使用者可自行定義的通行機制

再來是由 Yung（2008）[14]所提出的一套方法，它的重點在於認證過

24

程的細節可由使用者來自訂，他提出了兩種作法，首先是類似密碼學中的 替換（substitution），由於語言本身具有的特性，用來加密有語意且具有語 言結構的資訊時有遭受分析歸納的可能，他提出了將之應用在登入時的密 碼加密，一種利用密碼學中的替換實現肩窺抵禦的機制。

至於替換機制設定方式要從註冊階段說起，建立帳號與讓使用者設定

密碼的介面如圖 17。首先使用者必須選擇構成驗證碼的座標點與字母替換 的規則。Pass Position 欄位讓使用者去指定由畫面上矩陣中的哪幾個位置來 產生驗證碼；Substitution 則是讓使用者去定義驗證碼裡出現的字母要如何 替換成登入密碼，如圖 18 所示。

圖 17：矩陣樣式及設定畫面

使用登入系統時，先進行帳號的確認，輸入帳號後畫面上會出現五個 5

乘 5 的矩陣，矩陣內每個元素都是隨機的字元集合，包含數字 0-9 與 A-Z 共 36 個字元所構成的集合中的隨機結果。而在這五個矩陣中，使用者依之 前在 Pass Position 的設定，查看自己所選定的矩陣中的位置上的字元為何，

將這些字元組成驗證碼，並套入當初自己設定的字母替換規則將驗證碼轉 換完後，打入底下的 Password 欄位當作此次登入使用的密碼。

25

圖 18：字元替換設定介面

簡單來說，就是將隨機產生的矩陣內容所形成的驗證碼，透過自訂的

替換規則產生真正密碼，雖然安全，不過替換的規則包含數字加英文字最 高可達 36 條，一般人恐怕不易記憶，可能會將規則抄在小紙條上而增加規 則曝光的風險。

此作者提出的第二種作法就是自訂式的肩窺抵禦登入方法

：FMNS。

FMNS 是 Five Matrices Numeric System 的縮寫，登入與認證介面與上述相 似，不過將五個矩陣的個別元素改為二位數的隨機數字，如圖 19。

圖 19：數字矩陣內容

FMNS 發揮了使用者定義的這種精神，允許使用者去定義自己的密碼

規則，為了達到肩窺抵禦的效果，使用者必須利用隨機產生的五個矩陣作

26

為規則套用時的運算資料來源。

建立帳號及定義規則的過程主要是使用類似簡化過的 C 語言的方式來

寫出使用者的密碼規則，例如圖 20 中，第一行的 Pass 部分，代表使用者選 定了隨機內容的矩陣中的 CA、CG、CM、CS、CY 等五個位置，由這些位 置對應到的五個元素以自訂方式來構成通行碼，並在剩下的規則中對這串 通行碼進行一些例如替換或是運算的動作，最後把經過規則運算處理的通 行碼當作此次登入所用的密碼。另外也提供類似 C 語言中存取矩陣時 A[i]

的寫法，其 index 值限制在 1~125，代表的意義是對應到文字座標表示的 AA、AB、…、EX、EY 這 125 個，隨機矩陣中該位置的字元。

圖 20：密碼規則編輯畫面

此方法同樣是藉由將驗證碼經過規則轉換成實際密碼的方式，不過作

者也有提到這套方法雖然比單純的文字替換法更安全，但可能僅適合有資 訊背景的人使用，對於一般沒有接觸過程式設計的人來說，手動設計一套 以程式語言為基礎的規則，或是記憶這些簡化 C 語言產生的規則，可能稍 嫌困難。

在文檔中 關於密碼系統抵抗側錄攻擊之研究 (頁 33-36)