雷竞技网页版研究与评论-国际期刊雷竞技苹果下载

国际计算机与通信工程创新研究杂志

菜单

在线刊号(2320-9801)印刷刊号(2320-9798)

所有提交的EM系统将被重定向到网上投稿系统.作者被要求将文章直接提交给网上投稿系统各自的日志。

使用图形密码方案的用户认证:一种使用移动界面的更安全的方法

D. D. Walanjkar, Vaishali Nandedkar教授
  1. ME(计算机),PVPIT, Bavdhan,浦那,印度
  2. 印度浦那,巴夫丹,PVPIT信息技术系助理教授兼系主任
有关文章载于Pubmed谷歌学者

更多相关文章请访问国际计算机与通信工程创新研究杂志

国际计算机与通信工程创新研究杂志

摘要

文本密码是密码认证最常用的方法。在今天,互联网的使用日益增加。出于安全考虑,用户选择密码,该密码是基于文本的密码或图形密码。大多数用户使用基于文本的密码,因为这很容易记住。但是使用基于文本的密码的主要缺点是许多攻击可能发生,如窃听攻击,字典攻击,拒绝服务攻击。为了克服基于文本的密码的缺点,使用了新的图形密码。基于点击的图形密码方案提供了一种新颖的方法来解决流行的图形密码系统(如PassPoints)中众所周知的图像热点问题,该问题通常会导致弱密码选择。因此,为了提供用户友好性和保护免受各种安全攻击,使用图形密码是很重要的。在这个图形密码方案中,点击事件是在相同或不同图像上的各个点上执行的。

关键字
图形密码,密码猜测攻击,安全原语,随机问题生成器,CaRP。

介绍
图形密码是一种新的密码技术,它比文本密码更加安全。在图形密码中,将生成一系列单击以获得密码。单击事件在同一图像或不同图像上执行。或者用户也可以选择图像序列。图形化密码可以防止字典攻击,字典攻击是在线应用程序的主要安全威胁。图形密码还提供了对中继攻击的保护。
图形密码的主要动机是假设人们更擅长记忆图像而不是人工文字。可视对象似乎提供了一个更大的可用密码集。例如,用户可以从成千上万的面孔中识别出他认识的人;这个事实被用来实现一个身份验证系统。再举个例子,用户可以选择图像中的一个点序列作为密码,如果图像很大很复杂,而且分辨率也很好,这就产生了大量的可能性。
为了克服基于文本的密码的缺点,图形密码被提出。在大多数方案中,图形密码采用图形表示,如图标、人脸或自定义图像来创建密码。人脑可以很容易地处理图像。由于人类的这一特点,图形密码比文本密码更优越。这些方法假设,如果可能的图片数量足够大,图形密码方案的可能密码空间可能超过基于文本的密码方案,因此它实际上更能抵抗字典攻击等攻击。已经介绍了许多图形密码方案。图形密码技术可以分为两类;基于识别和基于回忆。在基于识别的系统中,一系列图像呈现给用户,成功的认证要求以正确的顺序点击正确的图像。在基于回忆的系统中,用户被要求重现他或她之前在注册时创建或选择的东西。在过去的十年里,人们越来越热衷于使用图形密码来替代传统的文本密码。
本文介绍了用于认证系统的图形密码;图形密码也有可能受到攻击,因此为了克服这种新技术引入的随机问题生成;用户对提供给他/她的问题给出正确答案后,只有用户才能进入系统。

