所有提交的EM系统将被重定向到网上投稿系统.作者被要求将文章直接提交给网上投稿系统各自的日志。

图形密码验证使用劝说提示点击点

Iranna A M1, Pankaja帕蒂尔2
  1. 印度卡纳塔克邦贝尔高姆市理工学院CSE系研究生
  2. 印度卡纳塔克邦贝尔高姆理工学院MCA系助理教授
有关文章载于Pubmed谷歌学者

更多相关文章请访问国际电气、电子和仪器工程高级研究杂志

摘要

基于知识的身份验证(通常是基于文本的密码)的主要问题是众所周知的。用户倾向于选择容易被攻击者猜到的容易记住的密码,但是强系统分配的密码对用户来说很难记住。本文主要对劝说提示点击点图形密码认证系统进行了综合评价,包括可用性和安全性。身份验证系统的一个重要可用性目标是支持用户选择更好的密码,从而通过扩大有效密码空间来提高安全性。在基于点击的图形密码中,选择糟糕的密码会导致出现热点(图像中用户更有可能选择点击点的部分,允许攻击者发动更成功的字典攻击)。我们在基于点击的图形密码中使用劝说来影响用户选择,鼓励用户选择更随机,因此更难以猜测的点击点。

关键字

图形密码,认证,说服性技术,可用安全性,实证研究。

介绍

关于密码,有很多事情是“众所周知的”;例如,用户不能记住强密码,他们能记住的密码很容易猜到[1-6]。
密码认证系统应该鼓励使用强且不易预测的密码,同时保持可记忆性和安全性。这个密码认证系统允许用户选择,同时影响用户使用更强的密码。选择弱密码(攻击者很容易猜到)的任务更繁琐,避免了用户做出这样的选择。实际上,这种身份验证方案使得选择更安全的密码成为阻力最小的路径。这不会增加用户的负担,而是更容易遵循系统对安全密码的建议——这是大多数方案中缺乏的功能。
我们应用这种方法创建了第一个基于说服性点击的图形密码系统,说服性提示点击点(persuasive Cued Click- Points, PCCP)[2],[3],并在实验室中对10名参与者进行了可用性研究。我们的结果表明,我们的劝说提示点击点方案有效地减少了热点(图像中用户更有可能选择点击点的区域)的数量,同时仍然保持可用性。本文还分析了容差值和安全系数的有效性。虽然我们并不认为图形化密码是验证的最佳方法,但我们发现图形化密码为探索帮助用户选择更好密码的策略提供了极好的环境,因为比较用户的选择很容易。实际上,我们还提到了我们的方法如何适用于基于文本的密码。

