关键字 |
图形密码,信息安全、图像、字母数字密码,可用性,安全性。 |
介绍 |
近年来,信息安全已被制定为一个重要的问题。信息安全的主要区域 身份验证的决心是否应该允许用户给定系统或资源的访问。在 这种背景下,密码是一种常见的和广泛的身份验证方法。 |
密码是一种秘密的身份验证,用于控制对数据的访问。从未经授权的保密 用户,和那些希望获得测试和授予或拒绝访问基于密码显示 到那一步。 |
使用密码从古代本身独特的代码来检测恶意用户。在现代, 密码是用来限制访问保护计算机操作系统、手机等等。计算机用户 等许多用途可能需要密码登录到个人账户,访问电子邮件从服务器检索文件, 数据库、网络、网站等。 |
正常的密码有一些缺点例如破解密码,忘记密码和被盗密码[2]。 因此,强认证需要确保我们所有的应用程序。传统的密码已经使用了 身份验证已知但它们在可用性和安全问题。最近几天,另一个方法等 介绍了图形验证。图形密码已被建议作为替代字母数字 密码。心理学研究表明,人们还记得图像比文字。图像通常是 容易被记住字母和数字,特别是照片,更容易被记住 随机图片[6]。 |
在这篇文章中,我们进行全面调查现有的图形密码算法。我们将讨论 每个方法的优点和缺点并提出未来在这一领域范围。在这个调查中,我们想要的答案 以下问题: |
(一)图形比字母数字密码密码更安全? |
(b)实现图形的主要问题是什么密码? |
(c)各种现有的图形密码技术的局限性是什么? |
这个调查将有利于信息安全研究人员和从业人员感兴趣的是找到一个 选择基于文本的身份验证方法。 |
图形密码 |
图形密码替代字母数字密码的用户点击图像进行身份验证 自己而不是输入字母数字单词[3]。图形密码相比,更令人难忘 字母数字的密码,因为它是更容易记住花的形象比一组字母和数字。 |
几个心理学研究已经认识到人类大脑显然优越的识别和记忆 回忆的视觉信息,如照片而不是口头或基于文本的信息[4]。文本是精神表示为 符号赋予一个意义相关的文本,而不是意义认为基于表单 的字母。 |
用图片代替字符将帮助用户提高安全字数语料库的大小是有限的。 但在图形密码的情况下,语料库的大小是无穷,如果是在多个数字图像 或者在多个点上一个图像[5]。我们可以选择只有26个字母和10的数字 字母数字的密码,但是在图形密码语料库的大小并不局限。 |
图形密码方法 |
在本节中,一些现有的图形密码方法进行了讨论。基于图形化的密码技术 提出解决传统的基于文本的密码技术的局限性,因为图片是容易 记住比文本。它被称为“图片优势效应”[13]。 |
论文的文献调查关于图形密码技术可以分类显示的技术 分成四组,如下所示(图1): |
实现工艺技术 |
在这一类中,用户会选择图片,图标或符号图像的集合。身份验证的时候, 用户需要认识到自己的形象、符号或图标,选择一组中登记的时候 图像。研究是为了找到这些值得记忆的密码和它显示用户可以记住 密码后45天[14]。 |
纯Recall-Based技术 |
在这一类中,用户复制密码没有被赋予任何类型的提示或提醒。虽然 这一类非常简单和方便,但似乎,用户很难记住他们的密码。还是更 安全比基于识别的技术。 |
暗示Recall-Based技术 |
在这一类中,用户提供的提示或暗示。提醒帮助用户复制他们的密码 或者更准确地帮助用户复制密码。这类似于基于召回计划而是回忆 提示。 |
混合方案 |
在这一类,身份验证将通常的组合两个或两个以上的方案。使用这些方案 为了克服单个方案的缺点,如间谍软件,肩膀冲浪等等。 |
基于识别的算法 |
同时考虑系统也被称为cognometric系统[15]。这些系统通常要求用户 必须记住图片的组合创造过程中密码,登录时,用户必须吗 从诱饵识别他们的图片。特殊能力的人类认识到先前见过的图片 基于识别的算法更受欢迎。提出了基于各种识别的系统使用不同的 类型的图片,主要是喜欢脸,图标,日常用品,随机的艺术,等等。 |
