Encountering stronger password requirements: user attitudes and behaviors

パスワードポリシーが変更になった時,ユーザはどう振る舞うか?を調査した論文(SOUPS 2010).
大学の情報システムにおけるパスワードポリシーが変更になった時に調査を実施.パスワードの生成と利用に関する調査と,変更されたポリシーに関する意見を聴取した.調査結果は,技術的観点だけでなく,パスワードポリシー更新に対してユーザがどう振る舞うかも考慮しているため,より良いパスワードポリシーを設計する上で役立つ.

Read more

Fourth-factor authentication: somebody you know

個人認証における知識,所有物,生体情報以外の第4の要素として「social network」を用いる個人認証を提案している論文(CCS 2006).
Social networkとは,つまり「あなたが知っている誰か」についてであり,人間同士による検証において昔から使用されている方法といえる.この論文では,他の個人認証手法が使えなくなった場合の緊急用認証として,人間が介在するアクセス制御の概念構築について探求する.また暗号にかかるセキュリティ要件や,ユーザの振る舞い,ソーシャルエンジニアリングについても検討する.

Read more

Visual authentication: a secure single step authentication for user authorization

誰でも利用可能な公共端末(publicly exposed terminals)における個人認証に関する研究 (MUM 2013).
公共端末での個人認証は,覗き見攻撃や端末そのものがハッキングされる懸念がある.これに対して著者らは,スマートフォンを利用した分散認証&認可システムを提案する.
提案する認証手法は,公共端末においてセキュリティを向上させ,かつ迅速な認証を可能にする.

Read more

Graphical Authentication Resistance to Over-the-Shoulder-Attacks

Graphical password(画像認証)の覗き見攻撃に対する安全性に関する論文 (CHI 2017).3つの画像認証手法ととりあげ,over-the-sholder-attack(OSA)に対する安全性を調査した.3つの認証手法とは”Convex Hull Click”, “What You See Is What You Enter”, “Use Your Illusion”のようである.

Read more

Assessing the vulnerability of magnetic gestural authentication to video-based shoulder surfing attacks

個人認証に対するビデオ撮影による「覗き見攻撃」に関する論文 (CHI 2012).
携帯端末における個人認証は,現在,暗証番号,パスワード,パターンのいずれかであるが,これらの認証手法は「覗き見攻撃(Shoulder surfing attack)」に脆弱である.
このリスクはビデオ撮影という手段を用いられるとさらに高くなる.そこで本研究では “magnetic gestural authentication” におけるビデオ撮影での覗き見攻撃に対する安全性を評価した.4人の被験者に依頼し,HDカメラにより magnetic signatureを携帯端末で入力する様を録画した.そのビデオを22名の実験参加者に提供し,なりすましを依頼した.実験の結果…

Read more

Stay Cool! Understanding Thermal Attacks on Mobile-based User Authentication

暗証番号(PIN)やパターンによる個人認証は広く使われている.熱感カメラ(Thermal camera)の利用可能性が高まるにつれて,携帯端末におけるそれらの認証手法では Thermal attack(熱感知攻撃) という新たな脅威が発生しうる.画面上の熱感情報をカメラを用いてトレースすることで(Thermal trace),個人認証を行なった場合にはパスワードを窃取される懸念がある.そこでこの研究では,携帯画面のthermal image(熱感画像)から暗証番号やパターンを抽出可能かについて検証を行なった.
その結果,この攻撃は実際に認証情報を抽出可能であることが明らかになった.またパターンによる個人認証の場合には,この攻撃を阻害するため,パターン内に重複部分(overlapping pattern)を持つことが有用なことが分かった.

Read more

Authentication Melee: A Usability Analysis of Seven Web Authentication Systems

様々な代替案が提案されている一方で,パスワードは個人認証においていまだ主流である.代替案を検討する上でユーザビリティは重要だけど,適切なユーザビリティ研究や標準的な評価法によって評価されていない.
本研究はWebで使用されている7種の個人認証手法を4種のwithin-subjectにより評価を行った.その結果,シングルサインオン(SSO)が実験参加者に最も好まれ,また以下のことが明らかになった.(1) 透明性はユーザビリティを向上させるが,混乱と不信を招く,(2) SSOを好んだ一方で,それを安全とは言い難いパスワードの強化に用いたいと願っている,(3) 実験参加者は,生体認証と電話を用いた認証に興味を持っている.
なおUsabilityの評価には,SUS:Systems Usability Scaleを用いている.

Read more

Understanding Shoulder Surfing in the Wild: Stories from Users and Observers

実世界における「覗き見攻撃」(Shoulder surfing attack)の状況を調査した論文(CHI 2017).
攻撃される側とする側の双方から,どういう事例があるのかを174名におよびユーザ調査した.
本研究における貢献は,実世界における「覗き見攻撃」の証拠を提示するとともに,プライバシ保護機構の設計における指針を示したことである.

Read more

PassApp: My App is My Password!

携帯端末内にインストールされているアプリのアイコン画像を画像認証とした個人認証システムに関する論文(MobileHCI 2015).
毎日使用していている携帯端末内のアプリアイコンなので,記憶負担は少ない,という主張.

Read more

PassPage: Graphical Password Authentication Scheme Based on Web Browsing Records

2要素認証の1要素として画像認証を用いた研究論文 (AsiaUSEC 2020).
正規利用者が閲覧したWebページを秘密情報とし,そのWebページを画像とすることにより二要素認証の1つを画像認証化している.
(著者らは”Two-factor graphical password authentication scheme”と述べている)

Read more

Increasing Security Sensitivity With Social Proof: A Large-Scale Experimental Confirmation

“Security Sensitivity”の効果検証に関する論文(CSS 2014).

コンピュータセキュリティにおける問題の1つに,利用可能なツールの存在とその利用方法を知らなければならない,というものがある.これに対する有望だが未探求のアプローチとして,”Social proof”の利用がある.具体的には,友人がどんなツールをどのように使用しているかを見る(知る)ことを想定している.
このアプローチの効果を探るため,Facebookを利用している50000人のユーザを対象に調査を行なった.実験において使用を推奨したセキュリティ機能は,ログイン通知,ログイン承認,と信頼済み連絡先の3つである.
実験結果から,推奨するセキュリティ機能を利用している友人の人数を示すことが最も効果があった.しかし,セキュリティ機能の導入率はSocialアナウンス(<=このツールはxx人の友人も使っている,という情報を含める)の有無間で有意な差は見られなかった.
またフォローアップ調査で,Socialアナウンスによって利用可能なセキュリティ機能への気づきを改善することも確認された.

Read more

A Shoulder Surfing Resistant Graphical Authentication System

個人認証における覗き見攻撃に対する新たな個人認証手法の提案に関する論文 (2016).
ビデオで認証行為を複数回録画されたとしても,秘密情報の特定・絞り込みに役立つ情報を与えることのない手法”PassMatrix”を提案している.

Read more

Goldilocks and the two mobile devices: going beyond all-or-nothing access to a device's applications

携帯端末向けにアプリケーション毎にアクセス制御(利用制御)を可能にする認証(制御)手法の提案(SOUPS 2012).

多くの携帯端末のアクセス制御はall-or-nothing(lock or unlock)の2つの状態しかないが,これはユーザのニーズを満たせていない.インタビューからインストールされているアプリの半分はlock状態でも使用したいこと,残りの半分は認証をパスせずには使用できないようになって欲しいということが分かった.また端末を複数人で利用する環境において,適切なアクセス制御を可能にする仕組みが求められていることも分かった.
また顔と声による生体認証への興味について調査したところ,その限界を知りつつも極めて好意的であることが分かった.

Read more