2LITERETURE调查
对图形密码的需求与日俱增,因为图形密码容易回忆,不太可能被写下来,而且它比基于文本的密码有更大的潜力提供更多的符号空间。许多研究人员正在研究图形密码的概念,其中一些人还提出了新的想法,其中一些人仍在努力提出新的想法,以提供与图形密码相关的更安全的方法。目前已经提出了许多方案。1996年,Blonder首次提出了图形密码的概念。在Blonder的方案中,在用户面前显示的图像是用户正在使用的任何视觉显示设备上的预定图像,然后用户必须以特定的顺序选择图像上一个或多个用户已经知道的位置,以访问特定的资源[5]。这种方法的缺点是用户不能点击已知位置以外的其他位置,因此这也与基于文本的密码相同。利用Blonder方案的思想,进一步推广了PassPoint[6]方法,克服了Blonder方案的缺点。在PassPoints[6]中,图像的预定义边界被消除,并且允许使用任意图像。正因为如此,当用户想要创建密码时,他可以点击图像上的任何地方,不受任何边界的限制。在创建密码后,计算每个所选像素的容差,然后对用户进行身份验证,当用户想要访问受限制的资源或任何受限制的应用程序时,用户必须在所选像素的容差范围内单击,并且按正确的顺序单击。
在提示点击点(CCP),一种提示回忆密码技术[7],在该技术中,密码由5个图像序列的每个图像的一个点击点组成。下一个显示是基于之前的点击点,因此用户在登录时可以立即收到关于他们是否在正确路径上的隐式反馈。错误的单击会导致错误的路径,只有在最终单击之后才会显式地指示身份验证失败。CCP相对于PassPoints的优势在于,授权用户在尝试登录时可以在一秒钟内获得关于错误的反馈。当用户看到不正确的图像时,他们知道最近的点击点是不正确的,可以立即取消当前尝试,并重新开始该过程。
在此基础上,提出了基于网格的召回方法。一种叫做“绘制秘密”(DAS)[8]的技术,用户在2D网格上绘制密码。这幅图在网格上的坐标按顺序存储。在认证过程中,用户必须重新绘制图片。如果绘图以相同的顺序接触网格,则用户被验证。DAS的主要缺点是对角线难以绘制,当用户选择的绘图包含笔画过于接近网格线时,可能会出现困难。为了正确输入密码,用户必须将他们的输入距离网格线和交点足够远。如果用户在网格线或交点附近绘制密码,则方案可能无法区分用户选择的单元格。一种通过用户使用鼠标[9]绘制其签名来进行身份验证的系统。这种方法的最大优点是不需要死记硬背签名,而且签名很难伪造。然而,并不是每个人都熟悉使用鼠标作为一种书写设备;因此,签名很难画出来。A graphical authenticationscheme [10] in which the user selects certain number of imagesfrom a set of random pictures during registration. Later userhas to identify the pre-selected images for authentication. Theusers are presented a set of pictures on the interface, some ofthem taken from their portfolio, and some images selectedrandomly. For successful authentication, users have to select‘their’ pictures amongst the distracters.
Passface是真实用户公司开发的一种技术,基于人们更容易记住人脸而不是其他图片的假设。在这里,用户被要求从人脸数据库中选择四张人脸图像作为密码。这些技术有可能填补传统身份验证技术之间的空白,包括安全级别、费用和容错性之间的权衡。但不幸的是,上述密码方案都有一个共同的弱点:它们都很容易受到肩滑攻击。为了解决这个问题,图形密码技术[12]。在他们的方案中,系统首先在许多其他对象中显示3个pass对象(由用户预先选择)。要通过认证,用户需要识别pass-object,并点击由3个pass-object组成的三角形内部。
可扩展的S3PAS (Shoulder-Surfing)密码认证方案[13]。在该方案中,为用户提供了由93个可打印字符组成的登录映像。要登录,用户必须在图像中找到所有他/她的原始pass-字符,然后在不可见的三角形(称为pass-三角形)内单击一些按钮。通过三角形是由3个原始的通过字符按照一定的点击规则创建的。在这个方案中,用户传递字符位于传递三角形内。如果用户密码长度是k,那么他必须在不可见的传递三角形内点击k次。在S3PAS中,如果每个通过的三角形区域的大小太大,攻击者能够以更高的概率点击正确的区域。一种基于识别的图形密码方案ecolorlogin[14],它以一种有趣的游戏方式实现,削弱了图形认证的枯燥感。ColorLogin使用背景色,这是一种以前没有考虑过的方法,可以大大减少登录时间。使用多种颜色来迷惑窥视者,同时不给合法用户造成负担。该方案可以抵抗肩冲攻击,但密码空间比基于文本的密码更小。另一种抗肩的算法,用户选择一些图片作为传递对象[15]。 Each pass-object has several variantsand each variant is assigned a unique code. Duringauthentication, the user is challenged with several scenes.Each scene contains several pass-objects and many decoyobjects.The user has to type in a string with the unique codescorresponding to the pass-object. However, these methodsforce the user to memorize too many text strings, and theirshoulder-surfing resistant property is not strong either. In realscenario, these approaches are under-utilized as theauthentications are usually complex and boring for users.
另一种基于识别方案的方法是ClickAnimal[1]。这是一个捕捉方案,在这个马和狗的3D模型中,用于生成具有不同颜色、纹理、姿势和安排它们在草原等背景上的2D动物。当动物被安排在背景上时,一些动物可能会相互重叠,但主要部分不重叠,以便人类识别。ClickAnimal的密码空间比ClickText[1]小,在ClickText中显示字母,但字母不重叠,用户可以轻松单击它们来创建或选择密码。在这里,当用户点击任何字母,然后跟踪位置,以检查用户是否点击正确的字符。clicktext[1]也是基于识别的方案,以生成图形密码

