Pitfalls of Shoulder Surfing Studies

覗き見攻撃に対して安全性を主張する暗証番号認証の研究を調査し，それらにおける
評価手法の問題点を指摘するとともに，比較可能で妥当な結果だと解釈可能な
評価手法について議論している論文．
(USEC 2015).

書誌情報:
Oliver Wiese, Volder Roth,
“Pitfalls of Shoulder Surfing Studies”,
Usable Security (USEC) Workshop in NDSS 2015,
Web: https://www.ndss-symposium.org/ndss2015/ndss-2015-usec-programme/pitfalls-shoulder-surfing-studies/
Presentation slide資料も上記のWebページで公開されている

Abstract

人間による覗き見攻撃（Shoulder surfing attack）に対する安全性をうたっている
種々の暗証番号認証手法を調査した．
これらの研究において，本当の攻撃者に提案手法の安全性を評価してもらうことは
できず，何らかの方法で攻撃者をシミュレーションし評価しているにすぎない．
著者らは調査を通じて，実験方法をどう設計し報告するのかについて共通の手法が
存在するのか？について興味を持っていた．が，この調査を通じて，実験設計に
おける些細な決定事項が，実験結果の妥当性と解釈に大きな影響を与えることに
気がついた．特に実験参加者人数や試行回数が少ない場合，実験方法の詳細を
明らかにすることは特に重要である．１つの例としては，攻撃者が覗き見によって
推測した暗証番号を評価しているシステムを通じて回答させる事例である．これは
入力ミスが発生する可能性があるため，報告された結果は過小評価されたものである
リスクがあります．
我々は，この種のいくつかの問題に気がつきました．そしてこのテーマの研究が
比較可能で、その結果が適切に解釈できることを保証するために、私たちが
したがうべきだと考える一連の推奨事項を抽出した．

Maybe update in near future.
— ends here