小池誠 中村逸一 曽我正和 田窪昭雄 西垣正勝,
"ユーザの生活履歴を用いた認証方式",
Computer Security Symposium 2003 (CSS2003), October 2003.
[追記]同タイトルで情報処理学会の論文が発表されている.
情報処理学会 電子図書館(Vol.47, No.3)
利便性と安全性の両者を満足させることに挑戦した認証方式の提案である.
「本人のみが覚えやすく,他人に推測されにくい」パスワードとして,ユーザの生活履歴(本人が経験し覚えている情報)を用いた認証方式を提案している.またその理論に基づく1プロトタイプとして,個人の受信メールを利用した認証システムを構築し,その安全性を評価した論文である.
本論文は記憶を基にした認証方式を対象に,安全性と利便性の両立を目指した認証手法の探求について述べている.記憶に基づく認証 = パスワード認証とここでは仮定するが,そのパスワードには利便性と安全性について以下の2つのトレードオフがあると指摘している
1. 「記憶の量」 : 短いパスワード/意味のあるパスワードは推測されやすい / 長いランダムなパスワードは覚えにくい
2. 「記憶の頻度」 : パスワードの変更は,記憶の"しなおし"になり,ユーザにとっては容易でない
そこで,本人のみが覚えやすく,他人に推測されにくいパスワードとして何を使うかというと,「自分に関連のあること/自分が既に知っていること」をパスワードとして使うことだと
述べている.この種の情報は2つに大別される
1. 本人の個人情報 (誕生日,生年月日,好きな色,趣味)
2. 本人の履歴情報 (昨夜の夕食,昨晩見たTV番組,今朝の目覚ましの設定時刻)
1.は,すでに多くの人が知っている通り、一件妥当そうに見えるが,もう一つの要件である「他人に推測されにくい」という要件を満たすことは困難であり,不適切である.よって2.の「本人の生活履歴情報」を使うべきだと述べている.この種の情報は本人にとってはすでに既知の情報なのであらためて覚える必要はなく,また人は誰でもプライベートな時間を持つので,「本人以外にはわからず,他人による推測は難しい」情報は比較的多いと述べている.
また認証時に同じ質問,例えば「昨夜の夕食は?」という質問でも,時間の経過とともに正解回答が変化していくため,パスワードがある期間毎に変化していくワンタイムパスワード(微妙?)とみなすこともできる.とも述べている.
よって本人の生活履歴情報を利用することで「利便性と安全性」をあわせ持つ認証方法が実現できると主張している.またこの種の生活履歴情報は,今後,容易に取得,応用できるようになると予測している.なぜならば,ホームコンピューティングの発展にともない,各家電機器がコンピュータ化され,その使用履歴をログとして記録するようになるとともに,それらがネットワークで繋がれ,その使用履歴などが計算機に蓄積されるようになると考えるからだと
述べている.
そこでこの論文では,その一実現例としてユーザの受信メールを利用した認証方式を提案している.この認証システムは,ユーザの受信メールからメールをランダムに選択し,「このメールを受信したのはx日以内か,そうでないか?」という問いをする.これに対し,ユーザはYesまたはNoの二択で回答するというシステムである.またユーザの誤判定を防ぐため,認証に使用するメールは,現在時刻よりm日以内とn日よりも過去(ただし m < n)とし,その間に空白期間を設けている.なぜならば人間の記憶には曖昧さがあり,「このメールは6日以内のものか,そうでないか」という質問に正確に回答できない.しかし,空白期間を設けてやり「このメールは6日以内のものか? それとも先月のものか?」とすれば,曖昧さを許容しても,比較的正確に人間は回答できるようになると考えるからである.これにより,ユーザが回答判定を迷いにくくする仕組みを導入している.
