画像認証のパスワード空間を拡張するため、Multi-touchを利用した手法を提案
Daniel Ritter, Florian Schaub, Marcel Walch, and Michael Weber.
MIBA: multitouch image-based authentication on smartphones.
In CHI '13 Extended Abstracts on Human Factors in Computing Systems (CHI EA '13). pp.787-792. DOI=10.1145/2468356.2468497, 2013
http://dl.acm.org/citation.cfm?id=2468497 ACM Digital Library
Introduction.
- 物理キーボードと比較してスマートフォンのキーボードで文字列パスワードの入力は面倒。特に大文字、特殊文字、数字はキーボードの切り替えが必要となる (文献 9)
- 代替案の一つとして画像を利用した個人認証。画像を選択または図的描画などで回答する。
- 例) Android Pattern Lock, Pass-Go(文献 10)
- 高いユーザビリティと記憶保持の容易さが利点と言われている(文献 1)
- 問題点としては、パスワード空間が小さいこと、推測される可能性が高いと思われること
- その解決策として、複数ラウンド(回答を複数回繰り返す) ことが求められ、それは結果的に認証にかかる時間を長くしてしまう
- 入力時間を増加させずに、パスワード空間を広げる方法としてマルチタッチの活用を提案 → MIBA
- Multi-touch入力は、入力を意図的に隠さなくても入力値を部分的にあいまい化する効果がある. それはshoulder surfing(覗き見攻撃)にも効力を発揮しうる
Related Work
- 多くの画像認証が提案されている(文献 1)
- 3つのカテゴリー: recall-based [4, 10], recognition-based [7] and cued recall [2, 11]
- cued recall(手がかりあり想起)は、手がかりがあるぶん、記憶保持といか思い出し効果が期待でき、結果としてよりよいものになると考えられる
- 多くの画像認証はデスクトップでの運用を想定。いくつかのものはモバイル環境でも利用可能だが、それらはsingle touch(pointer)に制約されている
- 文献5では、tabletopsシステムにおけるmulti-touchの認証手法を提案
- 文献8では、tablet向けにmulti touchのジェスチャーによる認証手法を提案
- Android Pattern Lockの複数指による拡張提案もある (文献 6)
- しかしながら、パスワードの拡張(長くすることに対する効果)に関する研究は行われていない
The MIBA Scheme
- 目標:ユーザビリティを犠牲にせず、パスワード入力時間を減らし、かつ理論的なパスワード空間の拡張を実現
- Cued-recall 手法を利用し、かつsmartphoneにおけるmultitouchを応用してその拡張を行う
Authentication Method
- MIBAのパスワードは、複数回の回答(multiple rounds)から成り立ち、各回答では複数個のポイントを示すことができる
- Click pointsは複数の指で同時にすばやく押すことを可能にする
- 背景画像は、パスワードのヒントになることを意図しており、かつ前段階での回答に応じて決定される。したがって、誤って回答をすれば見たことのない背景画像があらわれるため、誤回答にすぐに気づける
- backボタンがあるので誤回答の修正は可能
- 背景画像は、認証につき一度しか表示されない。複数回表示されると記憶面で混乱を招く恐れがあるからである。
- 背景画像の上に半透明の格子が表示される(図1) 。これは回答すべき箇所を暗示している。
- ユーザが指で指し示すと、指し示された格子は完全に透明になる(図3)。この仕組みは覗き見攻撃者を助けてしまう懸念があるが、操作時には操作する手が画面の大部分を覆ってしまうため、そのような危険性は軽減されうる
- 文献 3にある通り、我々はさらにShift機能を導入する。これは理論的パスワード空間を拡張するのに役立つ
- 付加的な入力手法で、具体的には回答時にわずかに長押しをする。ただし、この長押し操作は、見た目上は通常時の回答と区別がつかないようにする。
- 操作者自身には、端末の振動により長押し回答だったか、通常回答だったかがフィードバックされる
- 図2でいうと、1st roundで回答を長押しすると、2nd roundに遷移するかわりに、shift roundに遷移する。shift roundでの回答をすると2nd roundに戻る。
- つまり、通常操作で3回のroundを操作した場合と、shift機能で2回の通常round+1回のshift roundの操作は覗き見攻撃者にとって区別はつかない
# (私的疑問) って、単に回答回数が増えるだけに思えるのだが、shift roundを追加する利点がなにかわからない。覗き見攻撃者にとって、それがshift roundだか、2nd roundだかわからなくなるというが、利用者本人にとっても負担になるのではないだろうか?
