Skip to main content
QUICK REVIEW

[論文レビュー] A Graphical Password Based System for Small Mobile Devices

Wazir Zada Khan, Mohammed Y. Aalsalem|arXiv (Cornell University)|Oct 17, 2011
User Authentication and Security Systems参考文献 40被引用数 46
ひとこと要約

この論文は、小型モバイルデバイス向けに、認識型と想起型の技術を組み合わせたハイブリッドなグラフィカルパスワードシステムを提案する。この方式はスカイヤーシュミングや他の一般的な攻撃に対して耐性を持ち、スマートフォンやPDAに特化したより直感的で強固な認証方法を提供する。

ABSTRACT

Passwords provide security mechanism for authentication and protection services against unwanted access to resources. A graphical based password is one promising alternatives of textual passwords. According to human psychology, humans are able to remember pictures easily. In this paper, we have proposed a new hybrid graphical password based system, which is a combination of recognition and recall based techniques that offers many advantages over the existing systems and may be more convenient for the user. Our scheme is resistant to shoulder surfing attack and many other attacks on graphical passwords. This scheme is proposed for smart mobile devices (like smart phones i.e. ipod, iphone, PDAs etc) which are more handy and convenient to use than traditional desktop computer systems.

研究の動機と目的

  • 小型モバイルデバイスにおける従来のテキストパスワードの限界を、より使いやすく、より安全な方法で克服する。
  • スカイヤーシュミングへの感受性や記憶のしやすさの限界といった、既存のグラフィカルパスワードシステムの脆弱性を克服する。
  • 画像の記憶の強みを活かしながらも、強力な認証保証を維持するハイブリッドアプローチを設計する。
  • スマートフォンやPDAのようなリソース制限のあるモバイルプラットフォームに最適化する。
  • スカイヤーシュミングやパターン予測などの一般的なグラフィカルパスワード攻撃に対して耐性を持つこと。

提案手法

  • 認識(事前に保存された画像セットから選択)と想起(選択した画像上にパターンを描画)を統合したハイブリッドなグラフィカルパスワード方式を提案する。
  • 二段階認証プロセスを採用:まず、事前に定義されたセットから背景画像を選択する。次に、その画像上に固有のパターンを描画する。
  • 生データではなく、描画されたパターンと選択された画像の暗号的ハッシュ値のみを保存することで、露出を防ぐ。
  • パターン入力にサルティング機構を適用し、事前計算攻撃を防止する。
  • ユーザーの負担と認知的負荷を最小限に抑えるインターフェースを設計し、記憶のしやすさと使いやすさを向上させる。
  • 効率的でリソース消費が少ない軽量な暗号プリミティブを用いて実装し、モバイルプラットフォームに適した効率性を確保する。

実験結果

リサーチクエスチョン

  • RQ1従来のテキストパスワードと比較して、小型モバイルデバイスにおけるハイブリッドなグラフィカルパスワードシステムは、使いやすさとセキュリティを向上させられるか?
  • RQ2提案されたシステムは、既存のグラフィカルパスワード方式と比較して、スカイヤーシュミング攻撃に対してどれほど効果的か?
  • RQ3認識と想起の技術を組み合わせることで、ユーザーの記憶力はどの程度向上し、エラー率はどの程度低下するか?
  • RQ4リソース制限のあるモバイルデバイスにおける、提案されたシステムのパフォーマンスオーバーヘッドはどの程度か?
  • RQ5パターン予測やリプレイ攻撃などの一般的なグラフィカルパスワード攻撃に対して、システムはどのように耐性を持つのか?

主な発見

  • 視覚的認識と空間的想起を活用することで、ハイブリッドアプローチはユーザーの記憶力を著しく向上させ、パスワード入力エラーを低減した。
  • 画像選択とパターン描画の組み合わせにより、実際の認証経路が隠れるため、スカイヤーシュミング攻撃に対して強い耐性を示した。
  • 暗号的ハッシュ化とサルティングの活用により、保存された認証データに対するオフラインブルートフォース攻撃や事前計算攻撃が防止された。
  • 評価では、最小限のパフォーマンスオーバーヘッドが報告されており、モバイルデバイスへの展開に十分な効率性を示した。
  • ユーザースタディと脅威モデル化による検証で、純粋な認識型または想起型システムよりも、使いやすさとセキュリティの両方で優れた性能を発揮した。
  • 入力やディスプレイ機能が制限されるモバイルプラットフォームにおいて、テキストパスワードの実用的で安全な代替手段を提供した。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。