Huanyu Zhao, Xiaolin Li:
"S3PAS: A Scalable Shoulder-Surfing Resistant Textual-Graphical Password Authentication Scheme,"
AINAW, pp.467-472, 21st International Conference on Advanced Information Networking and Applications Workshops (AINAW'07), 2007
http://www2.computer.org/portal/web/csdl/doi/10.1109/AINAW.2007.317 - IEEE CS Digital Library
文字列パスワードも画像認証も「覗き見攻撃」には脆弱.そこで以下の特徴を備えたシステムS3PASを開発
1. 人間,隠しカメラやスパイウェアでも秘密情報(パスワード/パス画像)が漏洩しない
2. 既存のパスワードシステムに適用可能で,さらなる利点を提供.文字列パスワード認証でも画像認証でも適用でき,かつ既存システム以上の安全性を提供
3. brute-force攻撃に対しても安全
4. 入力デバイスとしてマウスとキーボードのどちらも利用可能
AVI2006で S.Wiedenbeck, J.Waters, L.Sobrado, J.C.Birgetらが発表した論文
"Design and evaluation of a shoulder-surfing resistant graphical password scheme" とおなじものである.細かい点はよいとして,根本的に何が新規点なのかはわからなかった. この論文(AVI2006で発表された論文)は,以下のURLで取得可能
http://clam.rutgers.edu/~birget/grPssw/
- 画像認証には3つの形態
1. PassPoints型 (画像内の位置指定)
2. Passface型 (画像の再認)
3. Draw-A-Secret型 (既定の描画を再現)
覗き見攻撃対策としての参考文献は,6,4,9を挙げている.
# 参考文献9を挙げておいて,なぜAVI2006の論文を参照しなかったのだろうか?
繰り返すが,基本的な仕組みはAVI2006の論文と同じ.三角形を作るシンボルを文字列パスワードからどう生成するかについて,若干の提案をしているようにも読めるが,個人的にはAVI2006の論文を読んでいれば,ほとんど自明という感をいがめない.
画像認証だけでなく文字列認証にも適用可能だという根拠は,認証画面でアイコン画像を表示するかわりに,アイコン画像化された文字を提示するだけのように見える.
文字列認証に対応させるのになんらかの問題があって,それに対して工夫を施した...ようには思えない.
文字入力への対応も,マウスでクリックするかわりに三角内に存在する文字をキーボードから入力するというもの.ということは,画像認証の場合は何を回答として文字列入力するのだろうか? それとも文字列入力による回答はできないのだろうか?
ランダムクリック攻撃に対する安全性解析もよく理解できない.あまりにも成功率が低いという数値が提示されているが,同様の攻撃で,認証画面中央部付近をクリックすると高い確率で攻撃に成功してしまうという指摘をしている参考文献[6]の指摘を安全性の考察の節では引用していない.
うーむ
西田健志,五十嵐健夫:
「あと一歩の勇気」を引き出すコミュニケーションインタフェース,
第48回 プログラムシンポジウム報告集, pp.153-160, 2007.
プロジェクト紹介Webページ
http://www-ui.is.s.u-tokyo.ac.jp/~tnishida/karakasa/index.html
匿名性とコミュニケーションの関係に着目し,「傘連判状」と言われる集団署名形式を取り入れたプロトコルを用いてその改善を試みた. これにより匿名性による参加のしやすさと,実名による発言力の両立をはかることができる.
- コミュニケーションツールの仕組みとしては面白い試み
- 意見に賛同する同志を募り,意見の強さ/一般性/普遍性を示す
- 確かに会話/会議の場によっては"発言しやすい人"と"しにくい人"、 すなわち発言までのしきいが低い人と高い人はいる.その人たち同士で社会的な身分や立場をこえて、平等に意見の言える場を提供するための試行としては興味深い.
が,こんなふうにも思える
- これは実名ベースのシステムなのでは?
論文中に,「匿名と実名の間に位置するもの」という記載があるのだが、個人的にはこれが理解できなかった
1. 状況次第では実名が公開されるという点.
2. システム側に実名を預けることが前提の実装になるのではないか?
これは当方が考えるに実名ベースのシステムだと考える. 実名をシステム(サービス)側に預け,その後の状況次第によって実名が公開されるからである.
システムが担保するのは,以下の点である.
1. 意見の表出は匿名で行える
2. その意見の提案者が誰だかわからない形にして実名が公開される
ということは,「意見表明/問題提起をしたい,または提示されている意見に同意したい.だけど実名公開はしたくない.」というユーザは,このシステムではNGである.つまりそのようなユーザがいない,または少ないと想定される利用シーンでのツールがあればよいが,ネットワークを介したチャットという場が必ずしもそういう利用シーンばかりではないと思う.
