Communicating Shoulder Surfing Attacks to Users
携帯端末における覗き見攻撃の脅威に対し,覗き見されていることを端末利用者へ
伝える方法について考案し,4つの手法を提案して比較評価を行なった.
その結果,振動による通知方法(vibro-tactile)が最も好まれるという結果を得た
という研究.この研究における覗き見は「プライバシー上の脅威」であり
「個人認証時の覗き見」というcontextに閉じた議論ではない.
(MUM 2018)
携帯端末における覗き見攻撃の脅威に対し,覗き見されていることを端末利用者へ
伝える方法について考案し,4つの手法を提案して比較評価を行なった.
その結果,振動による通知方法(vibro-tactile)が最も好まれるという結果を得た
という研究.この研究における覗き見は「プライバシー上の脅威」であり
「個人認証時の覗き見」というcontextに閉じた議論ではない.
(MUM 2018)
SIM Swapによる攻撃に対する脆弱性の調査.SMSによる二要素認証のコード通知は実際に運用されているが,この認証に対する攻撃として SIM Swap攻撃 によるなりすましの問題がある.この問題について調査した結果,いくつかのWeb(キャリア?)では実際にこの攻撃に対して脆弱であることが確認できた.という研究.
(SOUPS 2020)
著者らのWebで情報公開も行っている
URL: https://www.issms2fasecure.com/.
とある小さな会社が,Webアプリケーションの個人認証にセキュリティトークンによるFIDO2の個人認証を導入した.その導入プロセスにおける観察とインタビュにより,個人認証のユーザビリティとセキュリティ認知に関する定性的調査を行なった論文
(SOUPS 2020)
WebAuthnによる個人認証のユーザビリティ調査に関する論文.セットアップのダイアログで大きな誤解をするという結果.
(SOUPS 2020)
最近になって,以下のような議論が始まるというニュースが出てきたので,2011.03.11の東日本大震災の時に当方が考えていた携帯電話による本人確認の方法「自分証明書」の拙稿を公開しておこうと思う.
寝る前にiOS 13.5のアップデートを仕掛け,寝て起きたらiPhone 7の電源がOnにならない状況になっていた.まさにiPhone 7が【文鎮】になってしまい候.このCovid-19の在宅勤務の状況で携帯電話が使えないのは致命的なのでドタバタと対応をした.その顛末を書き残しておこうと思う.
描画式のGraphical passwordを複数レイヤでの図画に拡張する認証手法とその評価に関する論文(MobileHCI 2013).
提案手法名が”Touchscreen Multi-layered Drawing (TMD)”であるので,手法の内容が類推できると思う.著名な描画式の画像認証にDraw A Secret(DAS)があるが,それの拡張であるといえ,評価についてもDASと比較を行なっている.
図画シンボルの重ね合わせたものをパスワードにする画像認証の提案に関する論文(CHI 2013).
携帯端末での利用における暗証番号認証とパターンロック認証の利便性(Usability)について評価を行なった論文 (MobileHCI 2013).
測定値自体は暗証番号の方が良い結果なのだが(操作時間や認証成功率),アンケートによる主観的印象ではパターンロックの方が好まれるという結果になっている.ただし,実験条件には注意を払う必要がある.
暗証番号認証に対する覗き見攻撃について,いくつかの対策手法の安全性を実際に評価した論文(CHI 2018).
覗き見られないよう端末を傾けたり,暗証番号入力に圧力を応用しても覗き見攻撃に対してはあまり防御にならないことを実際に評価した研究.
暗証番号認証に色とSwipe操作を組み合わせた個人認証の提案に関する研究(CHI 2015).
覗き見攻撃に対する安全性を向上しつつ,高速入力と簡単操作で既存の暗証番号認証からの移行も容易である.
個人認証における覗き見攻撃リスクの評価法を提案した論文 (MobileHCI 2016).攻撃モデルは,insiderと著者らは記載しているが,要は「人間が複数回覗き見る」という条件を想定しており,何回覗き見すれば,どの程度の確率で秘密情報の特定に至るか?を導出できるようにする手法である.
携帯電話を用いたパスワードマネージャの研究論文 (WWW 2020).
題目だけ見ると,なんの新しさも感じない論文なのだが…
写真を用いた再認式画像認証(recognition-based graphical password)の安全性に関する評価と改善提案を行った論文 (SOUPS 2010).
携帯端末の暗証番号認証における覗き見攻撃について,攻撃と防御にかかる評価を行なった論文 (CHI 2018).
携帯端末内にインストールされているアプリのアイコン画像を画像認証とした個人認証システムに関する論文(MobileHCI 2015).
毎日使用していている携帯端末内のアプリアイコンなので,記憶負担は少ない,という主張.
携帯端末向けにアプリケーション毎にアクセス制御(利用制御)を可能にする認証(制御)手法の提案(SOUPS 2012).
多くの携帯端末のアクセス制御はall-or-nothing(lock or unlock)の2つの状態しかないが,これはユーザのニーズを満たせていない.インタビューからインストールされているアプリの半分はlock状態でも使用したいこと,残りの半分は認証をパスせずには使用できないようになって欲しいということが分かった.また端末を複数人で利用する環境において,適切なアクセス制御を可能にする仕組みが求められていることも分かった.
また顔と声による生体認証への興味について調査したところ,その限界を知りつつも極めて好意的であることが分かった.