この認証方法を使って評価実験を行ったところ,正規のユーザは90%程度の確率で正答できるという結果を得ている.したがって,「10回質問をし,その回答のうち正答数がx回以上だったら,認証成功とする」という"しきい値"を設け,いくつかの誤りを許容する.とした場合,本人拒否率の平均は,しきい値が8回以下であれば,本人拒否率は10%未満になることもわかった.
また,あるユーザを対象として他人による推測攻撃を行ったところ,他人許容率(他人によるなりすましが成功してしまう確率)も,比較的高い値を示す結果となった.攻撃者として,同僚と知人というカテゴリを用意し,そのユーザと共有している情報量の差を考慮して評価実験を行っているが,同僚カテゴリの攻撃者は,知人よりもより多くの情報を共有しているため、しきい値を8回と設定すると80%以上の確率で認証に成功(つまり,なりすましに成功)してしまうという結果となっている.また確率に基づく評価も,二者択一の回答が10回なので,その回答の全組み合わせ数は1024通りであり,「全部正解しなければならない」という一番厳しいしきい値を設定したとしても,4桁PINによる認証の10分の1程度の安全性しかないことになる.また実験から正規のユーザでも判定を迷いやすいメールとして「メーリングリストからのメール」という知見も得られている.
課題としては
1. 安全性を確保するため,回答の組み合わせ数を大きくする必要がある.
2. なりすましへの耐性強化
3. メール本文を提示するため,プライバシーの問題
がある.
2.3については「ダミーメール」を導入し,回答選択肢を「最近」「過去」「わからない」の三択にするという方法などが,改善策として提案されている.
さて,ここからは当方の意見(感想?)である.
昨今,このようなアイデアに基づく認証手法はすでにいくつか提案されていると認識している.特に画像(写真を使った)パスワードが,同じ論拠に基づく記憶に基づいた個人認証の手段としてすでに提案されている.またこのアイデア自体は自然な要望(世の流れ)であると考えており,仮に実現されれば,総合的に見ると,バイオメトリクスや所有物認証よりも安全なのではないかと当方は考える.しかし,この論文でも述べている通り,この種の認証方法は「利便性」が低い.また安易に「利便性の向上」を目指すと,安全性が低下するのもこの論文が示している通りである.またパスワードの変更がユーザの意識とは関係なく変更されるという点は、利便性の向上となるかどうかにも疑問が残る.ユーザが意識的にパスワードを変更しないと、そのパスワードを覚えておらず、正規のユーザも認証できなくなるのではという懸念もある.またメールはどうしても雑音が入る.雑音とはユーザが望んでないメールが含まれることになり,結果として認証が困難になるという問題が発生する恐れがある.
つまり,理論としては非常にacceptableであり,将来を期待する技術なのだが,残念なのは,なかなか「いい実現例」がない.という点である."エピソード記憶"と呼ばれているが,人の体験/経験に基づく情報は,ユーザがすでに「覚えている」情報なので,パスワードとして新たに情報を作り出し,それを覚えなければならない.という負担がない分,ユーザの負担は少ないと言える.またこの論文の手法は,パスワードが時間とともに自動的に変化していくという点で,写真を使った認証手法よりも,Brute-force攻撃などに対しては安全であると考える
(Brute-force攻撃が終わる前に,パスワードが変わる可能性があるため).
ただし,Brute-force攻撃については「試行回数制限」が現実世界で有効に機能しているため,脅威としてはさほど大きなものとして考えなくてもいいという見方もある.
しかし,個人の受信メールではeducated guess攻撃に脆弱なのは評価実験が示している通りであり,「本人にとっては既に知っていることだが,他人が推測できない」という属性を持つ情報がいかに少ないかというのを,あらためて再認識した次第である.「本人以外にはわからず,推測も容易ではない情報は多いと思われる」とこの論文では述べているが,本当にそうなのだろうか? 推測攻撃に関してだけ言えば,写真(画像)認証の方がまだ安全性が高いと言える
かもしれない(直感的であり,数学的な証明ではないが...).