Comments
Description
Transcript
C-2-3 - 情報処理学会九州支部
情報処理学会研究報告 IPSJ SIG Technical Report 1. は じ め に アイコンとタッチパネル液晶を用いた 覗き見耐性を持つ認証方式についての一検討 菅 井 岡 崎 文 郎†1 直 宣†1 池 田 朴 匡 美 近年,スマートフォンに代表されるモバイル端末が広く普及してきている.多くのモバイ ル端末はキーボードを搭載しておらず,タッチパネル液晶といくつかのボタンのみが標準の 入力デバイスとして搭載されている.モバイル端末の多くは中に個人情報などが多く格納 されており,情報を盗まれることを防ぐために PIN(Personal Identification Number) など 視†2 娘†3 による操作画面のロック並びにロック解除が必要である.しかし,既存の多くの手法では, 人の目にさらされた環境でロック解除をすると他の人にパスワードがばれてしまう可能性が 大きいという問題がある.たとえば,テーブルに数人座り,手元と端末の画面が見える状況 近年,スマートフォンに代表されるモバイル端末が広く普及してきている.モバイ ル端末の多くは中に個人情報などが格納されており,情報を盗まれることを防ぐため に PIN(Personal Identification Number) などによる操作画面のロック並びにロッ ク解除が必要である.しかし,既存の多くの手法では,人の目にさらされた環境でロッ ク解除をすると他の人にパスワードがばれてしまう可能性が大きいという問題がある. そこで本研究では,他の人に画面を見られている状況でも安全でかつ安心と感じるこ とができる認証手法の提案および評価を行う. である.このことは多くの人が簡単なロックのみで重要な個人情報を持ち歩くというある種 の異常事態をもたらしている.簡単に盗むことが可能な個人情報が犯罪に利用される可能性 があり,利用者各々のセキュリティに対する意識の向上とともに使いやすい認証システムの 研究開発が急務である. そこで本研究では,他の人に画面を見られている状況でも安全でかつ安心と感じることが できる手法の提案および評価を行う. An Examination of Icon-based User Authentication Method for Mobile Terminals 2. 研 究 背 景 2.1 画面ロック 現在,コンピュータ,モバイル端末を問わず画面ロックが広く普及している.画面ロック Fumio Sugai,†1 Masami Ikeda,†2 Naonobu Okazaki†1 and Mi RangPark†3 とは端末の操作ができる状態からユーザが任意に,またはあらかじめ設定しておいた時間内 にマウスやキーボードなどの入力がなかった場合などに,画面に認証画面を表示し,端末の 操作ができない状態にする機能である.この状態から端末を再び操作ができる状態にするた In recent years, mobile terminals such as the smartphone has been widely used. Most of the mobile terminals has been stored many personal information, so it is necessary to lock and unlock the screen in order to prevent from information be stolen by such as Personal Identification Number (PIN). However, most existing authentication methods have a problem, called “Shoulder-Surfing”, that authentication information can be inferred by watching the authentication sequence. In this article, we propose some icon-based authentication methods that are simple but sufficiently secure even if the other persons are watching the authentication sequence. めには,パスワードなどの本人認証が必要になる.これはコンピュータでは席を外している 間などに,またモバイル端末では置き忘れや紛失,盗難時に,端末内の情報の盗難,改ざん を防ぐ目的がある.モバイル端末の画面ロックは,席に座っている間は常にロックが解除さ れているデスクトップコンピュータのものとは異なり,カバンの中など身に着けている状態 †1 宮崎大学工学部 University of Miyazaki †2 宮崎大学大学院工学研究科 University of Miyazaki †3 神奈川工科大学 Kanagawa Institute of Technology 1 c 2012 Information Processing Society of Japan ⃝ 情報処理学会研究報告 IPSJ SIG Technical Report でも画面のロックをかける.このため,メールや電話など,モバイル端末内の情報の閲覧や 3. 提 案 手 法 機能を利用するたびに,画面のロック解除が必要になる.