2014年3月16日日曜日

画像認証カタログその6:Window8のPicture Password

Windows 8の画像認証はみなさんこの写真ですっかりおなじみでしょう


もうすっかりこのみんなは私の家族みたいな感覚になっています。娘さんの鼻の頭を…いやなんでもないです。

で、この「ピクチャ パスワードを使ってサインインする」(英語版はこちら)というブログは…これシノフスキーさん直々のエントリーなのか。

で、
私たちは、ピクチャ パスワードを使うために必要になるジェスチャの数を調べるに当たり、セキュリティ、覚えやすさ、スピードを考慮しました。十分な安全性を確保しつつ最適なユーザー エクスペリエンスを実現するために、これらの矛盾しがちな属性間のバランスをとることに心を砕きました。
とか、
ピクチャ パスワードの設計を開始するときに、私たちは、すばやく滑らかで、すべての Windows 8 ユーザーにとってパーソナルなものでありながら、セキュリティも申し分ないサインイン方法を開発したいと考えました。調査を実施し、エクスペリエンスと概念に磨きをかける中で、安全でありながら、楽しく使えるサインイン方法に巡り合ったと思います。
書いてありますね。

Microsoftからもいろいろと宣伝されています。

MSNの「Windows 8完全ガイド」に掲載されている「次世代セキュリティ「ピクチャーパスワード」」によれば「6桁のパスワードに匹敵する」セキュリティだそうです。まあこの認識はほぼほぼ正しいというか、6文字のパスワードってすごく不安なんですけど…。

世の中には「Windowsの画像認証はクラックされやすい」という記事があふれていますが、これって要するに「そんなことはとっくに告知済み」なのかも知れません。「承知の上で使ってね(はあと)」っていうことか。

上記の(いまは退社してしまった)シノフスキーブログでも
ご覧のとおり、3 つのジェスチャを使うと、一意のジェスチャの組み合わせを多数作成でき、ランダムに選んだ 5 または 6 文字のパスワードと同程度のセキュリティを期待できます。また、使うジェスチャが 3 つであれば、覚えやすく、すばやく使えるピクチャ パスワードを作成できます。
と書いてありますね。

いっぽうで指の操作痕からパスワードを特定されてしまう危険性については過剰なくらい「明らかにこのようなことが起きる可能性は低いですが」という説明をしていますし、

画像内の特徴点が(女性の鼻の頭とか!)きっかけでクラックされてしまう危険性も「私たちが実施した調査では、このような攻撃はきわめて信頼性が低いことが示されていますが (ラボでは、選択された領域と、その領域に対して使われたジェスチャの種類には、相関関係はあまりありませんでした)」と書いて「そんな心配は無用」と匂わせています。

いやいやそれはないだろう、と思ってしまいますが…そもそもオンラインのMicrosoftアカウントと一体化しているのにそれで大丈夫なんでしょうか。どうもお手軽側に振り過ぎですよね。ユーザーにセキュリティについて不当に軽い印象を与えてしまうんじゃないかというのも心配ですし。

サインインにも個性が発揮できます!」ってお前それでいいのか…。

各所の記事を読むと基本特許はこれとされている模様(USP8024775)
https://www.google.com/patents/US8024775

ほかにもMicrosoftの画像認証特許はいくつかありますが、ジェスチャーの一致判定系が重点的にカバーされているような印象です。つまりラフになぞったものと実際の登録されたジェスチャーがどのくらい同一である可能性があるかをきちんと判定する部分ですね。これは実際にOSを売って商売をしている企業としては当然なのでしょうね。

0 件のコメント: