圖形化密碼

相較於透過使用者提交用戶帳號和密碼的認證方式，圖形化密碼(Graphic Password)是一種新類型的認證技術，藉著對圖片媒介進行點擊等動作，以改進許 想基礎技術(Recall-based technique)。2. 辨識基礎技術(Recognition-based technique)。或者是依據其使用圖片數量，也可分為grid-based schemes, single-image based schemes和multiple-image based scheme by the features 三種。以下將對回想基礎技術和辨識基礎技術做簡單的介紹。

2.3.1

圖 8 D-A-S 系統示意圖

資料來源：A sample of DAS password[8]

回想基礎技術(Recall-based technique)的方式為要求遠端使用者在登入 時，依靠使用者的記憶，重做他或她在註冊階段所繪製或選擇的圖形的步驟，以 確認遠端使用者的身分。圖8為此項技術基礎的D-A-S方法示意圖，此法透過在一 個四乘四的方格陣中，繪製一個圖案來進行認證，而這個圖案是由使用者在註冊 階段時所自行建立的。

或是另一種圖形化密碼類型，要求使用者在一張圖形畫面上，按順序點選數 個地方作為密碼，此類型的方法以PassPoints[7]為例(如圖9)。

圖 9 PassPoints 系統使用畫面

資料來源：Example of graphical password with click order displayed.[7]

2.3.2

辨識基礎技術(Recognition-based technique)，乃是建構在使用者辨識於註 冊階段，所選取的一組圖片或圖像，透過正確的點選圖形作為認證資訊，向系統 進行身分認證。如圖10，Déjà Vu系統即是一個例子，在系統提出的許多圖片中，

點選使用者先前所選取的圖片，經過幾回合的圖形點選來進行認證。由於辨識基 礎技術的認證模式，是透過滑鼠的點選取代鍵盤的輸入密碼，因此可以有效的抵 擋字典攻擊(Dictionary Attack) [8]。

雖然有些回想基礎技術的認證方法可能會遭受到字典攻擊，不過其破解的難 度也相對於數字字母式密碼方法提高。因此整體來說，圖形化密碼的認證方式相 較於數字字母式密碼的認證方式而言，是有比較好的安全性效果[1][8]。[1]

圖 10 Déjà Vu 系統圖形認證畫面

資料來源："Déjà Vu: A User Study Using Images for Authentication"[2]

由於人類生來對於圖像的辨識和記憶能力就比較好，對於正常人而言，分辨 出不同的圖案、人臉或是地圖，都只需要很短暫的時間就可辦到；但對於電腦要 判斷或分辨這些圖形而言，卻需要耗費大量的計算時間。因此，使用圖形化密碼 的好處便顯而易見；使用者可以快速的記憶圖形化密碼，而企圖攻擊者卻要花上 大量的電腦運算時間才可能破解。此外，圖形化密碼對於字典攻擊與自動化測試 攻擊也有很好的防禦效果，雖然使用者認證的時間會較以往認證方式來的稍長一 些，或許也可能需要額外的硬體設施支援；但隨者硬體元件的技術發展，和使用 上的優勢，相信假以時日，圖形化密碼將會在使用者認證上佔有重要的一席之地。