Comments
Description
Transcript
人の視点から考えるパスワード問題: 認知心理学の観点からの提言
情報セキュリティ心理学とトラスト研究グループ(SPT)研究発表会 人の視点から考えるパスワード問題: 認知心理学の観点からの提言 Issues and propositions in identity authentication : from viewpoint of cognitive psychology 2011年2月18日 北神 慎司 (名古屋大学 ) 原田 悦子 (筑波大学 ) 鵜野 幸一郎(日本セキュアテック研究所) 桝野 隆平 (株式会社ニーモニックセキュリティ) 目 次 1.はじめに 2.本人認証を基礎から考える 3.パスワードの脆弱性と従来の対策 4.記憶に関する認知心理学の知見 5.パスワード問題に対する認知心理学 からの提言 6.結語 画像活用型本人認証方式の薦め 2 5 7 12 19 25 1 1.はじめに サイバー空間拡張時代の懸案:電子的本人認証 サイバー空間が加速的に拡大するにつれ、不利益を受けずに サイバー空間の圏外で暮らす選択が困難となりつつある 過去(つい40年以前) 現在 未来 電子的本人認証 本人認証問題が深化・遍在化 サイバー空間 (非対面が基本。提示データ のみで機械が判定。) 署名 仕事 稟議書→ ネット稟議 確実な本人認証手段 金融 通帳 → ネットバンク リアル空間 なんだ か不安 だわ 役所 納税 → eTAX 生活 買物 → ネットショップ (対面が基本。総合的に人間が判定) 2 ◇「なりすまし」犯罪懸念 保護体制の強化課題に 共通番号制先進国では「なりすまし」相次ぐ • 韓国では700万人分流出 • 米国では「なりすまし」続々 番号制度がすでに導入されている各国では、情報流出 や不正使用の例が後を絶たない。韓国では06年に大 手通信会社から700万人以上の個人番号を含む情報 が流出し、情報が売買されるなどして大きな問題になっ た。米国では他人の番号を不正に使って、年金を不正 受給するなどの「なりすまし」が相次いでいる。 日本でも、住基ネットを巡る情報漏えいやなりすましが すでに起きており、「情報流出などの危険性がある」とし て、いまだに住基ネットに参加していない自治体がある。 「税と社会保障の共通番号制度」について、個人情報の保護 策を検討する作業部会の初会合2月7日(座長・堀部政男一 橋大名誉教授) 毎日新聞(平成23年2月8日 朝刊) 3 電子的本人認証における End to end 利用者を含めたEnd to end securityの範囲 デバイスのEnd to end securityの範囲 正規のユーザ? 正規のデバイス! •記憶 本人? 利用者側デバイス •所有物 •生体 デバイス個体番号 PKI 電子的本人認証 生身の ユーザ の頭脳 正規のサーバ! ユーザと端末 の間の50cm サービス側デバイス 電子署名 電子証明書 OTP VPN SSL 端末内 ネットワーク上 サーバ内 4 2.本人認証を基礎から考える これまでの本人認証の分類 • 記憶照合 something the person knows パスワード 暗証番号 • 所有物照合 something physical the person possesses ICカード トークン • 生体照合 something about the person s appearance or behaviour 指紋、虹彩、顔、静脈、音声 識別技術と認証技術を同一平面状に並べて比較して いたことにより混乱と問題が生じてしまった •所有物の存在や生体の特徴点は秘密情報ではない •意識喪失状態でも実行できてしまう方式は本人認証には相応しくない 5 2.1 「個人識別」 と 「本人認証」 【個人識別】 この人は誰ですか? 管理側 この人は誰ですか? 角ばった顔で、丸い眼の この人は確か鈴木さんです 【本人認証】 本人だと主張(自称)している彼/彼女は 真に本人ですか? 管理側 私は鈴木であると 主張(自称)します。 鈴木さんと認めます。 『確率90%で鈴木さんです』 でよい 本人の意思の確認不要 生体照合 所有物照合 『YES / NO』 しかない 本人の意思の確認必須 記憶照合 <適用分野> <適用分野> 入国管理、鑑識、捜査 等 権利・義務の主体の確定に関わる分野 6 3.パスワードの脆弱性と従来の対策 なりすましや攻撃の対象となる 覚え易いパスワード 0226 攻撃者に推察され易い (誕生日) 破られ難い パスワード ①覚え難いため メモをとる 落としてしまう ②何とか覚えても パスワード使い回し 1つ破られると 他も破られる ネット銀行 ニュースサイト ネットショップ 7 3.1 従来のパスワード脆弱性対策 94020458 69306572 59683720 3js99dia $$9gk3&1 skeo%2ka$$a9 • • • • 推測されやすいものは避ける 長大・ランダム・無機質 アカウント毎に異なるパスワード 定期的に変更 「結局のところ,古典的なパスワード選択の規則は 次のようにまとめることができます。 