したがって,モバイル端末では画 面のロック解除の頻度が非常に多いためデスクトップコンピュータの画面ロックよりもユー 3.1 目的と設計方針 ザビリティに配慮する必要がある. 各提案方式は通常の人間の記憶力による覗き見攻撃に耐性を持つことによって,衆人環境 2.2 覗き見耐性を持つ認証方式 の中でもモバイル端末の画面を隠すことなく安全に認証を行えることを目的とした.その上 覗き見耐性を持たない認証方式では,認証情報を盗まれないようにするために常に周りの で録画耐性 (1),偶然認証を突破される確率 (2) およびユーザビリティ(3) について考慮し, 人の目を気にしなければならない.電車など狭い空間でロックを解除する必要がある場合, 各項目に目標を定めた. 周りから悪意がなくても覗かれてしまう可能性がある.そのため,他の人に画面を見られて (1) 録画耐性 いる状況でも安全かつ安心と感じる為には,覗き見耐性が重要である.一般には,覗き見耐 録画耐性は一回の録画攻撃に対して耐性を持つことを目標とした.これは複数回の録 性を向上させるためには認証を複雑にする必要がある.そのため,覗き見耐性の強度とユー 画攻撃に耐性を持たせると冗長にしなければならない情報量が増えてしまい,認証手続 ザビリティの間にはトレードオフの関係がある. きが複雑になってしまう.頻繁にロック解除を行うモバイル端末の認証としてはユーザ 覗き見耐性は大きく二つに大別できる.一つは「通常の人間の記憶を使い認証動作を覗き ビリティの観点から適当でないと考えた.しかし,偶然録画機器に写ってしまうなどの 見る攻撃」(以下,覗き見攻撃)であり,もう一つは「カメラなどの録画機器を使い認証動 突発的なリスクを回避することは必要であると考え,一回の録画攻撃に対しては十分な 作を記録し解析する攻撃」(以下,録画攻撃)である.一般に,人間の記憶を使う覗き見攻 耐性を持たせることにする. 撃と録画機器を使う録画攻撃では,認証手順を完全に記録することが可能な録画攻撃の方が (2) 偶然認証を突破される確率 覗き見耐性を持たせることが困難である.このため,録画攻撃に対して十分な耐性を持たせ ブルートフォース攻撃に対しては認証の試行回数に制限を設けるなどの方式を併用す ることができれば,覗き見攻撃についても耐性を持つことができる.しかし,両者には大き ることで対策が可能なため考慮しない.偶然に認証を突破される確率について,現在 な差がある.覗き見攻撃において,人間は一連の認証動作をすべて記憶することは難しい. 広く普及している ATM において 10 進数の PIN4 桁ということを考慮し,10 進数の このため,覗き見攻撃に対しては方式を工夫にすることで認証情報が第三者にわからない PIN4 桁に相当する強度を目標とした. ようにすることが可能である.一方録画攻撃は完全に手順を記録し解析することが可能と (3) ユーザビリティ なる.このため録画攻撃に耐性を持たせることは覗き見攻撃に比べ難易度が高い.録画攻 頻繁に画面ロックを解除すると想定されるモバイル端末においては,強度が高い認証 撃に対して耐性をもたせる為には,単純に認証情報を入力するのではなく,何かしらの冗長 方式であったとしても,複雑になり過ぎるとユーザビリティを損ねてしまい,ユーザが な情報を認証情報に内包させて,認証情報そのものを隠蔽しなければならない.そのため, 使用を敬遠してしまうと考えられる.そのため,ユーザビリティも考慮する必要があ 無制限に録画されることに対して十分な耐性を持たせるためには認証方法を高度に複雑化 り,なるべく簡単に認証を行うことができるようにする.提案手法では,ユーザに入力 することが必要になり,ユーザビリティを損なってしまう. の負担がかからないと思われる入力許容回数を 5 回から 6 回程度と仮定し,十分な認 2.3 関 連 研 究 証強度を持てることを目標とした.また,モバイル端末の操作は移動中に行うことが多 上記で述べた問題を解決するための様々な手法が考案されている1)2) .モバイル端末向け く,操作は両手よりも片手で行える方がユーザビリティを向上することが可能であると の認証方式,Android Password Pattern3) があるが,覗き見耐性はなく,他の問題4) も報 考え,片手だけで操作できるようにする. 5) 告されている.録画耐性を持つ認証方式として,背景配列の移動量を用いた個人認証方式 以下ではこれらの目標を達成するために提案する 3 つの方式について述べる.各提案手 が提案されているが,この方式を画面サイズの小さいモバイル端末で使用することは難しい. 法はアイコンを用いて実現する.これは,アイコンは本人には覚えやすいが,他人からはそ のアイコンがわかりにくい性質を持っていると考えたためである.さらに,タッチパネル液 2 c 2012 Information Processing Society of Japan ⃝ 情報処理学会研究報告 IPSJ SIG Technical Report 晶を持つモバイル端末において,アイコンとタップ動作を組み合わせて認証を行うことは ユーザビリティと覗き見耐性を持たせるうえで非常に有効だと考えた. 第1象限 3.2 Secret Icon 方式 Secret Icon 方式はユーザビリティを重視し簡単な操作で覗き見耐性を持った認証を行う 方式である. 