Considering the Smartphone
- Android platform上で時っす。その過程で検討する必要がある問題点がいくつかわかった
- 当初、3 x 4 の格子を考えたが3.7インチの画面では不自然な指操作が必要になり無理。結果として 2 x 4の格子とした。
- 5本指全部による同時押しも考えたが、使いにくく、かつパスワード空間の増加量もそれに見合わない。結果的にMIBAでは2 x 4個の格子で1から4本指までの操作とした。
- MIBAでは各回答のあと、回答入力が正しいかどうか検証する。そして正しければ自動的に関連づけられた処理へ進む。つまりMIBAは明示的に誤回答に対するフィードバックをしない。これはbruite-force攻撃や推測攻撃を困難にする。
- しかしながら、正規のユーザにとっては見たことのない背景画像が表示されるため、入力が誤っていることに気づくことができる。
# (私的回答) この背景画像の提示方法いかんでは、絞り込み攻撃が可能になるのでは?
Entry Time
- 30名の被験者でPIN, CCP, MIBAの三種類の認証入力時間を比較
- 42bit のエントロピーに対応する秘密情報(パスワード)を設定
- 各実験後は、Mental rotation task(文献 2)を実施
- 実験結果は図4
- MIBAは、10秒以下で入力可能だった。PINよりも高速
# (私的疑問) MIBAの同時押しに関する条件はどうなっていたのだろう...
Usability
- 複数指による操作について、使いはじめの頃は難しいという被験者もいたが、総じて有用だと理解されていた
- 両手による操作(片手で端末保持、もう一つの手で操作のことか?)についても問題だとは思っていないようであった
- 長期間での調査は必要だが、今回の短期間における実験でも被験者は複数指による操作に成功していて、しかもすばやく入力できていた
Conclusion
- 複数指による複数回答候補の同時選択を可能にした、cued-recallベースの画像認証を提案。
- 結果として、理論的なパスワード空間の拡張を実現
- multi-touchにおけるUI設計上の問題点(制約)を明確化。screen sizeやhand postureへの配慮が必要
- 実験により入力時間は早いことが明確になった。PINよりも早いか少なくとも同等程度の入力速度となることがわかった
Future Work
- 実運用時における知見を得るためfield studyを予定
- 入力時間、認証成功率、パスワードの記憶保持性、覗き見攻撃への耐性、背景画像のhotspotの偏り、好まれる指位置(finger postures)など
- どのようにしてMIBAパスワードを記憶するか?
- 複数のパスワードを持ったときの記憶混乱の可能性
- 複数指による同時選択は、結果として画面の大部分を覆う形になり、それは覗き見攻撃への耐性を生むことになる。これに対する評価
Applications
- 画像認証は文字列パスワードよりいくつかの利点があるが、それは文字列パスワードが主流であるオンラインの世界では使われていない
- 画像認証の主たる利用シーンは携帯電話の画面ロック
- 文字列パスワードの置き換えを狙うよりも、その補完をするべき
- スマートフォンにおけるパスワードマネージャのロック解除に使ってはどうか?
- またパスワードの重要性に応じて、異なる画像認証を定義するという考え方もあるだろう
- そうなると、スマートフォンの利用者は複数の画像認証を扱う必要があれば、それでも多数の文字列パスワードを入力するよりはマシであろう...
(私的疑問) 背景画像がパスワード選択や記憶保持にどの程度効果を発揮するのかに疑問?
利用者は2 x 4の格子と単純にとらえ、その選択肢の中でパスワードを構成してしまうのではないだろうか? 回答入力を誤ったときのフィードバックとしての役目はあるかもしれないが、上記二点についてはそれほど貢献しないのではないだろうかという懸念。背景画像ありとなしで評価してみても面白いかと思慮。
個人認証における覗き見対策として、ダミーのカーソルを複数表示することで、どれが回答を指し示したのかわからなくする方法の提案
Keita Watanabe, Fumito Higuchi, Masahiko Inami, and Takeo Igarashi.
CursorCamouflage: multiple dummy cursors as a defense against shoulder surfing.
In SIGGRAPH Asia 2012 Emerging Technologies (SA '12)., 2 pages,
http://doi.acm.org/10.1145/2407707.2407713
ともかく、まずシステムを紹介している動画を見るべきですね
- http://www.persistent.org/cursorcamouflage.html
仕組みとしては、マウスの動作に応じてカーソルが動くというのはマウス操作の基本だが、多数のカーソルが画面を動き回るため、どれが操作者の操作しているカーソルかわからない。結果として操作者本人は自分が操作しているカーソルを認知できるが、後ろから見ている覗き見攻撃者にとっては、どれが操作しているカーソルかがわからず、結果として何を入力したのかがわからない。という仕組み
「なるほど!」と思いました。またシステム紹介の動画が凝っていて素晴らしい
またCursorCamouflageの改良版として「SymmetricCursors」も開発されています。
この方法では、ダミーカーソルの動きをマウスの動きと対応させ、必ずマウスカーソルがキーの上に配置されるようになったため、画像録画攻撃(認証行為と画面をビデオ録画し、その映像記録から入力値を抽出しようとする攻撃手法)に対しても安全な手法となっています
渡邊 恵太,門城 拓,樋口 文人,稲見 昌彦(慶大/JST),五十嵐 健夫(東大/JST) ,
SymmetricCursors: 対称的に動くダミーカーソルによる入力操作の隠蔽,
情報処理学会インタラクション2013, Feb. 2013.
- http://www.interaction-ipsj.org/archives/paper2013/data/Interaction2013/interactive/data/pdf/1EXB-31.pdf (Paper PDF)
システム紹介動画
- YouTube