背景

文本密码是最流行的用户身份验证方法,但存在安全性和可用性问题。诸如生物识别系统和令牌等替代品有其自身的缺陷[8],[9],[10]。图形密码提供了另一种选择,也是本文的重点。图形密码最初是由Blonder(1996)定义的。通常,图形密码技术可分为两大类:基于识别的图形密码技术和基于回忆的图形密码技术。在基于识别的方法中,向用户提供一组图像,用户在注册阶段通过识别和识别所选择的图像来通过身份验证。在基于回忆的图形密码中,用户被要求重现他之前在注册阶段创建或选择的内容。这个项目是基于召回技术。
A.为什么使用图形密码?
对计算机系统的访问通常是基于字母数字密码的使用。不过,用户很难记住长且随机出现的密码。相反,他们会创建简短、简单且不安全的密码。图形密码的设计是为了让密码更容易记住,更容易使用,因此也更安全。使用图形密码时,用户可以点击图像,而不是键入字母数字字符。
B.单击图形密码
图形密码系统是一种基于知识的身份验证,它试图利用人类的记忆来获取视觉信息。图形密码的完整审查可在其他地方[11]。这里感兴趣的是基于提示收回点击的图形密码(也称为locimetric[12])。在这样的系统中,用户在一张或多张图像中识别和定位先前选定的位置。图像作为记忆线索[13]来帮助回忆。示例系统包括PassPoints[14]和提示点击点[15]。
在PassPoints中,密码由给定图像上的五个点击点组成(参见图1)。用户可以选择图像中的任何像素作为密码的点击点。为了登录,他们在系统定义的原始点击点的公差平方内,以正确的顺序重复点击序列。该方案的可用性和安全性由最初的作者[18,19]评估,随后由其他人[1,16,17]评估。人们发现,尽管相对可用,但安全问题仍然存在。主要的安全问题是热点:不同的用户倾向于选择相似的点击点作为密码的一部分。攻击者通过收集样本密码或自动图像处理技术获得这些热点的知识,可以构建攻击字典,更成功地猜测PassPoints密码[17]。字典攻击包括使用一个潜在密码列表(理想情况下是按可能性的递减顺序),并依次在系统上尝试每个密码,以查看它是否会导致对给定帐户的正确登录。攻击可以针对单个帐户,也可以尝试猜测大量帐户的密码,以期破解其中任何一个帐户。
图像
作为PCCP的前身,Cued Click Points[7]被设计用于减少模式,并降低攻击者对热点的有用性。CCP不是在一张图像上有五个点击点,而是在按顺序显示的五个不同图像上使用一个点击点。显示的下一个图像基于先前输入的点击点的位置(参见图2),通过图像集创建一个路径。用户只在点击点决定下一张图片的范围内选择图片。用不同的点击点创建新密码会产生不同的图像序列。
据称其优点是,密码输入变成了一个真正的提示回忆场景,其中每个图像都会触发对应点击点的记忆。记住点击点的顺序不再是用户的要求,因为系统一次呈现一个图像。CCP还提供隐式反馈,声称只对合法用户有用。当登录时,看到一个他们不认识的图像,提醒用户他们之前的点击点是错误的,用户可以重新启动密码输入。只有在最终点击点之后才提供身份验证失败的显式指示,以防止增量猜测攻击。
用户测试和分析显示CCP[5]中没有模式的证据,因此基于模式的攻击似乎无效。尽管攻击者必须按比例执行更多的工作来利用热点,但结果表明热点仍然是一个问题[2]。
图像
C.劝诱技术
劝导技术最初是由Fogg提出的,即使用技术来激励和影响人们以期望的方式行事。劝诱技术是“旨在改变人们态度和行为的交互式计算系统”的新兴领域。
应用劝导技术的认证系统应该引导和鼓励用户选择更强的密码,而不是强制使用系统生成的密码。为了有效,用户不能忽略有说服力的元素,并且产生的密码必须是可记忆的。下一节将详细介绍,我们提出的系统通过使选择弱密码的任务更加繁琐和耗时来实现这一点。对用户来说,阻力最小的方法是选择一个更强的密码(不完全由已知热点组成或遵循可预测的模式)。因此,该系统还具有最大限度地减少用户之间形成热点的优势,因为点击点分布更随机。

有说服力的提示点击点

先前的模型已经表明,热点在基于点击的图形密码中是一个问题,导致有效密码空间减少,从而有利于更成功的字典攻击。我们调查了说服用户在保持可用性的同时选择更多随机点击点是否会影响密码选择。我们的目标是通过使不太安全的任务(即选择较差或较弱的密码)更加耗时和尴尬来鼓励遵从。实际上,行为安全成为了阻力最小的途径。
使用CCP作为基础系统,我们添加了一个有说服力的功能,鼓励用户选择更安全的密码,并使选择所有五个点击点都是热点的密码变得更加困难。具体来说,当用户创建密码时,除了一个随机定位的视口(见图3)之外,图像都有轻微的阴影。视口的定位是随机的,而不是专门为了避免已知的热点,因为这些信息可能被攻击者用来提高猜测,也可能导致形成新的热点。视口的大小旨在提供各种不同的点,但仍然只覆盖了所有可能点的一小部分。用户需要在这个突出显示的视口内选择一个点击点,不能在此视口之外单击。如果他们不愿意或不能在这个区域中选择一个点击点,他们可以按下“shuffle”按钮随机重新定位视口。虽然用户可以随心所欲地修改密码,但这大大减缓了密码创建的过程。viewport和shuffle按钮只在创建密码时出现。在确认密码和登录时,图像正常显示,没有阴影,没有视口,用户可以任意点击。
我们的假设是
1.用户将不太可能选择落入已知热点的点击点。
2.点击点在用户之间的分布将更加随机分散,不会形成新的热点。
3.登录安全成功率将比原来的CCP系统高。
4.当容差值越小,登录安全成功率越高。
5.参与者会觉得他们的密码使用PCCP比使用原始CCP系统的参与者更安全。
图像
密码系统的理论密码空间是根据系统规格可以生成的唯一密码的总数。理想情况下,较大的理论密码空间会降低对给定密码的任何特定猜测是正确的可能性。对于PCCP,理论上的密码空间是((w × h)/t2)c,其中图像的像素大小(w * h)除以容差平方的大小(t2),得到每张图像的总容差平方数,提高到密码中的点击点数量的幂(c,在我们的实验中通常设置为5)。

