Posted Updated 10 minutes read (About 1457 words)

VIP: a visual approach to user authentication

画像認証をいくつかの構成条件(秘密情報・認証画面)で評価した論文(AVI 2002).

書誌情報:
A.D.Angeli, M.Coutts, L.Covertry, G.I.Johnson, D.Cameron, M.H.Fischer,
“VIP: a visual approach to user authentication”,
8 pages, AVI 2002.
ACM DL: https://dl.acm.org/doi/abs/10.1145/1556262.1556312

Abstract

この論文は,Visual Identification Protocol(VIP)と呼ぶ知識照合型個人認証システムの設計と評価に関する論文である.
基本的なアイデアはユーザの秘密情報(Credential)に写真(Picture)を使用することである.3つの異なる構成条件による写真を用いた認証を考え,それを暗証番号認証(Personal Identification Number: PIN)と比較評価した(実験参加者61名).
結果から,VIPは暗証番号認証の良い代替手法になりうることが明らかになった.またシステム設計者が視覚記憶能力をセキュリティシステムでうまく活用できるようにするガイドラインも提供する.

過去のメモ

基本的に評価論文のようで、システム的に新たな提案があるものではないようだ.
システム的には「Deja Vu」との差分はさほどないと思われる.4通りの評価方法でユーザ評価をしているが,その方法が微妙(一部の評価は意味がない(自明? でもやることに意義がある?!))のではないかと思われる.評価方法は以下の通り.

  1. 10個の数値の中から4つの数字を事前に決めておいた順番で選択
    これは従来のテンキーによる4桁数字認証と同じである

  2. 10個の画像の中から4つの画像を事前に決めておいた順番で選択
    ただし,自分のパスワード画像は常に決められた位置に表示される.つまり上記の4桁数字による認証で数字の代わりに画像を使ったという実験になる.なお自分のパスワード画像以外の画像は画像データベースから任意で選択され,表示される.

  3. 10個の画像の中から4つの画像を事前に決めておいた順番で選択
    今度は上とは異なりユーザのパスワード画像の表示位置もランダムになる.パスワードが増以外の画像は上と同じくランダムに選択され,表示される.

  4. Portfolioベースで12枚の画像の中から事前に決めておいた8枚の画像のうち4枚を選択する
    これは12枚の画像の中から自分のパスワード画像である8枚の画像のうちの4枚を順不定で選択するというものである.またパスワード画像の提示位置もランダムである.

というわけで,評価をする前からなんとなく結果が想像できるな,と正直思った.
エラー発生率をみても想像通りになっている.(2 < 1 < 3 < 4の順でエラー発生率が少ない).それよりももっと疑問視したいのは,場所が固定でその入力順も決まっているのなら,数字はもちろん画像でもなく,すべて真っ白の格子が並んでいるだけでもいいのではないか?と思うのは私だけだろうか.

というわけで,みなまで書かないが、4番目が最も悪いデザインという結果になっている.その理由は以下の通り

  1. 8枚の画像を順序も関係なく覚えなければならない
  2. そのうちの4枚がランダムに選択されて表示される.なので提示された画像を全部眺めなければならない
  3. 似た画像を自分のパスワード画像と勘違いする
  4. パスワード画像およびその表示位置がランダムなので学習効果が期待できない

3.は画像データベースに作り込みをして,類似した画像をおとりとして提示しないようにするというのが妥当な対策(論文にも書かれている).1. は覚えなければいけないのは当然だが,順序が関係ないほうが覚えやすいと思うのだが… 2.はやむをえないとすべきか… 4.はどうだろう… その認証を使用する頻度が高ければ,パス画像を覚えていくと思うので,多少の学習効果は期待できると思うのだが.この論文では銀行のATMを仮定しているから,認証にかかる時間が問題になるといいたいのかもしれない.

まだ読んではいないが、以下の論文は、この論文を元にしたJournal paperのようである.

De Angeli, A., Coventry , L., Johnson, G., Renaud, K.,
Is a picture really worth a thousand words? Exploring the feasibility of graphical authentication systems,
International Journal of Human-Computer Studies, 63 (1-2), 128-152. 2005

Maybe update in near future.
— ends here

VIP: a visual approach to user authentication

http://the.netaro.info/2004/01/22/2004-0122_vipUserAuth/

Author

T.T

Posted on

2004-01-22

Updated on

2020-12-12

Licensed under

#

Like this article? Support the author with

Recents

Tags

2fa2
3d printing1
account1
apple1
applestore1
article1
authenticaiton2
authentication37
authenticiaton1
blog1
certificate1
certification1
chi5
debian4
design2
dhcp1
disaster1
disclaimer1
domain1
episodicmemory1
error1
fido1
game1
gamification1
graphicalauthentication8
graphicalpassword6
guess2
guessattack2
haptic1
hexo2
human1
identification1
identity1
image1
insecure1
interview1
iphone1
javascript1
let'sencrypt1
lifelog1
linux5
mac1
macpro1
management1
memorability2
mental1
meter1
ml1
mnemonic1
mobile17
mobilehci3
network8
nodejs2
ntp1
nudge1
observation attack1
otp2
paper38
password10
passwordreuse1
pattern1
patternlock1
personal1
photo2
pin6
pitfall1
policy1
privacy2
recognition1
recording attack2
reuse2
risk1
security62
sensitivity2
server1
shoulder surfing5
shouldersurfing11
smartphone2
sms3
social2
soups4
swipe1
sysadmin10
tactile1
thermal1
tls1
trust1
ubuntu4
url1
usability11
vibration1
virtualreality1
vpn5
warning1
web4
webauthn1

Archives

×