パスワードには記憶不可能なものを選ぶこと (ただし,メモ書きは厳禁)」 『認証技術 パスワードから公開鍵まで』 Richard E. Smith、稲村雄監訳、オーム社(2003) 8 厳格運用時はヘルプデスクのコスト高騰 【寛容な運用】 コスト小 コスト •脆弱パスワード黙認 •メモ黙認 セキュリティ弱 安全性 使い回し黙認 •失念対応コストは顕在化しない 【厳格な運用】 コスト大 安全性 •難解パスワード強制 セキュリティ強 コスト •メモ厳禁 使い回し厳禁 •失念対応コストが顕在化 ⇒ ヘルプデスク コストUP 9 パスワードの乱用により限りある記憶力が浪費 1.必要以上に強固なパスワードを求めるシステム ニュースサイト クイズサイト 2.パスワードを短期間で変更させるシステム 3ヶ月毎に10回にさかのぼって異なるパスワード 人間の記憶の特性を考慮したパスワード 運用がなされていない 限りある記憶力の浪費 10 パスワード問題 まとめ 1. パスワードの脆弱な現況 【メモと使い回し】 2. パスワード厳格運用時の失念対応コスト高騰 3. パスワードの乱用による記憶力の浪費 問題は、いずれも、人間の記憶力に限界のあ ることが原因であると考えられる。 無機質で長い文字列を数多く覚えることを要求 されても、大方の人間は対応できないのである。 11 4. 記憶に関する認知心理学の知見 • • 認知心理学の知見によれば、 記憶とは「符号化」「貯蔵」「検索」からなる一連の情報処理 過程であり、 情報を一時的に保持する「短期記憶」と、長期にわたって保 持する「長期記憶」に大別される 情報 感覚記憶 短期記憶 長期記憶 (感覚登録器) (短期貯蔵庫) (長期貯蔵庫) 反応 多重貯蔵モデル(Atkinson & Shiffrin 1971を改編) 12 4.2 記憶の分類 (短期記憶と長期記憶) 短期記憶 「マジカルナンバー7±2」理論(George A. Miller)1956年 数字1文字も、言葉1語も、1単位の塊り (チャンク)としてみて、 塊り7個前後が人間の短期記憶の限界 を超えてしまえば、 1234567 長期記憶化しづらくなる。 (応用例:郵便番号、銀行口座番号など) 長期記憶 長期記憶 宣言的記憶 意味記憶 エピソード記憶 非宣言的記憶 (手続き的記憶) 技能・習慣 プライミング 古典的条件づけ 長期記憶の分類(Squire & Zola-Morgan, 1991を改編) 13 4.3 記憶の測定方法(再生と再認) 人間の脳に優しい「再認」と「画像」 ●再生と再認 再生(穴埋め問題) (ぜいじゃくを漢字で表記せよ) 再認(選択問題) < (ぜいじゃくの正しい漢字を選択せよ) 繊細 静寂 脆弱 贅沢 「再認」は「再生」より解答成績がよい ●文字と画像 画像 文字 aX9&3z$4 < 「画像」は「文字」より記憶成績が良い :画像優位性効果 14 画像記憶は言語記憶に比べてその記憶容量が大きい 文字と画像の記憶容量比較実験結果 • 612枚のカラー写真 (テストは68枚) • 540語の単語 (テストは60語) • 612文の文章 (テストは68文) 100% 平均正再認率 標本データを視認し一定時間経過後の 被験者の記憶計測 95% 90% 85% 80% 写真 Shepard (1967)の再認記憶実験 単語 文章 15 画像記憶は言語記憶に比べてその持続時間が長い 文字と画像の記憶の持続時間比較実験結果 a. 写真条件 100% − 再 認 率 95% − − ● ■ a. 写真条件 − 90% − − ● 85% − − 80% − − b. 言語的 記述条件 75% − − ■ 70% − − l l l l l l l b. 言語的記述条件 「ほほえんだ父親が小さな わが子を抱きかかえている」 l 0 1 2 3 4 5 6 7 (週) 保持時間 (Nelson et al.(1974)の再認記憶実験の抜粋) 16 4.5 記憶と加齢(1) 高齢者は、再生より再認の方が記憶成績の低下が小さい 年齢別再生と再認の記憶成績比較実験結果 Schonfield & Roberson(1966)の実験 •20歳から75歳までの実験参加者134名 若者 高齢者 17 記憶と加齢 (2) 写真や絵などの画像刺激の記憶は、加齢の影響をあまり受けない 文字と画像の年代別記憶成績比較実験結果 単語の数などの言語刺激とは異なり、人の顔、 風景写真や絵などの画像刺激の記憶は、加齢 の影響をあまり受けない Park et al.