似曾相识[22]提出了Dhamija et al .,,用户选择一个特定数量的随机的艺术图像 图像由一个程序在注册阶段。身份验证的时候,系统显示一组 图片和诱饵图像图像同时包含密码。用户识别密码的照片 挑战设置的密码图片和诱饵图像。很容易存储和传输随机生成的艺术图像 小的初始种子和艺术图片不方便记录或与他人分享。这个系统有几个 缺点比如很难记住一个不起眼的照片和语料库的大小远小于基于文本 密码。 |
Brostoff等人提出PassFaces[23],这是出于人类熟悉的面孔。在这个 系统中,用户需要点击脸图像已经选择注册几次。然而,它 有一些严重的安全问题。PassFaces脆弱的肩膀冲浪攻击和间谍软件,因为脸 图像清晰地显示。猜测攻击的概率高与一些身份验证轮检测正确的 面临着高。也有一些可预测的图像,用户更有可能选择基于种族、肤色 和性别。 |
另一个基于识别方案,故事[24]这是类似于PassFaces只需要一轮认证, 但是照片密码是一系列独特的图像数量提高难忘的故事。当 用户身份验证,用户必须点击图片的密码。这个故事需要用户记住的顺序 图像。这使得用户困难不是用一个故事来引导图像选择记忆 密码。研究表明,所有不正确的密码条目的故事,包含所有正确的80%以上 图像,但不正确的顺序。因此,对“故事”的重要性应该强调用户。 |
认知认证[25]是另一个基于识别的算法旨在抵制肩窥和间谍软件。 如果用户站在一个图像的组合,然后用户将正确或向下移动直到或底部 面板的右边缘,列或行存储的标签,其中包括多项选择问题 正确的标签的显示路径点每一轮。认知验证系统计算 累积概率正确的答案,以确保每一轮后不是偶然进入。当 概率高于某个阈值,身份验证是成功。用户阈值使系统能够容忍 错误在某种程度上。一个观察者不能存储任何可行的许多成功的身份验证会话 推测用户的密码恢复的蛮力或枚举的方法。 |
图形密码图标(GPI)[26]设计旨在解决的热点问题。在谷歌,用户选择6 图标从150年在一个面板图标作为密码。与谷歌价格指数,系统生成一个随机密码并显示它 给用户。如果用户不满意的密码系统生成的,他可以请求系统生成新的 直到接受密码。全球定位系统的主要缺点是它的不可接受的登录时间和体积小的图标。 |
基于纯召回算法 |
纯recall-based图形密码系统也被称为drawmetric系统因为用户回忆一个大纲 利用网格创建或选择在注册阶段。在这些类型的系统中,用户通常 吸引他们的密码在网格或一个空白的画布上。难忘的是困难的回忆是一个困难 检索是没有任何提示或暗示。 |
第一个图形密码系统提出了这一类Draw-A-Secret (DAS) [27]。在这方面,用户要求 画自己的密码2 d网格通过手写笔或鼠标。绘画可以由一个连续的钢笔中风 或者最好,几个中风由“pen-ups”,继续下一个中风在不同的细胞。成功 登录,用户必须通过网格细胞重画同样的道路。系统存储user-drawn密码的 序列坐标网格的细胞通过绘图,得到一个DAS编码密码。的长度 密码将坐标的数量对所有中风。在这里,用户从记忆中解放出来 字母数字字符串作为密码。尽管如此,有一些限制画减少DAS的可用性, 确保每一个中风的网格线,重塑了密码在准确的位置。 |
一个流行的基于召回系统提出的当时Varenhorst [9], Passdoodle,允许用户生成一个 徒手画作为密码。没有任何可见的网格。涂鸦应该包括至少两个 笔画放置在屏幕的任何地方,可以用数量的颜色。匹配的密码 比DAS Passdoodle更为复杂。在Passdoodle,系统开始规模和拉伸网格的涂鸦 在阅读鼠标输入,然后比较了拉伸涂鸦与存储用户密码。 |
一个系统类似于Passdoodle提出了维斯et al ., PassShapes [10]。在PassShapes,几何形状 由八个不同的中风的任意组合。在登录的时候,没有网格和 密码可以在变量大小或位置在屏幕上因为只考虑中风和他们的订单 评估。尽管PassShapes提供更好的难忘,每个中风以来密码空间相对较小 来自只有8可能的选择。 |
