ユーザがパスワードを覚える必要のない行動履歴ベース個人認証システムの実装

2003 Fiscal Year Annual Research Report

• Project/Area Number: 15700048
• Research Institution: Shizuoka University
• Principal Investigator: 西垣 正勝 静岡大学, 情報学部, 助教授 (20283335)
• Keywords: ユーザ認証 / 生活履歴 / パスワード / エピソード記憶 / 電子メール / ホームコンピューティング

Research Abstract

パスワードによる個人認証には「長いランダムな文字列は覚えられない、短く意味のある文字列は類推される」というトレードオフが存在する。すなわち、覚え易く攻撃にも強いパスワードはあり得ない。しかし、これは「パスワードを覚えようとする」場合の限界である。ユーザがもともと知っている個人的な情報を複数結合してパスワードを構成することができれば、「(既に知っているため)覚える必要がなく、十分に長く、複雑なパスワード」を実現することができる。
一方、IPv6の仕様も固まり、いよいよホームコンピューティングの時代が到来する。全ての家電製品の使用ログをホームコンピュータが管理することが可能となる。家電の使用履歴はユーザの生活の痕跡であり、ユーザが実際に体験した情報の集まりである。人間にとって自分が体験したことは事実として記憶に残るため、この家電の使用履歴が「各ユーザが既に知っている情報」となり得る。
以上より、ホームコンピュータにログとして残るユーザの行動履歴を利用して、「覚える必要がなく、攻撃にも強いパスワード」システムを構築することが本研究の目的である。しかし、ホームコンピューテイングはまだ現実のものとなっていないため、本研究では、そのプロトタイプとして、ユーザの送受信メールの新旧を回答することによってユーザ認証を行うシステムを作成した。
本プロトシステムでは、n日以内のメールを最近のメール、m日前以前のメールを過去のメールと定義しており、n日前からm日前までのメールは認証に使用しないという工夫をしている。人間の記憶は暖味なため、本システムでは、人間の感覚の中で「最近と過去」の狭間に位置する期間を取り除くことにより、記憶の曖昧性を排除している。基礎実験からは、本システムの可用性が示唆される結果が得られている。

Research Products

• [Publications] 小池誠, 中村逸一, 曽我正和, 田窪昭夫, 西垣正勝: "ユーザの生活履歴を用いた認証方式"コンピュータセキュリティシンポジウム2003論文集. 1-6 (2003)
• [Publications] 松下哲也, 西垣正勝, 曽我正和, 田窪昭夫, 中村逸一: "賞金稼ぎの仕組みを利用したディジタルコンテンツの監視方式"情報処理学会論文誌. Vol.44,No.8. 1970-1982 (2003)
• [Publications] 猪股俊光, 板垣晋, 曽我正和, 西垣正勝: "ディジタル署名とパトロールを用いた電子情報改ざん検知方式とWWWへの応用"情報処理学会論文誌. Vol.44,No.8. 2072-2084 (2003)
• [Publications] 原田篤史, 西垣正勝, 曽我正和, 田窪昭夫, 中村逸一: "ライトワンス文書管理システム"情報処理学会論文誌. Vol.44,No.8. 2093-2105 (2003)
• [Publications] M.Nishigaki, T.Matsushita, M.Soga, I.Nakamura, T.Mizuno: "A Bounty Hunting-Based Copyright Protection System for Website Content : The Concept"Proceedings of the 7th World Multiconference on Systemics, Cybernetics and Informatics. Vol.XI. 350-355 (2003)