画像を利用した個人認証の評価実験を行った論文を見つけました.内容は非常に興味深いです.
Thomas S. Tullis and Donna P. Tedesco
Using Personal Photos as Pictorial Passwords
CHI2005 Late Breaking Results, pp.1841--1844, 2005
http://portal.acm.org/citation.cfm?id=1057036&coll=ACM&dl=ACM&CFID=77629655&CFTOKEN=8163471
■ Abstract
画像認証(pictorial password)は,認証システムにおける利便性を改善する可能性を秘めている.そこで本研究は3ヶ月にわたって個人の写真を使った個人認証について3種類の評価実験を行った.被験者には4つの写真を決めてもらい,どの程度正確に識別できるかについて実験してもらったら,個人の写真は他の写真よりかなり正確に識別できるという結果を得た.
また,正解画像と"おとり画像"の数や画像の類似性,そして対象者をよく知る他人による正解画像の推測実験も行った.その結果,おとり画像の数を増やす,正解画像と非常に良く似た画像を混ぜると,他人による推測が困難になるという結果を得た.しかもこれは本人による正解画像の認識に影響を及ぼさないという結果も得た
以下は、内容をかいつまんだメモ書き
■ Introduction
認証の安全性とパスワードの記憶可能性は大きな問題である.
- ユーザ簡単で覚えやすいパスワードをつける
=> 推測されやすい
- システムが割り当てる無意味な文字列
=> 覚えられない,ヘルプデスクに電話し,パスワードのresetを依頼
=> 複数のシステムで同一のパスワード,パスワードをメモするなどなどの問題も
いくつかの認証システムが提案されている.
- バイオメトリクス,doodling(いたずら書き?),inkblots(インク染み), 画像
画像認証では
- Visual Hash (Random Art)
- Face picture (顔写真)
- ランダムアイテム (システムが割り当てた写真を記憶させる,訓練すればOK)
訓練すれば大丈夫というが,それは文字列パスワードの生成と記憶より面倒だろう.
個人の写真を使うことは一つの解決法であろう,当事者にとっては意味のある画像であり,忘れがたく,そして見るのが楽しいという側面もあるだろう.しかし,対象ユーザをよく知る他人にパスワード画像を推測され,なりすまされる危険もある.
そこで本研究は,数ヶ月にわたり個人の写真を正確に認識できるかどうかを,システムから割り当てられる写真の正確さと比較する.そして他人による推測可能性を最小限にする方法を見極めることを試みる.
■ Study 1
社員14人で実験.
事前に8〜20枚の個人所有の写真を提供してもらった.
これらの写真は誰の写真かがすぐにはわからないものにした.
さらに300枚の似たような写真をおとり画像(distractor)として追加した
すべての写真は長辺が125 pixelにリサイズした
■ Prototype
まずUser IDを入力.
ランダムに15枚の写真をシステムがユーザに提示.
その15枚の中にユーザの写真が2〜5枚の間でランダムに含まれる.
ユーザは自身の写真を選択する.
写真は選択されると画面から消えるようになっている.
自分の写真をすべて選択しおわったら,照合ボタンを押す.
3回まで試行できる,3回連続して失敗したらロックされる.
■ Method
手順は次の通り
1. 自身の写真による認証試行を8回行う
2. 実験参加者のリストから"なりすませそう"な人を二人選ぶ
3. 参加者にカテゴリー分けされた2000枚の写真(自分の写真ではない)を見せ,その中から少なくとも4枚の写真を選び覚えてもらう
4. 3で選んでもらった写真を使って,認証試行を8回行う.この時に使われるおとり画像は3で見せた同じカテゴリーの写真を使用する
(Personal photos: 自分の写真.システムに提供し,登録した写真)
(Stock photos: 著者が適当に集めてきた,いくつかのカテゴリにあたる画像やSnapshot)
■ Result
◎ Personal Photos
全員が認証に成功した.
エラーは5回(4%)のみで,これらのエラーはすべて一回目の試行であったが,
その次の試行(2回目の試行)で認証に成功した.
作業時間は平均で11.2秒であった.
また3回の試行で,他人へのなりすましに成功した人はいなかった.
◎ Stock Photos
こちらも全員が認証に成功した.
エラーは7回(6%)のみで,これらのエラーはすべて一回目の試行であったが,
その次の試行(2回目の試行)で認証に成功した.
作業時間は平均で10.3秒であった.
◎ Subjective rating
個人の写真を使った認証への印象は非常によかった.
■ Discussion
個人の写真でも,寄せ集めてきた写真を使ってもかなりの精度で認識ができていた.
また,寄せ集めの写真でも認識ができたのは,選んですぐに行った実験だからであろう.
しかし,やはり個人の写真は推測しやすいだろうという不安を述べるユーザもいた.その人は,なりすまし対象者と10年来の付き合いがある人であった.
■ Study 2
一定時間経過後の認識の正確さを確認した.なりすまし実験も行った.
■ Method
実験1と同じ14人で実験.
Study 1を行ってから30日後に実施.
その間,被験者はこの認証システムに触っていない.
