具擷取攻擊抵擋能力之PIN認證設計

國立臺中教育大學資訊工程學系碩士班

碩士論文

指導教授：顧維祺 教授

具擷取攻擊抵擋能力之 PIN 認證設計

PIN-Entry Methods with Resistance to

Capture Attacks

致謝

從工業工程的領域來到了資訊工程，很慶幸能遇到指導教授顧維祺老師。兩 年來，不論是在學業上或是研究上，多虧有老師不厭其煩地諄諄教誨，今日才能 順利完成學業。在研究過程中，老師一步步引領我發現問題並培養我解決問題的 能力，著實獲益良多。衷心感謝老師平時在課業上和生活上對我們的用心!另外， 感謝擔任本論文的口試委員：林嬿雯教授與洪國寶教授，在口試中給予許多寶貴 建議使得本論文更臻完整，在此致上最誠摯的感謝之意。此外，非常感謝這兩年 授與我專業知識的優秀教師們，顧維祺老師、林嬿雯老師、黃國展老師、王讚彬 老師與賴冠州老師。感謝老師們很有耐心的從基礎的專業知識教起，讓我少了學 習上的挫折，多了做研究的能量。謝謝您們! 能順利完成論文要感謝資安實驗室的伙伴們適時的提供建議，使得研究更完 整與深入，特別要感謝豪駿學弟在程式撰寫上的指教與幫忙。另外也要感謝研究 所的可愛的同學們一起讀書、報告，並在研究上給我靈感與意見，讓這兩年的研 究生活更多采多姿。感謝熱心又可愛的系辦助理瑋珊，辛苦地為我們服務，讓我 們能更專心於課業與研究。 最後要感謝我生命中很重要的人，禹丞。謝謝你一路陪我走過研究的困境與 人生的低潮。在我感到徬徨或難過無助時，謝謝你的支持與鼓勵讓我最終順利完 成了學業。

摘要

PIN (Personal Identification Number；個人識別碼) 被廣泛使用在各式各樣的應用系 統中作為使用者身分認證的機制，然而傳統 PIN 的輸入方式並無法抵擋肩窺攻擊、隱藏 攝影機攻擊、間諜程式攻擊與竊聽攻擊等擷取攻擊，因此有許多可抵擋擷取攻擊之 PIN 認證設計被提出。在本論文中，我們分析了六套現有具代表性的可抵擋擷取攻擊之 PIN 認證設計，包括 IOC、VO、VT、ColorPIN、LIN4與 LIN5。其中，有些擷取攻擊抵擋能 力強之 PIN 認證設計的登入介面與規則較複雜而不易操作與學習，使得使用性較為不足 ；反之，有些 PIN 認證設計的登入介面與規則簡單且容易操作，但對於意外登入或擷取 攻擊的抵擋能力則較弱，意即安全性較為不足。因此，我們提出ㄧ套平衡使用性與安全 性的四位數 PIN 認證設計 — RotPIN (Rotary PIN)，此設計利用黑色與紅色交錯的數字 混淆攻擊者並採用字母標示位置來幫助使用者快速且準確地登入系統。我們並以量化分 析方法證明 RotPIN 在安全性與使用性的平衡上優於其它設計。然而，由於四位數 PIN 認證設計無法滿足安全需求較高的應用環境，因此，我們又提出了一套安全性較高且具 備彈性的八位數 PIN 認證設計 — Flex-RotPIN (Flexible RotPIN)，使用者可根據使用環 境自行選擇合適的安全性設定，登入畫面上運用簡單的標示與提示讓使用者可正確且快 速地登入系統。我們並以量化分析方法分析各安全性設定的意外登入抵擋能力與擷取攻 擊抵擋能力，證明 Flex-RotPIN 具有良好的擷取攻擊抵擋能力與使用性。

Abstract

PIN (Personal Identification Number) is a numeric password that can be used for user authentication. So far, PIN is widely used as the user authentication mechanism in many systems because of its inexpensiveness, easy implementation, and user-friendliness. However, traditional PIN-entry methods are vulnerable to capture attacks, including the shoulder-surfing attack, the hidden-camera attack, the spyware attack, and the wiretapping attack. Thus, many PIN-entry methods that are resistant to such attacks have been proposed. In this thesis, we analyze the security and usability of six existing representative PIN-entry methods, including the IOC method, the VO method, the VT method, the ColorPIN method, the LIN4 method, and the LIN5 method. Unfortunately, none of existing capture attacks resistant PIN-entry methods can provide both sufficient security and good usability in general environment. Therefore, we propose a simple capture attacks resistant 4-digit PIN-entry method, RotPIN, which employs colors to confuse the adversary. We develop a quantitative analysis to verify that RotPIN can achieve a good balance between security and usability in general environment. However, the security strength of 4-digit PIN-entry methods is insufficient for high threat environments. On the other hand, most existing capture attacks resistant PIN-entry method don’t provide flexible resistances to accidental login and capture attacks. Therefore, we propose a flexible capture attacks resistant 8-digit PIN-entry method, Flex-RotPIN. The user can choose the security setting suitable for him/her in that the user can choose either high resistance to accidental login with low resistance to capture attacks, medium resistance to accidental login with medium resistance to capture attacks, or low resistance to accidental login with high resistance to capture attacks. We also develop a quantitative analysis to verify that Flex-RotPIN can achieve both sufficient security and good usability.

