歪み画像を用いるパスワードシステムを提案~個人の記憶を活用して盗み見が不可能に~
日常生活において、パスワードによって個人認証をするサービスがたくさんあります。パスワード以外の個人認証システムとして、画像認証を用いるものもありますが、いずれも盗み見の危険性があります。これを防ぐために、これまで覚えづらい画像を用いる個人認証システムがいくつか提案されているものの、スクリーンの録画攻撃を防ぐことは困難です。
そこで本研究では、歪み画像を用いる個人認証システムEYEDi(Estimating Your Encodable Distorted images)を提案しました。これにより、たとえパスワード入力画面を録画されても、盗み見を防ぐことが可能になります。
EYEDiは、ユーザーが用意した画像に画像処理フィルターを適応して歪んだ画像を生成します。ユーザーは、記憶に基づき、多くの歪んだ画像から自分が用意した画像を選択することで個人認証を行います。この歪み画像は元に戻すことができない上、歪みの強度が調整可能なので、元の画像を知っている正規ユーザーのみが判別できます。また、一つの画像から何通りもの歪み画像を生成することができるため、スクリーンを録画されても、盗み見の心配がありません。
本システムの有効性を検証するため、既存手法とEYEDiを用いて、20名の参加者が、3種類の攻撃(肩越し撮影、カメラ録画、スクリーン録画)を、それぞれ300回実施し、正規ユーザーと攻撃者の分類誤り率を調べたところ、EYEDiの方が優れていることが分かりました。特に、最も深刻な脅威モデルであるスクリーン録画に対する高い防御性能が示され、EYEDiは、スクリーンショット攻撃者の排除に効果的であることが明らかになりました。
PDF資料
プレスリリース研究代表者
网上哪里能买篮彩システム情報系善甫 啓一 助教
関連リンク
システム情報系PODCAST
この研究にまつわるサイドストーリーを本学のポッドキャストでお聞きいただけます。