Syukri算法[11]是一个纯粹的基于召回的系统进行身份验证的用户吸引他们 使用鼠标或笔签名。这种方法包括两个阶段,注册和验证。的时候 注册,用户将被要求先用鼠标画他们的签名,然后系统将提取签名 空间和区域扩大或缩小的签名,如果需要旋转。信息将被存储到 数据库。首先需要用户输入验证阶段,然后提取用户的签名的参数。 系统进行验证使用几何平均和一个动态更新的数据库。的主要优势 这种方法不需要记住一个人的签名和签名是很难装出来的。 |
只有两个商业产品提出了基于纯召回的图形密码方案到迄今为止。第一个 一个是解锁方案类似于一个迷你“开始使用Android智能解锁屏幕 手机。在这方面,用户可以决定自己的解锁模式通过拖动手指或手写笔在几个点 3×3网格。密码空间只有218位,但足够的手机不需要非常高的安全级别 但是,Android screen-unlock方案容易“涂抹攻击”[12],攻击者得到密码的地方 屏幕上的污迹。特拉维夫,等人进行的可行性研究等涂抹攻击触摸屏 智能手机。第二个是在窗口8系统;微软引入了一个新的图形密码。用户 首先提供一个图像,然后将图像提供了一组动作。三种类型的手势 包括:直线、水龙头和圆圈。任意组合的手势可以用来创建一个密码。然而, 一项研究宣称,猜测正确的手势设置基于弄脏是非常困难的,热点和攻击 肩膀冲浪仍然作为一个关心的问题。基于纯粹的两个产品召回的图形密码方案 清楚地表明,商业产品方案必须操作简单,容易记住,可以申请 系统不需要更高的安全级别。 |
基于线索回忆的算法 |
线索回忆系统也被称为locimetric系统识别特定位置有关。这些系统 通常需要用户记住和点击具体的位置在一个图像。这增加了难忘的人,因为它比纯粹的基于召回的系统更容易记住。这是一个不同的内存比简单的任务 认识到一个图像作为一个整体。在这些类型的计划,提供给用户一个图像,以便他们可以选择 点击任意点的形象一个密码。成功登录,用户点击正确的 以正确的顺序点击点。 |
线索回忆图形密码系统使用的布兰德的计划[1]。这是第一个方案建议 在图形密码系统。在这个计划中,用户需要点击预先选择的区域 之前选中的图像序列中输入的密码。布兰德对受欢迎的技术有很多优势 基于文本的密码。主要优势是,人们发现比字母数字字符串和图片更容易记住 密码方案提供了比基于文本的密码更安全。然而,布兰德的技术也有一些 局限性如预定义区域应该很容易地识别和预定义的地区的数量很小, 有时几十个一个图像。密码可能需要点击率提高安全,所以它将成为一个 单调乏味的任务用户和更容易的肩膀冲浪攻击相比,基于文本的密码。 |
Wiedenbeck et al .,提出PassPoints[7],通过扩展布兰德的主意。这个方案还考虑的限制 布兰德的技术和努力克服它的一些主要的缺点。Passpoints消除预定义的 使用边界和允许任何动态图像。用户可以点击任何地方在图像任意创建 密码密码空间不是有限的。对于一个成功的登录,用户必须点击前面 选择点击点在指定的宽容度也在相同的顺序登记的时间。一个图像 可能包含成千上万的潜在的令人难忘的点击点,所以这是相当大的密码空间相比 布兰德的计划。然而,即使Passpoints存在的一些局限性,用户很难确保点击 点在公差水平和增加公差降低安全级别。 |
Chiasson等提出暗示Click-Points (CCP) [8]。这是一个PassPoints变化。在这个方案中,下一个图像 显示基于之前的位置click-point的基础。第一个图片是一个后每个图像显示 用户点击的坐标点的函数的图像。当用户点击一个不正确的观点 图像,然后下一个图像显示将是错误的。没有正确的知识密码,攻击者可能 导致不正确的图片。然而,用户倾向于选择点在已知的热点地区。 |
Chiasson等人提出了有说服力的暗示Click-Points (PCCP)[13],其中包括有说服力的特性来暗示点击- 点。可以选择更多的随机密码作为暗示单击点是有说服力的。的密码 创建图片稍微有些阴影,除了一个随机小窗口区域定位图像。在有说服力 暗示点击——点,用户必须选择一个click-point在视窗内。用户可以点击按钮“洗牌” 重新定位viewport随机用户直到找到一个理想的位置。在登录的时候,没有阴影 图像通常显示。PCCP消除热点问题。在一定程度上也增强了可用性。 然而,肩膀冲浪攻击共产党和PCCP仍然是一个问题。 |