目錄

摘 要 ... i Abstract ... ii 目 錄 ... iii 圖 目錄 ... vi 表 目錄 ... vii 第 一章 序 論 ... 1 第二 章 現 有具代表性的可抵 擋擷取 攻擊之 PIN 認證設計 ... 8 2.1 IOC 簡 介與評析 ... 8 2.1.1 IOC 之 簡介 ... 8 2.1.2 IOC 之 評析 ... 10 2.2 VO & VT 簡 介與 評析 ... 12 2.2.1 VO 之 簡介 ... 12 2.2.2 VO 之 評析 ... 14 2.2.3 VT 之 簡介 ... 16 2.2.4 VT 之 評析 ... 18 2.3 ColorPIN 簡介 與評 析 ... 20 2.3.1 ColorPIN 之 簡 介 ... 20 2.3.2 ColorPIN 之 評 析 ... 21

2.4 LIN4 & LIN5簡介與 評析 ... 23

2.4.1 LIN4之 簡介 ... 23

2.4.2 LIN4之 評析 ... 25

2.4.3 LIN5之 簡介 ... 27

第三 章 可 抵擋擷取攻擊之 PIN 認證設計 ― RotPIN ... 31 3.1 RotPIN 介 紹 ... 31 3.1.1 註冊階段 ... 31 3.1.2 登入階段 ... 32 3.2 RotPIN 安 全性 分析 ... 34 3.2.1 PIN 空間 ... 34 3.2.2 意外登 入 抵擋能 力 ... 34 3.2.3 擷取攻 擊 抵擋能 力 ... 35 3.2.4 意外登 入 機率與 擷 取攻擊 成 功機率 乘積之最佳 值 ... 35 3.3 RotPIN 使 用性 分析 ... 36 3.3.1 記憶負 擔 ... 36 3.3.2 學習難 易 度 ... 36 3.3.3 操作負 擔 ... 36 3.3.4 登入 成 功 率 ... 36 3.3.5 平均 登 入 時間 ... 37 3.4 RotPIN 與 其它 具 代 表 性 的 設 計 之 安全性 及 使用性 比較 ... 38 第四 章 具彈性的 可抵擋擷取攻擊 之 PIN 認證設計 ― Flex-RotPIN………39 4.1 Flex-RotPIN 介 紹 ... 39 4.1.1 註冊階段 ... 41 4.1.2 登入階段 ... 42 4.2 Flex-RotPIN 安 全 性分析 ... 48 4.2.1 PIN 空間 ... 48 4.2.2 意外登 入 抵擋能 力 ... 48

4.3.1 記憶負 擔 ... 52 4.3.2 學習難 易 度 ... 52 4.3.3 操作負 擔 ... 52 4.3.4 登入成 功 率 ... 53 4.3.5 平均登 入 時間 ... 53 4.4 Flex-RotPIN 各 安 全設定 之 安全性 與 使用性 比較 ... 54 第 五章 結論 ………. ...55 參考 文 獻 ... 56 著作 目 錄 ... 59

圖目錄

圖 2.1： IOC 的 登 入 說明 圖 例 ... 10 圖 2.2： VO 的 登入 說明 圖 例 ... 13 圖 2.3： VT 的登 入 說明 圖 例 一 ... 17 圖 2.4： VT 的登 入 說明 圖 例 二 ... 17 圖 2.5： ColorPIN 的 登 入 說 明 圖例 ... 21 圖 2.6： LIN4的 登 入 說 明 圖 例 一 ... 24 圖 2.7： LIN4的 登 入 說 明 圖 例 二 ... 24 圖 2.8： LIN4的 登 入 說 明 圖 例 三 ... 24 圖 3.1： RotPIN 的 登 入 說 明 圖 例 ... 33 圖 4.1： Flex-RotPIN 的 註 冊 說 明圖 例 ... 41

圖 4.2： High_RAL _{& Low_R}C A _{... 42}

圖 4.3： Medium_RAL _{& Medium_R}C A _{... 43}

圖 4.4： Low_RAL _{& High_R}C A _{... 43}

圖 4.5： Flex-RotPIN 登 入 說 明 圖例 -Stage 1 ... 45

圖 4.6： Flex-RotPIN 登 入 說 明 圖例 -Stage 2 ... 46

表目錄

表 2.1： 現 有具 代 表性的 可 抵 擋擷 取 攻擊 之 PIN 認 證 設 計 之 比 較 ... 30 表 3.1： RotPIN 與 其 它 具 代 表 性 的 PIN 認 證 設 計 之 比較 表 ... 38 表 4.1： 八 位 數 PIN 的 分 割 方 式 ... 40 表 4.2： Flex-RotPIN 的 分 割 方 式 ... 40 表 4.3： Flex-RotPIN 各 安 全 設 定之 安 全性 與 使用 性 比 較表 ... 54

