色と数字の組み合わせを用いたパズル型認証方式の提案

近年、スマートフォンなどのタブレット端末の保有数は年々増加傾向にあり、総務省の「情報通信白書」によるとスマートフォンは2013年から2017年にかけて保有率は急激に増加しています。スマートフォン内にある個人情報の漏洩を防ぐためにPIN認証方式、パスワード認証方式、パターン認証方式などが使われていますが、これらの認証方式には他者からの覗き見や録画に弱くパスワードを盗まれ個人情報が漏洩してしまう可能性があります。そこで本研究では、従来のパズル型認証方式に色と数字の組み合わせを追加し、覗き見耐性の向上が考えられる認証方式の提案をしました。

覗き見による情報漏洩を防ぐために従来研究としてパズル型認証方式がある（文献省略）。ユーザーは初めに、数字の0から9、各色の計16個のアイコンの中からパスワードとなるアイコン(以下パスアイコンという)を4つ選択する。次に、4×4のマスから4か所のパスワード位置(以下パスロケーションという)を選択する。その後、認証画面に移行し表示されているアイコンの中から一つを選択し、上下左右自由に移動させ認証者が登録したパスアイコンとパスロケーションを合わせ一致していれば認証成功となる。このときパスアイコンの順番は問わず、パスロケーション上に置かれていれば認証成功となる。
従来のパズル型認証方式のメリットは順不同でパスアイコンを設置できるため覗き見攻撃に強く、デメリットとして、複数回の録画攻撃には弱い。従来研究の実験結果として、位置とパスワードを全て特定できた人はいなかった。また、偶然認証率は、パスロケーションは16か所の中から4か所を登録するため、組み合わせ数が₁₆C₄=1,820通りとなり、1/1,820となる。

本研究では、覗き見耐性のある数字と色の組み合わせを用いたパズル型認証方式を提案する。4×4のマスには背面に色アイコン、前面に数字アイコンを表示させる。ただし、動かせるアイコンは前面の数字アイコンのみとする。アイコンは何回でも操作可能である。提案手法の登録手順は、0から9の計10個の数字アイコンから4つ選ぶ。その後それぞれの数字アイコンに対応する色を4×4の16種類のマス中から選ぶ。その後、認証画面で数字アイコンをタップし、上下左右自由に動かして選んだ数字アイコンを色アイコン上に動かす。予め指定した数字と色の組み合わせと同一に数字アイコンが色アイコン上にあれば認証成功とし、なければ認証失敗とする。提案手法の偶然認証率は、0から9の10個の数字から順番関係なく4つの数字を選ぶため₁₀C₄、16種類の色の中から4種類を選ぶため₁₆C₄となるため、₁₀C₄×₁₆C₄＝382,200通りとなり、1/382,200となる。

提案方式を統合開発環境Android Studioを使用しJava言語を用いてNexus 5Xに実装した。確認画面を図1に示し、図2に認証画面を示す。提案方式の認証時間、認証成功率を評価するために神奈川工科大生10名を対象に1 週間に5回、計15回の認証を行いそれぞれの平均を求める。覗き見耐性を評価するために、目視による覗き見攻撃の実験を行う。
実験の結果、1週間目の認証時間の平均は11.0秒となり、認証成功率は83%となった。2週間目のそれぞれの平均は10.4秒、80%。3週間目は8.4秒、93%となった。1週間目と 3 週間目の差をみてみると認証時間は2.6秒短くなり、認証成功率は10％向上した。目視による覗き見攻撃の実験の結果、すべての認証情報が漏洩することはなかった。アンケートの結果、覗き見耐性が弱いと答えた人はいないため、本研究の提案手法は他者からの覗き見攻撃を防ぎたいユーザーにとって需要があると考えられる。

目視での覗き見攻撃に強い認証方式を提案した。認証時間と認証成功率の評価実験、覗き見攻撃と録画攻撃の実験を行った。その結果、慣れにより認証時間の短縮、認証成功率が増加することが分かった。覗き見耐性実験ではすべての認証情報が漏洩することはなかった。認証時間、成功率、覗き見耐性すべてにおいて慣れに依存しているため、慣れに依存しない認証方式に改良する必要がある。