアカウントロックであれば、これは現実的には攻撃者にとってまったく意味がない
とにかく、画像認証が気になる方は一読すべき論文だと思う.