3现有的系统
在现有系统[1]中,使用CaRP (Captch as aRaphical Password)对系统进行认证。在这里,图形密码用于验证用户,而不是基于文本的密码。当用户进入系统后,系统生成图像后,用户输入userID,然后执行点击事件,如果点击事件与系统数据库匹配,则用户认证成功,否则认证失败。上述流程如下图所示:
图像
但是这种方法的问题是,当用户点击图像时,任何人都可以集中注意力并获得密码。因此,针对现有的多个系统问题,提出了一种新的解决方法,并在第四节中对该方法进行了讨论。

四、相关工作
Dhamija和Perrig[11]提出了一种图形认证方案,用户必须识别预定义的图像来验证用户的真实性。在该系统中,用户在配准过程中从一组随机图片中选择一定数量的图像。之后,在登录期间,用户必须从一组图像中识别预先选择的图像进行身份验证,如图1所示。这个系统很容易受到肩滑的影响。
图像
Passface[12]是一种技术,用户看到一个包含9个面的网格,然后选择一个先前由用户选择的面,如图2所示。在这里,用户选择四张人脸图像作为密码,用户必须从另外八张诱饵图像中选择他们的通行证图像。因为有四个用户选择的图像,它做了四次。
图像
Jermyn等人[13]提出了一种名为“Draw- a- secret”(DAS)的新技术,如图3所示,要求用户在2D网格上重新绘制预定义的图片。如果绘图以相同的顺序接触相同的网格,则用户将通过身份验证。该认证方案容易受到肩滑攻击。
图像
Syukri[14]开发了一种通过使用鼠标绘制用户签名来完成身份验证的技术,如图4所示。该技术包括注册和验证两个阶段。在注册阶段,用户用鼠标绘制签名,之后系统提取签名区域。在验证阶段,以用户签名为输入,进行归一化处理,然后提取签名的参数。这种技术的缺点是签名伪造。很多人都不熟悉用鼠标画画,很难在注册时将签名画在相同的周长内。
图像
Blonder[15]设计了一个图形密码方案,用户必须点击预定义位置的大致区域。Passlogix[16]扩展了这一方案,允许用户按正确顺序单击各种项目以证明其真实性。
Haichang等[17]提出了一种新的抗肩滑方案,如图5所示,要求用户在密码图像上有序地画一条曲线,而不是直接点击。这个图形方案结合了DAS和Story方案,为用户提供真实性。
图像

五、拟开展工作
在这个系统中,我们使用同样的CaRP方案来验证用户。但为了提供更安全的方法,引入了移动接口。建议的系统包括以下两个模型:

