由於 Sreelatha 等人 [Sree11b] 僅定性描述 Pair-Based Scheme 抵擋登入記錄攻擊的 能力,並未做意外登入與登入記錄攻擊的量化分析,無法提供精確與客觀的分析結果。
因此,我們對 Pair-Based Scheme 進行更深入的安全性分析,我們量化分析其意外登入 成功機率和登入記錄攻擊成功機率。此外,我們也對 Pair-Based Scheme 進行了使用性 的分析,此兩項分析結果可供客觀比較 Pair-Based Scheme 與其它具登入記錄攻擊輕度 抵擋能力的高使用性圖形化文字通行碼設計之用。
通行碼空間
此設計限定文字通行碼長度 L 只能為偶數,假設使用者能選擇的通行碼長度設定為 8 ≦ L ≦ 15,且 Pair-Based Scheme 的通行碼字元集為 36,則 Pair-Based Scheme 的通 行碼空間為
∑
意外登入成功機率
由於使用者在登入時須將文字通行碼分成 組 pass-pairs 並輸入對應的 個 session pass-characters。因此當使用者的密碼長度為 L 時,由於 Pair-Based Scheme 的通 行碼字元集為 36,其意外登入成功機率為 ( ) 。然而,除非攻擊者藉由其它攻擊方法
19
在登入時,使用者須在登入畫面中找出 個 session pass-characters,而每個 session pass-characters 對應到的行跟列中各有一個字元為使用者的通行碼字元,若攻擊者記錄
20
為 ( )( ) ( – ) 。(圖 3.2) 為在不同通行碼長度得情形下,攻擊者取得完整 的登入記錄次數 (T) 與攻擊成功機率的關係圖。從圖中可發現當 T 值大於三的時候,
攻擊成功的機率皆超過 0.2。
使用性
操作負擔使用者不須在登入畫面上進行操作,只須在腦海裡回想文字通行碼並組合成 個 pass-pairs , 接 著 在 系統 顯 示 的登 入畫 面 中搜 尋 與 每組 pass-pairs 相 對應 的 session pass-characters。由於 Pair-Based Scheme 的使用者須組合文字通行碼,因此相較其他設 計,操作負擔較高。
圖 3.2 : Pair-Based Scheme 中攻擊者完整記錄次數與成功機率之關係
21
記憶負擔
在 Pair-Based Scheme 中,使用者只須記憶一組文字通行碼,沒有額外的記憶負擔。
學習難易度
此設計運用了一般使用者熟悉的文字通行碼。然而,使用者在登入時須將文字通行 碼組合並在登入畫面上找出 session-passwords 的方法卻非一般使用者熟悉的操作,使用 者須經過較長時間的練習,因此學習難易度略高。
成功登入機率
Sreelatha 等人 [Sree11b] 在他們的研究中並未分析 Pair-Based Scheme 的成功登入 機率,且並未釋出相關程式以供公眾使用、研究與分析,因此我們僅定性分析 Pair-Based
Scheme 的成功登入機率。使用者在登入時須將文字通行碼分成數個 pass-pairs 並在登入 畫面上找到相對應的 session-password,再輸入此 session-password 以通過挑戰,使用者 在送出回應前可藉由重複確認登入畫面並檢查以提高成功登入機率,因此登入成功機率 高。
登入時間
Sreelatha 等人 [Sree11b] 在他們的研究中對其設計進行使用性的實驗,其實驗結果 顯示在使用者通行碼長度為 8 的情況下,Pair-Based Scheme 的平均登入時間為 30 秒。
22