概要
fakePointer(フェイクポインタ)とは,個人認証における覗き見攻撃(Shoulder hacking, Shoulder surfing, Observation attack)に対する改善策として提案された,個人認証手法である.
銀行ATMを代表とする暗証番号認証において覗き見攻撃が成立してしまう原因は,秘密情報(パスワードや暗証番号)を直接選択させてしまう認証システムのユーザインタフェースにあるといえる.
そこで本研究では,二層式の画面表示によるユーザインタフェースを提案する.このインタフェースは,上層レイヤーに数字キーを表示し,下層レイヤーには,各数字キーの背景として様々な形の図形を表示する.
ユーザは,事前に指定される特定の図形を入力したい数字キーの背景になるように認証画面を操作する事で回答を行う.つまり,指定された特定図形で暗証番号を選択するという回答方法になる.これにより攻撃者が認証行為を覗き見ていたとしても,全ての数字キーの背景になんらかの図形が表示されているため,ユーザの入力値(秘密情報)の特定が困難になる. また,認証の度に回答に使用する選択図形を変更する事で,仮に認証行為をビデオで撮影されたとしても,覗き見攻撃に対する安全性を担保可能にする.
論文
-
高田哲司:
fakePointer: 映像記録による覗き見攻撃にも安全な認証手法
情報処理学会論文誌, Vol.49, No.9, pp.3051-3061,
Sep. 2008 -
高田哲司:
fakePointer 2: 個人認証における覗き見攻撃への安全性を向上させるユーザインタフェースの提案,
2007年 暗号と情報セキュリティシンポジウム(SCIS2007),
Jan 2007
実装例
関連リンク
- Secure PIN Entry Project
- Spy-resistant keyboard: More secure password entry on public touch screen displays by Mary Czerwinsky
- 特許公開(特開) 2006-018358 - 認証システム,認証装置,端末装置およびICカード (三菱電器)
- DeepCheck - (株)エクスファ
- 静岡大学 西垣研究室