系统设计

设计的系统由用户注册模块、图片选择模块和系统登录模块三个模块组成(见图4)。
图像
在用户注册模块中,用户在用户名字段中输入用户名和合适的公差值(公差值用于比较注册配置文件向量和登录配置文件向量)。当用户在注册阶段输入所有用户详细信息时,这些用户注册数据存储在数据库中,用于登录阶段的验证。在图片选择阶段,有两种选择图片密码认证的方法。
1.用户自定义图片:图片由用户从硬盘或其他支持图片的设备中选择。
2.系统定义图片:用户从密码系统的数据库中选择图片。
在图片选择阶段,用户选择任何图像作为密码,并由给定图像上的五个点击点组成的序列。用户可以选择图像中的任何像素作为密码的点击点。在密码创建过程中,除了随机位于图像上的一个小视图端口区域外,大多数图像都将变暗。用户必须在视图端口内选择一个点击点。如果他们不能或不愿意选择当前视图端口中的一个点,他们可以按Shuffle按钮随机重新定位视图端口。视图端口引导用户选择更多的随机密码,这些密码不太可能包含热点。确定要到达某个点击点的用户可能仍然会移动,直到视图端口移动到特定位置,但这是一个耗时且更乏味的过程。
在系统登录期间,图像将正常显示,没有阴影或视口,并在原始点击点的系统定义公差平方内,以正确的顺序重复点击序列。
A.用户注册流程图
下面的流程图(见图5)展示了用户注册的过程,这个过程包括注册阶段(用户ID)和图片选择阶段。流程流从注册用户id和容差值开始。一旦用户完成了所有的用户详细信息,然后进入下一个阶段,即选择生成的图像上的点击点,范围从1-5。完成上述所有步骤后,将创建用户配置文件向量。
图像
B.登录流程图
在这个登录过程中(参见图6),第一个用户输入与注册时输入的相同的唯一用户ID。然后图像将正常显示,没有阴影或视口,并在原始点击点的系统定义公差平方内以正确顺序重复点击序列。在完成上述所有步骤后,将打开用户配置文件向量。
图像

