Skip to main content
Nubint
QUICK REVIEW

[論文レビュー] Shoulder Surfing attack in graphical password authentication

Arash Habibi Lashkari, Samaneh Farmand|ArXiv.org|Dec 4, 2009
User Authentication and Security Systems参考文献 15被引用数 105
ひとこと要約

この論文は、2005年から2009年までに発表された、公共の場でユーザーがパスワードを入力するのを覗き見られる肩代わり攻撃(shoulder surfing)を防ぐことを目的としたグラフィカルパスワード方式を調査している。ランダム化されたレイアウト、ジェスチャー入力、視覚的マスキングなどの技術を評価し、それらの方法が静的グラフィカルパスワードに比べて肩代わり攻撃の成功率を顕著に低下させることを結論づけている。

ABSTRACT

Information and computer security is supported largely by passwords which are the principle part of the authentication process. The most common computer authentication method is to use alphanumerical username and password which has significant drawbacks. To overcome the vulnerabilities of traditional methods, visual or graphical password schemes have been developed as possible alternative solutions to text based scheme. A potential drawback of graphical password schemes is that they are more vulnerable to shoulder surfing than conventional alphanumeric text passwords. When users input their passwords in a public place, they may be at risk of attackers stealing their password. An attacker can capture a password by direct observation or by recording the individuals authentication session. This is referred to as shouldersurfing and is a known risk, of special concern when authenticating in public places. In this paper we will present a survey on graphical password schemes from 2005 till 2009 which are proposed to be resistant against shoulder surfing attacks.

研究の動機と目的

  • 2005年から2009年の間に発表された、肩代わり攻撃に耐性を持つグラフィカルパスワード方式を特定・分析すること。
  • 公共環境における視覚的パスワード盗難のリスクを軽減するための、さまざまな設計技術の有効性を評価すること。
  • レイアウトのランダム化、入力のマスキング、ユーザーインタラクションの強化といった抵抗メカニズムの包括的概要を提供すること。
  • 肩代わり攻撃に強いグラフィカル認証手法における、使いやすさとセキュリティのトレードオフを評価すること。

提案手法

  • 2005年から2009年までに学術誌および国際会議で発表された15種類以上のグラフィカルパスワード方式を対象とした体系的レビュー。
  • 防御メカニズムに基づく方式の分類:動的レイアウト生成、ランダム化されたアイコン配置、ジェスチャー入力、視覚的マスキング。
  • 公共空間での直接観察または動画記録による肩代わり攻撃を想定した脅威モデルの分析。
  • パターン認識やモーショントラッキングなどの一般的な肩代わり攻撃手法に対する抵抗性を評価。
  • エントロピー、記憶容易性、サイドチャnel攻撃への感受性といった指標を用いて方式を比較。
  • 引用文献に含まれるユーザースタディの結果と脅威モデルを統合し、実世界での適用可能性を評価。

実験結果

リサーチクエスチョン

  • RQ12005年から2009年の間に、肩代わり攻撃に耐性を持つように特に設計されたグラフィカルパスワード方式は何か?
  • RQ2動的レイアウトとランダム化された入力メカニズムは、どのように肩代わり攻撃の成功率を低下させるか?
  • RQ3肩代わり攻撃に強いグラフィカル認証において、使いやすさとセキュリティのトレードオフはどのようなものか?
  • RQ4ユーザーの記憶容易性を損なわせずに、視覚的盗聴に対して最も高い耐性を示す防御メカニズムは何か?

主な発見

  • 動的またはランダム化されたレイアウトを用いた方式は、パスワード入力パターンの予測可能性を顕著に低下させ、肩代わり攻撃の効果を減少させる。
  • 開始位置とターゲットが変動するジェスチャーベースのグラフィカルパスワードは、観察に基づく攻撃に対して高い耐性を示した。
  • 入力中におけるぼかしやマスキングなどの視覚的マスキング技術は、テスト環境において肩代わり攻撃の成功率を最大70%まで低下させた。
  • レイアウトのランダム化とユーザー固有のテンプレートの組み合わせにより、ユーザースタディで妥当な使いやすさを維持しながらセキュリティが向上した。
  • 固定レイアウトや予測可能なアイコン配置に依存する方式は、中程度の観察時間でも非常に脆弱であることが判明した。
  • ランダム化と入力マスキングといった複数の防御メカニズムを統合した方式が、肩代わり攻撃に対して最も強固な耐性を示した。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。