(1986)の実験 • 写真や線画などの刺激を用いた実験 • 実験参加者は、大学生vs.60代以上の高齢者 いずれの実験においても、概ね、若年者、高齢者とも に画像優位性効果が示された 18 5.パスワード問題に対する認知心理学からの提言 • 本人にとって 「任意ではない情報」 を 「画像の再認」 という形で認証する方式 • 符号化過程が不必要なほうが簡単 • 再生よりも再認のほうが簡単 • 言語よりも画像の記憶のほうが簡単 • 高齢者にとっても簡単 19 5.1 短期記憶の容量を考慮した本人認証 短期記憶の容量(7±2)を超えてしまえば, 長期記憶化しづらくなる aX9&3z$4 20 5.2 符号化過程が不必要な本人認証 ユーザがよく知っている人や物などを 認証情報として用いれば, 覚える必要(符号化の必要)はなくなるため, 記憶の負担は大きく軽減される 21 5.3 再認による本人認証 再生の2過程説によれば, 再生は「探索+照合」という2つの過程が必要であるが, 再認は「照合」のみでよいため, 本人認証も,再認の方が適している 22 5.4 画像記憶を用いた本人認証 • 二重符号化説で説明される画像優位性効果に依拠 するもの • たとえば,配偶者の顔写真など, 本人にとってのみ任意でない情報を用いれば, 符号化過程も必要なくなるため,より有効性は高い 23 5.5 高齢者に配慮した本人認証 「再認」と「画像記憶」は,加齢の影響をあまり受けない. 「再生」と「言語記憶」は加齢にしたがって,記憶成績が低下 したがって,「画像の再認」という組み合わせが,幅広い年齢 層の人にとって望ましい 24 6. 結語 6.1 画像活用型本人認証方式の薦め ユーザの利便性 •画像優位性効果 •再認(選択問題) 可用性 セキュリティ強度 両立 •用途に応じた適切な強度 を実現 機密性 •覗き見 ビデオ盗撮スロー 再生に耐性強い 本人にとって有意味の、思い出の写真などを 暗証画像として登録し、 本人にとって意味を持たない 囮画像を含めた認証画面で選択する方式 が考えられる 25 6.2 拡張型パスワードシステムという考え方 従来型パスワード:登録したパスワードを思い出して入力 (再生) 【文字モードのみ】 3QBV7ZAK 今までの手順を 変えたくない人 【文字モード】 登録したパスワード を思い出して入力 記億の負担 がより少ない 文字パスワードを 使いこなす自信のない人 人間の記憶特性に沿い エピソード記憶を 活用したい人 【雛型画像利用モード】 【オリジナル画像モード】 楽しい想い出につながる 画像をみつける(再認) 自ら登録した懐かしく愉し い画像をみつける(再認) 記億の負担 が最も少な く、セキュリ ティも高い 拡張型パスワード:文字に加えてイメージ画像も選択可能 (再認) 26 6.3 苦痛のパスワードから愉しみのパスワードへ 好物 甘味 好きな マンガ 思い出の 風景 趣味の スポーツ 愛児の 写真 実際のパスワードは上記の を選ぶのではなく パスワードは、「朝の通勤前の日課」とするのも分りにくくする一工夫 目覚ましで朝起きて野菜ジュースを飲んで携帯を持参して愛犬に挨拶して出かけ公園を横切る 27 苦痛のパスワードから愉しみのパスワードへ (2) • 思い出: 旅行 部活 故郷 • 好きだった人 友人 家族 仲間 先輩 • ペット 昆虫 花 鳥 果物 • 景色: 自然 都会 建物 寺社 看板 • 趣味: アクセサリー 服飾 人形 靴 カバン など 《旅の思い出》 《飼っていた猫と近所の猫》 28 誤解されている覗き見の脆弱性 覗き見(ショルダーハッキング)に対して画像選択型は脆弱との認識 は 肉眼での覗き見だけを考えていた過去の思い込みによる誤解。 ビデオカメラによる盗撮とスロー再生の前にはキーボードでのタイプ 入力は丸見え。他方、画像選択型は縮小表示した画像を遮蔽(*) すれば超小型ビデオによる盗撮にも対抗。 * 認証画面を縮小表示させ、手元にあるノートやパンフレット類を円筒形に丸め内 側で認証画面を見てクリックすると盗撮を排除。簡便至極で且つ無料。 更に、各画像に一時的に割り振った文字列の無声読み上げを音声 認識する方法や、視線追跡技術による「見つめ入力」方法では覗き 見も盗撮もまず不可能。 29 6.4 おわりに 国民一人ずつに割り当てたID番号で年金など自分の個人情報を 管理する「国民ID制度」が2013年までに導入されようとしている 今、サイバー空間においてすべての国民が安全に使いこなせる 電子的本人認証の基盤を確立することは緊急の課題である 認知心理学の知見からの提言 画像記憶を活用した再認方式による 「拡張型パスワードシステム」 人に優しく、デバイスより生身の人間が中心の 安全安心なサイバー社会へ 30