Shoulder surfing 原本指的是站在別人背後,偷看螢幕或鍵盤上資訊的 行為,如果認證過程中,與密碼內容有高度相關的資訊,直接透過鍵盤滑 鼠輸入,或是直接出現在螢幕上的話,透過肩窺就可以把這些資訊一一記 錄下來,進而得知密碼的內容,尤其在上一節提到的一些特殊非傳統密碼,
在這種情況下可能就無法發揮它原本想保護密碼避免被側錄分析的作用。
一般肩窺的情況是被他人偷看到自己的登入過程,例如在圖形密碼的
情況下被從螢幕看到選用的圖片之類,那麼使用者在登入前如果注意一下 周圍的環境是否就能避免這類情況發生?確實,一般人在進行登入程序時,只要注意一下周圍就可以知道有沒有人在偷看,但是有沒有可能即使沒人 在身旁,你的登入過程還是被監視?從先前提到的鍵盤側錄來看是很有可 能的,但這也只局限於鍵盤的部分而已,不過科技在進步,側錄方面的技 術也在慢慢改進,從基本的鍵盤側錄,到後來有針對滑鼠輸入密碼方法的 滑鼠側錄,甚至螢幕畫面的截圖或是錄影都在慢慢增加中,因為在以往電 腦運算能力不強時,在到達滑鼠或螢幕側錄這種側錄等級時,往往會拖慢 使用者的系統效能,因此容易被使用者察覺問題,但是現在電腦運算能力 已進步許多,造成這些進階側錄攻擊可以在不影響系統效能的情況下於系 統中運作,假如防毒軟體沒有適時發現,那麼使用者在作登入時的帳密流 出機會相當大,圖 6 便是這樣的一個例子。
11
圖 6:被側錄工具截取到的資料
資料來源:http://pcuser.pixnet.net/blog/post/26531073
所以當這些側錄工具合併使用的後果,就跟有一位真人站在你背後偷看沒 甚麼兩樣。
因此 shoulder surfing resistance password 的要求就是在只有傳統鍵盤滑 鼠輸入工具的情況下,想出一種非傳統密碼輸入方式,讓側錄工具無法直 接獲得該密碼。
要達到這種條件,由於假設的是側錄工具能完全錄下使用者傳達出的
認證訊息,因此不能讓認證訊息清楚且直接的透露密碼資訊,而在密碼資 訊不精確的情況下,認證過程就要經過不只一次成功才能順利確認該筆認 證,因此登入所需時間通常會比傳統密碼的只需單次成功來得長。而且通常為了混淆側錄工具的視聽,有一種方法是會在一個畫面上出 現上百個物件來引導使用者去注意螢幕上某個位置,這也會讓使用者為了 尋找物件而加長登入所需時間,以及物件過多時造成人眼搜尋上的不便。
12
因此雖然目的在於防止密碼資訊外流,但結果可能讓使用者不方便,
是否能在維持安全性的情況下,縮短登入時間以及增加使用上的直覺及合 理性,將是這類 shoulder surfing resistance password 的重要目標。
13
三、相關研究
本章將介紹一些非傳統密碼的相關研究,首先會介紹早期的圖形密碼 和一些不同型態的非文字密碼,接著介紹的是一些考量到側錄和肩窺問題 的密碼系統,最後是對於以上系統的一些測試以及便利性評估方面的相關 研究。