[논문]개인정보보호를 고려한 HCI 기술에 대한 고찰

신수연; 권태경

개인정보보호를 고려한 HCI 기술에 대한 고찰 원문보기

정보과학회지 = Communications of the Korean Institute of Information Scientists and Engineers, v.27 no.12, 2009년, pp.68 - 77

신수연 (세종대학교 컴퓨터공학과) , 권태경 (세종대학교 컴퓨터공학부 컴퓨터소프트웨어과)

초록이 없습니다.

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

먼저 프라이버시 침해 공격인 shoulder surfing 공격에 대해 알아보고, 사용자인증을 위한 키 입력 기술에 대해 알아본다. 또한 개인정보보호 고려한 키 입력 기술인 그래픽 패스워드인증, 텍스트 패스워드와 그래픽 패스워드를 동시에사용하는 하이브리드 인증, 응시기반 인증의 동향과대표적인 기법에 대해서 살펴본다. 마지막으로 인지인증 프로토콜에 대한 소개와 공격에 대해 알아본다.
또한 개인정보보호 고려한 키 입력 기술인 그래픽 패스워드인증, 텍스트 패스워드와 그래픽 패스워드를 동시에사용하는 하이브리드 인증, 응시기반 인증의 동향과대표적인 기법에 대해서 살펴본다. 마지막으로 인지인증 프로토콜에 대한 소개와 공격에 대해 알아본다.
본 논문에서는 개인정보보호를 고려한 다양한 HCI 기술 중에서 우선적으로 키 입력 인터페이스에 대한연구가 중요하므로, shoulder surfing 공격과 같이 프라이버시 침해 공격에 강인한 프라이버시 보호 키 입력 기술들에 대해 살펴본다. 먼저 프라이버시 침해 공격인 shoulder surfing 공격에 대해 알아보고, 사용자인증을 위한 키 입력 기술에 대해 알아본다.
본 논문에서는 프라이버시 보호를 위한 HCI 기술중 누군가가 PIN 번호나 패스워드와 같이 중요한 정보를 입력할 때, 어깨너머로 관찰하여 해당 정보를 획득하는 shoulder surfing 공격에 강인한 키 입력 기술에 대해 살펴보았다. Shoulder surfing 공격에 강인한기술로는 그래픽 패스워드 인증 기술, 텍스트 기반패스워드와 그래픽 패스워드를 동시에 사용하는 하이브리드 기술과 응시 기반 기술이 있으며, 해당 기술들의 동향과 대표적인 기법에 대해 살펴보았다.
사람이 텍스트 보다 그림을 더 기억하기 쉬운 점을 이용하여 텍스트 기반 패스워드 기법을대체하기 위해 제안되었다. 그림이 일반적으로 텍스트 보다 기억 혹은 인지가 더 쉬우며 만약 가능한 그림의 수가 충분히 크다면 그래픽 패스워드 기법의가능한 패스워드 공간은 텍스트 기법의 패스워드 공간을 초과하므로 dictionary 공격에 더 강인하다.
하이브리드 인증 방식은 텍스트 기반 패스워드 기법과 그래픽 패스워드 기법을 혼용하여 shoulder surfing 공격에 취약한 텍스트 기반 패스워드 기법의 문제점과 단순한 방식의 그래픽 패스워드 기법이 직접관찰로 어느 정도 추측이 가능하고 shoulder surfing 공격에 강인하기 위해서 여러 번의 시도가 필요하다는 단점을 보완하기 위해 제안되었다.

가설 설정

과정의 예는 다음과 같다. 먼저, 어떤 사용자의 오리지널 패스워드 k가 A1B3라고 가정한다. 이사용자는 인증을 위해 순서대로 정확하게 네 번 클릭을 해야 한다.

제안 방법

대해 살펴보았다. Shoulder surfing 공격에 강인한기술로는 그래픽 패스워드 인증 기술, 텍스트 기반패스워드와 그래픽 패스워드를 동시에 사용하는 하이브리드 기술과 응시 기반 기술이 있으며, 해당 기술들의 동향과 대표적인 기법에 대해 살펴보았다. 해당기술들은 shoulder surfing 공격에 강인하여 프라이버시를 보호하는 것이 가능하지만, 현재 사용하고 있는기술에 비해 부가적인 입력 과정과 시간이 필요하며친숙해지기 위해서는 훈련 기간이 필요하다.
머무르는 방법은 사용자가 선택하고자 하는 문자를 향한 응시를 고정하고 있은 후, 스페이스 바와 같은 전용 트리거 키를 눌러 특정 문자의선택을 인식한다. 게다가 눈 추적(eye tracking)의 정확성을 높이기 위해 각 키의 가운데에 빨간색 포커스 포인트를 두었다.
결론적으로 인지 인증 프로토콜의 모든 규칙들을 boolean 식으로 표현하여 boolean 식들과 SAT solver 를 이용하여 사용자의 비밀키를 알아내는 공격을 시도하였다. 이 공격을 통해 인지 인증 프로토콜을 단몇 초 내로 공격하였으며, 다음의 표는 다양한 프로토콜 파라미터 설정에 대한 high complexity 인증에대한 공격 비용을 보여준다.
기술들에 대해 살펴본다. 먼저 프라이버시 침해 공격인 shoulder surfing 공격에 대해 알아보고, 사용자인증을 위한 키 입력 기술에 대해 알아본다. 또한 개인정보보호 고려한 키 입력 기술인 그래픽 패스워드인증, 텍스트 패스워드와 그래픽 패스워드를 동시에사용하는 하이브리드 인증, 응시기반 인증의 동향과대표적인 기법에 대해서 살펴본다.
EyePassword 는 장애인 사용자를 위해 개발된 기술인 응시 기반타이핑 기술을 활용하며 컴퓨터 비전 기술을 이용하여 응시 추적tracking)을 가능케 한다. 즉, 사용자가 스크린 어느 곳을 응시하는지 계산하기 위해 컴퓨터 비전 기술을 이용하여 사용자의 눈동자의 방위를 추적한다. 응시 기반 패스워드 입력은 의도하지 않은 관찰자가 패스워드에 대한 정보 수집을 어렵게 만들면서도 사용자를 위해서는 단순함을 유지하고 사용이용이 하게 한다.

