大学の教員や学生が実際に使用しているパスワードの調査を行った論文(CCS 2013).
パスワードの研究は多数あるが,調査に用いられているデータセットが実際に使用されているパスワードデータとは異なるため,本当の意味でのパスワードの特性は未だ理解できているとは言えない.
そこで複雑なパスワードポリシーを課している大学の教員・学生25,000人のSSOパスワードを用いて調査を実施した.調査方法は最新のパスワード推測ツールによるoffline-attackである.
その結果,パスワードの強度とユーザの属性・行動的要因とに有意な相関が見られた.またパスワードの安全性が高いほど,入力エラー率も高くなることが分かった.
パスワードポリシーが変更になった時,ユーザはどう振る舞うか?を調査した論文(SOUPS 2010).
大学の情報システムにおけるパスワードポリシーが変更になった時に調査を実施.パスワードの生成と利用に関する調査と,変更されたポリシーに関する意見を聴取した.調査結果は,技術的観点だけでなく,パスワードポリシー更新に対してユーザがどう振る舞うかも考慮しているため,より良いパスワードポリシーを設計する上で役立つ.
個人認証における知識,所有物,生体情報以外の第4の要素として「social network」を用いる個人認証を提案している論文(CCS 2006).
Social networkとは,つまり「あなたが知っている誰か」についてであり,人間同士による検証において昔から使用されている方法といえる.この論文では,他の個人認証手法が使えなくなった場合の緊急用認証として,人間が介在するアクセス制御の概念構築について探求する.また暗号にかかるセキュリティ要件や,ユーザの振る舞い,ソーシャルエンジニアリングについても検討する.
誰でも利用可能な公共端末(publicly exposed terminals)における個人認証に関する研究 (MUM 2013).
公共端末での個人認証は,覗き見攻撃や端末そのものがハッキングされる懸念がある.これに対して著者らは,スマートフォンを利用した分散認証&認可システムを提案する.
提案する認証手法は,公共端末においてセキュリティを向上させ,かつ迅速な認証を可能にする.
Graphical password(画像認証)の覗き見攻撃に対する安全性に関する論文 (CHI 2017).3つの画像認証手法ととりあげ,over-the-sholder-attack(OSA)に対する安全性を調査した.3つの認証手法とは”Convex Hull Click”, “What You See Is What You Enter”, “Use Your Illusion”のようである.
個人認証に対するビデオ撮影による「覗き見攻撃」に関する論文 (CHI 2012).
携帯端末における個人認証は,現在,暗証番号,パスワード,パターンのいずれかであるが,これらの認証手法は「覗き見攻撃(Shoulder surfing attack)」に脆弱である.
このリスクはビデオ撮影という手段を用いられるとさらに高くなる.そこで本研究では “magnetic gestural authentication” におけるビデオ撮影での覗き見攻撃に対する安全性を評価した.4人の被験者に依頼し,HDカメラにより magnetic signatureを携帯端末で入力する様を録画した.そのビデオを22名の実験参加者に提供し,なりすましを依頼した.実験の結果…
暗証番号(PIN)やパターンによる個人認証は広く使われている.熱感カメラ(Thermal camera)の利用可能性が高まるにつれて,携帯端末におけるそれらの認証手法では Thermal attack(熱感知攻撃) という新たな脅威が発生しうる.画面上の熱感情報をカメラを用いてトレースすることで(Thermal trace),個人認証を行なった場合にはパスワードを窃取される懸念がある.そこでこの研究では,携帯画面のthermal image(熱感画像)から暗証番号やパターンを抽出可能かについて検証を行なった.
その結果,この攻撃は実際に認証情報を抽出可能であることが明らかになった.またパターンによる個人認証の場合には,この攻撃を阻害するため,パターン内に重複部分(overlapping pattern)を持つことが有用なことが分かった.
様々な代替案が提案されている一方で,パスワードは個人認証においていまだ主流である.代替案を検討する上でユーザビリティは重要だけど,適切なユーザビリティ研究や標準的な評価法によって評価されていない.
本研究はWebで使用されている7種の個人認証手法を4種のwithin-subjectにより評価を行った.その結果,シングルサインオン(SSO)が実験参加者に最も好まれ,また以下のことが明らかになった.(1) 透明性はユーザビリティを向上させるが,混乱と不信を招く,(2) SSOを好んだ一方で,それを安全とは言い難いパスワードの強化に用いたいと願っている,(3) 実験参加者は,生体認証と電話を用いた認証に興味を持っている.
なおUsabilityの評価には,SUS:Systems Usability Scaleを用いている.
実世界における「覗き見攻撃」(Shoulder surfing attack)の状況を調査した論文(CHI 2017).
攻撃される側とする側の双方から,どういう事例があるのかを174名におよびユーザ調査した.
本研究における貢献は,実世界における「覗き見攻撃」の証拠を提示するとともに,プライバシ保護機構の設計における指針を示したことである.
携帯端末の暗証番号認証における覗き見攻撃について,攻撃と防御にかかる評価を行なった論文 (CHI 2018).
個人認証における覗き見攻撃(Shoulder surfing attack)への対策として,
一般ユーザはどんな対策を行おうとするのか?(user strategies)を調査した論文 (MUM 2019).
携帯端末内にインストールされているアプリのアイコン画像を画像認証とした個人認証システムに関する論文(MobileHCI 2015).
毎日使用していている携帯端末内のアプリアイコンなので,記憶負担は少ない,という主張.
“Infrequent authentication”に注目し,3次元空間での移動軌跡(Visual-Spatial Paths)を秘密情報にする個人認証を提案した論文 (UIST 2019).
2要素認証の1要素として画像認証を用いた研究論文 (AsiaUSEC 2020).
正規利用者が閲覧したWebページを秘密情報とし,そのWebページを画像とすることにより二要素認証の1つを画像認証化している.
(著者らは”Two-factor graphical password authentication scheme”と述べている)
DHCPサーバの設定について,書き残す
( こんなに手間取るとは思わなかった… )
Debian 10 (Buster)での計算機の時刻同期の設定について書き残す
(NTPを利用した時刻同期)
Webブラウザで,TLS (Transport Layer Security)のversion 1.0とversion 1.1の無効化が2020年にすすむそうです.
Let’s Encryptのサーバ証明書を取得し,メールサーバのTLS接続を可能にする.
Let’s Encrypt フリーで自動化されたオープンな認証局:
https://letsencrypt.org/ja/
実施環境:
Ubuntu server on MacPro 1,1を Gateway (Router)化した.
その時のnetwork設定についてメモしておく
NICが2つある計算機に,Ubuntu 18.04 LTS serverをインストールし,ネットワークの設定を試みたが,手順はあっているはずなのにIPアドレスの静的設定できず,2時間くらい溶かした話.
そして,悩みに悩んだ結果,そんなオチかよということで解決した話