Locimetric方案点击的图形密码方案这些计划很容易肩冲浪 攻击主要是图像的位置在每个登录密码仍然是相同的。可以使用一个屏幕刮板 找到准确的位置图像的位置不会改变。黑客如果屏幕刮板可能就足够了 攻击者知道当用户点击鼠标。抵抗这些攻击我们可以使用盾牌掩护隐藏 输入的密码。 |
混合方案 |
混合方案的组合两个或两个以上的图形密码方案。介绍了这些计划 克服单个方案的局限性,如热点问题,肩膀上冲浪,间谍软件,等等很多单身 方案实现和recall-based方案讨论和其中的一些方案 开发混合动力方案。 |
天啊[14]提出了一种混合的方案,图像是用来提醒帮助用户选择容易 记住图形密码。在这个方案中,基于颜色,包含几个模板给用户 洞。首先,用户选择一个图像,然后选择一个颜色的模板,然后单击一个特定的位置内 图像,然后选择位置将模板和存储密码。在登录时,用户必须选择正确的模板,把它放在正确的位置上可见的图像然后输入字符 从上到下。值得记忆的密码方案高于基于文本的密码 计划只需要用户记住正确的模板在图像的位置。 |
高等人提出了一个混合动力方案[15]使用验证码(全自动图灵测试 计算机和人类除外)。它保留了所有的图形密码方案和验证码技术的优势。 在注册阶段,用户选择的图片作为自己的密码的图像。进行验证,用户需要 区分密码诱饵和完成测试通过识别并输入验证码字符串 下面的图片每一个密码。这个计划几乎是不可能打破,但仍间谍软件可能会影响该混合 计划。 |
赵和李[16]提出了Textual-Graphical密码身份验证方案(S3PAS)抵抗的肩膀冲浪 攻击。该方案结合了文本和图形密码的优点是对肩窥, 间谍软件和隐藏的摄像机的攻击。注册时,用户必须选择一个与原始文本字符串k 密码。密码长度可能不同在不同的环境和不同的安全需求。在登录过程中, 用户必须找到原始密码在登录图像,然后单击在无形的三角形,称为“passtriangles”, 由原来的密码。 |
m . Eluard等人提出了一个混合动力方案,“Click-a-secret”(CAS)结合Locimetric和[17] Cognometric方案。这个计划允许输入和记录一个秘密虽然与一个图像。首先,用户 创建一个个人形象通过更换一些原始图像的特定区域。这些区域被称为Gecu (由用户选择图形元素)。这个地区有一个特定的图形元素呈现在原始的图像。在 注册,用户单击Gecu原始图像,然后取而代之的是另一种版本。当 用户认为当前图像是理想创建密码,然后用户验证的个人形象,从而使 它更安全。这个过程重复几轮生成的用户密码。在登录阶段, 用户必须点击Gecu第一图像,直到找到所有他或她的个人形象。这一方案提供了高 安全比其他混合动力方案。然而,可用性不是很好,由于限制的减少 密码空间。 |
高等人提出另一个混合计划PassHands[18],这是实现图形的组合 密码和palm-based生物识别技术。这个方案需要人类而不是手掌图像处理的 通常使用的面孔。在登录阶段,9个相同大小的手掌加工子图片放置在一个3×3 网格在随机的一个图像是许多假密码图像和图像来掩盖。的时候 登录,用户比较左手还是右手的特定区域生成的图像,然后单击 密码的形象。然而,可用性仍然是一个问题与其他方案相比,PassHands日志 在将成为一个乏味的任务比较过程需要更多的时间。 |
点击按钮数据显示在网格(CBFG)[21],是另一个混合的组合方案 Locimetric Cognometric和字母数字计划。在注册的时候,用户提出了四个 背景图像和十个图标。用户必须选择一个细胞在每个细胞和选择一个密码的形象 图标图标作为密码。用户可以点击任意键直到图标图标的密码。然后用户点击 数字键,然后为每个细胞密码。当密码的身份验证细胞完成,用户必须继续下去 点击其余键来确保所有的按钮点击。有多种背景图像 CBFG,因此它提供了一个大空间密码与其他混合动力方案。然而,热点问题 发生在细胞选择CBFG密码。因为每次输入的序列是在纯随机的方式,它仍然是一个 艰巨的任务黑客破解用户密码,即使他或她与一个隐藏的记录整个登录流程 相机。 |