대상 데이터

의미한다. 사용자는 비밀 인증 키로 3의 부분집합 F를 선택하고 尸의 크기는 이다. 해당 프로토콜은 다른 기법들과 달리 별도의 훈련 단계를 가지며, 사용자는 훈련 단계에서 전체 그림 집합인 B 에서 자신의 패스워드로 사용될 비밀 인증 키 부분집합 F를 구별하는 훈련을 받게 된다.
해당 시스템은 몇 백 개의 아이콘들로 구성된 매우 큰 포트폴리오를 사용하며 아이콘들은 텍스트 없이 이미지만을 사용하여 보여 진다. 사용자는 패스워드를 생성하기 위해 포트폴리오에서 자신의 패스-아이콘(pass-icons)으로 그림 2와 같이 몇 개의 아이콘들을 선택하고 사용자는 선택한 패스-아이콘들을 기억해야만 한다.

성능/효과

CHC 기법의 유용성 테스트를 통해 shoulder surfing 공격을 방어하면서 인증을 하기위해서는 더 많은 시간 비용이 들지만, 초보자도 정확하게 자신의 그래픽패스워드 입력이 가능하며 시간이 지날수록 자신의 그래픽 패스워드를 더 잘 기억함을 보였다.
S3PAS는 기존 텍스트 기반 패스워드 기법과 그래픽 패스워드 기법의 다리 역할을 하며 완벽하게 shoulder surfing 공격과 brute forth 공격에 안전하다. 또한 기존에 사용하던 사용자 패스워드 프로필을 변경할 필요 없이 동시에 사용가능하며, 기존 패스워드 기법을 쉽게 대체하는 것도 가능하다.
Eyepassword는 shoulder surfing 공격을 완화하기 위해 제안된 시스템으로 해당 시스템에서 사용자는 패스워드 혹은 PIN 과 같은 중요한 정보를 스크린의 키보드를 눈으로 응시하여 선택 가능하다. 또한 사용자를 통한 조사로 부가적인 입력 시간이 필요하지만 기존 키보드 입력과 동일한 정확성을 가짐을 보였다.
하지만, 물리적 토큰을 사 용하는 경우에는 텍스트 기반 패스워드 기법에 비해 shoulder surfing 공격에는 강인하지만, 사용자가 들 고 다녀야 하는 불편함이 있으며 잃어버리거나 도난 당할 가능성이 크다. 마지막 방법은 생체인식 기반 인 증 방법으로 지문이나 홍채와 같은 사용자의 유일한 생물학적 특징을 사용하므로 복제가 어려우며 shoulder surfing 공격에 완벽하게 강인하다고 할 수 있다. 하 지만, 취소 및 사용자가 가진 생물학적인 특징을 변 경하는 것이 불가능하므로 한 번 노출되면 사용이 불 가능하다는 단점을 가진다.
Kumar et al. 은 Tobii 1750 눈 추적기 [30]를 사용하여 EyePassword를 구현하였으며, 사용자 실험을 통해 입력을 위해 부가적인 시간이 필요하지만 기존 키보드 입력 방식과 유사한 정확성을 가지고 다수의 사용자들이 선호한다는 결과를 얻었다.

