AlphaNumericパスワードと画像や図形を使ったパスワードの認証システムにおいて、どちらが覗き見攻撃に弱いか? ということを評価した論文.答えが見えているな〜と読む前には思ったが,はたしていかに?
F.Tari, A.A.Ozok and S.H.Holden,
A comparison of perceived and real shoulder-surfing risks between alphanumeric and graphical passwords,
Proceedings of the second symposium on Usable privacy and security (SOUPS'06),
pp.56-66, 2006.
ACM Digital Library
辞書にない単語や安全なパスワードよりはGraphicalパスワードの方が記憶が容易であるが,覗き見に対してはどうだろうか? というのが動機.Passfaceと文字列パスワード認証でそれぞれ2つづつ、合計4つの設定条件を設け,覗き見攻撃の脅威に対して、実際に測定した脅威とユーザが感じる脅威のレベルを比較した.(passfaceはマウスによる回答とキーボードによる回答、パスワードは辞書に載っている文字列と載っていない文字列)
結果は、passfaceをキーボードで回答する方法が最も覗き見攻撃に対して安全であり、それは実際の測定結果とユーザの認知する脅威レベルとで認識のズレはなかった.しかし、最も脆弱な方法は、ユーザが認知する最も脆弱な認証手法はpassfaceをマウスで入力する方法だったのに対し、実際に測定した結果では、辞書に載っていない文字列パスワードの方がより脆弱であった.
以下はメモ
- パスワードとして推奨される一定長以上の辞書に載っていない単語の入力は、辞書に載っている単語の入力よりも40%も遅い.この結果が論文として発表されていることを初めて知った.(参考文献37).これは、安全なパスワードを使用するにしたがい、覗き見攻撃に対して脆弱になるということを意味する.これがこの論文のキモと言えなくもない
- 現状のSecurity & Usabilityの研究は二つの流れがある.1.Computer Securityの分野では、ユーザビリティに配慮せず、攻撃者によるパスワードをクラック方法にのみ注目.2.ユーザビリティの分野の人は、安全性への影響を配慮せずに、パスワードの安全性やユーザの満足度にのみ注目.さらにもう一つの主張は、双方を十分に配慮して、製品を一から設計し直さなければならないというものである.
- helpdesk(ヘルプデスク)の仕事のおよそ30%がパスワードのリセット依頼.ま、よくある話だが、Gartnerの報告があるらしい(参考文献44,45)
- passfaceは自分のパスワードとする顔写真を自分で選択できなくしたらしい(参考文献30).
- パスワード破りの攻撃方法は3つのカテゴリー.1. 推測(guessing)、2.やみくも(cracking)、3. そそのかし(harvesting).しかし、それよりもより大きな脅威としてSocial engineeringと覗き見がある.攻撃者は、「ゴミ箱をあさり」「説得し(パスワードを聞き出す)」「観察する(のぞき見る)」のだ.これはGraphicalパスワードとて回避可能とは言いがたい...
- 5つの顔写真、5文字のパスワード(辞書内の単語とそうでないもの)で実験実施
- 評価項目は以下の4つ
1. 覗き見によって、どの程度回答を特定しやすいと感じるか (7段階)
2. 覗き見攻撃にどの程度脆弱だと感じるか (7段階)
3. それぞれの認証方法がどの程度攻撃しやすいと感じるか? (7段階)
4. パスワードやパス顔写真を取得するのになんらかの戦略を用いたか? (自由回答)
- 辞書にない文字列パスワードとマウスによるpassface認証が他の2つの認証よりも覗き見に脆弱であるという結果.さらに最も覗き見が難しいのは,keyboard入力によるpassface認証であった.
- 一般的にキーボードによる入力の方が安全であると感じられているが,それでも十分な安全性が得られているとは感じていない
- 結果としてmouse入力によるpassface認証だけが、認知結果も攻撃実験結果も脆弱であると認知され,その通りの結果となった.password認証の方は、辞書にある単語であるなしに関わらず,認知と実際の攻撃実験の結果が食い違うという結果となった.
- 辞書にある単語のパスワード認証より、辞書にない文字列のパスワード認証の方が、覗き見には脆弱という結果となり、これはユーザが認知している結果と食い違ったが,これはユーザがパスワードの安全性として認知している「辞書攻撃」への安全性をそのまま覗き見攻撃に持ち込んでしまった結果として誤解しているものと推測される.
- 興味深い結果あり.覗き見攻撃に対する脆弱性の一端を考えるとともに、個人認証に置ける安全性と利便性の両立に向けた一つのデータとして将来の研究の指針となるであろう
■ コメント
というか、当方の意見としては、覗き見攻撃のしやすさを考えれば、辞書に載っている単語か否かはどうでもよくて、問題はパスワード文字列をよどむことなく即座に入力できるかどうかが問題なのではないだろうか? という疑問がある.初めて入力を依頼された文字列が、単語かランダムな文字列かで入力速度に差が出るのはある程度予測できる.また、仮に一定期間その単語を使用していたとしても,その入力速度は単語とランダム文字列では差が出てしまうものかもしれない.ま、この点は考察でも触れられている.
