由於目前多數使用者長期習慣記憶文字通行碼,若改使用以圖形為主的圖形化通行 碼設計可能有適應上的問題,且當使用者同時使用的多套系統的相異圖形化通行碼設計 時,使用者的記憶負擔將因須記憶過多圖片而大幅增加。因此,近年來有另一類圖形化 文字通行碼 (Graphical Text-Based Password) 設計被提出。Zhao 等人 [Zhao07] 在 2007 年提出一套名為 S3PAS 的防登入記錄攻擊的圖形化文字通行碼設計,其設計理念與 CHC 設計類似。註冊時,使用者須設定並記憶文字通行碼;登入時,使用者須在登入 畫面上依序找到自己的前三個 pass-character,並輸入由前三個 pass-character 所圍成的 Convex Hull 區域內之任一字元以回應挑戰,接著,使用者須在畫面上識別第 2 至第 4 個 pass-characters,並輸入由第 2 至第 4 個 pass-characters 所圍成的 Convex Hull 區域內 之任一字元以回應挑戰,依此類推直到使用者完成所有挑戰。然而,其意外登入抵擋能 力與登入記錄攻擊抵擋能力皆不及 CHC,且同樣存在邊角效應等安全問題。2008 年,
Hoanca 和 Mock [Hoan08] 提出一套防登入記錄攻擊之圖形化文字通行碼設計。註冊時,
使用者須設定並記憶其文字通行碼;登入時,使用者須在登入畫面上找到三個自己的文 數字通行碼 (alphanumeric password),例如:CD3,之後再輸入能與 CD3 形成平行四邊 形且為 C 的對角的字元即可完成登入。然而,若登入畫面太小,則通行碼可能因可選擇 的字元數過少而易被破解;反之,若登入畫面太大大,則可選擇的字元數較多而使得使 用者在找平行四邊形時較為困難而影響登入時間及成功率。
我們 [Chen11b] 在 2011 年亦提出了一套防登入記錄攻擊的圖形化文字通行碼設 計 — T-RiS,此設計理念與 RiS 相似,但使用文字 (alphanumeric) 取代 icons,使用者 亦可依環境有無登入記錄攻擊以選擇較合適的登入模式。註冊時,使用者須設定並記憶 文字通行碼;登入時,使用者須移動中圈,使得中圈上的 pass-character 落在由中心點、
內圈的 pass-character 以及外圈的 pass-character 所構成的扇形區域內以回應挑戰。2011 年 , Sreelatha 等 人 [Sree11b] 提 出 了 兩 套 防 登 入 記 錄 攻 擊 的 圖 形 化 文 字 通 行 碼 Paired-Based Scheme 與 Hybrid Textual Authentication Scheme,此兩套設計分別透過文字 及顏色產生相對應的 session passwords,藉此抵擋登入記錄攻擊。然而,Hybrid Textual Authentication Scheme 的使用者不僅要記憶顏色順序,登入時還須將顏色順序再次對應 至畫面中的列與行,因而導致使用者的記憶負擔大且使用性差。Kim 等人 [Kim11] 於 2011 年提出一套防登入記錄攻擊的圖形化文字通行碼設計,其設計理念與實體密碼鎖類 似,使用者須透過上/下轉動的方式使通行碼出現在畫面中以回應挑戰。此外,由於登入 記錄攻擊抵擋能力較為複雜而不易分析,過去防登入記錄攻擊的圖形化通行碼的設計者 多僅以主觀、籠統、不精確的定性分析或較不具代表性的小型實驗說明其設計的登入記 錄攻擊抵擋能力,欠缺客觀、精確、具說服力的分析方法。因此,Kim [Kim11][Kim12]
等人亦針對他們所提出的設計之意外登入抵擋能力與登入記錄攻擊抵擋能力進行量化 分析,雖然其部份的分析有誤,但對於登入記錄攻擊抵擋能力的量化分析研究上仍具有 參考價值。
RiS 介紹及其分析與模擬實驗