참고문헌 (30)

G, E, Blonder, 'Graphical passwords', United States Patent 5559961, 1996
S, Brostoff and M, A. Sasse, 'Are Passfaces more usable than passwords: A field trial investigation', In Proceedings of HCI 2000, Springer, pp, 405-424, 2000
J, Goldberg, J, Hagman and V, Sazawal, 'Doodling Our Way to Better Authentication', In Proceedings of Human Factors in Computing Systems (CHI), 2002
P, Golle and D, Wagner, 'Cryptoanalysis of a Cognitive Authentication Scheme (Extended Abstract)', In Proceedings of the 2007 IEEE Symposium on Security and Privacy, pp, 66-70, 2007
J, P, Hansen, K. Torning, A. S, Johansen, K. Itoh and H, Aoki, 'Gaze Typing Compared with Input by Head and Hand', In Proceedings of Eye Tracking Research & Applications (ETRA) Symposium, ACM, pp, 131-138, 2004
B, Hoanca and K. Mock, 'Screen Oriented Technique for Reducing the Incidence of Shoulder Surfing', In Proceedings of International Conference on Security and Management (SAM), 2005
B, Hoanca and K. Mock, 'Secure Graphical Password System for High Traffic Public Areas', In Proceedings of Eye Tracking Research and Applications (ETRA) Symposium, ACM, pp, 35, 2006
D, Hong, S, Man, B, Hawes and M, Mathews, 'A password scheme strongly resistant to spyware', In Proceedings of International Conference on Security and Management, 2002
W, Jansen, 'Authenticating Users on Handheld Devices', In Proceedings of Canadian Information Technology Security Symposium, 2003
W, Jansen, S, Gavrila and V, Korolev, 'A Visual Login Technique for Mobile Devices', In National Institute of Standards and Technology Interagency Report (NISTIR) 7030, 2003
W, Jansen, 'Authenticating Mobile Device User Through Image Selection', In Data Security, 2004
I, Jermyn, A. Mayer, F, Monrose, M, K. Reiter and A. D, Rubin, 'The Design and Analysis of Graphical Passwords', In Proceedings of the 8th USENIX Security Symposium, 1999
M, Kumar, T, Garfinkel, D, Boneh and T, Winograd, 'Reducing Shoulder-surfing by Using Gazebased Password Entry', In Proceedings of Symposium on Usable Privacy and Security (SOUPS), ACM, pp, 13-19, July 2007
P, Majaranta and K, J, RaiM, 'Twenty Years of Eye Typing: Systems and Design Issues', In Proceedings of Eye Tracting Research & Application (ETRA) Symposium, ACM, pp, 15-22, 2002
P, Majaranta, I, S, MacKenzie, A. Aula and K. J, Raiha, 'Auditory and Visual Feedback During Eye Typing', In Proceedings of CHI, ACM, pp, 766-767, 2003, http://www.yorku.ca/mack/chi03d,html
P, Majaranta, A. Aula and K. J, RaiM, 'Effects of Feedback on Eye Typing with a Short Dwell Time', In Proceedings of Eye Tracting Research & Application (ETRA) Symposium, ACM, pp, 139-146, 2004
S, Man, D, Hong and M, Mathews, 'A shouldersurfing resistant graphical password scheme', In Proceedings of International Conference on Security and Management (SAM), 2003
D, Nail and J, Thorpe, 'Analyzing User Choice in Graphical Passwords', Technical Report, School of Information Technology and Engineering, University of Ottawa, May 2004
X, Suo, Y, Zhu and G, S, Owen, 'Graphical passwords: A survey', In Proceedings of the 21st An nual Computer Security Applications Conference (ASCSAC'05), 2005
J. Thorpe and p. C. v. Oorschot, 'Graphical dictionaries and the memorable space of graphical passwords' , In Proceedings of the 13th USENIX security Symposium, 2004
J. Thorpe and p. C. v. Oorschot, 'Towards secure design choices for implementing graphical passwords', In Proceedings of the 20th Annual Computer Security Applications Conference, IEEE, 2004
J. Thorpe, p. C. van Oorschot and A Somayaji. 'Pass-thoughts: authenticationg with our minds', In Proceedings of New Security Paradigms Workshop, ACM, PP. 45-56, 2005
D. Weinshall, 'Cognitive Authentication Schemes Safe Against Spyware (Short Paper)', In Proceedings of IEEE Symposium on Security and Privacy, pp. 295-300, May 2006
S. Wiedenbeck, J. Waters, J. C. Birget, A. Brodskiy and N. Memon, 'PassPoints: design and longitudinal evaluation of a graphical password system', In International Journal of HumanComputer Studies, 63, pp. 102-127, 2005

상세보기
S. Wiedenbeck, J. Waters, L. Sobrado and J. C. Birget, 'Design and Evaluation of a ShoulderSurfing Resistant Graphical Password Scheme', In Proceedings of AVI, ACM, pp. 177-184, 2006
H. Zhao and X. Li, 'S3PAS: A Scalable ShoulderSurfing Resistant Textual-Grapbical Password Authentication Scheme', In Proceedings of the 21st International Conference on Advanced Information Networking and Applications Workshops (AlNAW 07), IEEE, pp. 467-472, 2007
Z. Zheng, X. Liu, L. Yin and Z. Liu, 'A Strokebased Textual Password Authentication Scheme', In Proceedings of the 1st International Workshop on Education Technology and Computer Science, IEEE, pp. 90-95, 2009
The EyeGaze Communication System, 2009 by LC Technologies, Inc., http://www.eyegaze.com
PassFaces: patented technology that uses the brain's natural power to recognize familiar faces, PassFaces corporation, http://www.passfaces.com
MyTobii Communication System, 2008 Tobii Technology AB, http://www.tobii.com

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증