システムに以下のような変更を施した上で実験をした
- 各試行で表示するターゲット画像を2〜5枚から3〜6枚に増やした
- 各ユーザが提供してくれた写真をすべておとり画像に加え,さらにsnapshot写真も加えて,おとり画像は合計で500枚ほどにした
もちろん,各ユーザのパスワード画像はおとりとしては表示しないようになっている.(実験1の結果から,"おとり画像"がパスワード画像とあまりに違いすぎて"おとり"になっていないという意見があったため)
被験者にお願いした実験作業は次の通り
1. パスワード画像が個人の写真である場合のログイン試行を8回行ってもらった
2. パスワード画像が個人の写真である状況で,他人へのなりすましを試みてもらった
3. Study 1で適当に集めてきた写真群から自身で選んだパスワード画像でログイン試行を8回行ってもらった.
4. パスワード画像が攻撃対象者の写真ではない状況で,他人へのなりすましを試みてもらった
■ Results
◎ Personal Photos
全員が認証に成功.
エラーは7回(6%)で,それらはすべて一回目の試行時に発生しているが,その次の試行で成功している.
平均作業時間は11.4秒.
なりすまし行為(推測によるものであろう)は4回(人?)成功.
またなりすまし試行における他人のパスワード画像の推測の正確さは,平均で38%(18%〜50%)であった.
◎ Stock Photos
3回まで繰り返し試行を認めても,7回がログインに失敗.
これは4人が1回失敗し,一人は最後までログインできなかった.
エラーは33回(28%)で,平均作業時間は13.3秒だった.
なりすまし行為は誰も成功しなかった.
なりすまし行為における,攻撃対象者のパスワード画像の推測の正確さは23%(11%〜43%)だった.
■ Discussion
前回の実験から一ヶ月経過後でも,個人の写真による認証は高い割合で成功.しかし,Stock photosの場合,つまり他人から提供された写真による場合の成功率はかなり下がり,3回の試行でログインできない人も現われた.そしてなぜかわからないが,Study 1の時よりもパスワード画像が個人の写真である場合の"なりすまし試行"におけるパスワード画像推測の正確さが上昇した(29%=>38%).推測の正確さを下げようとした変更は,意図した通りに機能しなかった.
■ Study 3
Stock photosによる実験はやめた.
実験3ではさらに一ヶ月後でも個人の写真がパスワード画像なら正規のユーザは高い認識率を示し,他人による推測率は下がるかどうかを見極めることを目的とした.
■ Method
実験1,2を行った14人のうちの12人が実験3に参加した.
実験3は実験2の30日後に実施した.
この実験では以下のような変更を施したプロトタイプシステムを使用した.
- 複数画面方式に変更することで,実質的におとり画像が大幅に増えた.これは5つの画面からなる方式で,各画面には16枚の写真が表示される.ユーザはそのなかから1枚のパスワード画像を選択しなければならない.
- おとり画像を1367枚まで増やした.写真はsnapshotとアマチュアらしい写真を追加した
- パスワード画像とおとり画像の類似性を制御するために二つのルールを導入した
* Random Distractor Condition:
おとり画像はランダムに選択される
* Tailored Distractor Condition:
パスワード画像に応じて,それに似ているおとり画像が選択される(図3)
実験手順は以下の通り.
1. Personal Photoによるパスワード画像,Random Distractorによるおとり画像の条件で正規ユーザとしてログインを最低5回試みる.
2. 上記の条件のもとで他のユーザへのなりすましを試みてもらう
3. Personal Photoによるパスワード画像,Tailored Distractorによるおとり画像の条件で正規ユーザとしてログインを最低5回試みる.
4. 上記の条件のもとで他のユーザへのなりすましを試みてもらう
■ Result
◎ Random Distractor
1.の条件ですべてのユーザがログインに成功した.
71回の試行してもらったがエラーはなし.
平均処理時間は20.3秒だった.
なりすまし実験では,1回の試行のみ"なりすまし"に成功した.
この実験におけるパスワード画像の推測正解率は平均で30%(10〜60%)であった
◎ Tailored Distractor
3.の条件でもすべてのユーザがログインに成功した.
こちらも72回の試行でエラーはなし.
平均処理時間は21.3秒だった.
なりすまし実験では,2回ほどなりすましに成功した.
この実験におけるパスワード画像の推測正解率は平均で20%(7〜47%)であり,
Random Distractorsよりもはるかに正解率は低くなったといえる.
■ Conclusion and Future Direction
3つの評価実験から,以下のような結果を導いたといえる.
1. ユーザは自身の写真であれば簡単かつ正確に写真を認識できる.それは数ヶ月たった後でも,似たようなおとり画像の中に混ざっていてもである.
2. ユーザは他人から提供された写真よりも自分の写真の方がより正確に識別できる.さらに,多くのユーザは楽しみながら写真群の中からパスワード画像を選択していた.
3. 種々の手法を用いれば"推測による脅威"を減らすことができるが,自身の写真をパスワード画像として使用すると,自分をよく知る他人がそれを正確に推測する可能性は比較的高いといえる.この脅威を減らすための方法を考えることは今後の課題である
1つの方法としてはパスワード画像と良く似た"おとり画像"を選択し,それらを混在させて認証画面を作成することである.もう一つはユーザの写真をある特定のカテゴリに限定することであろう.パスワード画像やおとり画像の数を操作したり,パスワード画像のない画面を使ったり,類似したおとり画像を選ぶために,画像にカテゴリを付与する方法を考えるなどの方法を考える必要があるだろう.
----
author = {Thomas S. Tullis and Donna P. Tedesco}
title = {Using Personal Photos as Pictorial Passwords}
journal = {CHI 2005 Late Breaking Results}
pages = {1841--1844}
publisher = {ACM}
month = {4}
year = {2005}
URL = {http://portal.acm.org/citation.cfm?id=1057036&coll=ACM&dl=ACM&CFID=77629655&CFTOKEN=8163471}