Authentication Using Grapical Passwords: Effects of Tolerance and Image Choice
Susan Wiedenbeck and Jim Waters and Jean-Camille Birget and Alex Brodskiy and Nasir Memon
Symposium On Usable Privacy and Security, pages 1--12, Jul 2005.
ACM Digital Library
Deja Vuの論文を参照していたので,「お,これは画像認証の新ネタか?」と思って読んでみたが,cued based image authentication(recall-based graphical user authentication)の話だったので,途中で読むのをやめてしまった.
とはいえ,introductionの内容は十分参考になるので備忘録として残しておく.
ちなみにCued based image authenticationとは,「画像内の特定位置を複数個選択することで認証する手法」である.つまりユーザは,事前に使用する画像を選択した上で,画像内の特定の場所(犬の右目,犬の尻尾の先,マンホールの真ん中等...)を複数個指定するとともに,その場所を記憶しておく.認証時には,事前に決定しておいた特定場所を正確にクリックすることで認証する手法である.
また,この種の認証の多くは,その選択順序も照合情報として使用している.その方が安全性を確保できるためである.しかし,それゆえ単に画像内の複数の特定場所を覚えるだけでなく,その選択順序も記憶する必要があるためその記憶負担は少なくない.結果として,文字列パスワードと比較して記憶負担が軽減されるのかが微妙だと思うむきすらある.
代表的なもの(知っているもの)としては、passlogix(どういうシステムだったか忘れた)や,visKeyがある.
Darren Davis, Fabian Monrose and Michael K. Reiter,
"On User Choice in Graphical Password Schemes",
13th USENIX Security Symposium, pp.151-164, Aug 2004.
13th USENIX Security Symposium
「人の好みはそれぞれ」は、一般に成立しない.人の顔をパスワードとして使用させた場合、ユーザは自分と同一民族の顔写真を選ぶ確率が高い.ということを実験から示した論文である.画像認証において、ユーザに自由にパスワード画像を選択させると、文字列パスワードとは異なる問題を発生させ、それが結果として安全性の低下を招く可能性もあるということを示した論文である.
面白い! この論文の存在を今のいままで知らなかった自分 < ダメだねぇ〜
以降、論文の内容をかいつまんで書いてみる...
- Graphical passwordはText passwordの代替策として提案されているが,ユーザがどのような画像をパスワードとして選択する傾向があり,そしてそれがシステムの安全性にどう影響を及ぼすかについての考察がないので実験を行った.その結果,性別や人種によっていくつかの依存性があることが明確になり,それゆえに場合によっては安全性を大幅に低下させる結果になることがわかった.
- 文字列パスワードは十分なエントロピーがあるはずだが、ユーザがパスワードを設定するとなると、そのエントロピーは劇的に低下することがわかってる.これと同様の問題がGraphical Passwordシステムでも起きるのではないか? が研究の動機.つまりユーザが選ぶGraphical Passwordの強度とはいかほどのものなのか? である.
- システムが決定したパスワードのSecurity v.s. ユーザが決定したパスワードのUsability & Memorability.
- 比較は顔写真認証とStory認証で行った
■ 顔認証
passfacesシステムと同様のシステム
- n個の顔写真の中からk個の写真をパスワード画像として事前に決定
- 今回の実験では4枚の写真を事前に決定しておき、9枚の写真群の中からパスワード画像を1枚選択する.それを4回繰り返して認証するという方法
■ Story認証
- Story認証はいくつかのカテゴリーの写真群が事前に用意されており、その中からk個の写真を選んで"ストーリー"を作りつつパスワード画像を選択する方法.ただし各カテゴリーの画像集合はn個の画像(ただしn > k)があるとする.
- 今回の実験では、9枚の写真の中から、事前に決めておいた順番通りにパスワード画像を4枚選択することで認証する.
- 画像認証は画像の母集団が少ないと全件検索される可能性が高い.よってこれに対する配慮なしに、事前に「辞書」などが用意できない分安全性は高いという議論はnon senseだろう.
- 2つの大学で行われた3つの授業を使って評価した.被験者は154人.各学生は授業支援システムの一環として、双方のうちのどちらか一方の認証を使用させ、授業終了時に出口調査をした.
* 関連研究
心理学,認知学的に以下のことが示されている
- "魅力"というものは大人でも子供でも文化を超えて存在するものである.それゆえ「人の好みはそれぞれ」、つまり"魅力"は人によってそれぞれなのだという主張は一般的に成立しがたい理論である.人は多くの場合,美しいと認識するものは共通であったりする
- 人は顔の認識に優れる.というが,これは同一民族間であれば成立するが,そうでなけ
れば成立しない ("race-effect"といわれる)
これらの特徴は,顔認証におけるパスワード画像の選択に大きな影響を与える可能性がある.つまり被験者によって選ぶであろうパスワード画像に"かたより"が発生するであろうということである.
- 自分と同一民族の顔写真ばかり選ぶ人がいた. => 容易に推測される恐れ
- 「どの顔写真も選べないよ.だってどれも自分とは無関係だから..」.という人もいた.
