Use Your Illusion: Secure Authentication Usable Anywhere - Usable Security

上の画像，何の画像に見える？ 答えはこれ。

何も知らずにこの画像を見せられても，何の画像かはまったく分からないと思う。でも，ひとたび答えを知ってしまえば，なんとなく何の画像かを思い浮かべることができるようになる。

こんな感じで，「知っている人には確実に答えが分かる」「知らない人には絶対に答えが分からない」という条件を作り出すことができれば，それを認証の仕組みに応用することができるかもしれない ― このアイデアを実際に利用した認証メカニズムの一例が "Use Your Illusion" だ。

上のリンク先のサイトでは，携帯端末上での実装を想定したデモを体験することができる（ただし，自前の画像をアップロードする機能は動かなくなっている模様）。

論文では，上のデモとほぼ同じものを利用して，ユーザビリティの検証が行われている。まずユーザーは，最初に３枚の画像をパスコードとして覚える。認証時には，ランダムに表示された２７枚の画像の中から，最初に設定した３枚の画像を選択する。

検証実験では，加工が施された画像でも，１日後，２日後，１週間後，４週間後の時点で，ほぼ問題無く認証できる（つまり，パスコードを覚えられている）ことが確認された。ちなみに，実験者側で指定した画像をパスコードとして利用した場合は，認証に失敗してしまうケースが見られた。被験者が自分で用意した画像を利用した方が，確実に覚えていることができるらしい。

実際にデモで体験してみれば分かるのだけれど，使い勝手はなかなかよさげ。ただ，ブルートフォース攻撃に弱いという点を考えると，運用側にとっての使い勝手はかなり悪い。デモのように２７枚の画像から３つの画像を選択する場合，３回まで入力を許すとすると，単純なランダム選択でも 1/1000 ぐらいの確率で成功してしまう。つまり，このような確率で破られてしまう可能性があっても構わないような場合にしか用いることはできない。お金が絡むような場合は，まずダメだね……。