実名をシステム(サービス側)に預けてしまうということは,実名情報をユーザが制御できないところに送出してしまうという点で,匿名性は担保できないと考えるのが妥当なのかなと思う. もちろん意見表明をせず、意見への賛同もしなければ実名は公開されないであろう(システムがユーザを騙すような形で実名を公開するということはないと仮定). しかしそうであれば,実名情報を預ける必要のない他のシステムでもよいことになる.
実名が公開されたとしても,その問題提起の発案者がわからない形での公開方法を採用している.これが著者の意図する「匿名と実名の中間」という意図なのだろうか?
そうだとしても,実名は公開されるという事実.そして以下の問題もあるのではと考える.
-> 問題提起/発言の発案者 (言い出しっぺ) が不明であることの意義は?
* 連判表示であっても,そのメンバー次第では,発案者が推測できてしまう可能性
* 公開されることを前提とした意見表明/問題提起しかできなくなる可能性
* その意見に賛同を表明した人が実名として特定できることにより,不利益を生じる可能性
2つめの可能性は,Chatの場に依存する.上司と部下達,そして先生と生徒達のように明確な上下関係があるようなメンバー間でのチャットではこのような仕組みを用いても実名での意見表明がないほうがよい可能性もある. 意見表明/賛同と特定しうる情報(実名)の公開は,権利と義務ではないがバランスが取れているのだろうか?
- チャットは,実名という「代償」が必要な場面なのか?
意見表明や問題提起をし,その影響力を示すための仕組みとしては興味深い方法だと思う.ただそのための担保が「実名」というのは,その行為に見合ったものなのだろうか?
最終的に実名が公開される可能性がある.これが "やんちゃ" な振る舞いをしないための抑止なり発言の責任をとるための担保になっており,一見すると妥当な解に思えるし,効力はあるだろう.
が,バランスが悪いような気がしてならない.発言責任(権利)のために実名公開(義務)というのは,義務側の負担が与えられる権利よりも大きいように思えるのだ.
傘連判に対する通説は,一揆などの頭取(首謀者)隠しであり,その連判への署名はこれから行う行為の結果,最悪の場合,生命を失うこともいとわないという誓約行為であると習った気がする. しかし,ネットワークを介したチャットという場面が,それと同等レベルの行為であるとは思いにくい.むしろ匿名が大前提であり, 実名公開はそれを排除しないが,強制はされないというのが,多くのチャットユーザが持っている認識ではなかろうか?
発言の責任や教育的効果なれば,やはり最終的には発言者/発案者を特定する必要が出てくると個人的には思う.そして 意見への賛同 = 共同責任者 というのは,それ相応の覚悟が必要になってくると思う(これこそが,傘連判状への署名の意図, すなわち覚悟を示す.ということだと思う).つまり,このシステムが当初として意図していた発言に必要な勇気や覚悟を軽減するという目的が果たせなくなるのではという点である.
また状況次第では実名が公開されるという仕組みは,意見表明が表明当初は匿名でできるとしても,その行為を萎縮させてしまう可能性もあると推測する.
ネットワークを介した非対面式チャットという場でなれば,それほど重く捉えるようなユーザはいないだろうと考えるかもしれないが,実際の運用結果はどうだったのだろうか...
- 傘連判と同様の署名形式は,イギリス(ラウンドロビン)や朝鮮(サバル通文)でも存在していたらしい
- 歴史に学び,その中で生まれた知恵を現代の情報システムに活かすという提案は, 確かにあってしかるべきだと思う.特に西洋とは異なる文化圏での知見というのは, それだけでユニークさを押し出せる可能性もある
CHIの論文の中にも,日本の情報システムを対象として評価をしていた論文があった気がする.(残念ながら著者は日本人ではなかった気が...)
ただ逆に,歴史文化の真実を知るために,情報システムを用いるというのは, 直感的には賛同できない.それは状況が違いすぎるからである.仮に歴史上で利用された仕組みを情報システムとして実現し,それを現在の人間に利用させて、その効果を知り得たとしても,それが往時の状況で期待された,または意図された効果と同じであると言うことはできないからである.
[個人的意見]
- 個人的に発言に対する影響力を増大させるという意味では,匿名アンケートによる調査により賛同者数がこんなにいるということを示す.という方法ではダメなのだろうか?
- 発言の責任は...実名公開とは別の方法を探っていきたい.