安全攻击的图形密码方案 |
字典攻击 |
在这种攻击中,攻击者试图猜出密码从一个非常大的单词列表,字典。字典是 根据以往的选择集合所有高概率的密码。如果用户选择一个密码,一个词已经在字典,然后这种攻击会成功的。这种攻击是一种特定类型的密码蛮干 攻击。 |
猜测攻击 |
许多用户倾向于选择密码根据他们的个人信息,如他们的宠物的名字,房子的名字, 电话号码,护照号码等。在这些情况下,攻击者通过主要试图猜出密码 密码可能根据用户的个人信息。猜测攻击可以大致分为两种 类别:在线密码猜测攻击和离线密码猜测攻击。在网上密码猜测 攻击,攻击者试图想输入的密码通过操纵一个或更多的神谕。在脱机密码 猜测攻击,攻击者详尽的搜索输入的密码通过操纵一个或更多的神谕。 |
肩膀冲浪攻击 |
肩膀冲浪攻击是指攻击用户密码通过直接观察技术。主要直接 观测技术是看着别人的肩膀,获得密码。肩膀冲浪攻击主要发生 在公共场所,因为它真的很容易在人群中站附近的人,看看他们输入密码或任何 密钥。 |
间谍软件攻击 |
间谍软件是一种恶意软件安装在电脑,目的是窃取机密信息 用户。间谍软件攻击通常是通过使用一个键记录器或关键的侦听器。这个malwares收集信息 没有用户的知识收集和泄漏这些信息来攻击者的外部来源。 |
社会工程攻击 |
社会工程攻击,人类获得的敏感信息的交互。在这个 类型的攻击,攻击者试图获取关于一个组织的信息或计算机系统从用户本身 像一个员工。黑客的攻击者不使用任何电子技术在这种攻击他或她 只使用人类智慧和棘手的谈话得到他想要的信息。当攻击者得到了一些的 信息从一个源,那么他或她可能从其他来源收集信息在同一个组织 得到完整的信息和添加到他或她的可信度。 |
在以下部分中,我们创建的比较表(表1)基于调查的这些攻击。表我总结了我们不同的图形密码的安全方案进行了分析。“Y”的意思是是的,它是 耐的攻击形式。“N”意味着没有计划是开放的攻击。在社会工程攻击中,“E” 表示简单的攻击是非常有效的。“M”代表中间,增加了困难。' D '表示攻击 是很困难的。 |
结论 |
在这项研究中,不同的算法实现,纯recall-based,暗示recall-based,混合动力方案 图形密码身份验证是检查和调查。在我们的研究中,我们确定几个缺点 这可能会导致攻击。因此,可以得出结论,常见的缺陷在这些图形密码 方法和如何克服这些攻击。然后,我们试图调查攻击模式和定义常见的攻击 图形密码身份验证方法。最后我们做个比较表中各种图形密码 身份验证技术基于攻击模式。 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
方法 |
|
|
|
|
|
|
结果 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
表乍一看 |
|
表1 |
|
|
数据乍一看 |
|
图1 |
|
|
引用 |
- g·布兰德。“图形密码”。美国专利,5559961,1996。
- Phen-Lan Lin Li-Tung翁和黄Po-Whei图形密码使用图像和随机轨道的几何形状,”2008年,国会在2008年图像和信号处理。。
- 安吉丽,De l .考文垂g·约翰逊,和k . Renaud”是一幅真的值得一千字吗?探索图形身份验证系统的可行性,“国际杂志的人机研究,63卷,没有。1 - 2、128 - 152年,2005页。
- 柯克帕特里克,”记忆的实验研究,“心理评估,1卷,第609 - 602页,1894年。
- 马迪根,“图片记忆”,在图像,记忆,和认知:论文为了纪念艾伦•Paivio j . Yuille。劳伦斯Erlbaum Associates 1983 ch。3, 65 - 89页。
- http://www.iso.org/iso/catalogue_detail.htm。
