先日開催されたUSENIXセキュリティシンポジウムにおいて、アリゾナ州立大学、デラウェア州立大学、そしてGFSテクノロジー社の研究者らが「画像ジェスチャー認証のセキュリティについて」と題した論文(PDF)を発表しました。この論文では、Windows 8で使用されている画像パスワードジェスチャーのほとんどが、実際にはそれほど独特なものではないことが示されています。実際、Windows 8のアカウント所有者がどのような画像を使用しているかは、実際にはそれほど重要ではないかもしれません。ログイン画面は依然として簡単にバイパスされてしまうからです。
研究者らはオンライン調査を通じて、800人以上の被験者から収集した1万件以上の画像パスワードを用いて、画像ジェスチャー認証を分析しました。その結果、この認証プロセスで最もよく使用される方法の一つは、人物の写真と顔をトリプルタップすることであり、そのうちの一つは目をタップすることであることが分かりました。また、ユーザーはMicrosoft提供の画像を使用するよりも、自分の写真をアップロードすることを好むことも分かりました。
調査では、背景画像とユーザーのアイデンティティ、性格、または興味との間に関連性があることが判明しました。調査で使用された画像は、有名人の壁紙からゲーム内のスクリーンショットまで多岐にわたりましたが、ほとんどのユーザーは人物の写真を選択しました。調査対象者の約60%が、画像上で「特別なオブジェクト」が配置されている領域を選択しました。さらに、最も頻繁に使用された領域は目であり、次いで鼻、手または指、顎、顔でした。
「個人を特定できる情報を含む写真から個人情報が漏洩する可能性があることは明らかです」と論文は述べている。「しかし、個人を特定できる情報を含まない写真であっても、デバイス所有者の身元や人格を明らかにできる手がかりとなる可能性があることは、それほど明らかではありません。従来のテキストベースのパスワードは、パスワードが安全に保管されている限り、このような懸念はありません。」
研究の最終段階で、研究者たちは、画像ジェスチャー認証システムにおいて、これまで見たことのない画像からパスワードを解読できる攻撃フレームワークを開発するのに十分な証拠を集めました。研究者たちは、このフレームワークを画像パスワードの強度メーターとして活用し、ユーザーがシステムをより効果的に保護できるようにしたいと考えています。マイクロソフトは、より効果的なタップベースのパスワードを実現するために、3回タップ禁止ルールを課す可能性がありますが、ルールベースのパスワードは、従来のテキストベースのパスワードには一般的に効果がない、と研究者たちは述べています。
「正確な強度測定の要となるのは、パスワードの強度を定量化することである」と論文は述べている。「ランク付けされたパスワード辞書を備えた本フレームワークは、画像パスワード強度測定器として初めて、選択された画像パスワードの強度を定量化できる可能性がある。より直感的に言えば、ユーザーは本攻撃フレームワークを実行することで、選択されたパスワードを解読するために必要な推測回数を知ることができる。」
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
論文全文を読むには、ここにある PDF ドキュメントをご覧ください。
ケビン・パリッシュは、ライター、編集者、製品テスターとして10年以上の経験を有しています。コンピューターハードウェア、ネットワーク機器、スマートフォン、タブレット、ゲーム機、その他のインターネット接続デバイスを専門に扱っています。彼の記事は、Tom's Hardware、Tom's Guide、Maximum PC、Digital Trends、Android Authority、How-To Geek、Lifewireなどに掲載されています。
