January 31, 2004
Mideye: ショートメッセージ(SMS)で携帯電話へワンタイムパスワードを発行
CAC Corporationという会社が、携帯電話を使った高セキュリティ/低コストの認証システム「Mideye」を開始したと発表しました.
このシステムの利点は、One Time Password発行にToken Cardや乱数表を使うかわりに携帯電話を使用する.配送もSMSを使うので安全だとのことです.確かに生成器を持たずネットワークを介してOTPを発行してもらえるのは便利かもしれませんが,これを発行してもらうためにとあるWebページにアクセスし,そこでPINを入力するという時点で「認証のための Passwordを得るのに認証?」という疑問を覚えてしまうのだが、そこはどうなのだろうか?.
# 最終的には,その得られたOne Time Passwordを目的のWeb pageの認証のためにPC上から入力するっていう点もいただけない...
もちろん本人であることを確認するために,そのPINと携帯電話機の特定による2要素の認証というのはわかるのですが,他人がその携帯電話を持ち,かつそのPINが漏洩されてしまったら,それでなりすましに成功してしまうという意味では認証的に強化されたとは言いがたいのでは明確ではと考えます.
January 24, 2004
研究がいいものかどうかを確認する9箇条
自分がしている研究がいいものかどうかを確認する9箇条.
論文を書くときにも注意を払うべき項目群と言える.
1. 一言で表現するとなにをするものなのか?
2. 何の役に立つのか?
3. 誰の役に立つのか?
4. どこが新しいのか?
5. 既存のもので似たものはないのか?
6. 既存のもので代用できないか?
7. どこが難しいのか?
達成するための障害、問題点、今までどうしてできなかったのか?
8. どうやって解決するのか?
上記の点に関する自分のソリューション
9. それのどこが素晴らしいのか? (新しいのか?)
January 22, 2004
VIP: a visual approach to user authentication
Antonella De Angeli, Mike Coutts, Lynne Coventry and Graham L. Johnson,
VIP: a visual approach to user authentication,
Advanced Visual Interfaces (AVI2002), pp.316--323, 2002
論文は、著者の一人であるDe AngeliのWebページから取得可能
AVI2002にて発表された論文.銀行ATMにあるような数字(PIN)による認証インタフェースに画像を適用してユーザ評価を行った論文.
基本的に評価論文のようで、システム的に新たな提案があるものではないようだ.システム的に「Deja Vu」との差分はないと思われる.4通りの評価方法でユーザ評価をしているが,その方法が微妙(一部の評価は意味がない(自明? でもやることに意義がある?!))のではないかと思われる.評価方法は以下の通り.
1. 10個の数値の中から4つの数字を事前に決めておいた順番で選択
これは従来のテンキーによる4桁数字認証と同じである
2. 10個の画像の中から4つの画像を事前に決めておいた順番で選択
ただし,自分のパスワード画像は常に決められた位置に表示される.つまり上記の4桁数字による認証で数字の代わりに画像を使ったという実験になる.なお自分のパスワード画像以外の画像は画像データベースから任意で選択され,表示される.
3. 10個の画像の中から4つの画像を事前に決めておいた順番で選択
今度は上とは異なりユーザのパスワード画像の表示位置もランダムになる.パスワードが増以外の画像は上と同じくランダムに選択され,表示される.
4.portfolioベースで12枚の画像の中から事前に決めておいた8枚の画像のうち4枚を選択する
これは12枚の画像の中から自分のパスワード画像である8枚の画像のうちの4枚を順不定で選択するというものである.またパスワード画像の提示位置もランダムである.
というわけで,評価をする前からなんとなく評価結果がわかる気がする.と思いませんか?
エラー発生率をみても想像した通りになっています.(2 < 1 < 3 < 4の順でエラー発生率が少ない).それよりももっと疑問視したいのは,場所が固定でその入力順も決まっているのなら,数字はもちろん画像でもなく,すべて真っ白の格子が並んでいるだけでもいいのではないかと思うのは私だけでしょうか?
というわけで,みなまで書かないが、4番目がもっとも悪いデザインということになっている.その理由は以下の通り
I. 8枚の画像を順序も関係なく覚えなければならない
II. そのうちの4枚がランダムに選択されて表示される.なので提示された画像を全部眺めなければならない
III. 似た画像を自分のパスワード画像と勘違いする
IV. パスワード画像およびその表示位置がランダムなので学習効果が期待できない
IIIは画像データベースに作り込みをして,類似した画像をおとりとして提示しないようにするというのが妥当な対策(論文にも書かれている).I. は覚えなければいけないのは当然だが,順序が関係ないほうが覚えやすいと思うのだが... II.はやむをえないとすべきか... IV.はどうだろう... その認証を使用する頻度が高ければ,パス画像を覚えていくと思うので,多少の学習効果は期待できると思うのだが.この論文では銀行のATMを仮定しているから,認証にかかる時間が問題になるといいたいのかもしれない.
読んではいないが、以下の論文は、この論文を元にしたJournal paperのようである.
De Angeli, A., Coventry , L., Johnson, G., Renaud, K.,
Is a picture really worth a thousand words? Exploring the feasibility of graphical authentication systems,
International Journal of Human-Computer Studies, 63 (1-2), 128-152. 2005
この論文も、A.D.AngeliのWebページから取得可能である.
January 21, 2004
Secure Matrix - 知識照合型認証 + Challenge & Response
ユニークな認証システムである.肝は、数字からなる格子状の表示が提供されるので,ユーザは事前に決めておいた格子内の複数のマスを,決めておいた順に押すことで自動的にランダムなパスワードが生成され,それが正しければ認証される.という点である.
このシステムは特別なハードウェアやソフトウェアなしにOne Time Passwordを実現しているのは確かである.SecureIDのようなToken生成器は必要ない.またWebベースで利用でき,決めておいたマスを順に押していくだけなので,携帯電話やPDAとの親和性も高い.しかし,インタフェースとしてはどうだろうか? ユーザは位置と順番を覚えるだけであるため,その記憶(パスワードともいうべき秘密情報の記憶)も困難ではないのは確かだと思う.だがしいくつかの典型的攻撃方法において脆弱なのではないだろうか?
思い付くだけでもBrute-force with Dictionary, Guess攻撃 そしてObservation攻撃には脆弱であると推測する.パスワードとして使用できるバリエーション総数はいくつぐらいになるのだろう
なお、この製品はJAL(日本航空)や古河電工,ジャフコなどで導入され,使用されているそうです.
January 20, 2004
画像認証に関するWebリンク
画像認証に関連すると判断したWebページをまとめてみました
株式会社ニーモニックセキュリティ
ニーモニックガードという画像認証システムを販売している会社です.この会社のWebにある説明資料は一読の価値があると思います
説明資料
またこのWebページ(「Passwords: the weakest link?」Cnet.news.com)は、パスワードそのものが、ユーザ認証における最も弱い(脆弱な)ところだということを指摘している記事です。
# 画像認証とはあまり関係ないな
WisePoint
Web認証システムであり携帯電話などからも使える点でもあわせ絵と似ている.シングルサインオンやアクセス制御機能も備わっている.しかし認証機能はパスワードかマトリクスコードによる認証方式であり,パスワードに日本語が使用できるという利点があるものの,それ以上の新規性はなさそうでもある.その他にも他社の指紋認証との連携や携帯電話の製造番号を使った認証もできるらしいが,それについては新規性は...だと思う.