实证结果与分析

本实证研究旨在探索提高容差值效率的方法,并进行实验室研究,比较现有CCP方案和提出的PCCP方案的登录成功率和安全成功率。
A.公差值的效率
最初有8名参与者被考虑参加实验。每个参与者都有一个密码,其中包括点击5个不同图像中的5个点击点。每张图像由不同的人物(图像细节)组成,参与者需要点击其中任意一个点,使其成为系列中的点击点。同样,参与者选择一个点击点每个图像。然后,参与者使用该密码登录,与此同时,其他参与者被要求站在输入密码的参与者后面,并被要求从参与者的肩膀上偷看并观察他的密码(图像上的点击点)。一旦第一个参与者登出,其他参与者被要求输入他们观察到的第一个参与者的相同密码。
公差值:它是指示与实际点击点接近程度的值。
公差区域:原始点击点周围的区域被认为是正确的,因为期望用户准确地定位一个精确的像素是不现实的。
成功率:它是给出一定数量的试验的成功次数的比率。成功率是根据没有错误或重新启动的情况下完成的跟踪次数来计算的。
肩窥:指站在输入密码者后面的人观察密码的过程。这是一种捕获攻击。当攻击者通过拦截用户输入的数据或诱骗用户泄露密码直接获得密码(或其中的一部分)时,就会发生这种攻击。
下表1给出了PCCP方法公差值效率的结果。结果显示了容忍值与安全成功率的关系图(见图7)和容忍值与成功率的关系图(见图8)。
图像
图像
图像
最初,当容错限制很大(即5)时,8个参与者中有7个输入了正确的密码并能够登录。然后,当容错限制降低到一个较低的值,即4,8个参与者中只有5个能够使用正确的密码登录。后来,当公差限制减少到3时,8名参与者中只有3名能够登录,当公差限制减少到2时,只有2名参与者能够登录。最后,当容差限制降低到1时,没有参与者能够成功登录。因此,实验表明,安全等级随着容错值的减小而增加,避免了蹭肩问题。
B.现有的CCP和提议的PCCP的登录成功率和安全成功率的比较
在第一次尝试和三次尝试中报告成功率。如果第一次尝试时正确输入密码,没有错误,则表示第一次尝试成功。三次尝试的成功率表明错误少于三次。与会者按下“登录”键,但密码错误。
图像
如表2所示,参与者能够成功地使用PCCP。成功率计算为在所有试验中无错误或重新启动的试验数量。在这项实验室研究中,最初考虑了三名参与者。每个参与者都有一个密码,其中包括在5个不同的图像中单击5个点击点,每个用户应该有5个路径。每个图像只包含一个点击点作为用户密码。其中,参与者需要点击自己选择的任意一个点,使其成为系列中的点击点。同样,参与者选择一个点击点每个图像。
图像
图像
相比之下,CCP的报告成功率高于PCCP,但安全成功率和平均成功率低于PCCP(图9和图10)。我们怀疑PCCP参与者在最初学习密码时更加困难,因为他们选择的点击点比PassPoints和CCP参与者选择的点击点不那么明显。然而,PCCP参与者最终能够通过额外的努力记住他们的密码。实验结果表明,PCCP算法的安全成功率和平均安全率都大大高于CCP算法。
C.速度和时间
一般来说,CPU速度是通过给定CPU在固定时间内所能完成的工作量来衡量的。速度和时间是反命题,这意味着如果执行程序需要更多的时间,则CPU速度较慢,反之亦然。第一次尝试成功输入密码的时间以秒为单位报告。对于登录和召回,我们还报告了“进入时间”:从第一个点击点到第五个点击点所花费的实际时间。在实验室研究中,根据用户的意见,PCCP图形密码认证系统比文本密码和通过点需要更多的时间来执行程序。因为它将花费更多的时间在5个不同的图像上选择点击点,但它提供了更多的安全性。
d .打乱
在密码创建过程中,PCCP用户可以按shuffle按钮随机重新定位视口。更少的洗牌会导致用户点击点的随机化。shuffle按钮使用适度。大多数参与者在整个过程中都使用了一种共同的洗牌策略。他们要么在每次试验中反复洗牌,要么在整个过程中几乎不洗牌。我们采访了参与者,了解他们的洗牌策略。那些几乎没有洗牌的人通过关注显示在视口中的图像部分来选择他们的点击点,而那些洗牌很多的人则扫描整个图像,选择他们的点击点,然后继续洗牌,直到视口到达该区域。在被问及时,几乎没有洗牌的参与者表示,他们觉得视窗让选择安全点击点变得更容易了。那些经常洗牌的人觉得视口阻碍了他们在图像上选择最明显的点击点的能力,他们必须反复洗牌才能到达这个理想的点。
E.视口详细信息
在密码创建过程中可见的视口必须足够大,允许用户进行某种程度的选择,但又必须足够小,以达到在图像中分布点击点的预期效果。从生理上讲,人眼一次只能观察图像的一小部分。选择一个点击点需要使用视网膜中央凹的高灵敏度视觉,这是视网膜上感光细胞密度高的区域。中央凹的大小限制了中央凹视野到感兴趣目标的直线内大约1度的角度。在正常的电脑屏幕观看距离下,例如60厘米,这将导致在大约4平方厘米的区域内产生清晰的视觉。我们选择视口的大小落在这个锐利的视野范围内。
视口定位算法将视口随机放置在图像上,确保整个视口始终可见,并且用户可以从整个视口区域中选择点击点。这个设计决定的效果是弱化图像的边缘,略微偏向于中心区域。一个潜在的改进是允许视口环绕图像的边缘,从而导致视口在图像的相反边缘上被分割的情况。
F.可变点击点数
提高安全性的一种可能策略是强制执行最小点击点数量,但允许用户选择密码的长度,类似于最小文本密码长度。每点击一次,系统就会继续显示下一张图片,用户将决定在什么时候停止点击并按下登录按钮。尽管大多数用户可能会选择点击次数最少的密码,但那些考虑到安全性和对记忆性有信心的用户可能会选择较长的密码。
F.用户意见和感知
在每次试验中,参与者回答的李克特量表问题与先前引用的研究中报告的问题相对应李克特量表是一种心理测量量表,通常涉及使用问卷调查的研究。这是在调查研究中最广泛使用的缩放反应的方法,因此该术语经常与评分量表互换使用,或者更准确地说,李克特式量表,尽管两者并不同义。该量表是以其发明者、心理学家伦西斯·李克特的名字命名的。用户对PCCP的评价良好(表7.4),所有的中位数回答为中性或更高。他们认为PCCP密码易于创建和输入,但他们在文本密码和图形密码之间保持中立。在计算平均值和中位数之前,这些问题的分数被颠倒了,因此在表7.4中,较高的分数总是表明PCCP的结果越积极
图像

