増井俊之の「界面潮流」

「界面」=「インタフェース」。ユーザインタフェース研究の第一人者が、ユビキタス社会やインターフェース技術の動向を読み解く。

第35回 覗き見対策

2009年9月15日

(これまでの増井俊之の「界面潮流」はこちら

パスワードを使って計算機やWebサービスにログインするとき、パスワードは「****」のように伏字で表示されるのが普通です。秘密のパスワードが表示されて他人に見られると大変ですから、このような方法で入力文字を隠すのは当然と考えられていますし、他人がパスワードを入力しているときはキー操作が見えないように別の方を向くのが常識的なマナーだと思われています。

ところがユーザビリティの専門家であるJacob Nielsen氏が6月23日に突然、自分のブログで「パスワード入力の伏字は有害である」と言いだしました。

伏字が有害だとNielsen氏が言った理由は以下のようなものです。

  • ユーザの操作に対しては常にフィードバックが返るべきである
  • 本当にパスワードを盗もうとする奴はキーボードを見るから伏字にしてもあまり意味がない
  • そもそもパスワード入力はひとりでやるものだから覗く奴などいない
  • 伏字だとパスワードの入力ミスをしやすいからサービスが使いにくい印象になる
  • 伏字のおかげでエラーが増えがちだから、短いパスワードを使ったりパスワードをコピペしたりする人間が増えて、かえってセキュリティが弱くなる

セキュリティの専門家として有名なBruce Schneier氏が、6月26日に自分のブログで、「自分もよくパスワード入力ミスするからこの意見を支持する」と言って騒ぎが大きくなりました。

これは大きな議論を呼び、結局Schneier氏は最終的に意見を撤回し、伏字も一応意味はある /iPhoneのパスワード入力画面のように、文字が一瞬表示された後で伏字になる方式が妥協案として優れているだろう /と日和ってしまったようです。

Schneier氏はセキュリティの専門家ですが、自宅の無線LANではパスワードも暗号化も設定していないと公言しているほどで、安全な人達に囲まれて暮らしているのかもしれません。

私は普段は楽器手癖方式でパスワードを入力しているのでパスワードが表示されてもあまり嬉しくないのですが、Nielsen氏の意見も一理あるような気はします。

覗き見攻撃対策

秘密情報を盗む方法は沢山あります。パスワードや暗証番号の入力を盗み見る行為は覗き見攻撃とかショルダーサーフィンとか呼ばれており、銀行ATMやデビットカードを利用するとき常に気になるところです。覗き見攻撃が心配される場所では、人前で堂々と操作を行なっても問題無い認証方法を利用するのが最も望ましいと考えられます。

普通のパスワード入力のような方法の場合、ユーザが行なった操作を記録してそのまま再生すれば認証に成功してしまいますから、このような単純な方法では覗き見攻撃に非常に弱いことになりますが、ユーザからの入力以外の情報をシステムとの間でやりとりすることにすれば、ユーザの行動だけを観測してなりすまし行動をとることはできなくなります。

たとえば、公開鍵暗号などを利用し、システムからのチャレンジ質問に対し、ユーザ独自の方法で計算した結果を返して認証するようなシステムにしておけば、ユーザの行動を覗き見るだけでユーザになりすますことはできません。

システムとユーザの間で一時的に秘密情報を共有することができれば、それを利用して覗き見対策を行なうことができます。たとえば「本当の暗証番号に1を足した値を入力する」という規則が共有されていれば、「1234」という暗証番号のかわりに「2345」と入力して認証を行なうことができます。この規則が毎回変わることになっていれば覗き見られても困ることがありません。

産業技術総合研究所の高田哲司氏が提案しているFakePointerシステムでは、システムとユーザの間で一時的に「■▲●♥」のような秘密の図形パタン情報を共有することによって覗き見耐性のある暗証番号入力を実現しています。FakePointerは固定位置のテンキーと移動可能なバックグラウンド画像で構成されており、入力したい数字に秘密の図形パタンを重ねることによって暗証番号の入力を行ないます。たとえば1文字目に「1」を入力したい場合は、バックグラウンド画像を操作することによって「1」の下に「■」が来るようにします。攻撃者に秘密の図形パタンがわからなければ操作をいくら見られても安全です。


FakePointer

正確にパスワードを入力しないことによる覗き見対策システムも提案されています。自己流認証の回で画像認証システムをいくつか紹介しましたが、Susan Wiedenbeck氏らのシステムではあらかじめ選んでおいた画像を指定するかわりに、その画像によって囲まれる多角形領域内の任意の画像を指定して認証することにより、最初に選んだ画像がどれであるのかわかりにくくなるようになっています。


