暗証番号(PIN)認証を対象に「覗き見攻撃」に対する対策として,
振動を応用した入力方法を提案した論文.
チャレンジ&レスポンス手法を前提に,チャレンジ送付を攻撃者から
隠すことで(視覚的捕捉を困難化)覗き見対策になるとし,その手段と
して振動を用いている.提案手法はVibration-Digit-Addition Scheme
(VDA)とVibration-then-Eight-Direction Scheme(V8D)の2手法を提案.
7名の参加者による評価を行なっている.
(CANDAR 2015)
覗き見攻撃に対して安全なPIN入力手法の提案と評価を行なった研究.
V.Roth(2004)らのBlack/White(BW) PIN-entry methodを改良した手法である.
録画攻撃に対しては,振動(+音による囮振動)を応用した対策手法を提案している.
(IEEE Trans. 2015)
覗き見攻撃(shoulder surfing)に対して安全な暗証番号認証手法を提案した論文.
著名会議に採録された論文なので覗き見攻撃対策としては著名な論文.
1つの数字を入力するのに,2色の色を使って間接的に入力することで安全性を確保.
正規ユーザは,入力したい数に割り当てられている色を回答するだけであり操作は
簡単だが,攻撃者は10個の数字に割り当てられた色すべてを覚えないと入力値が
特定困難という仕組みで安全性を確保している.入力方法自体は,論文中の図1を
見ればすぐに理解できるが,1つの数字を入力するのに4回入力操作が必要となる.
ビデオカメラによる録画攻撃にも安全だという主張があるが,私感ではその効果は
限定的だと思う.
(CCS 2004).
暗証番号による個人認証(PIN authentication)における「覗き見対策」として
振動と音を用いた入力方法を提案した論文.
特徴的なのは,画面に表示される視覚的情報を使わずに(UI自体はあるが)
音や振動を「用いて」暗証番号を入力する手法を提案している.
例えば,”3”という数字を入力する際には,3回振動が発生するまで画面上を
なぞり続け,3回振動したら画面から指を離す.これにより”3”が入力される
という具合である.
(HAID 2011)
携帯端末での利用における暗証番号認証とパターンロック認証の利便性(Usability)について評価を行なった論文 (MobileHCI 2013).
測定値自体は暗証番号の方が良い結果なのだが(操作時間や認証成功率),アンケートによる主観的印象ではパターンロックの方が好まれるという結果になっている.ただし,実験条件には注意を払う必要がある.
暗証番号認証に対する覗き見攻撃について,いくつかの対策手法の安全性を実際に評価した論文(CHI 2018).
覗き見られないよう端末を傾けたり,暗証番号入力に圧力を応用しても覗き見攻撃に対してはあまり防御にならないことを実際に評価した研究.