Yamamoto 等人 [Yama09] 於 2009 年提出一套可抵擋登入記錄攻擊之圖形化通行 碼設計 — Temporal Indirect Image-Based Authentication (簡稱 TI-IBA)。由於當時的圖形 化通行碼多將 icons 放置在一個登入畫面上,當 icons 數量過多時則會造成畫面擁擠而增 加使用者尋找 pass-icons 的時間,因此 Yamamoto 等人利用以時間換取空間的概念,在 螢幕空間受到限制的情況下顯示更多的 icons。以下將介紹 TI-IBA 並深入分析此設計。
3.4.1 TI-IBA 之簡介
此設計包含註冊階段與登入階段。在註冊階段,使用者需從系統給定的 icons 中選 出 P 個 pass-icons,並自訂登入時需要完成的 Q 次挑戰。在登入階段,畫面上顯示 N 個 icon-sets 的各一個 icon,而每個 icon-set 中有 M 個 icons,且所有 icon-sets 每隔 V 秒 (如:
表 3.1:ColorLogin 中 Grid size (n×n) 及登入時須完成的挑戰次數(R)與 登入時間的關係 [Gao09a]
放 (Slide-Show) 的方式,在較受限的畫面中顯示較多的 icons。其登入畫面的 icons 更 換如 (圖 3.11) 所示,畫面上有 4 個 icon-sets,而每個 icon-set 各有 6 個 icons,畫面更 換順序為:(a)(b)(c)(d)(e)(f)(a)。使用者在登入時必須從畫面中找尋 pass-icon 所屬的 icon-set,並點擊該 icon-set 以完成該次挑戰。
3.4.2 TI-IBA 之評析
通行碼空間由於系統的 icon pool 中提供 N 個 icons 可選擇,使用者在註冊階段須選擇並記憶 k 個 icons 作為 pass-icons,TI-IBA 的通行碼空間為 。取 N = 400、k = 8,則通行碼空間 為 。
圖 3.10:TI-IBA 之運作方式
圖 3.11:TI-IBA 登入時 icons 更換流 程 (a)(b)(c)(d)(e)(f)(a)
意外登入抵擋能力
在每次挑戰中,畫面上顯示 4 個 icon-sets,使用者須點擊任一個 icon-set 以回應挑 戰,故一次挑戰的意外登入的機率為 1/4。在登入時,使用者須完成 3 次挑戰,因此意 外登入機率為 。
登入記錄攻擊抵擋能力
假設登入畫面中有 4 個 icon-sets,每個 icon-sets 使用者在登入時須從畫面中的 4 個 icon-sets 中識別其 pass-icons,並點擊有出現 pass-icons 的 icon-set (只有一個 icon-set 會 有 pass-icons,pass-icon 可能出現多個) 以回應挑戰。當攻擊者得知使用者點擊某個 icon-set,攻擊者即可知道此 icon-set 的 icons 中至少存在一個 pass-images,攻擊者可將 多次藉由登入記錄攻擊取得的畫面分析比對,即可破解使用者的 pass-icons。假設 T 為 攻擊者完整記錄使用者的登入次數,則登入記錄攻擊成功機率為
其中分母代表攻擊者利用 T 次登入記錄攻擊取得之畫面分析比對後,剩餘可能為 pass-icons 的組合數。 代表一個登入畫面中,系統從使用者的 8 個 pass-icons 隨機挑 選出 j 個之組合數。 代表混淆 icons 的組合數, 代表一個畫面中符合登入 條件的比例 (畫面中有 4 個 icon-sets,使用者須點擊任一個 icon-set),且每記錄一次登 入過程即得到 3 個登入畫面,扣除第一個用來比對的畫面還剩下 個畫面可 以用來比對。(圖 3.12) 為 TI-IBA 中攻擊者記錄次數與攻擊成功機率之關係,其中橫坐 標代表攻擊者完整記錄次數 T、縱座標代表攻擊成功機率 。由此圖可知,TI-IBA 設
計約可抵擋 1 次的登入記錄攻擊,當攻擊者記錄 2 次登入過程,成功破解機率即達到 15%,
因此 TI-IBA 之登入記錄攻擊抵擋能力較不理想。
邊角效應
在 TI-IBA 中,即使攻擊者記錄到使用者點擊的位置位於畫面的邊緣角落,但由於 點擊的位置為一組 icon-set,並未直接透露出 pass-icon,攻擊者只能得知 pass-icon 所在 之 icon-set,故此設計並無邊角效應的問題。
使用性
在 TI-IBA 中,影響使用性的因素為畫面中的 icon-sets 數量、icon-set 中的 icons 數 量以及 icons 的切換速度。若為了提高安全性,增加畫面中的 icon-sets 數量及 icon-sets 中的 icons,使用者要看的 icons 就越多,登入時間越長。若為了縮短登入時間而將 icons 的切換速度縮短,則會增加使用者的視覺負擔。
圖 3.12:TI-IBA 中攻擊者記錄登入次數與攻擊成功機率之關係