Wiedenbeck氏のシステム

シャープの佐々本博和氏らは、左手で隠したトラックボールの回転の向きによって暗証番号の割り当てを変えることにによって覗き見攻撃対策を行なう「Undercover」というシステムを提案しています。システムとユーザの間で共有した秘密情報を利用する点はFakePointerと同じですが、他人から見えないように物理的にトラックボールを隠すことによって秘密情報が伝達されるところがクレバーです。


Undercover

覗き見耐性は必要か

覗き見対策するためにはどこかに秘密情報を持つ必要がありますし、操作がかなり面倒になったり頭を使う必要があったりするので、上で紹介したようなシステムが実用的に使えるかというとかなり怪しいように思われます。そもそも覗き見されなければ問題無いわけですから、覗き見耐性の工夫をするよりも、キーボードをきっちりカバーして見えなくするといった地道な工夫の方が効果的だと思われます。画像認証の場合は目での確認が必要ですが、そういう場合でも他人から覗かれないディスプレイを使うといった単純な工夫の方がうまくいきそうです。

そもそもパスワードや暗証番号という認証システム自体が非人間的なものですから、認証システム全体について総合的に考えながら覗き見対策を研究していくことが必要なのでしょう。

前の記事

次の記事

増井俊之の「界面潮流」

プロフィール

1959年生まれ。ユーザインタフェース研究。POBox、QuickML、本棚.orgなどのシステムを開発。ソニーコンピュータサイエンス研究所、産業技術総合研究所、Apple Inc.など勤務を経て現在慶應義塾大学教授。著書に『インターフェイスの街角』などがある。

過去の記事

月間アーカイブ

ブログ一覧

  • Autopia
  • Compiler
  • Cut up Mac
  • Danger Room
  • Epicenter
  • from Wired Blogs
  • Gadget Lab
  • Intel International Science and Engineering Fair (Intel ISEF)
  • IPTVビジネスはどのようにデザインされるか
  • Listening Post
  • Web2.0時代の情報発信を考える
  • Wired Science
  • yah-manの「イマ、ウェブ、デザイン、セカイ」
  • yomoyomoの「情報共有の未来」
  • それは現場で起きている。
  • ガリレオの「Wired翻訳裏話」
  • サービス工学で未来を創る
  • デザイン・テクノロジーによるサステナビリティの実現
  • デザイン・ビジュアライゼーションが変えるマーケティング・ワークフロー
  • マイケル・カネロスの「海外グリーンテック事情」
  • 佐々木俊尚の「ウィキノミクスモデルを追う」
  • 佐々木俊尚の「電脳ダイバーシティ」
  • 合原亮一の「科学と技術の将来展望」
  • 合原亮一の「電脳自然生活」
  • 増井俊之×LogMeIn
  • 増井俊之の「界面潮流」
  • 大谷和利の「General Gadgets」
  • 小山敦史の「食と人のチカラ」
  • 小島寛之の「環境と経済と幸福の関係」
  • 小田中直樹の「バック・トゥ・ザ・フューチャー」
  • 小田切博の「キャラクターのランドスケープ」
  • 山路達也の「エコ技術研究者に訊く」
  • 後藤和貴の「ウェブモンキーウォッチ」
  • 携帯大学 web分校
  • 木暮祐一の「ケータイ開国論II」
  • 木暮祐一の「ケータイ開国論」
  • 松浦晋也の「モビリティ・ビジョン」
  • 歌田明弘の「ネットと広告経済の行方」
  • 清田辰明の「Weekly image from flickr」
  • 渡辺保史の「コミュニケーションデザインの未来」
  • 濱野智史の「情報環境研究ノート」
  • 白田秀彰の「現実デバッグ」
  • 白田秀彰の「網言録」
  • 石井孝明の「温暖化とケイザイをめぐって」
  • 竹田茂の「構成的アプローチ」
  • 織田浩一の「ソーシャルメディアと広告テクノロジー」
  • 荒川曜子の「それはWeb調査から始まった」
  • 藤井敏彦の「CSRの本質」
  • 藤倉良の「冷静に考える環境問題」
  • 藤元健太郎の「フロントライン・ビズ」
  • 藤田郁雄の「サバイバル・インベストメント」
  • 西堀弥恵の「テクノロジーがもたらす快適な暮らし」
  • 関裕司の「サーチ・リテラシー」
  • 飯田泰之の「ソーシャル・サイエンス・ハック!」
  • 高森郁哉の「ArtとTechの明日が見たい」

Agile Media Network clipping

【Firefox 5.0 Beta 5】リリース。

またチャリ買った

FX Rep: No Announcement Yet on 'Dam…