筑波大学の善甫啓一助教らの研究チームは、パスワード以外の個人認証システムとして歪み画像を用いる個人認証システムを提案。これにより、パスワード入力画面を録画されても盗み見を防ぐことが可能になる。
パスワードによって個人認証をするサービスは多い。パスワード以外に画像認証によるものもあるが、いずれも盗み見の危険性がある。これを防ぐために、覚えづらい画像を用いる個人認証システムもいくつかあるが、スクリーンの録画攻撃を防ぐことは困難だ。
研究チームは今回、ユーザーが用意した画像に画像処理フィルターをかけて、元画像を知っている本人にしか分からない歪み画像を生成し、認証画面で提示する個人認証システム「EYEDi」を開発した。
EYEDiは、ユーザーが用意した画像に画像処理フィルターを適応して歪んだ画像を生成する。ユーザーは記憶に基づき、多くの歪んだ画像から自分が用意した画像を選択して個人認証を行う。この歪み画像は元に戻せず歪みの強度を調整できるため、元の画像を知る正規ユーザーのみが判別できる。また、一つの画像から何通りもの歪み画像を生成できるため、スクリーンを録画されても盗み見の心配がない。
有効性の検証のため、既存手法とEYEDiを用いて、参加者20名が攻撃者として3種類の攻撃(肩越し撮影、カメラ録画、スクリーン録画)を各300回実施。正規ユーザーと攻撃者の分類誤り率を調べた結果、EYEDiが優れていた。特に、最も深刻な脅威モデルのスクリーン録画に対する高い防御性能が示され、EYEDiはスクリーンショット攻撃者の排除に効果的と判明した。
今後、EYEDiのマルチモーダル(複数様式)化や認証時間の短縮など、使い勝手の良いシステムを目指すとしている。