| Item type |
Journal(1) |
| 公開日 |
2015-09-15 |
| タイトル |
|
|
タイトル |
CCC:携帯端末での暗証番号認証における振動機能を応用した覗き見攻撃対策手法 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
CCC: Repeated Observaton Attack Resilient PIN Authentication System Using Vibration |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
[特集:社会に浸透していくコンピュータセキュリティ技術] 覗き見攻撃,録画攻撃,ショルダサーフィン,携帯端末,個人認証,振動,インタフェースデザイン,操作負荷 |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_6501 |
|
資源タイプ |
journal article |
| 著者所属 |
|
|
|
電気通信大学 |
| 著者所属 |
|
|
|
電気通信大学 |
| 著者所属(英) |
|
|
|
en |
|
|
The University of Electro-Communications |
| 著者所属(英) |
|
|
|
en |
|
|
The University of Electro-Communications |
| 著者名 |
石塚, 正也
高田, 哲司
|
| 著者名(英) |
Masaya, Ishizuka
Tetsuji, Takada
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
携帯端末で個人認証を行う利用者にとって覗き見攻撃は現実的な脅威の1つである.この脅威に対する既存の対策方法は,入力操作や画面を隠すというほかにいくつかの提案がなされているが,それらの提案手法には入力手法の複雑化や学習負荷,秘密情報の増加にともなう記憶負担の増大,専用デバイスが別途必要などの問題がある.これに対して本論文では,現時点において入手可能なスマートフォンで暗証番号認証を行うことを想定し,スマートフォンの振動機能を応用することで覗き見攻撃への安全性を向上させうる暗証番号入力手法CCC(Circle Chameleon Cursor)を考案した.振動機能の利用により,CCCは視覚的情報による秘密情報の特定を困難にしつつ,認証操作時における認証端末と利用者間での秘密情報共有を可能にする.またその共有秘密を既存のダイヤルによる暗証番号入力操作に応用することにより,最小限の学習負担と記憶負担増加量ならびに別途専用デバイスは不要という利点を持つ入力手法となっている.このアイデアを基にAndroidスマートフォンアプリとしてプロトタイプを実装し,被験者による攻撃実験を実施した.その結果,3つの利用状況において認証操作を録画した動画記録から入力値を正しく特定できた被験者は0人という結果を得た. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
In this paper, we proposed simple yet secure Personal Idenfication Number (PIN) authentication scheme against observation attack for mobile devices. An observation attack (also known as a shoulder surfing attack) is an actual threat for mobile phone users. Some research works propose secure schemes against this sort of attack. However, these schemes have remained issues such as a complex input method, memory load increase for an additional secret and required a dedicated device. Our scheme, named Circle Chameleon Cursor, focuses on improving the issues of a PIN input scheme for a smart phone. The features of the proposed scheme as follows: 1) We use two secrets and the second secret is shared using a simple vibration signal between a mobile phone and a user. It makes hard to retrieve an input value even if an attack has some movie records about both a screen and a user operation. 2) CCC does not increase a memory load of a secret when a user does not use a PIN authentication. And 3) CCC does not require an additional dedicated device. We implemented a prototype system on an Android smart phone and conducted an observation attack experiment using some movie records of an authentication operation of the system. The result was that no one succeeded to identify an input value correctly. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AN00116647 |
| 書誌情報 |
情報処理学会論文誌
巻 56,
号 9,
p. 1877-1888,
発行日 2015-09-15
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
1882-7764 |
IPSJ-JNL5609031.pdf (1.8 MB)