2002 年,Sobrado 和 Birget [Sobr02] 提出一套防登入記錄攻擊之圖形化通行碼設 計— Movable Frame。在此設計中,登入畫面上有兩個區域,分別是外框架 (Frame) 上 與框架內區域,外框架可轉動而框架內區域固定不動。登入時,框架內區域會出現兩個 pass-icons 而外框架上僅有一個 pass-icon,使用者需要移動外框架使得三個 pass-icons 連 成一直線以完成一回合的挑戰,使用者須成功完成數回合的挑戰才可成功登入。然而,
2006 年,Hartanto 等人 [Hart06] 的研究告報中指出 Movable Frame 設計的缺點為使用 者在登入時難以將三個 pass-icons 對準成一直線,使得成功登入的機率偏低 (登入成功 率 69%)。針對此問題,我們 [Chen11a] 在 2011 年提出了一套防登入記錄攻擊的圖形化 通行碼設計 ─ RiS,在此設計的登入介面中利用圓形排列的 icons 改善 Movable Frame 設計中 pass-icons 難以對齊的問題,降低登入失敗率。然而,由於我們先前對 RiS 的分 析不夠深入、部分安全性量化公式的推導不夠精確、RiS 原實作雛型在實務上的考量不 足而影響到安全性與使用性,且缺乏完整的安全性模擬與使用性實驗以驗證理論分析的 正確性,因此我們繼續改進 RiS 實作雛型、更深入分析 RiS 的安全性與使用性,並透過 安全性模擬與使用性實驗以驗證我們的理論分析結果。以下將先介紹 RiS 與改良的實作 雛型,以及修正的安全性與使用性理論分析結果,並接著介紹我們對 RiS 的安全性模擬 與使用性實驗結果。
本節將介紹 RiS 及其改良實作雛型,符號說明如下:N 為正整數,表示系統 icons pool 的大小,即系統所提供的 icons 總數;k 為不小於 3 之正整數,表示使用者須選擇之 pass-icons 數量;n 為 3 的倍數,表示一次挑戰中畫面顯示之所有 icons 數量。此外,為 了抵擋攻擊者對多次的登入畫面進行交叉比對,須使每次 pass-icons 與 decoy-icons 被選 中顯示在畫面上的機率相同,意即 n/N 的比值必須與 3/k 的比值相同。RiS 包含註冊和 登入兩階段,依序分述如下。
3.1.1 註冊階段
系統提供 N 個 icons 作為 icons pool,使用者須從中選擇並記憶 k 個 icons 做為 pass-icons,即 graphical password。系統會建議使用者在無登入記錄攻擊之環境進行註冊。
同時,系統會使用 SSL/TLS [SSL11][TLS08] 或任何其它的安全傳輸機制與使用者建立 安全通道 (secure channel) 保護使用者與系統之間的傳輸訊息。此外,使用者必須註冊 一個 e-mail address,當使用者的帳號被鎖住時,必須使用此 e-mail address 來進行解鎖,
此機制將於本節後面進行詳細說明。
3.1.2 登入階段
登入畫面包含三個同心圓,由外而內分別是外圈、中圈及內圈,每個圓圈平均分割 成 n/3 個格子放置 icons,每圈上的格子會與其它兩圈切齊以方便使用者移動時對齊,如 (圖 3.1)。使用者可依登入時所處的環境是否存在登入記錄攻擊之威脅而選擇有登入記錄
式);LR1 登入模式為預設模式,使用者可點 擊畫面上“Switch to LR0”按鈕切換至 LR0 登入模式。LR1 登入模式的每個挑戰中,系統 會 隨 機 挑 選 3 個 pass-icons 和 n - 3 個 decoy-icons 隨機且平均放入外圈、中圈及內 圈,使得每圈恰有 1 個 pass-icon 和 (n-3)/3
個 decoy-icons。內圈及外圈上的 icons 是固定的,而中圈上的 icons 可透過滑鼠滾輪或 點擊“Rotation”按鈕組進行順時鐘或逆時鐘的轉動,轉動時,中圈上的所有 icons 會同 時往順時鐘或逆時鐘方向移動一格。使用者必須辨識出 pass-icons 並轉動中圈上的 icons 以回應挑戰。在 LR1 登入模式中,使用者須完成 r 次挑戰。此外,使用 LR1 登入模式 時,系統會強制禁止使用者將滑鼠指標移動至 icons 顯示區域。在 LR0 登入模式中,系 統隨機挑選 3 個 pass-icons 和 n-3 個 decoy-icons 隨機且平均放入外圈、中圈及內圈,
