Analysis and Improvement of a PIN-Entry Method Resilient to Shoulder-Surfing and Recording Attacks

覗き見攻撃に対して安全なPIN入力手法の提案と評価を行なった研究．
V.Roth(2004)らのBlack/White(BW) PIN-entry methodを改良した手法である．
録画攻撃に対しては，振動(+音による囮振動)を応用した対策手法を提案している．
(IEEE Trans. 2015)

書誌情報:
T. Kwon and J. Hong
“Analysis and Improvement of a PIN-Entry Method Resilient to Shoulder-Surfing and Recording Attacks”
IEEE Transactions on Information Forensics and Security (2015), vol. 10, no. 2, pp. 278-292, Feb. 2015
(2015).
Web: https://doi.org/10.1109/TIFS.2014.2374352

Abstract

暗証番号認証における安全とユーザビリティを両立する手法の開発は今も大きな課題である．特に人やビデオカメラによって直接観察されることによる暗証番号の盗み取りは大きな問題である．
この研究では，標準レイアウトのテンキーの背景を白黒の２色に塗り分けた先行研究の安全性調査から始めた．
調査対象とした先行研究は，入力方法の理解が容易で簡単に利用することができるが，多くの入力操作が必要であった．
また我々の理論的・実験的な調査から，録画による攻撃に対する安全性の欠如などいくつかの問題点が明らかになった．
この調査結果をふまえ，black-and-white PIN入力手法(参考文献18)の改良を行なった．
その結果，新たに提案した手法は，どれだけ多くの認証行為の録画データがあるとしても入力したPIN番号を漏洩させることのない手法となった．

Black-and-White PIN entry methodは，参考文献[18]の手法．この論文は，参考文献[18]の問題点を明らかにした上でその改良法を提案した研究である．論文中のFig.1とFig.3を見比べれば，どういう改良かは推測できるだろう．で，「録画による攻撃にも安全」という主張がなされているが，どうみても安全とは言い難い点がある．入力値の特定は困難かもしれないが，「候補の絞り込み」はできるからである．ある一定の条件を仮定すれば，暗証番号の各桁の候補数は10個から5個に絞り込むことができるので，1回の録画攻撃で10^4個から5^4個にPIN候補数が減るのである．この問題点は論文内図6の(a,b,c)を見ればすぐに理解できる，また，論文中でも C.Security Analysisの節 1) Direct Assessment内にて議論されているが，著者らは625(=5^4)はBrute-force攻撃に対してまだ安全だと述べている（同意し難いが…）．また著者らはどれだけ多くの認証セッションの録画データが攻撃者にわたったとしても，それ以外の情報は漏れない，と述べている．

C. Security Analysis

• 1. Direct assessment
• 2. …
• 3. General strategies for protecting PIN entry
  • BW methodもTictocPINも人による覗き見攻撃には一定の安全性がある
  • 他の対策としては，(1) 覗き見されないように画面・操作を隠す，(2) 入力値を一意に特定できないようにする
  • TictocPINの方法はUndercover(参考文献[19])と同じで「秘密チャンネル(=視覚的に捕捉困難な通信チャンネル)」を別に持つ方法．具体的には振動を使ったという点
  • visual や phonic(音)によるチャンネルよりも覗き見に対する安全性を確保しやすいと主張
• 4. …
• 5. Impeding audio leakage
  • 振動情報が漏洩する可能性は配慮する必要がある．音および視覚的に振動情報が漏れる可能性は否定できない．提案手法では疑似振動音を意図的に発生させることでその可能性を低める工夫をしている．
  • 30msの短振動信号を用いているので，本当の振動(Tic)と音による振動音(Toc)とを攻撃者が正確に判別することは難しい
• 6. Preventing user misbehavior
  • ユーザの操作・行動により入力値が攻撃者に漏洩する可能性がある
  • 色選択のためのインタフェースがはじめから表示されず，振動によるChallengeが送り終わった後に表示されることと，色のレイアウトが毎回ランダムなっているのは，この懸念に対する対策のためである．
  • 振動によるチャレンジが通知完了する前にユーザが選択ボタンに指を動かしてしまうと，その行為から入力値が特定できる可能性が生じるためである．これを困難化するため上記のような設計(delayed and randomized input keypad)となっている．
  • が，このような行為を完全に防げる対策とは言い難い．ユーザがうっかり入力する数値を指で指し示してしまう可能性もある．またボタン配置が操作時間に影響を与え，それが入力値特定につながる可能性もあるかもしれない．
• 7. Security summary
  • 想定脅威に対する安全性を確保するため，振動信号を入力に応用し，かつその振動信号の漏洩を防ぐために偽振動音を発生させる，という工夫を施した
  • 30msの短振動をスマートフォンで発生させており，ハイスピードビデオカメラや指向性マイクを攻撃者が持っていても振動信号の捕捉は容易ではないだろう．
  • 振動信号の代わりに，適切に保護された音チャンネルの応用も考えるべきだ

