EMM, ISEC, SITE, ICSS, CSEC, SPT合同研究会@北海道工業大学:SITE, CSEC, SPT分
- akirakanaoka
- 3633
- 0
- 0
- 4
お詫び:CSEC9件目、CSEC10件目とか言ってましたが、SPT1件目、SPT2件目の間違いでした。ただいまはSPTのセッションでした。 #csec58
2012-07-20 16:18:53ハイブリッド画像を利用した画像選択型認証のための画像対選定に関する一検討
○高橋渓太・長谷川まどか・加藤茂夫(宇都宮大学大学院)
SPT3件目、宇都宮大学の高橋さん「ハイブリッド画像を利用した画像選択型認証のための画像対選定に関する一検討 」 #csec58
2012-07-20 16:19:21画像選択認証は覗き見耐性が低い。その対策としてハイブリッド画像認証がある。パス画像の高周波成分をおとり画像に重畳した画像を利用する。ただその方式だと認証に不適当な重畳画像になる場合がある。 #csec58
2012-07-20 16:22:45そこで適さない画像対を除去する目的で、画像の構造情報を利用した画像対評価の客観的尺度を提案。また、主観評価との関連について検討。 #csec58
2012-07-20 16:23:17画像類似度の定義:背景画像のオブジェクト領域が、前掲画像のオブジェクト領域をマスキングする度合。#csec58
2012-07-20 16:28:15実験:20人(男19、女1)に対し、画像6枚(組み合わせ30通り)。それぞれの組み合わせで、高周波成分がわかりやすいかどうかを判断してもらう。 #csec58
2012-07-20 16:35:56実験で得られた主観評価と、提案した客観指標の「重なっている」という評価の上位4つ(5つ?)の順位は主観評価と客観指標で同じになった。 #csec58
2012-07-20 16:37:47質疑:覗き見耐性を評価したいというモチベーションは理解。ただ、耐性強めると、ユーザの利便性(画像の判断容易性)が下がるんじゃ。それは評価した? → まだ → でも以前の実験でFARとか評価してますよね(座長フォロー)→ そうでした。確かに。 #csec58
2012-07-20 16:42:33質疑:認証用画像の覗き見のみならず、画像選択シーンも覗き見されている可能性はある?→ある→それを考慮して評価している?→ 認証方法自体はそれを考慮している(覗き見者に見える背景を変えている) #csec58
2012-07-20 16:45:02質疑:VSSをつかって視野そのものを狭めて覗き見対策、という手法があった。 そういった他のアプローチとの比較もしてもらいたい #csec58
2012-07-20 16:45:59質疑:今回の被験者と、利便性を見た前回成果の被験者は同じ?→違う→そうすると、利便性と耐性のトレードオフ評価するには、被験者そろえたほうがいい #csec58
2012-07-20 16:48:39質疑:背景画像を全画面表示とかにしてしまうと、耐性が良くなったりしないかな?検討してみてください #csec58
2012-07-20 16:49:23総当り試行を利用したEntropy-Enhanced Password認証
○兼子拓弥(静岡大学情報学部)・本部栄成 (静岡大学大学院情報学研究科)・西垣正勝(静岡大学創造科学技術大学院)
SPT4件目、静岡大の兼子さん「総当り試行を利用したEntropy-Enhanced Password認証」 #csec58
2012-07-20 16:49:56パスワードのトレードオフ:安全性(攻撃耐性)と利便性(記憶負荷)。ここで安全性は攻撃者の能力に強く影響されることを考えて、「攻撃手法を「パスワード認証のトレードオフ」をコントロールする手段として逆に利用することができるのではないかと考えた」(引用) #csec58
2012-07-20 16:53:27総当たり攻撃への対策:パスワード空間(エントロピ)が不正者の攻撃能力を超えさせる #csec58
2012-07-20 16:54:201年のうちに実行可能な総当たり攻撃回数と1秒のうちに実行可能な総当たり攻撃回数、これは時代とともに上がっていくが、その差(エントロピーの差かな?)は一定になる(という前提?) #csec58
2012-07-20 16:59:49ユーザ設定パスワードPu。でランダム値Pr(このサイズはその当時の機械能力で決定。ノートPCが1秒で総当たりできるレベルの長さ)を結合して(Pとする)、そのハッシュをサーバに送る #csec58
2012-07-20 17:05:10サーバはH(P)を保存。認証時、ユーザがPuを入力すると、まずH(P)をもらう。で、H(Pu|*)がH(P)と一致するまでユーザサイドPCが総当たり攻撃。見つかったら認証成功。 #csec58
2012-07-20 17:06:32Pr分は1秒で総当たり可能だけど、PuとPrの結合したデータは1年で総当たりはできないレベル(Puは4文字でO.K.らしい)。なのでPuを知らない人が総当たりするのは難しい、と。 #csec58
2012-07-20 17:07:44