CellphoneとSMSを利用することで,パスワードの盗難と再利用攻撃(Password Reuse Attack: アカウントリスト攻撃?)に対抗できるユーザ認証プロトコルを考案した,という論文.
携帯通信事業者を個人認証の仕組みの1つとして利用しつつ,Webサービス運用側にも認証要求をSMSで受け付けるため電話番号を持つことを必要とする仕組み.
(ISCBI 2013).
覗き見攻撃に対して安全なPIN入力手法の提案と評価を行なった研究.
V.Roth(2004)らのBlack/White(BW) PIN-entry methodを改良した手法である.
録画攻撃に対しては,振動(+音による囮振動)を応用した対策手法を提案している.
(IEEE Trans. 2015)
覗き見攻撃(shoulder surfing)に対して安全な暗証番号認証手法を提案した論文.
著名会議に採録された論文なので覗き見攻撃対策としては著名な論文.
1つの数字を入力するのに,2色の色を使って間接的に入力することで安全性を確保.
正規ユーザは,入力したい数に割り当てられている色を回答するだけであり操作は
簡単だが,攻撃者は10個の数字に割り当てられた色すべてを覚えないと入力値が
特定困難という仕組みで安全性を確保している.入力方法自体は,論文中の図1を
見ればすぐに理解できるが,1つの数字を入力するのに4回入力操作が必要となる.
ビデオカメラによる録画攻撃にも安全だという主張があるが,私感ではその効果は
限定的だと思う.
(CCS 2004).
多くのパスワードには個人情報が含まれていて,推測攻撃を容易にする原因と
なっている.その一方でパスワード強化の指標となるパスワードメータは,
利用者の個人情報のことを考慮していない.そこで利用者の個人情報も配慮した
パスワードメータMoiPrivacyを提案し,実験を通じて評価した論文.
(MUM 2020).
SIM Swapによる攻撃に対する脆弱性の調査.SMSによる二要素認証のコード通知は実際に運用されているが,この認証に対する攻撃として SIM Swap攻撃 によるなりすましの問題がある.この問題について調査した結果,いくつかのWeb(キャリア?)では実際にこの攻撃に対して脆弱であることが確認できた.という研究.
(SOUPS 2020)
著者らのWebで情報公開も行っている
URL: https://www.issms2fasecure.com/.
とある小さな会社が,Webアプリケーションの個人認証にセキュリティトークンによるFIDO2の個人認証を導入した.その導入プロセスにおける観察とインタビュにより,個人認証のユーザビリティとセキュリティ認知に関する定性的調査を行なった論文
(SOUPS 2020)
WebAuthnによる個人認証のユーザビリティ調査に関する論文.セットアップのダイアログで大きな誤解をするという結果.
(SOUPS 2020)
二要素認証の二要素目に,3Dプリンタにより生成された導電性素材を内部に
もつ物理オブジェクトを携帯端末にかざす操作を利用することを提案した研究
(CHI 2020).
「秘密の質問」による個人認証を,拡張したと言える個人認証の提案と評価に関する論文 (ACM Trans. on Privacy & Security 2019).
ユーザのライフイベントに関する文章(?)を入力とし,そこから質問と回答を抽出して個人認証とする手法LEPs(Life-Experience Passwords)を提案.システムが質問文と正答を抽出することで,安全性と記憶可能性,回答の再利用防止を可能にする手法とのこと.欠点は操作時間が長くなる点.
描画式のGraphical passwordを複数レイヤでの図画に拡張する認証手法とその評価に関する論文(MobileHCI 2013).
提案手法名が”Touchscreen Multi-layered Drawing (TMD)”であるので,手法の内容が類推できると思う.著名な描画式の画像認証にDraw A Secret(DAS)があるが,それの拡張であるといえ,評価についてもDASと比較を行なっている.
図画シンボルの重ね合わせたものをパスワードにする画像認証の提案に関する論文(CHI 2013).
携帯端末での利用における暗証番号認証とパターンロック認証の利便性(Usability)について評価を行なった論文 (MobileHCI 2013).
測定値自体は暗証番号の方が良い結果なのだが(操作時間や認証成功率),アンケートによる主観的印象ではパターンロックの方が好まれるという結果になっている.ただし,実験条件には注意を払う必要がある.
暗証番号認証に色とSwipe操作を組み合わせた個人認証の提案に関する研究(CHI 2015).
覗き見攻撃に対する安全性を向上しつつ,高速入力と簡単操作で既存の暗証番号認証からの移行も容易である.
個人認証における覗き見攻撃リスクの評価法を提案した論文 (MobileHCI 2016).攻撃モデルは,insiderと著者らは記載しているが,要は「人間が複数回覗き見る」という条件を想定しており,何回覗き見すれば,どの程度の確率で秘密情報の特定に至るか?を導出できるようにする手法である.
個人認証にゲーム要素を適用すること(gamified authentication)に関する研究論文(CAiSE 2016).
「パターンロックを複数個保持」するのと「文字列パスワードを複数個保持」するのでは,どちらの方が記憶保持可能か?という調査を行なった論文(CHI 2016).
3個であればパターンロックの方が良い結果になったとのことだが,個数が増えると有意差はないという結果も示されている.
写真を用いた再認式画像認証(recognition-based graphical password)の安全性に関する評価と改善提案を行った論文 (SOUPS 2010).
利用者の年齢とスマートフォンのロック利用状況に関する調査を行なった研究 (CHI 2019).
スマートフォンのロックに関する調査研究はいくつかあるものの,いくつかの点でまだ調査が不十分である.本研究では,ユーザの年齢とスマートフォンのロック機能の利用に関する関係性を134名を対象に二ヶ月間にわたり調査した.
その結果,若年層は生体認証を好む一方で,年配の方は自動ロック(auto locks)に依存する傾向があるなど,年齢に依存した大きな差異が見られることが明らかになった.
大学の教員や学生が実際に使用しているパスワードの調査を行った論文(CCS 2013).
パスワードの研究は多数あるが,調査に用いられているデータセットが実際に使用されているパスワードデータとは異なるため,本当の意味でのパスワードの特性は未だ理解できているとは言えない.
そこで複雑なパスワードポリシーを課している大学の教員・学生25,000人のSSOパスワードを用いて調査を実施した.調査方法は最新のパスワード推測ツールによるoffline-attackである.
その結果,パスワードの強度とユーザの属性・行動的要因とに有意な相関が見られた.またパスワードの安全性が高いほど,入力エラー率も高くなることが分かった.
個人認証における知識,所有物,生体情報以外の第4の要素として「social network」を用いる個人認証を提案している論文(CCS 2006).
Social networkとは,つまり「あなたが知っている誰か」についてであり,人間同士による検証において昔から使用されている方法といえる.この論文では,他の個人認証手法が使えなくなった場合の緊急用認証として,人間が介在するアクセス制御の概念構築について探求する.また暗号にかかるセキュリティ要件や,ユーザの振る舞い,ソーシャルエンジニアリングについても検討する.