D. User study - Usability evaluation

ユーザビリティについてTictocPINと標準のPIN認証を比較評価した．
Androidアプリとして両システムを実装し，Galaxy Nexus (4.65インチ画面, 1280x720pixels)を用いて評価．

• 1. Design:
  • 2x2 条件でwithin-subject designで実験実施．
    • 暗証番号の選択: システムがランダムに決定するか，ユーザが自由に選択したか
    • 入力システム: 既存の入力方法(テンキー?)を用いるか，TictocPINを使用するか？
  • 各被験者は，4条件のそれぞれで3回認証を試行
• 2. Paritipants:
  • 24名の参加者（男女=17:7）大学内で募集
  • 正常視覚を持つ人，22名が右利き，平均年齢28歳(21-42)，スマートフォンの平均経験年数は3年
  • 全ての参加者は，暗証番号認証の利用経験あり
• 3. Procedure:
  • 事前説明を実施，両システムの操作方法をデモした後，人口統計情報のアンケート実施．
  • 事前説明終了後，実験手順を説明し，暗証番号を4つ生成した
    • ユーザが自分で選択した暗証番号を2つ，システムが生成した暗証番号が2つ
  • Day-1 練習と評価を実施．
    • 練習は各条件で３回認証に成功するまで実施．
    • 評価では最大３回まで認証を実施させた
    • 評価の後に5段階Likert-scaleを用いたアンケートを実施した．
• 4. Hypotheses:
  • (H1) TictocPINは既存のPIN認証よりも遅い (認証時間が長い)
  • (H2) TictocPINは既存のPIN認証よりもエラーが多い
  • (H3) TictocPINはDay-1の操作よりもDay-5の操作のほうが遅い (認証時間が長い)
  • (H4) TictocPINはDay-1の操作よりもDay-5のほうがエラーが多い
• 5. PIN entry time:
  • 認証時間の測定方法について記述がある 「入力用keypadが表示されてから，最後の入力がなされるまで」
  • 入力時間は図7および表1に記載．TictocPIN & ユーザ選択の暗証番号条件での平均入力時間は 15.31 sec.
    • 入力時間はPINを問わず「標準PIN入力」が圧倒的に速い(ま，そりゃそうだ)
  • 平均値で最短入力時間になったのは 「標準PIN入力 & ユーザ選択の暗証番号」であった．
  • PIN決定方法による有意差なし，PIN選択とPIN入力方法の相互作用についても有意差なし．よって仮説H1のみ成立とみなす
• 6. Error rate:
  • 標準PIN入力では，PINの選択方法を問わず，1回目の操作で全員が認証に成功
  • Tictoc PINでは，2名が1度目に失敗し，2回目で認証に成功．残りの参加者は1回目の試行で認証成功
  • どちらの入力方法でも，３回連続して認証に失敗した参加者は0名だった．
  • よって，仮説H2は棄却
• 7. Effect of intermittent use:
  • Day-1の実験結果がトレーニング直後であったためバイアスがかかっている可能性がある，その影響を調査するために(5日後?)評価を実施
  • 入力時間，エラー率ともに有意差なし．ゆえに仮説H3, H4は棄却
• 8. User evaluation report:
  • 5段階Likert-scaleによるアンケート調査を紹介 (図8)
  • TictocPINの方が安全に感じるが，使い勝手は標準PINのほうが良い，
  • 滅多に使わないが安全性が必要なアプリケーションではTictocPINの方が良い
  • 短振動の認識は難しくなかった
• 9. Discussion
  • 操作時間は標準PINよりもTictocPINの方が長い，が，エラー率では有意差なし
  • 画面が表示されてからkeyを押すまでの時間だけに注目すれば，標準PINとTictocPINの操作時間の差はわずか
  • C.6でも議論したが，ユーザのうっかり操作(detrimental behavior)をすべて防ぐことはできない
  • アンケートによる評価スコアも，標準PINより評価は低かったものの，usability, usage, haptic experienceの3点で5段階Scoreで3以上の評価だった．

Related work

• 主たるテーマは，秘密を伝えるのに「間接的手法(indirect method)」をどのように取り入れるのか？になった．

• 安全で使いやすい認証手法の設計が課題

• 安全性を強化すると複雑で使いにくい手法となり，使いやすさを重視すると安全ではなくなるというジレンマ

• さまざまな先行研究の紹介と，それの安全性を評価した研究を紹介

  • security-usabilityのトレードオフ，提案手法の攻撃可能性検証，指向性マイクによる振動音の窃取可能性．ユーザの振る舞いによる情報漏洩の可能性

• Timing attackは配慮する必要がある．keypadの表示を遅らせ，かつkey配置をランダム化したのはそのためである．

I may update the docs again in future.
— ends here