Gao 等人 [Gao09a] 於 2009 年提出一套可抵擋登入記錄攻擊的圖形化通行碼設 計 — ColorLogin,此設計利用背景顏色減少使用者尋找 pass-icons 的時間,使用者只需 尋找畫面中一種背景顏色上的 icons 即可。以下將介紹 ColorLogin 並深入分析此設計。
3.3.1 ColorLogin 之簡介
此設計包含註冊階段與登入階段。在註冊階段 (如圖 3.6),使用者需先選定所需要 的安全等級以決定使用者登入時須完成的挑戰次數:低安全等級 (須完成 1 次挑戰)、中 安全等級 (須完成 2 次挑戰)、高安全等級 (須完成 3 次挑戰),也可依使用者喜好定義 更多次的挑戰。接著,使用者從系統給定的 C ( 3 ≦ C ≦ 5 ) 種顏色中選取一種顏色當 作 pass-icons 的背景色,並從系統提供的 Nc個 icons 中選取 k 個作為 pass-icons。
在登入階段,系統隨機挑選 n×n 個 icons 並依顏色區塊分佈在畫面上,每個 icon 均有其 背景顏色,使用者只需在註冊時所選的顏色區塊尋找 pass-icons。在顏色的配置上,每
圖 3.6:ColorLogin 之註冊畫面
面上會出現 h 個 pass-icons ( h ≦ k )並被分配在畫面上的相異列上。以 (圖 3.7) 為例,
每一列 (行) 3 種顏色各出現 3 次,圖中圈選的兩個 icons 為 pass-icons,分別位於第一列 及第四列。使用者在登入時需在註冊所選的顏色上找到 pass-icons 並點擊 pass-icons 所 在列上任意點,此時該列的所有 icons 立刻被 lock icons 取代,依此方式點擊 h 次以完成 一次挑戰。如 (圖 3.8) 所示,分別點擊兩列後,兩個 pass-icons 所在的第一列及第四列 被 lock icons 取代。使用者必須完成註冊時所設定的挑戰次數才能登入。
3.3.2 ColorLogin 之評析
通行碼空間使用者在註冊時須先從系統提供的 C 個顏色中選擇一個背景顏色,再從該背景色的 個 icons 中選擇 k 個作為 pass-icons,考慮 pass-icons 與非 pass-icons 出現頻率的問題,
C、k、 須盡量滿足 ,(C, k, ) 可為 (3, 3, 40)、(4, 4, 72) 或 (5, 5, 112),因
此 ColorLogin 的通行碼空間為 。
圖 3.7:ColorLogin 之登入畫面 圖 3.8:ColorLogin 點擊兩列後的畫面
意外登入抵擋能力
由於在一次挑戰中登入畫面上必會出現 2 個 pass-icons,使用者須點擊任 2 列以回 應挑戰,假設使用者須完成 3 次挑戰才可登入,則意外登入機率為
。使用者在註冊時可定義登入時須完成的挑戰次數,提高須完成的挑戰次數可降低 意外登入機率,但同時也增加了使用者的登入時間。
登入記錄攻擊抵擋能力
由於使用者在登入時須先識別出畫面中 2 個 pass-icons 的位置並點擊 pass-icons 所 在的兩列,攻擊者可藉由登入記錄攻擊取得多次登入畫面,並將這些登入畫面分析比對 即可排除不可能是 pass-icons 的組合數,假設 T 為攻擊者完整記錄使用者的登入次數,
則登入記錄攻擊成功機率為
其中分母代表攻擊者利用 T 次登入記錄攻擊取得之畫面分析比對後,剩餘可能為 pass-icons 的組合數。 代表一個登入畫面中,系統從使用者的 5 個 pass-icons 隨機挑 選出 2 個之組合數。 代表混淆 icons 的組合數,
代表一個畫面中符合 登入條件的比例 (畫面中有 15 列,使用者須點擊任 2 列),且每記錄一次登入過程即得 到 3 個登入畫面,扣除第一個用來比對的畫面還剩下 個畫面可以用來比對。
(圖 3.9) 為 ColorLogin 中攻擊者記錄次數與攻擊成功機率之關係,其中橫坐標代表攻擊 者完整記錄次數 T、縱座標代表攻擊成功機率 。由此圖可知,ColorLogin 約可抵擋 1
次的登入記錄攻擊,當攻擊者記錄 2 次登入過程,成功破解機率即達到 86%,因此 ColorLogin 之登入記錄攻擊抵擋能力較不理想。
邊角效應
由於使用者須點擊 pass-icons 所在列的任一個位置,即使使用者點擊位置位於畫面 角落也不代表使用者的 pass-icons 一定出現在角落,因此攻擊者無法藉由邊角問題取得 使用者的登入資訊,故 ColorLogin 無邊角效應問題。
使用性
在登入階段,由於使用者只須尋找註冊時選定的背景色上的 icons 即可,不須搜尋 全畫面的 icons,當畫面中有 5 個背景色時,使用者僅須搜尋其中一色的 icons 即可,約 可縮短 4/5 倍的 pass-icons 尋找時間,相較於前三套設計,ColorLogin 具有不錯的使用 性。(表 3.1) 為 Gao 等人 [Gao09a] 在他們的研究中有針對其設計進行使用性的實驗,
圖 3.9:ColorLogin 中攻擊者記錄登入次數與攻擊成功機率之關係
其實驗結果顯示,若登入的 Grid size 為 15×15,登入時須完成的挑戰次數 R=3,則使用 者約需費花 15.2 秒完成登入過程。