これを考えれば,passfaceがmouse入力とkeyboard入力でどちらが覗き見に脆弱かも明白であろう.画面だけ見ていれば良いmouse入力よりも,画面とキーボードの双方を見なければならないkeyboard入力の方が覗き見に対して安全であるのは容易に推測できると思うのだが...
それとこの結果を肯定すると、すべての攻撃方法に対して安全なパスワードというのは、どんなものなのだろうか? と考えさせられてしまう.単語だと辞書攻撃に脆弱となり、ランダムな文字列だと(入力速度が遅いと仮定すると)覗き見攻撃に脆弱だと...パスフレーズの接頭語によるパスワードも、入力速度が遅くなりがち(頭で考えながら、接頭語のみをエイッエイッと入力しそうなため)なので覗き見攻撃に対して脆弱になりそうな気がするし...
行動履歴を参考に生活支援「ケータイ版ライフログ」携帯各社、次世代サービス開発急ぐ (ITmedia)
興味津々である一方で、こういうシステムって怖いと思うことない? と疑問を覚えてしまう自分がいる.
概要が以下のように書かれている.
「「情報大航海プロジェクト」のもとで開発を進める「マイ・ライフ・アシストサービス」は、携帯電話経由で個人の属性やネットアクセス履歴、移動情報、さらには声の抑揚までを収集・分析し、ユーザーが“潜在的に求める”情報やサービスを提供する」
確かに携帯キャリアは,その気と法律的な障害さえなければ,上記のことは容易にできるだろう.でも、そこまでしてまで、そういったサービスをユーザが求めている/将来求めてくるだろうか? 本当にそれはユーザにとって必要なサービスなのだろうか? というのが当方の疑問である.ま、少なくとも当方は現時点で必要としていないし、将来もそこまでしてまで、そういったサービスを望む可能性は極めて少ないと思う.
記事内にはこうも書かれている
- NTTドコモは情報を収集・分析し、利用者の許諾を得て情報の分析結果を他の事業者に有償で提供する...
- KDDIも携帯端末を使った生活支援サービスの研究を進めている. (途中略). 利用者が自身の生活情報を記録し、そのデータをサーバーで集める.ユーザー自身が日記代わりに使ったり、一定量を公開して他のユーザーと交流したりする。またNTTドコモと同様に、蓄積されたデータを分析し、商用サービスの提供などにもつなげる考え
と....利用者が自身の生活情報を自分で使えるようにするのは一定の価値があると考えるが,それをキャリアのサーバで集積し、解析して、商用サービスに提供することを望まない人も少なからずいるだろう.
当然ながら,こういったサービスは、当初、利用者の許諾の上で始められるだろう.が、怖いのは,こういったサービスが普及するとデフォルトの設定が「第三者への提供を許可する」という設定になる可能性が高いという点である.すると、それを認識していないユーザが、自分の生活行動データを知らぬ間に第三者に提供され、知らないうちに「あなたが次にしたいと思っていることはこれではないですか?」などと携帯電話から言われたら... それはぞっとする経験だと思うのですが,みなさんはどう考えますか?
すでにそのようなプロジェクトが始まっている以上、日本という国は物事を中断/中止することをよしとしない(?)ので、せめて、選択の余地(生活情報提供の可否に関し、利用者が常に主体となって選択できること)とデフォルトの設定は常に提供不可という状況だけは大原則としてあって欲しいと、我、切に願う
オートロックなどはあまり意味がない.なぜなら、正当に入れる人が入るタイミングで一緒に入ってしまえば良いから.という「友連れ」が問題になることがある.これは新聞や宗教の勧誘者がオートロックのマンションに入り込むのによく使われたりする方法だが、これを防ぐゲートが以下の記事に紹介されていた.
写真で見る最新鋭データセンター - ITPro
記事の中盤に「友連れ防止に特殊なゲートを採用」と書かれている.ゲートには一人しか入れない程度のスペースがあり、内部のパネルで非接触ICカードと手のひらの形状による認証を行うそうだ.
もちろんマンションなどでどの程度の利便性と安全性を求めるかによってどの程度の仕組みを設けるのか? という疑問はあるが、地域や一つの「ウリ」として、こういうゲートを備えたマンションが出てきても不思議でない時代になってきていると当方は感じるが、みなさんはどうお考えでしょうか?
ちなみにこのゲート、欧州では銀行で普通に使われています.欧州ではあのゲート内で、いわゆるセキュリティチェックが行われます.ナイフや銃器はおろか、手荷物すら持って入ることができません.持って入れるのは通帳と財布のみという事実に初めて経験した時はかなり驚きました.それを考えたら日本の銀行なんて"ザル"同然ですもんね〜.ま、どちらがいいかは、別問題ですけどね.
もちろん安全はタダで、かつ気を使わなくても一定の安全が保障される社会の方がいいに決まっています.残念ながら、最近の日本では反対の方向に進みつつあるように感じますが...