Spinlock: A Single-Cue Haptic and Audio PIN Input Technique for Authentication

暗証番号による個人認証(PIN authentication)における「覗き見対策」として
振動と音を用いた入力方法を提案した論文．
特徴的なのは，画面に表示される視覚的情報を使わずに(UI自体はあるが)
音や振動を「用いて」暗証番号を入力する手法を提案している．
例えば，”３”という数字を入力する際には，3回振動が発生するまで画面上を
なぞり続け，3回振動したら画面から指を離す．これにより”３”が入力される
という具合である．
(HAID 2011)

書誌情報:
Bianchi A., Oakley I., Kwon D.S.
Spinlock: A Single-Cue Haptic and Audio PIN Input Technique for Authentication
International Workshop on Haptic and Audio Interaction Design (HAID 2011)
(2011).
https://doi.org/10.1007/978-3-642-22950-3_9

Abstract

公共空間での個人認証は「覗き見攻撃(observation attack)」の脅威に
さらされることになる．この問題を解決するために観察困難な音や振動を
応用した個人認証手法が提案されている．しかし，それらの手法はユーザに
高い認識負担を課し，結果的に操作時間が長くなる，エラー率が高くなるなどの
結果を招いている．なぜなら，それらの手法は何かしらの処理，マッピング，
または非視覚的情報の思い出しをユーザに要求するような手法だからである．
これらの問題を解決するため，新たな手法 Spinlock を提案する．この手法は
繰り返し提示される目に見えないシンプルな刺激(音・振動)を認識し，その
刺激回数を数え上げる方法で数字入力を行う．
(a set of structured stimuli vs. enumeration of single, simple cue)
この設計によりセキュリティを維持しつつ，システムの複雑化を回避している．
プロトタイプを実装して評価実験を実施した．
その結果，先行手法と比較して，短時間でかつ低エラー率でありながら先行研究と
同等の安全性を維持しうる認証方法であることが確認できた．

1章

• 対象脅威はObservation attack (観察攻撃)．個人認証の操作を見る・録画するなどして攻撃対象者の暗証番号やパスワードを窃取する攻撃．攻撃主体が人なら “shoulder surfing”，ビデオ録画によるものなら”camera attack”としている．この論文ではどちらも想定脅威としている．
• 想定脅威に対する対策として，振動と音(ただし音はヘッドフォン経由)を覗き見しても見ることができない合図(invisible cue)として使用する入力方法を考案
• 先行研究の問題点は，そういった見えない合図を複数用意し，それをユーザが解釈して使用しなければいけない手法であること．このような方法はそのcueを正確に認識し，処理し，解釈しなければならないのでユーザにとっては負担となる．そしてそれは操作時間を長くし，エラー率を上昇させる (参考文献3, 4)．
• この研究では，先行研究と同等の安全性を維持しつつ，このinvisible cueの認識・解釈負担を軽減することを目標とする．
• その方法として “a set of structured invisible stimuli” ではなく，”repeated display of a single, simple and easy to recognize cue”とする．(構造化された刺激(=解釈が必要な合図)ではなく，単純な刺激の繰り返し提示(=振動・音の発生回数を数える)を用いる)
• また音と振動のどちらが合図として望ましいかも検証する．

2章

• multi-modal approach とuni-modal approach という分類で先行研究に関する議論
• multi-modal approach とは，通常の暗証番号やパスワードの入力に振動や音によるcueを組み合わせた入力方法を指している
• 問題は，ユーザの認知・認知能力に大きく依存するため，システムから提示されるinvisible cueを正しく解釈して入力操作に反映しなければいけない点
• uni-modal approach とは，音や振動だけで暗証番号を入力する方法．tactons という構造化cueで入力値を識別する．例えとしては「点字」である．
• 問題は，いくつかの候補がある合図から特定の合図を正確に選択しなければならないこと，合図の数(種類)が多くなるとその学習や維持が困難になり負担が大きくなる．
• 音を応用した個人認証も提案されているが，その多くは生体認証における１要素としたものである．
• 問題は，想定脅威に対して脆弱であること．録音され再生すればreplay攻撃が成立する
• これらをふまえた上で，本研究ではuni-modal approachでありつつもsimpleなcueによる入力方法を提案する