- 顔写真認証の記憶維持性は文字列パスワードよりよいという評価結果は多数の論文によって報告されている
この論文では記憶可能性は二の次,まずはSecurityとPassword画像選択に焦点を置く
使用した画像は以下の通りである.
[顔認証]
元画像集合は12のカテゴリー
{typical, model} * {asian, black, white} * {male, female}の組み合わせ
[Story認証]
Story手法は9つのカテゴリー
{animals, cars, women, food, children, men, objects, nature, sports}
- 画像は表象的特徴による余計な影響を避けるため,背景の削除、背景色の統一,輝度の調整,低画質画像の排除,アスペクト比の同一化などを行った.
- 実験全体で2648認証試行のうち2271回の認証が成功していた(成功率は85.76%).
# 計算式はパス
結果から言うと,Face手法の場合,ユーザが男性だとわかっていたら,1,2回の推測で最悪10%のパスワードがあてられてしまうということがわかる.そしてアジア人であれば、性別の如何を問わず、最悪の場合10%のパスワードが最初の6回までの推測で当てられてしまうという結果になったのである.(パスワード画像の選択にかたよりが生じるため).
Face手法の実験からわかったこと.
- 男性も女性もパスワード画像としては男性よりも女性の顔写真を選ぶ傾向がある
- 男性が女性を選んだ場合,それがモデルである確率は80%以上
「忘れないようにするためには,きれいな女性かハンサムな男性を選ぶのがいいと思った.しかし,自分は男なのできれいな女性の方が見る楽しみがあるよね」
だそうだ.
また,人種別の相関関係も面白い結果が得られた.アジア人の女性と白人の女性は,同一民族の写真(アジア人,白人)を選択した確率が50%を超えていた.また白人の男性においては,白人を選んだ確率が60%超であり,黒人の男性にいたっては,黒人を選んだ確率が90%以上であった.
# ただし,この実験では黒人男性は3名しかいなかった.
「私はアジア人女性,で,写真の彼女もアジア人女性だから覚えられると思ったの」
「まずはじめに同じ人種の人を選んだわ.そう,特に自分に似たような人をね.だって,その方が覚えやすそうでしょ」
だそうである.
Story手法でも,ユーザがどのカテゴリの写真を選んだか,それが性別や人種によって差があるかについて以下のような結果を得た.
- 女性が動物の写真を選ぶ確率は男性が動物の写真を選ぶ確率の2倍
- 男性が女性の写真を選ぶ確率は女性が女性の写真を選ぶ確率の2倍
- 男性は自然やスポーツの写真を,女性は食べ物の写真を選ぶ確率が他の性別の人よりも
高くなる傾向がある
* 記憶持続性評価
顔手法とストーリ手法について比較評価を行った.
結果は顔手法の方が良い結果となった。が、これは別に驚くべき結果ではない.すでにそういう結果が別の実験で得られているからだ.またストーリ手法が劣った理由としては、被験者がきちんとストーリを立てて写真を選んでいなかったということが事後のアンケートでわかった.そういうユーザはどういう戦略でパスワード画像を選んでいたかというと、面白い画像を選んでいた.まあその画像順はばらばらであり、選んだ順番にユーザは覚えようとしていたということである.
ストーリ手法で認証に失敗した例は236件あったのだが、これの75%は画像は正しく選んでいるのだが、その順番が間違っていた.他にも被験者はこんなことを言っていた.
- 4枚の画像を覚えるのは無理でない.が、その順番を覚えるのは困難だった
- 画像の順番を覚えるのを楽にするようなストーリなんてないぜ!
- 画像自体は覚えているんだけどね...やっぱり順番を覚えるのは大変...
というわけで、Graphical Passwordで画像の順番を使うのは避けた方がいいという結果が得られている.これゆえ顔手法がストーリ手法よりも記憶持続性が良かったのではないかと考える.(任意の写真から自由に選択と、任意の顔写真から自由に選択.どちらが記憶維持性はいいだろうか?...これは微妙な勝負になるのかな?!).もしどうしても順序情報を認証情報として使用するのであれば、ストーリ立てて画像を選択するということが重要だということをユーザによく周知しなければならないだろう.(周知すればよい...で解決するのだろうか?!)
* あとがき
- この手のシステムは、全件対策がしやすいのでnetwork経由かある程度の安全性に関する前提が成り立つ環境で使用した方がいいだろう.
- パスワード画像の選択をユーザの自由にすると危険である.男性のパスワードの10%は2,3回の推測で当てられてしまうという結果が得られている.
- よって改善策としては
= パスワード画像の選択をユーザにさせないか、なんらかの制約をもうけるべきであろう.
= ユーザにパスワード画像を選択する良い方法を教示する
= 推測を容易にするような選択をしないように画像を選択させる
などを挙げている.前者の二つはパスワードでも言われてきた指摘である.ストーリ手法は3つ目の手法の一例であり、パスワードが総推測に対する耐性を十分に持たせられる手法である.ストーリ手法にすることで、パスワードの10%を推測するには20回以上の推測攻撃が必要になるということがわかったからである.