Déjà Vu: A User Study Using Images for Authentication

2003-12-09

書誌情報

• Rachna Dhamija and Adrian Perrig
• Déjà Vu: A User Study Using Images for Authentication
• Proc. of 9th USENIX Security Symposium, pp.45--58
• August, 2000.
• Paper PDF
• USENIX Web Page

記事はこちらに移動しました．このページは近いうちに削除されます．ご了承下さい

メモ

認識+選択(Recognition-based:再認式)の画像認証方式は、これが最初の論文であると理解している．画像を使った認証システムを研究する上で読んでおいた方がいい「基本」論文だと思う．またRandom Art Imagesという画像種を用いて，候補画像を自分で用意し，ストレージに格納しておかなくても良い点も売りの１つになっている．

• パスワードを正確に思い出せる．という前提を破棄する
• ユーザが脆弱なパスワードを使えないようにする
• パスワードを書き留めたり，共有できないようにする

これらの考え方だけでも十分革新的(納得のいく改善の方向性)だと思ったり．

認証方法はいたって簡単．秘密情報は画像N枚．認証実行時には候補画像が M枚表示され，そこから事前に決めていたN枚の画像を「順不同」で選択する． 選択した画像と，事前に決めていた画像が同一であれば認証成功とする． という手法である．この方法だと２０枚の画像群から５枚の秘密画像 (Portfolio images)を選ぶ「システム設定」で4桁暗証番号認証よりも 高い安全性を提供可能となる．

Portfolio(パスワードとなる画像)の画像種がランダム画像だというのが，利点にもなるが，欠点にもなっている．写真を使えば，確かに推測可能な画像をユーザは選ぶだろう．それは書きとめ可能になり，共有可能になる恐れがあるからである．と述べているがそうだろうか? だからランダムアートを使うのだという．確かにランダムアートを使えば書き留めは困難になるし，共有も難しくなる．が，それでも書き留めは可能なのではないか? それに今の時代，プリンターがあるのだから，書き留め不可能でも，印刷してしまえばそれまでである．だからこそそうではなくて，違う解決方法があってもいいと考えた．

またランダム画像を使うことの利点は記憶容量が小さくてすむことである．ランダム画像はseedと呼ばれる8byte長の数値から再現可能なため，サーバが画像を直接保持する必要はない．しかし，このseedをいかにして安全に保持するか? という点が問題になる．解決策としては複数のサーバに点在させるなどの方法があるだろうと述べている．

■ observation(のぞき見)攻撃に対する対策法としては以下の方法を提案している

• portfolioの数を増やす．特に一回のchallenge setで表示される数以上のportfolioを用意することで、すべてのportfolioが攻撃者に知られてしまうのを防ぐ．この方法でもいまだ脆弱であることに違いはないが、それでも現状よりはなりすましが困難になる．Challenge & Responseになる．
• どの画像を選択したかをわからないようにする．どの画像を選んだか、どのキーを押したかをわからないようにする
• portfolio画像を加工し、portfolioがどんな画像だったかをわからなくする．どんな画像処理がいいかは今後の課題である．

■Intersection(積集合)攻撃に対する対策方法としては以下の4つを提案している

• 常にまったく同じportfolioとdecoy imageを使った認証試行にする これは原理的にintersection攻撃を不能にする．が、問題は正規のユーザが囮画像を覚えてしまい、しまいにはportfolioと勘違いしてしまうのではないか? それと攻撃者がこのchallenge setを記憶し、将来、portfolioが変更され、かつdecoy imageが変更されなかったとすると、decoyとportfolioが判別できるようになり、結果としてなりすまされる恐れがある．
• いくつか(少数)のおとり画像をある一定期間、認証試行で使い続ける 懸念は上に同じ．正規ユーザが囮画像を学習してしまい，portfolioと勘違いするのでは? また将来portfolioを更新したときに、decoyとportfolioが明確に判別できるようになってしまい、結果としてなりすましが容易に可能になってしまう恐れがある．
• 認証を複数の段階に分割し，それぞれの認証段階にランダムに決定した複数枚のportfolioを仕込む．認証をする際にある照合段階で回答を謝ったら，それ以降の照合段階ではportfolioを一切提示しないようにする．
• 認証に失敗する確率が低くなったので，アカウントを使用不能にするまでの認証失敗回数の条件をきつく(連続試行回数を少なく)する．この方法はDoS攻撃の温床となる危険性があるので現実的ではない．またアカウントロックをどう提供するかによるが、単に数分間使えなくなるだけといったアカウントロックであれば、これは現実的には攻撃者にとってまったく意味がない

画像認証が気になる方は，とにかく一読すべき論文だと思う．

以下の図は論文中図２より引用．認証画面例である．