自宅サーバをInternet公開にするためSoftEther VPNをVPS上に設定する(5)

ISP によるPrivate network内にある自宅サーバをInternet公開サーバにするため,VPS serverを借りてSoftEther VPNによるVPNを構築する.

今回は,いよいよ自宅サーバ(VPN Bridge)とVPS server(VPN Server)を接続する.
SoftEther のWebページでいうところの拠点間接続というところだ.

Read more

ProcurePass: A User Authentication Protocol to Resist Password Stealing and Password Reuse Attack

CellphoneとSMSを利用することで,パスワードの盗難と再利用攻撃(Password Reuse Attack: アカウントリスト攻撃?)に対抗できるユーザ認証プロトコルを考案した,という論文.
携帯通信事業者を個人認証の仕組みの1つとして利用しつつ,Webサービス運用側にも認証要求をSMSで受け付けるため電話番号を持つことを必要とする仕組み.
(ISCBI 2013).

Read more

Revisiting Authentication with Shoulder-Surfing Resistance for Smartphones

暗証番号(PIN)認証を対象に「覗き見攻撃」に対する対策として,
振動を応用した入力方法を提案した論文.
チャレンジ&レスポンス手法を前提に,チャレンジ送付を攻撃者から
隠すことで(視覚的捕捉を困難化)覗き見対策になるとし,その手段と
して振動を用いている.提案手法はVibration-Digit-Addition Scheme
(VDA)とVibration-then-Eight-Direction Scheme(V8D)の2手法を提案.
7名の参加者による評価を行なっている.
(CANDAR 2015)

Read more

A PIN-entry method resilient against shoulder surfing

覗き見攻撃(shoulder surfing)に対して安全な暗証番号認証手法を提案した論文.
著名会議に採録された論文なので覗き見攻撃対策としては著名な論文.
1つの数字を入力するのに,2色の色を使って間接的に入力することで安全性を確保.
正規ユーザは,入力したい数に割り当てられている色を回答するだけであり操作は
簡単だが,攻撃者は10個の数字に割り当てられた色すべてを覚えないと入力値が
特定困難という仕組みで安全性を確保している.入力方法自体は,論文中の図1を
見ればすぐに理解できるが,1つの数字を入力するのに4回入力操作が必要となる.
ビデオカメラによる録画攻撃にも安全だという主張があるが,私感ではその効果は
限定的だと思う.
(CCS 2004).

Read more

Spinlock: A Single-Cue Haptic and Audio PIN Input Technique for Authentication

暗証番号による個人認証(PIN authentication)における「覗き見対策」として
振動と音を用いた入力方法を提案した論文.
特徴的なのは,画面に表示される視覚的情報を使わずに(UI自体はあるが)
音や振動を「用いて」暗証番号を入力する手法を提案している.
例えば,”3”という数字を入力する際には,3回振動が発生するまで画面上を
なぞり続け,3回振動したら画面から指を離す.これにより”3”が入力される
という具合である.
(HAID 2011)

Read more

Communicating Shoulder Surfing Attacks to Users

携帯端末における覗き見攻撃の脅威に対し,覗き見されていることを端末利用者へ
伝える方法について考案し,4つの手法を提案して比較評価を行なった.
その結果,振動による通知方法(vibro-tactile)が最も好まれるという結果を得た
という研究.この研究における覗き見は「プライバシー上の脅威」であり
「個人認証時の覗き見」というcontextに閉じた議論ではない.
(MUM 2018)

Read more

Pitfalls of Shoulder Surfing Studies

覗き見攻撃に対して安全性を主張する暗証番号認証の研究を調査し,それらにおける
評価手法の問題点を指摘するとともに,比較可能で妥当な結果だと解釈可能な
評価手法について議論している論文.
(USEC 2015).

Read more

MoiPrivacy: Design and Evaluation of a Personal Password Meter

多くのパスワードには個人情報が含まれていて,推測攻撃を容易にする原因と
なっている.その一方でパスワード強化の指標となるパスワードメータは,
利用者の個人情報のことを考慮していない.そこで利用者の個人情報も配慮した
パスワードメータMoiPrivacyを提案し,実験を通じて評価した論文.
(MUM 2020).

Read more

DeepMnemonic: Password Mnemonic Generation via Deep Attentive Encoder-Decoder Model

パスワードによる個人認証を安全に運用する方法の1つはランダムなパスワードを
ユーザに使わせることである.が,問題はそれを記憶できないという点である.
そこでランダムなパスワードを記憶するのに助けになる文章をニーモニックとして
生成するシステムを機械学習を用いて実現した.という論文
(IEEE Trans. on Dependable and Secure Computing. 2020)

Read more

An Empirical Study of Wireless Carrier Authentication for SIM Swaps

SIM Swapによる攻撃に対する脆弱性の調査.SMSによる二要素認証のコード通知は実際に運用されているが,この認証に対する攻撃として SIM Swap攻撃 によるなりすましの問題がある.この問題について調査した結果,いくつかのWeb(キャリア?)では実際にこの攻撃に対して脆弱であることが確認できた.という研究.
(SOUPS 2020)

著者らのWebで情報公開も行っている
URL: https://www.issms2fasecure.com/.

Read more

“You still use the password after all – Exploring FIDO2 Security Keys in a Small Company"

とある小さな会社が,Webアプリケーションの個人認証にセキュリティトークンによるFIDO2の個人認証を導入した.その導入プロセスにおける観察とインタビュにより,個人認証のユーザビリティとセキュリティ認知に関する定性的調査を行なった論文
(SOUPS 2020)

Read more

Something Doesn't Feel Right: Using Thermal Warnings to Improve User Security Awareness

セキュリティ警告について,視覚情報に頼らない伝達方法による警告方法を模索.
その一実装として熱による伝達方法とその応用シーンについてプロトタイプ実装し,
アクセシビリティとユーザビリティの問題を明らかにした.
(SOUPS 2020)

Read more

Mental Models of Domain Names and URLs

Webを通じたフィッシング詐欺の被害はあとを絶たない.ユーザが「なぜ」なりすまされているURLやドメイン名を見極められないかを調査するため,インタビューによりユーザのドメイン名やURLの理解について調査した論文
(SOUPS 2020)

Read more

I cannot do anything: User's Behavior and Protection Strategy upon Losing, or Identifying Unauthorized Access to Online Account

オンラインアカウントがアクセス不能になったり第三者に不正アクセスされた際,ユーザがどう対応すべきか?に関する文献や資料が十分とは言いがたい.この問題に対する調査として,半構造化インタビューを実施し,ユーザがどう対応するのか,どういう問題を抱えているのかを調査した.
(SOUPS 2020)

Read more