安全

认证系统必须为其预期的环境提供足够的安全性;否则,它就无法实现其主要目标。针对基于知识的认证的攻击分为两大类:猜测攻击和捕获攻击。
A .猜测攻击
在成功的猜测攻击中,攻击者能够在整个理论密码空间中进行彻底搜索,或者预测更高概率的密码(即创建一个可能的密码字典),从而在可控的猜测次数内获得可接受的成功率。现在我们考虑如何利用这些来进行猜测攻击。
基于模式的攻击
其中一种针对PassPoints的攻击是一种基于模式的自动字典攻击,它会优先考虑由按一致的水平和垂直方向排序的点击点组成的密码(包括任何方向的直线、弧线和步进模式),但忽略任何特定于图像的特征,如热点。攻击猜测了在Cars和Pool图像(17个核心图像中的两个)上的实地研究中收集到的大约一半的密码,该字典包含235个条目,而理论空间为243个。
鉴于PCCP密码本质上与沿x轴和y轴、角度、斜率和形状的随机点击点分布难以区分(见技术报告),这种基于模式的攻击对PCCP密码无效。
带有所有服务器端信息的热点攻击
来自少数用户的PassPoints密码可以使用[21]来确定图像上可能的热点,然后可以使用这些热点形成攻击字典。在包含231个条目的字典中,高达36%的Pool映像上的密码被正确猜中。
为了探索这种攻击的离线版本,假设在最坏的情况下,攻击者获得了所有服务器端信息:用户名、用户特定的种子、图像标识符、图像、散列用户密码和相应的网格标识符。攻击者的任务对PCCP来说更加困难,因为不仅热点的流行度降低了,而且必须确定图像的顺序,收集每个相关的图像,从而对每个用户进行定制攻击。在线攻击可以通过限制每个账户的错误猜测次数来挫败。
只有哈希密码的热点攻击
假设攻击者只能访问散列后的密码,例如,如果密码和其他信息存储在单独的数据库中。离线字典攻击变得更加难以处理。最好的攻击似乎是建立一个猜测字典,它的条目是由图像随机组合上最大的热点构成的。
B .捕获攻击
密码捕获攻击是指攻击者通过截取用户输入的数据,或诱骗用户泄露密码,直接获取密码(或密码的一部分)。对于像PCCP、CCP和PassPoints(以及许多其他基于知识的身份验证方案)这样的系统,捕获一个登录实例可以通过简单的重放攻击进行欺骗性访问。我们将主要问题总结如下。
肩窥:所讨论的所有三种线索回忆方案(PCCP、CCP和PassPoints)都容易受到肩窥的影响,尽管迄今为止还没有发表的实证研究考察了威胁的程度。观察点击点的大致位置可以减少确定用户密码所需的猜测次数。用户界面操作,如减小鼠标光标的大小或调暗图像,可能提供一些保护,但尚未经过测试。一个相当复杂的替代方案是让用户的输入对摄像头不可见,例如,通过使用眼球跟踪作为输入机制。
恶意软件:恶意软件是文本和图形密码的主要问题,因为键记录器、鼠标记录器和屏幕刮板恶意软件可以远程发送捕获的数据,或者以其他方式使攻击者可用。
社会工程:对于针对提示召回图形密码的社会工程攻击,必须在各方之间建立一个参考框架,以足够详细地传递密码。一项初步研究[22]表明,对于PassPoints来说,通过口头描述来共享密码是可能的。对于PCCP,可能需要花费更多的精力来描述每个图像和每个点击点的确切位置。图形密码也可能通过拍照、截屏或绘图的方式共享,尽管这比文本密码需要更多的努力。
C.安全分析调查
鉴于热点和点击点集群在PCCP中明显不如CCP和PassPoints那么突出,基于这些特征的猜测攻击不太可能成功。考虑PCCP的图像序列而不是单个图像,进一步降低了猜测攻击的效率。对于捕获攻击,PCCP很容易受到肩滑和恶意软件在密码输入过程中捕获用户输入。然而,由于PCCP的多图像,我们预计社交工程和网络钓鱼比其他提示召回图形密码方案更难。

结论

认证系统的一个重要的可用性和安全性目标是帮助用户选择更好的密码,从而增加有效的密码空间。我们相信,通过更好的用户界面设计,可以说服用户选择更强的密码。例如,我们设计了劝说提示点击点(Persuasive Cued Click-Points, PCCP),并进行了可用性研究来评估其有效性。我们在可用性和安全性方面都获得了良好的结果。
PCCP鼓励并引导用户选择更多随机点击的图形密码。PCCP的一个关键特征是,创建一个安全的密码是“阻力最小的路径”,这使得它可能比那些行为安全会给用户增加额外负担的方案更有效。该方法已被证明有效地减少了热点的形成,避免了肩滑问题,并提供了高安全成功率,同时仍然保持可用性。

致谢

我们感谢我们实验室研究的参与者的时间和宝贵的反馈。本文的部分内容早前发表在出版物[1],[2],[3],[4],[5],[16],[17],[18]。

参考文献























全球科技峰会