- s . Wiedenbeck j .水域,j . Birget a . Brodskiy和n . Memon。“PassPoints:设计和图形密码系统的纵向评价”。国际人机研究杂志》上,63(2):102 - 127年,2005年。
- 美国Chiasson、pc持怀疑和r·比德尔。“图形密码身份验证使用暗示单击点”。在欧洲研究在计算机安全研讨会上(ESORICS)信号4734年,2007年9月,第359 - 374页。
- Varenhorst Passdoodles:“一个轻量级的认证方法”。麻省理工学院研究科学研究所,2004年7月。
- r·维斯和a . De Luca“PassShapes——利用增加密码难忘的“基于中风的身份验证。
- Ali Mohamed Eilejtlawi”,研究和开发一个新的图形密码系统”,2008年5月。
- j .特拉维夫k·吉布森,e·莫索普m .大火和j·m·史密斯“涂抹攻击智能手机触屏”。在USENIX第四进攻技术研讨会,2010年。在NordiCHI,pp.383 - 392。ACM, 2008年10月。
- s . Chiasson答:忘记,r·比德尔和p . c .持。“影响用户对更好的密码:有说服力的暗示Click-Points”。在人机交互(HCI)2008年9月,英国计算机协会。
- k·雷诺和e·史密斯。天啊:“帮助用户记住他们的密码”。拜尔教授技术报告、学校的计算、南非,2001年。
- H.C.高,X.Y.刘金丝王,R.Y.Dai。“一个新的图形密码方案对间谍软件通过使用验证码”。:程序适用的隐私与安全研讨会”,2009年7月15 - 17日。
- h .赵和李x”S3PAS:一个可伸缩肩窥耐Textual-Graphical密码身份验证计划”,21国际会议的先进信息网络和应用研讨会第二部。加拿大,2007年,页467 - 472。
- Eluard m;Maetz y;塞,d;“基于动作的图形密码:Click-a-Secret”,2011年IEEE国际消费电子会议,2011年,pp.265 - 266。
- H.C.高,开出信用证妈,J.H.邱和X.Y.刘,“探索Hand-based图形密码方案”,诉讼的第四届国际会议信息和网络的安全,2011年。
- Paivio、t·罗杰斯和p . c . Smythe”为什么图片比语言更容易回忆?“心理计量学科学,11卷,不。4、137 - 138年,1968页。
- r·谢泼德”识别记忆的单词,句子,和图片,“语言学习和语言行为杂志》上,6卷,第156 - 163页。
- X.Y.刘。,J.H. Qiu., L.C. Ma., H.C. Gao., etc., “A Novel Cued-recall Graphical Password Scheme”,在第六次国际会议上图像和图形(ICIG)2011年,pp.949 - 956。
- Dhamija r . Perrig。,“Déjà vu: A User Study Using Images for Authentication”,在第九届USENIX安全研讨会,2000年。
- SachaBrostoff, m .安吉拉船闸”是Passfaces比密码更有用吗?,田间试验调查,2000年。
- 戴维斯、f . Monrose和m . k . Reiter“用户选择图形密码方案”,在第13届Usenix安全研讨会学报》上.San迭戈,CA, 2004。
- Weinshall D。,“Cognitive Authentication Schemes Safe against Spyware”.在IEEE研讨会上安全和隐私(标普),2006年。
- k . Bicakci: b, m . Yuceel h . Gurbaslar和b . Erdeniz”可用的图形密码热点问题”解决方案,在33个rdannual IEEE国际计算机软件和应用会议,2009年。
- 杰明,a . Mayer f . Monrose m . Reiter和a·鲁宾”,图形的设计和分析passwords”。在第八届USENIX SecuritySymposium,1999年8月
|