使得每圈恰有 1 個 pass-icon 和 (n-3)/3 個 decoy-icons。LR0 登入模式中的 3 圈 icons 皆是固定的,使用者須直接點擊出現在畫面中的 3 個 pass-icons 以回應挑戰。為方便使 用者於登入時區別正在使用哪個登入模式登入,分別將 LR1 登入模式及 LR0 登入模式 之背景分別用黃色及藍色標示,並於 LR1 登入模式左上角加入一對眼睛以提醒使用者。
LR1 登入模式和 LR0 登入模式分述如下:
圖 3.1: RiS 登 入 畫面中 三 個 同心 圓 之 說 明 圖
Step 1: 使用者於預設登入模式 (LR1 登入模式) 要求登入。令 i 為已完成的挑戰 數,並設定初始值為 0。
Step 2: 系 統隨 機從 k 個 pass-icons 中 挑 選 3 個 pass-icons ,並從 N - k 個 non-pass-icons 中隨機挑選 n-3 個做為 decoy-icons,系統將挑選出的 pass-icons 和 decoy-icons 分別隨機且平均地擺放於 3 圈,使得每圈恰有 1 個 pass-icon 和 (n-3)/3 個 decoy-icons。
Step 3: 若內圈和外圈的兩個 pass-icons 與同心圓之圓心夾角為 180 度 (意即連成 一直線) 時,使用者須用滑鼠滾輪或點擊“Rotation”按鈕組轉動中圈以使 得中圈上的 pass-icon 落在此直線上 (意即三個 pass-icons 與圓心成一直線);
否則,使用者須使用相同方式將中圈上的 pass-icon 移入由內圈和外圈上之 pass-icons 與同心圓之圓心圍成的扇形區域 (sector region) 內。接著,使用 者點擊“Confirm”按鈕以回應該次挑戰。同時,i=i+1。
Step 4: 若 i<r,系統跳至 Step 2 繼續執行;否則,系統對使用者進行認證。
(圖 3.2) 為 RiS 的改良實作雛型之 LR1 登入模式說明圖,圖中的 3 個紅色圈標記處 為使用者的 pass-icons,藍色線標記圓心、內圈及外圈上的兩個 pass-icons 所形成的扇形 區域,使用者須把中圈的 pass-icon 轉入扇形區域內以回應該次挑戰,圖中的紅色圈和藍 色線僅為說明用並不會在登入時顯示。在實務上,使用者在登入時的一些不當行為可能
導致安全問題。因此我們在 LR1 登入模式畫面中加入明顯警語,提醒使用者勿使用手指 指出畫面中的 pass-icons 以避免攻擊者利用肩窺或隱藏式攝影機等方式直接獲取使用者 的 pass-icons。
LR0 登入模式
使用 LR0 登入模式進行登入時,使用者須完成下列步驟:
Step 1: 使用者在預設的 LR1 登入畫面中點擊“Switch to LR0”按鈕以切換至 LR0 登入模式。
Step 2: 系統隨機從 k 個 pass-icons 中挑選 3 個 pass-icons ,並 從 N - k 個 non-pass-icons 中隨機挑選 n-3 個做為 decoy-icons,系統將挑選出的
Step 3: 使用者須識別並正確點擊他們的 pass-icons。若顯示在畫面中的 pass-icons 皆被點擊到且沒有任何 decoy-icons 被點擊,則系統對使用者進行驗證。
(圖 3.3) 為 RiS 的改良實作雛型之 LR0 登入模式說明圖,登入畫面中具明顯警語,
提醒使用者若處於有登入記錄攻擊的環境中須點擊“Switch to LR1”按鈕切換回 LR1 登入模式。圖中的 3 個紅色圈標記處為使用者的 pass-icons,使用者須分別正確點擊以
提醒使用者若處於有登入記錄攻擊的環境中須點擊“Switch to LR1”按鈕切換回 LR1 登入模式。圖中的 3 個紅色圈標記處為使用者的 pass-icons,使用者須分別正確點擊以