2013年5月9日木曜日

画像認証カタログその4:Deja Vu

Deja Vu

しばらく間があきましたが、4件目。Deja Vuの話です。(本当はアクセント記号がつくのだがBloggerの制限らしく入力できず。)

Déjà Vu: A User Study Using Images for Authentication

リンク先はRachna DhamijaとAdrian Perrigによって書かれた2000年の論文のようです。(usenix.org)
論文中に書かれている内容を読むと、「写真のようなものを正解画像に使用すると、それを言葉で表現することが容易になり、それをメモに取ったり他人に教えてしまったりする」ためセキュリティ強度が下がる、ということが書いてあります。これを防ぐために数学的に生成された図形を用いるというのがこの方式の核心であるようです。
で、この画像(上記リンク先より)は自分の「正解画像」を決定するための画面のようです。(ポートフォリオ構築フェーズ)


認証フェーズでは、このポートフォリオに含まれる画像とそうでない画像を複数混ぜて並べておき、正しい画像だけを選択することに成功すると認証成功になるということですね。

分類と考察

これも前回のPassFacesと同様「システム提供画像」型「複数絵並べる」型「画像選択」型になると思います。特徴は自然画像ではなく数学的に生成された図形を使用すること。
しかしさすがにこの図形画像を覚えるのはちょっと大変な気がします。類似の画像を並べられたときに識別できるかというのもちょっと疑問がありますね。この欠点を克服すべくもっと「覚えやすい」画像を追求したものがPassFaces等なのであろうと思います。
この論文では画像認証に特徴的な4種類の攻撃法「Brute-force攻撃」「Educated Guess攻撃」「Observer攻撃」「Intersection攻撃」が分類されて紹介されているのも注目すべきところであると思われます。