A .随机问题生成:
如果任何未经授权/不受信任的人知道模式点击基于图形密码,那么很容易进入系统。为了克服这一问题,该方法引入了随机问题的生成。该用户在注册过程中回答问题(20)。然后在数据库中保存密码和问题的图形和他们尊重的答案。

B .回答生成问题的移动界面:
在登录过程中,用户输入基于点击的密码后,如果它是正确的,那么注册过程中保存的问题中的任何两个问题将从注册的问题发送到移动端。如果用户能够正确回答,那么只有登录成功。
系统架构如图6所示;
图像
图像
图像

六。结论
我要感谢Nandedkar教授为我的研究工作提供的建议,这对我的研究工作有很大的帮助。我也要感谢我们的朋友和同学们对我的研究工作给予了及时的建议和反馈。

参考文献
  1. 朱斌B.,闫杰夫,鲍冠博,杨茂伟,徐宁,“Captcha作为图形密码——一种基于人工智能难题的新型安全原语”,《IEEE学报》,第9卷,第6期,2014年6月。
  2. Suo, Y. Zhu,和G. S. Owen,“图形密码:一个调查”,第21届计算机安全应用年会(ASCSAC 2005)。图森市,2005年。
  3. Md. Asraful Haque, Babbar Imam, Nesar Ahmad,“2-ound HybridPassword Scheme”,国际计算机工程与技术杂志(IJCET),第3卷,第2期,July-September(2012),页。579 - 587。
  4. D.Weinshall和S. Kirkpatrick,“你永远不会忘记,但无法回忆的密码”,在计算系统人类因素会议论文集(CHI)中。维也纳,奥地利:ACM, 2004,第1399-1402页。
  5. G. E. Blonder,“图形密码”,朗讯技术有限公司,美国专利-5559961,编,1996年。
  6. Susan Wiedenbeck, Jim Waters, Jean-Camille Birget, Alex Brodskiy和Nasir Memon,“密码点:图形密码系统的设计和纵向评估”,国际人机研究杂志,63:102-127,2005年7月。
  7. Sonia Chiasson, P.C. Van Oorschot,和Robert Biddle,“使用提示点击点的图形密码认证”,第12届欧洲计算机安全研究研讨会(ESORICS), 2007,第359-374页
  8. Ian Jermyn, Alain Mayer, Fabian Monrose, Michael K. Reiter和AvielD。Rubin,“图形密码的设计和分析”,第八届USENIX安全研讨会论文集,华盛顿特区,美国,1999年8月23-26日
  9. A. F. Syukri, E. Okamoto,和M. Mambo,“使用鼠标签名的用户识别系统”,第三届澳大利亚信息安全和隐私会议(ACISP):计算机科学(1438),1998年,第403-441页。
  10. R. Dhamija和A. Perrig。“Déjà Vu:使用图像进行认证的用户研究”。第九届USENIX安全研讨会,2000年。
  11. R. Dhamija和A. Perrig。“Déjà Vu:使用图像进行认证的用户研究”。第九届USENIX安全研讨会,2000年。
  12. 真实用户公司:Passfaces。www.passfaces.com
  13. 杰米恩,我,梅耶,门罗斯,F,瑞特,M,和鲁宾。,“The design and analysis of graphical passwords” in Proceedings of USENIX Security Symposium, August 1999.
  14. A. F. Syukri, E. Okamoto和M. Mambo,“使用鼠标签名的用户识别系统”,第三届澳大利亚信息安全和隐私会议(ACISP):施普林格-计算机科学Verlag讲座讲稿(1438),1998年,第403-441页。
  15. G. E. Blonder,“图形密码”,见朗讯技术有限公司,美国专利,美国,1996年。
  16. Passlogix,网址http://www.passlogix.com。
  17. 高海昌,任忠杰,常秀玲,刘西阳,Uwe Aickelin,“一种新的抗肩滑的图形密码方案
全球科技峰会