Chameleon 包含註冊和登入兩階段,分述如下。
4.1.1 註冊階段
使用者的通行碼包含兩個部分,第一個部分為使用者須設定長度為 L (8≦L≦15) 個字元的傳統文字通行碼 pass-string,此 pass-string 由 26 個大寫英文字母 (A~Z)、
26 個小寫英文字母 (a~z)、數字 (0~9) 及 28 個常見的 qwerty 鍵盤符號所組成,
如 (圖 4.1);第二個部分為使用者從系統所提供的固定 6 個 icons 中選擇 1 個 icon 作為其 particular-icon。在註冊時,系統會使用 SSL/TLS [SSL11][TLS08] 或任何 其它的安全傳輸機制與使用者建立安全通道 (secure channel) 保護使用者與系統 之間的傳輸訊息,並提醒使用者須在無擷取攻擊之環境進行註冊。此外,使用者 必須註冊一個 e-mail address,當使用者的帳號被鎖定 (disabled) 時,必須使用此 e-mail address 來進行解鎖 (re-enable) 帳號,此機制將於後面詳細說明。
4.1.2 登入階段
使用者在登入時須完成下列步驟:
Step 1: 使用者向系統要求登入。
Step 2: 系統於畫面中顯示一個固定 90 鍵 (包含 26 個大寫英文字母、26 個 小寫英文字母、10 個十進位數字及 28 個常見的 qwerty 鍵盤符號) 的 類 qwerty 鍵盤 (qwerty-like keyboard)。在每個鍵上的右下角有一個 隨機放置的 icon (為註冊時由系統所提供的固定 6 個 icons 中隨機挑
圖 4.1:Chameleon 之註冊畫面說明例
選) ,並使得 16 個鍵上有相同的 icon。在每個鍵上的左下角有一個 color-shape (顏色-形狀),此 color-shape 有 3 種顏色和 5 種形狀,並 使得 6 個鍵上有相同的 color-shape。類 qwerty 鍵盤的正下方有 15 個按鈕,包含 15 個不同的 color-shape (3 種顏色和 5 種形狀) 的回 應按鈕 (responding buttons)、一個“Backspace”按鈕和一個“Finish”
按鈕,如 (圖 4.2)。令使用者的第 1 個通行碼字元為正在輸入之通 行碼字元 (running pass-character)。
圖 4.2:Chameleon 之登入畫面說明例
Step 3: 使用者須找到 running
者須點擊該鍵上左下角 color-shape 所對應到的 color-shape 回應按鈕;
否則,使用者可點擊任意的 color-shape 回應按鈕,當每點擊一次 color-shape 回應按鈕,則每個鍵上右下角 icon 和左下角 color-shape 會重新隨機改變並符合 16 個鍵上有相同的 icon 且 6 個鍵上有相同 的 color-shape。使用者須重複點擊直到 running pass-character 鍵上右 下角的 icon 不是使用者的 particular-icon,之後使用者須點擊該鍵上 左下 角 color-shape 所 對應到的 color-shape 回應按鈕 。此外,
color-shape 回應按鈕背景顏色會在被點擊過後變為如 (圖 4.3) 所示 的紅色。
Step 4: 若 running pass-character 非使用者通行碼的最後一個字元,則系統將 使用者通行碼之下一個字元指定為 running pass-character 並跳至 Step 3。
Step 5: 使用者必須點擊剩餘未變為紅色的 color-shape 回應按鈕,使得 15 個 color-shape 回應按鈕背景顏色皆變為紅色。
圖 4.3:Chameleon 登入過程中被點擊 過的 color-shape 回應按鈕說明例
Step 6: 使用者須點擊“Finish”按鈕以完成輸入程序。若使用者正確地回應挑 戰,則使用者通過系統認證。
在登入過程中,使用者可點擊 “Backspace” 按鈕,以取消之前的回應。為了平 衡登入時間和安全性,我們限制最多點擊 color-shape 回應按鈕為 25 次。此外,
為了避免使用者為了完成剩下未變為紅色的 color-shape 回應按鈕而有明顯不同 的點擊速度而洩漏通行碼長度,當任一個 color-shape 回應按鈕被點擊時,滑鼠 指標會自動變更指標位置,使得使用者較不易於進行連續 color-shape 回應按鈕 位置的點擊。此外,為了減低使用者找尋滑鼠指標而增加使用上的負擔,我們將 其自動變更位置為回到位於中間的 color-shape 回應按鈕上。若使用者連續三次 登入失敗,此帳號將被系統鎖定 (disabled) 而無法再進行登入,系統並將發送一 封解除帳號鎖定用的信件至使用者註冊時設定的 e-mail address,只有在使用者接 收到此解鎖信件並點擊信件中的解鎖連結以進行帳號解鎖後方可再進行登入。