ProcurePass: A User Authentication Protocol to Resist Password Stealing and Password Reuse Attack
CellphoneとSMSを利用することで,パスワードの盗難と再利用攻撃(Password Reuse Attack: アカウントリスト攻撃?)に対抗できるユーザ認証プロトコルを考案した,という論文.
携帯通信事業者を個人認証の仕組みの1つとして利用しつつ,Webサービス運用側にも認証要求をSMSで受け付けるため電話番号を持つことを必要とする仕組み.
(ISCBI 2013).
書誌情報:
author: M. M. Kassim, A. Sujitha,
title: “ProcurePass: A User Authentication Protocol to Resist Password Stealing and Password Reuse Attack”
conference: Int’l Symp. on Computational and Business Intelligence
year: 2013
Web: https://doi.org/10.1109/ISCBI.2013.14
Table of Content:
- Introduction
- Problem definition and architecture
- Problem Definition
- Architecture
- ProcurePass
- Overview
- One-time password
- Registration phase
- Login phase
- Recovery phase
- Conclusion
Abstract
Introduction
- ユーザ認証を設計する際,Human-factorを考慮に入れた設計をするのは重要
- Password認証の改善策としてGraphical password(GP)とPassword managerをあげているが,それらの欠点は,GPは利用可能な実装がないこと[1,9]といくつかの攻撃に脆弱なこと[2]を挙げ,Password managerはそのsecurityに疑いがあることと,利用に不便さを感じていること,そして利用に対する知識が不十分なことを挙げている.
- Three-factor authentication(知識・所有・生体)も考えられているが,コストかかる.Two-factor authenticationはThree-factorより現実的だが問題は同じ
- CellphoneとSMS(Short Message Service)を利用した新たなユーザ認証プロトコル”ProcurePass”を提案する.これによりパスワード窃取とパスワード再利用攻撃を困難化する.
- One-time password, cellphone, SMSで対処… (って,2021年となってはよくある認証手法の話と同じことなのか?)
- マルウェア,フィッシング,安全なユーザ登録とアカウント復元,パスワード再利用と弱いパスワードの利用回避,Cellphoneの保護,という利点をもたらすことができる.
Problem definition and architecture
ProcurePass
Overview
携帯電話が認証トークン,SMSは安全な通信チャンネルと仮定する.
ログイン処理の概要は以下の通り.
- ログインページを開く (Webブラウザ)
- User IDを入力・送信する. (Webブラウザ)
- 携帯電話でProcurePassアプリを起動 (携帯端末)
- パスワードを入力し,SMSで送信 (携帯端末)
- 認証結果のメッセージがInternet経由で返ってくる (携帯端末)
- ログインできる (Webブラウザ)
4)の処理においてアプリ内でOne-time password(OTP)を生成し,そのOTPで入力されたパスワードを暗号化してサーバへ送信する.5)のメッセージはInternet経由で端末に返される.
(素朴な疑問だが,6)のログインできる,実際にはどういう状況になるのだろう? Webブラウザをreloadするのか?それとも自動的にログイン後の画面に遷移するような仕組みになるのか?)
Recovery phase
携帯電話をなくした時などを想定した処理である.この処理は,なくした携帯電話と同じ電話番号を使えているという前提で処理が可能となっている(以前と同じ電話番号のSIMカードを新たに再発行してもらい,新しい携帯電話に挿して使っているという前提か?).
ProcurePassアプリを携帯端末にインストールし直して…あとは省略.
Conclusion
個人認証におけるHuman-factor問題をなるべく排除するため,携帯電話とSMSを使ったユーザ認証プロトコルを提案.
そのために各Webサービスは認証要求を受け付けるための電話番号を持つ必要があり,Telecommunication service provider(TSP) はユーザ登録(Registration)とアカウント復元(Recovery)に関与する必要がある.
が,ProcurePassを使えば,各ユーザはパスワード(longterm password)さえ覚えていれば良いことになる.
(longterm passwordはWebサービス毎に別々のものが必要だと理解していたのだが,この章の記載では自分の携帯電話を保護するために使われると書いてあるので,Webサービス毎ではないかもしれない.でも,それだと実質的にはPassword Reuseに該当するようにも思うのだが,それでも携帯電話を盗まない限り認証はできないのでそれでも良い,という提案なのだろうか? この点がよく分かってない)
Maybe update in near future.
— ends here
ProcurePass: A User Authentication Protocol to Resist Password Stealing and Password Reuse Attack