3章

• Spinlockプロトタイプは「金庫のダイヤルロック」を基にしていて，暗証番号は(数値，方向)ペア情報列．
  • 方向は左右(LR)の２値．なのでPINの具体例としては「4R,2R,3L,1L」となる(図2右)．
  • つまり暗証番号の各数値に「指の移動方向」という２値の値が付与される
• 画面には「直径4cmの円」が表示されていて(図2左)，その円周上に沿って指を動かす．なので「時計回り・反時計回り」の２方向が指の移動方向となる．これがPINでいう「左右」に対応している
• PINに定義された方向に円周上で指を動かし，その移動中に発生した音や振動の回数を数える．その回数がシステムに「数値」として入力される．
• Observation attackに対する安全性を持たせるため，指による移動距離と入力される数値の関係が曖昧になる必要がある．そこで振動・音発生に必要な移動距離間隔をランダム化した(7種の距離を用意．12度刻みで36度から120度に設定)．
• iPhone, iPod touchでプロトタイプ実装．振動については別の機器(SHAKE SK6)を利用し，PCと接続して振動を発生させる
• 画面上の円は，移動方向に応じて色がつく(図2中央)
• 音によるCueの場合は，ヘッドフォンで音を聞く．
• 発生させたcue信号は以下の通り．あくまで単純で短く，繰り返し発生させても判別可能な信号とした
  • 振動信号は，50msのbuzz信号
  • 音信号は，113msのbeep音(Mono 44100HzのWAV fileの再生)
• 端末をshakingすれば，いつでも入力作業をキャンセルできる．

4章

• audio-visualの録画が可能な環境下での安全性を実験参加者による実験で評価
• ４条件で評価．
  • Modalitiy (音 vs 振動)
  • PIN complexity (short: 暗証番号を1〜5の値で構成．long:1〜10の数値で構成)
  • PINはそれぞれ2値の移動方向を含んでいるので，shortは10^4，longは20^4のバリエーション数となる
• 実験参加者は12名 (男性7名，女性5名，22-30歳)．全参加者が4条件を実施
• 各条件で「15回認証に成功すること」を実験終了条件とした
  • はじめの5回を練習，あとの10回を解析対象とした
  • 練習セッション後の入力エラーについても解析対象とした．
• 実験環境は誰もいない実験室で，デスクトップ計算機の前に座った状態で実施
• 暗証番号はランダムに生成したものを紙に書いて提示
• 最大5分間，実際に実験を行う前に自由に練習する時間を与えた
• PIN入力時間，エラー率，入力のキャンセル回数を測定
• NASA TLXアンケートも各条件の実験後に実施
• 実験参加者の方にビデオカメラを設置して認証行為を録画

5章

• 実験データは図3
  • 平均認証時間: Haptic shortで 13.86 sec, Haptic longで20.09 sec
  • エラー率: Haptic shortで 8.3%, Haptic longで7.1%
• 認証時間は，modality, PIN complexity間で有意差あり (two-way ANOVA)
• 入力エラー率は，modalityで有意差あり
• キャンセル回数は，modality, PIN complexity共に有意差なし
• NASA TLXの調査(図4)で，overall workloadについてmodalityで有意差は見られたが，PIN complexityでは有意差なし

6章

• 結果から振動によるcue提示はユーザ負担が大きい: 認証時間，エラー率，NASA TLXの結果の3つで有意差あり
  • ただし，システム依存の遅延が影響した可能性あり
• PIN complexityは認証時間にしか影響しなかった．それ自体に驚きはない．
  • むしろエラー率やworkloadに差がないという結果から，音や振動による数え上げという入力方法は理解しやすく，スケーラブルであると受け止めることができる
• 入力エラーの解析結果は興味深い
  • 指の移動方向に関するエラーはなし
  • 4桁入力のうち，1つだけ入力を間違えた，が82%
  • エラー内容は，入力したい数値より1つ大きいか小さい数値であった，が78%
  • ユーザは入力を間違えたことに気づいていて，入力をキャンセルしている．
• このエラーを減らすため，cueとcueの間に最低限の間隔を設け，かつその間隔を広げることを提案
  • またこの間隔設定をcue単位でランダム化するのではなく，PIN item単位で行うべきだと指摘している
• audio cueの方が簡単，だがhaptic cueの方がよりprivate(=安全と感じたの意?)だと何人かの参加者が回答

7章

• 提案手法は操作中のcueの発生回数を数え上げ，かつそのcueの発生間隔をランダム化することでobservation attackに対する安全性を確保しうる手法を提案した
• しかし，各数字の入力かかった操作時間と入力された数字の相関には有意差があることが分かっており，攻撃に対する安全性は十分ではない
• この問題の重大性を明らかにするため，Spinlockに関する知識を持つexpertが録画されたビデオ80session分(実験参加者２名分のビデオ 4種のPIN, 4条件(modality x PIN complexity)) に対して攻撃を実施した．
  • 攻撃を支援するため，攻撃者役のexpertには各数値の平均入力時間を測定した表を提供した．
  • その結果，4種のPINを正確に特定することはできなかった．また1つのビデオからPINを特定するのは不可能だ，とも述べていた
• しかし，それぞれのPIN入力ビデオが20回分あれば一定精度の推測は可能だろう．特に値の小さい数字は「値の大きな数字ではない」と簡単に分類されていた

Maybe update in near future.
— ends here