Secure or Usable?,
Lorrie Faith Cranor and Simson Garfinkel,
IEEE Security & Privacy,
pp.16--18, September/October 2004.
http://csdl2.computer.org/persagen/DLAbsToc.jsp?resourcePath=/dl/mags/sp/&toc=comp/mags/sp/2004/05/j5toc.xml
ある特集論文集の前書き文書である.
パスワードのない計算機は使いやすいが,安全ではない.しかし,その一方で,5分毎に認証を求められ,かつ血液検査(?)を求められるようなシステムは,安全であるが,誰もそれを使おうとはしないだろう...
安全性と利便性は,この種の問題に内在するトレードオフであり,その両立は不可能なのか?
□ Security and Usability
セキュリティ機能を持つソフトは,それを持たないソフトよりもはるかに複雑になり,
使いにくくなった.
安全性と利便性は違ったスキルであり,その両立は難しい
またそれは一般的にシステムの構築コストを高めてしまう
□ HCI-SEC
Human Computer Interaction and Security の略
行われた関連イベント
- 2003年 ACM CHIでworkshop
- 2003年 USENIX Security
- 2004 Workshop on Usable Privacy and Security Software (WUPSS)
* WUPSSでの議論の中心はpassword(認証)関係
- graphical passwordは有望な代替案であるが,それでも有望なシステムは出現していない
- それどころか,ユーザにgraphical passwordを選択させることは危険であるという論文も発表されている (D.Davis, F.Monrose and M.K.Reiter: On User Choice in Graphical Password Schemes の論文)
- バイオメトリクスとhardware tokenも代替案であるが,これらの手法には,賛成派と反対派がおり,また評価ならびに比較のための標準手法がない.それらの手法に対する「相対的」な安全性と利便性については認めるが,それを立証するような研究はほとんどない.
* Approaches
- 3つのアプローチがある
1. まずは必要なSecurity or Privacy機能がユーザの介入なしに動作するようにする.
ここでの問題は,セキュリティを意識していないユーザが,安全性を下げるような行為をうっかりやってしまうことである.
2. メタファーを作る事である.このメタファーにより,ユーザは直感的にSecurity or Privacyソフトを正しく使う事ができるようになる.現在は広く普及している専門用語も含めて適切なものがなく,その代替案もない状況である.
3. ユーザに必要な知識を教える事である.Security or Privacyソフトウェアを正しく使うために必要な知識を,ユーザに与えなければならない.しかし,文書で提供し,読んで理解できるようにするための方法も,確立されてはいない.
最終的な解決方法は,これらの組み合わせである.
□ Feature Articles
- Securityシステムの複雑さを減らす設計
Dirk Balfanz, et al., "In Search of Usable Security: Five lessons From the Field"
- パスワード決定に関するアドバイス:
一部は有効性が認められるが,それ以外は役に立たない
Jeff Yan, et al., "Passwords Memorability and Security: Empirical Results"
- パスワード忘却時の復元方法:
Challenge-Questionシステムについてだが,いくつかの評価項目を決めて評価したところ,いくつかのシステムは安全に実装されているが,多くはそうではなかった.
Mike, "Desigining Challenge-Question Systems"
- 打鍵による認証
Alen Peacock, et al., "Typing Patterns: A Key to User Identification"
- Secure and Usable System 設計上の原則
Ka-Ping Yee, "Aligning Security and Usability"
Usable Securityは情報セキュリティ研究における1つのグランドチャレンジである.