人間の認知能力の限界を利用する認証システム [pdf]
(users.cs.duke.edu)-
カーネギーメロン大学の計算機科学教授 Vincent Conitzer の論文
-
通常は人間の認知能力の限界を欠点として捉えるが、むしろその限界を利用して、多重ログインの防止や生体情報を使わない認証などに活用できるのではないか、というコンセプトを提案
-
論文で示されたいくつかの例は次のとおり
1. 顔写真の照合を使って、最初だけ通過できるシステム。人間は自分の意志で記憶を消すことができないという認知能力上の弱点を利用する。
- 数十枚の顔写真を見せて、「今回のテストで」初めて見る顔かどうかを尋ねると、最初のテストでは簡単に正答できる。
- 2回目のテストでは、いくつかの顔写真を差し替えてもう一度テストする。前回のテストで写真を見た記憶が脳に残っているため混乱が生じ、1回目のテストより点数が下がるはず。
- しかし実際の実験では、点数が下がった人もいれば、変わらない人もいて、むしろ点数が上がった人もいた。
2. 生体情報を使わないリモート認証。パーソナライズされたゲームを使って認証する。
-
難易度がレベル1から10まであるゲームを作る。レベル1から順に進めていなければレベル10をクリアできないように難易度を設定しておけば、レベル10をクリアできることが個人を識別できる指標となり、
biometricを使わなくても認証が可能になる。 -
ただし上の例は、ノートや友人、AI の助けを借りればハッキング可能なので、より精巧な設計が必要。
8件のコメント
余談ですが、GTAを作ったRockstar Gamesに久しぶりに認証しようとしてアクセスしたら、合計が13になるサイコロのペアの絵を6択から10問解かなければなりませんでした。間違いなく全部合っていると思ったのに、途中で不正解になるとfailと表示されるタイプのシステムではなかったので、2回失敗して合計30問解きました。いや、本当に苦痛でした。
以前どこかでメタ認知の話をしていた人が、こんなことを言っていたのを思い出します。『ペルーで7番目に大きい都市は?』と聞かれたとき、答えたり調べ始めたりしたら、それはボットかAIだと。人間は1秒で、自分が答えを知らないという事実に気づくんですよね。
キム・ギョンイル教授のスピーチの一つで見ました。その方がオリジナルなのか、引用されたものなのかは分かりませんが、YouTubeにある発表の一つで言及されていますね。
以前、パスワード入力の速度で認証を行う論文が興味深かったです
例えば合計10文字のパスワードなら、それぞれの文字ごとに速く入力される区間と遅く入力される区間があり、同じ人であれば毎回おおむね似通っているという行動パターンで認証するのですが、
思ったより正確で驚いたことがあります
ユーザー入力をほとんど必要としないCAPTCHAプログラムも、これと似た方式で動作するのではないかと思います。
ああ、タイピングパターンで判断するというアイデアも面白いですね
論文で提示されている例は実用的ではありませんが、人間の認知能力の限界を弱点ではなく人間固有の特性と捉え、それを活用するというアイデアが興味深く、要約してみました。
おっしゃる通り、発想の転換が印象的ですね