山岸伶: 私的な連想情報の再認による個人認証と安全性評価
https://gyazo.com/82bbd132af6775ba4295d43e13b21a20
タイトル
ソース
コンピュータセキュリティシンポジウム2017論文集 (CSS2017)
ページ
712-719
年
2017
著者
概要
再認方式の個人認証は秘密情報保持の点で利点がある一方で, 回答候補が視認できるため推測攻撃 に脆弱であるという問題があった.この状況を改善しうる再認式個人認証として,本研究では「既知の私的な連想情報」を秘密として用いる認証手法を提案する.この提案に基づき,10 個の単語群から 4 つの単語ぺアを秘密として回答するプロトタイプシステムを実装し,被験者による評価実験を実施した.その結果,実用面において二週間間隔での利用でも秘密情報保持に支障なく利用できること,また推測による攻撃に対しても70 試行までの推測攻撃には安全であることが明らかになった.
内容
コメント
増井俊之.icon 2018/1/29 09:16
問題を作るのが大変だと思う
どういう単語でどういうペアを作ればいいのかわからない
エピソード記憶にもとづくとすると固有名詞が多くなると思うが、二つの固有名詞のペアを覚えるというのがよくわからない。
「山田-佐藤」「渋谷-新宿」?
「山田-乱暴」 とかにするとペアの作り方が制約をうけてしまう
単語の種類が一様でなくなってしまうから
単語の属性は一様な方がよさそうに思えるのだけど
論文中の例は普通名詞になっているが (e.g. 「机」「石」)、そんなもので個人的連想ができるものか?
答えるのが大変だし記憶が持続するのか心配である
2年後に覚えているペアを作れるのか? 2週間ぐらいではそれほど忘れないだろうけど
増井俊之.icon には無理かもしれない
強度計算の問題
ユーザはこの 45ペアの中から 4ぺアを選択するため, 選択可能な場合の数は $ _{45}C_4 = 148,995 通りである.
10個の単語を A, B, ... J とすると、このペアというのは A-B, A-C, A-D というのを含むわけだが、A-B, A-C, B-Cをペアとして選択することはないのではないか?
同じ単語を利用するのは混乱するから推奨できないのではないか?
同じ単語が2度使われることがないとすると、
$ ((10*9)/2 * (8*7)/2 * (6*5)/2 * (4*3)/2) / (4*3*2*1) = 4725 通りになる
つまり総当たり攻撃に弱すぎるのではないか?
そもそも何故単語ペアを利用するのが良いのか?
問題を作りにくい + 記憶が難しい + 強度が不十分 なのに