第2象限 まず,秘密情報となる正解のアイコンをあらかじめ複数設定しておく.4 × 4 マスのマス 目にアイコンを表示させ,画面上にあらかじめ設定したアイコンが表示された場合に Yes ボ 第3象限 タンを,表示されていない場合に No ボタンをタップする (図 3).この操作をあらかじめ設 定しておいた回数繰り返して認証する.正解となるアイコンが表示される確率と表示されな い確率は 50 %ずつである. 第4象限 本方式は Yes ボタンおよび No ボタンをタップする操作のみを行うため,入力が簡単で 操作しやすいという特徴がある.また,アイコンを表示するエリアと Yes ボタンおよび No 図1 ボタンを表示するエリアを切り離すことが可能で画面のレイアウトを自由に行うことがで Secret Tap 方式の認証画面 きる. 3.3 Secret Tap 方式 3.4 拡張 Secret Tap 方式 Secret Icon 方式は偶然認証を突破されてしまう確率を十分確保することが難しい (5.1 を 拡張 Secret Tap 方式では Secret Tap 方式よりも偶然認証を突破される確率および録画 参照).そこで,偶然認証を突破されてしまう確率を下げるように Secret Tap 方式を考案し 攻撃に対する耐性をさらに向上させるように設計した. た. Secret Tap 方式を拡張し 5 × 5 マスの認証画面表示にした.本方式の認証画面を図 2 に 本方式の認証画面を図 1 に示す.本方式では Secret Icon 方式と同じように秘密情報とな 示す.Secret Tap 方式と同じように,真ん中を除く 24 マスを 4 マスずつ 6 つのグループに る正解のアイコンを複数種類と入力回数を設定する.4 × 4 マスの認証画面を用い,認証画 分け,2 × 2 ずつ右上・左上・左下・右下 4 つにわけそれぞれ第 1 象限から第 4 象限とし, 面に正解となるアイコンを必ず一つ表示させる. マスを 2 × 2 ずつ 4 つに分けて,それぞれ 3 列目の真ん中を除くアイコンを Y 軸,3 行目の真ん中を除くアイコンを X 軸とした.本 第 1 象限から第 4 象限とする.あらかじめ正解が表示されている象限と対応する象限を秘 方式では Secret Tap 方式と同じように,第 1 象限から第 4 象限は正解となるアイコンが表 密情報として設定しておき,設定した象限のいずれか一つのアイコンをタップして認証す 示された時にどの象限をタップするかを設定する.第 1 象限から第 4 象限に正解となるア る.このようにすることで,正解のアイコンを直接タップしてしまうことを防ぐことが可能 イコンが表示された場合は設定した象限をタップする.X 軸,Y 軸上に正解となるアイコ となり,覗き見耐性を向上させることができる. ンが表示された場合,X 軸上に表示された場合は Y 軸を,Y 軸上に表示された場合は X 軸 また,本方式では答えとなるアイコンの出現確率を一連の認証動作を通して均一になるよ をタップする.この操作を規定回数繰り返して認証を行う. うにした.これは例えば,5 回の認証中に同じアイコンが何度も出現して第三者にばれてし 本方式は Secret Tap 方式に対して,より少ない入力回数で偶然認証を突破される確率を まうのを防ぐ目的がある. 向上させたことが特徴となる. 本方式はユーザビリティを保ちつつ偶然に認証を突破される確率を低くできることが特徴 である. 3 c 2012 Information Processing Society of Japan ⃝ 情報処理学会研究報告 IPSJ SIG Technical Report 第1象限 第2象限 第3象限 第4象限 X軸 図 3 実装したアプリケーションの認証画面(Secret Icon 方式) Y軸 図 2 拡張 Secret Tap 方式の認証画面 4. 実 第2象限 第1象限 装 4.1 実 装 環 境 各提案手法は JAVA で Android SDK を用い,統合開発環境 Eclipse を使い Android 端 末上に実装した. 4.2 アプリケーション 第3象限 第4象限 Secret Icon 方式,Secret Tap 方式,拡張 Secret Tap 方式を一つのアプリケーションに 実装し,メニューから各提案手法を切り替えられるようにした.アプリケーションに実装し た各提案手法の認証画面をそれぞれ図 3,図 4,図 5 に示す.この認証画面を規定回数タッ プすると認証に成功したか失敗したかを表示する.さらに,アイコンの設定画面を実装し, 図4 Secret Tap 方式の認証画面 入力回数およびアイコンの一覧表をタップして正解となるアイコンを設定できるようにした (図 6).同図の 1 のエリアに使用できるアイコンの一覧が表示され,このエリアに表示され 5. 評価および考察 ているアイコンをタップして正解となるアイコンを選択する.選択後,同図の 2 のエリアに 現在選択されているアイコンがリストとして表示される.また,同図の 3 のエリアで入力回 5.1 偶然認証に成功する確率に対する評価 数を設定する. 偶然認証を突破される確率は入力が n 回の場合,Secret Icon 方式では 1/2n ,Secret Tap 方式では 1/4n ,拡張 Secret Tap 方式では 1/6n となる.