Déjà Vu: A User Study Using Images for Authentication

書誌情報

メモ

認識+選択(Recognition-based:再認式)の画像認証方式は、これが最初の論文であると理解している.画像を使った認証システムを研究する上で読んでおいた方がいい「基本」論文だと思う.またRandom Art Imagesという画像種を用いて,候補画像を自分で用意し,ストレージに格納しておかなくても良い点も売りの1つになっている.

これらの考え方だけでも十分革新的(納得のいく改善の方向性)だと思ったり.

認証方法はいたって簡単.秘密情報は画像N枚.認証実行時には候補画像が M枚表示され,そこから事前に決めていたN枚の画像を「順不同」で選択する. 選択した画像と,事前に決めていた画像が同一であれば認証成功とする. という手法である.この方法だと20枚の画像群から5枚の秘密画像 (Portfolio images)を選ぶ「システム設定」で4桁暗証番号認証よりも 高い安全性を提供可能となる.

Portfolio(パスワードとなる画像)の画像種がランダム画像だというのが,利点にもなるが,欠点にもなっている.写真を使えば,確かに推測可能な画像をユーザは選ぶだろう.それは書きとめ可能になり,共有可能になる恐れがあるからである.と述べているがそうだろうか? だからランダムアートを使うのだという.確かにランダムアートを使えば書き留めは困難になるし,共有も難しくなる.が,それでも書き留めは可能なのではないか? それに今の時代,プリンターがあるのだから,書き留め不可能でも,印刷してしまえばそれまでである.だからこそそうではなくて,違う解決方法があってもいいと考えた.

またランダム画像を使うことの利点は記憶容量が小さくてすむことである.ランダム画像はseedと呼ばれる8byte長の数値から再現可能なため,サーバが画像を直接保持する必要はない.しかし,このseedをいかにして安全に保持するか? という点が問題になる.解決策としては複数のサーバに点在させるなどの方法があるだろうと述べている.

■ observation(のぞき見)攻撃に対する対策法としては以下の方法を提案している

■Intersection(積集合)攻撃に対する対策方法としては以下の4つを提案している

画像認証が気になる方は,とにかく一読すべき論文だと思う.

以下の図は論文中図2より引用.認証画面例である.