Posted 2021-04-09Updated 2021-04-11a minute read (About 209 words)

Revisiting Authentication with Shoulder-Surfing Resistance for Smartphones

暗証番号(PIN)認証を対象に「覗き見攻撃」に対する対策として，
振動を応用した入力方法を提案した論文．
チャレンジ＆レスポンス手法を前提に，チャレンジ送付を攻撃者から
隠すことで(視覚的捕捉を困難化)覗き見対策になるとし，その手段と
して振動を用いている．提案手法はVibration-Digit-Addition Scheme
(VDA)とVibration-then-Eight-Direction Scheme(V8D)の２手法を提案．
７名の参加者による評価を行なっている．
(CANDAR 2015)

Posted 2021-04-05Updated 2021-04-054 minutes read (About 588 words)

A PIN-entry method resilient against shoulder surfing

覗き見攻撃(shoulder surfing)に対して安全な暗証番号認証手法を提案した論文．
著名会議に採録された論文なので覗き見攻撃対策としては著名な論文．
1つの数字を入力するのに，2色の色を使って間接的に入力することで安全性を確保．
正規ユーザは，入力したい数に割り当てられている色を回答するだけであり操作は
簡単だが，攻撃者は１０個の数字に割り当てられた色すべてを覚えないと入力値が
特定困難という仕組みで安全性を確保している．入力方法自体は，論文中の図1を
見ればすぐに理解できるが，1つの数字を入力するのに4回入力操作が必要となる．
ビデオカメラによる録画攻撃にも安全だという主張があるが，私感ではその効果は
限定的だと思う．
(CCS 2004).

Posted 2020-12-22Updated 2020-12-224 minutes read (About 545 words)

DeepMnemonic: Password Mnemonic Generation via Deep Attentive Encoder-Decoder Model

パスワードによる個人認証を安全に運用する方法の１つはランダムなパスワードを
ユーザに使わせることである．が，問題はそれを記憶できないという点である．
そこでランダムなパスワードを記憶するのに助けになる文章をニーモニックとして
生成するシステムを機械学習を用いて実現した．という論文
(IEEE Trans. on Dependable and Secure Computing. 2020)

Posted 2020-08-24Updated 2020-12-122 minutes read (About 318 words)

Observation Study on Usability Challenges for Fingerprint Authentication Using WebAuthn-enabled Android Smartphones

WebAuthnによる個人認証のユーザビリティ調査に関する論文．セットアップのダイアログで大きな誤解をするという結果．
(SOUPS 2020)

Posted 2020-08-23Updated 2020-12-123 minutes read (About 390 words)

Something Doesn't Feel Right: Using Thermal Warnings to Improve User Security Awareness

セキュリティ警告について，視覚情報に頼らない伝達方法による警告方法を模索．
その一実装として熱による伝達方法とその応用シーンについてプロトタイプ実装し，
アクセシビリティとユーザビリティの問題を明らかにした．
(SOUPS 2020)

Posted 2020-08-23Updated 2020-12-123 minutes read (About 515 words)

I cannot do anything: User's Behavior and Protection Strategy upon Losing, or Identifying Unauthorized Access to Online Account

オンラインアカウントがアクセス不能になったり第三者に不正アクセスされた際，ユーザがどう対応すべきか？に関する文献や資料が十分とは言いがたい．この問題に対する調査として，半構造化インタビューを実施し，ユーザがどう対応するのか，どういう問題を抱えているのかを調査した．
(SOUPS 2020)

Posted 2020-05-11Updated 2020-12-124 minutes read (About 652 words)

Patterns in the wild: a field study of the usability of pattern and pin-based authentication on mobile devices

携帯端末での利用における暗証番号認証とパターンロック認証の利便性(Usability)について評価を行なった論文 (MobileHCI 2013).
測定値自体は暗証番号の方が良い結果なのだが(操作時間や認証成功率)，アンケートによる主観的印象ではパターンロックの方が好まれるという結果になっている．ただし，実験条件には注意を払う必要がある．

Posted 2020-05-07Updated 2020-12-124 minutes read (About 554 words)

Graphical One-Time Password GOTPass: A usability evaluation

再認・描画形式のGraphical passwordをOne-time Passwordに組み合わせた手法について，ユーザビリティの評価を行なった研究論文(2016)．

Posted 2020-04-19Updated 2020-12-122 minutes read (About 237 words)

Encountering stronger password requirements: user attitudes and behaviors

パスワードポリシーが変更になった時，ユーザはどう振る舞うか？を調査した論文(SOUPS 2010)．
大学の情報システムにおけるパスワードポリシーが変更になった時に調査を実施．パスワードの生成と利用に関する調査と，変更されたポリシーに関する意見を聴取した．調査結果は，技術的観点だけでなく，パスワードポリシー更新に対してユーザがどう振る舞うかも考慮しているため，より良いパスワードポリシーを設計する上で役立つ．

Posted 2020-04-11Updated 2020-12-122 minutes read (About 331 words)

Authentication Melee: A Usability Analysis of Seven Web Authentication Systems

様々な代替案が提案されている一方で，パスワードは個人認証においていまだ主流である．代替案を検討する上でユーザビリティは重要だけど，適切なユーザビリティ研究や標準的な評価法によって評価されていない．
本研究はWebで使用されている７種の個人認証手法を４種のwithin-subjectにより評価を行った．その結果，シングルサインオン(SSO)が実験参加者に最も好まれ，また以下のことが明らかになった．(1) 透明性はユーザビリティを向上させるが，混乱と不信を招く，(2) SSOを好んだ一方で，それを安全とは言い難いパスワードの強化に用いたいと願っている，(3) 実験参加者は，生体認証と電話を用いた認証に興味を持っている．
なおUsabilityの評価には，SUS:Systems Usability Scaleを用いている．

Posted 2016-06-29Updated 2020-12-127 minutes read (About 1096 words)

Goldilocks and the two mobile devices: going beyond all-or-nothing access to a device's applications

携帯端末向けにアプリケーション毎にアクセス制御（利用制御）を可能にする認証(制御)手法の提案(SOUPS 2012)．

多くの携帯端末のアクセス制御はall-or-nothing(lock or unlock)の２つの状態しかないが，これはユーザのニーズを満たせていない．インタビューからインストールされているアプリの半分はlock状態でも使用したいこと，残りの半分は認証をパスせずには使用できないようになって欲しいということが分かった．また端末を複数人で利用する環境において，適切なアクセス制御を可能にする仕組みが求められていることも分かった．
また顔と声による生体認証への興味について調査したところ，その限界を知りつつも極めて好意的であることが分かった．