各提案手法の偶然認証に成功する 4 c 2012 Information Processing Society of Japan ⃝ 情報処理学会研究報告 IPSJ SIG Technical Report しまうためである. Secret Tap 方式では 5 回繰り返した場合 1/1024 となり,4 ケタの 10 進数 PIN の 1/10000 Y 第2象限 軸 第1象限 と比べてまだ強度が不足する.しかし,6 回で 1/4096,7 回で 1/16384 となり,この回数入 力することがユーザビリティの観点から許容できるならば実用的なレベルであると考える. 拡張 Secret Tap 方式では,5 回繰り返した場合 1/5184 となり,4 桁の 10 進数 PIN の 1/10000 と比べてまだ強度が不足するが,近い値になる.6 回繰り返した場合に 1/20736 と X軸 X軸 なり,4 桁の 10 進数 PIN の強度を超える. Y 第3象限 軸 第4象限 図 5 実装したアプリケーションの認証画面(拡張 Secret Tap 方式) 1 3 4回 5回 6回 Secret Icon Secret Tap 拡張 Secret Tap 10 進数 PIN 1/16 1/256 1/1296 1/10000 1/32 1/1024 1/5184 1/100000 1/64 1/4096 1/20736 10−6 7回 8回 9回 Secret Icon Secret Tap 拡張 Secret Tap 10 進数 PIN 1/128 1/256 1/512 1/16384 1/65536 1/262144 1/82944 1/331776 1/1327104 10−7 10−8 10−9 表 1 提案手法と 10 進数 PIN の認証強度の比較 5.2 ユーザビリティに対する考察 Secret Icon 方式の認証画面の中からアイコンを探し出すという行為について,アイコン が見つかった場合は即座に Yes をタップすることが可能だが,アイコンが見つからなかっ た場合は本当になかったのか不安になり確認に時間がかかってしまう. 認証方式を考案する 上で,表示されているアイコンの中から特定のアイコンが含まれないことを確認する行為は ユーザビリティを損ねると考えることができる.一方,Secret Tap 方式および拡張 Secret 2 Tap 方式は,必ず一つ正解となるアイコンが表示されるため,必ずアイコンが表示されて 図6 いるという安心感があり,アイコンを見つけるという行為に集中でき,ユーザビリティが向 アイコン設定画面 上したと感じることができた. 確率を表 1 に示す.同表において,10 進数の 4 桁の PIN に相当する強度を各提案手法で実 偶然認証を突破される確率と入力回数の間にはトレードオフの関係が存在し,入力回数が 現するときの入力回数を太字で示している. 多くなるとユーザビリティは低下するが,偶然認証を突破される確率は向上する.本論文で Secret Icon 方式では 10 回繰り返し入力した場合でも 1/1024 となり,4 ケタの 10 進数 は,ユーザの負担にならない入力許容回数を 5 回から 6 回程度と仮定したが,実際はユー PIN の 1/10000 と比べて大幅に強度が不足する.これは答えとなるアイコンを複数設定し ザ毎に異なる.このためユーザに許容される入力回数を知る必要があると考えられる. てマス目の中からアイコンを探しても,最終的にはあるかないか二値の情報に置き換わって 5 c 2012 Information Processing Society of Japan ⃝ 情報処理学会研究報告 IPSJ SIG Technical Report 6. ま と め 本論文では,タッチパネル液晶を持つモバイル端末を対象とする覗き見耐性のある認証方 式として,Secret Icon 方式,Secret Tap 方式,拡張 Secret Tap 方式を提案し,認証強度 に対する評価をした. 今後の課題として,録画耐性の評価とアンケートによる覗き見耐性とユーザビリティの評 価を行う予定である. 参 考 文 献 1) P.C. van Oorschot R. Biddle, S. Chiasson. Graphical passwords:learning from first twelve years. ACM Computing Surveys, Vol. vol.44 no.4, , 2011. 2) 藤田和秀, 平川豊. 覗き見・盗撮に耐性を持つパスワード認証の検討 (アプリケーショ ン品質, モバイル p2p, ユビキタスネットワーク, アドホックネットワーク, センサネッ トワーク, 一般). 電子情報通信学会技術研究報告. MoMuC, モバイルマルチメディア通 信, Vol.107, No.446, pp.61-66, 2008-01-17. 3) Google,Android - open source project http://source.android.com/ 4) Adam J. Aviv, Katherine Gibson, Evan Mossop, Matt Blaze, and Jonathan M. Smith, Smudge Attacks on Smartphone Touch Screens 5) 桜井鐘治, 撫中達司. 背景配列の移動量を用いた個人認証方式ののぞき見に対する安全 性評価. 情報処理学会論文誌, Vol.49, No.9, pp.3038-3050, 2008-09-15. 6 c 2012 Information Processing Society of Japan ⃝