第一章

序論

文字通行碼 (Textual Password) 一般由字母、數字與符號組成，主要用於使用者身 分認證，具有系統建置容易、不需額外裝置與運作成本低廉等優點，故普遍被各式各樣 的應用系統採用為身份認證的機制。然而，隨著平板電腦與智慧型手機等小型行動裝置 的普及，對年長者或視力較弱者而言，在不具備 qwerty 實體鍵盤或登入畫面較小的裝置 上輸入由字母、數字與符號組成的文字通行碼有其困難度。因此，有許多裝置選擇採用 純數字的文字通行碼 — PIN (Personal Identification Number；個人識別碼) 作為使用者 身份認證的機制，目前常見的 PIN 主要為四至八位數的十進位數字 (包含數字 0 到 9)。 PIN 最早使用於自動櫃員機 — ATM (Automated Teller Machine) 的身份認證機制，之後 被廣泛應用於生活中，如公共場所的個人置物櫃、飯店的保險櫃、電子門鎖、手機密碼 鎖與遠端使用者身分認證等。

然而，傳統 PIN 的輸入方式並無法抵擋擷取攻擊 (Capture Attacks)，包括：肩窺攻 擊 (Shoulder-Surfing Attack)、隱藏攝影機攻擊 (Hidden Camera Attack)、間諜程式攻擊 (Spyware Attack) 與竊聽攻擊 (Wiretapping Attack)，分述如下：

 隱藏攝影機攻擊：攻擊者透過固定式或移動式裝置記錄使用者登入資訊。

 間諜程式攻擊：攻擊者將木馬病毒等間諜程式植入系統藉以取得使用者登 入資訊。

 竊聽攻擊：當使用者透過未採用安全機制保護的開放網路遠端登入系統時， 攻擊者可竊聽傳輸中的使用者登入資訊。

Sobrado 和 Birget [Sobr02] 在 2002 年首先提出三套可抵擋擷取攻擊之圖形化通行碼設 計，包括 Triangle、Movable Frame 及 Intersection。然而之後的研究 [Sobr05] [Wied06] [Hart06] 指出這些設計在安全性和使用性上均有其缺陷與弱點，故後續有不少安全性與 使用性各異之可抵擋擷取攻擊之圖形化通行碼設計被提出 [Hoan05] [Li05] [Zhao07] [Koma08] [Gao09a] [Gao09b] [Yama09] [Zheng09] [Zheng10] [Chen11] [Liu11] [Sing11] [Rao12] [Eeke13] [Kita13] [Luca13] [Mulw13] [Ritt13] [Haqu14]。然而，由於這些設計並 非專門為 PIN 所提出，因此，Roth [Roth04] 等人在 2004 年提出一套具備擷取攻擊抵擋 能力之 PIN 認證設計 ― IOC (Immediate Oracle Choices)，使用者必須正確地完成 16 回 合的挑戰 (每一位數含四回合挑戰) 以登入系統，然而，繁複的登入步驟容易造成使用 者的操作負擔並導致登入時間較長且登入成功率降低。此外，攻擊者若完整擷取一次登 入畫面即可透過交叉比對來排除不正確的 PIN，其擷取攻擊成功機率接近 1。由於 IOC 認證設計有其安全性上的弱點與使用性上的缺點，故後續有不少各類型的可抵擋擷取攻 擊之 PIN 認證設計被提出。

Thorpe [Thor05] 等人在 2005 年提出一套可抵擋擷取攻擊之 PIN 認證設計 — Pass-Thoughts，此設計主要利用人腦分析技術辨識使用者輸入的 PIN。之後，Kumar [Kuma07]

球追蹤技術來辨識使用者輸入的 PIN。然而，Pass-Thoughts 與 EyePassword 都需要額外 搭配高成本的硬體裝置與韌體介面，因此難以廣泛運用。在 2009 年，Shi [Shi09] 等人 提出兩套可抵擋擷取攻擊之四位數 PIN 認證設計 — VO (Variant One) 與 VT (Variant Two)。在 VO 中，登入畫面上有四個同心圓，使用者須點擊各圈對應的旋轉按鈕將 PIN 由內圈至外圈依序對齊以登入系統，但由於畫面上有許多數字與旋轉按鈕，易造成使用 者的操作負擔。因此，Shi 等人提出另一套 PIN 認證設計 — VT，VT 的登入方式與 VO 類似，差別在於 VT 的登入畫面上只有兩個同心圓，因此四位數 PIN 須分為兩階段登入： 第一階段為前兩位數的輸入，第二階段為末兩位數的輸入。VT 雖減少了操作介面的複 雜度，但卻大幅增加了意外登入成功機率。

在 2010 年，Luca [Luca10] 等人提出一套可抵擋擷取攻擊之四位數 PIN 認證設計 — ColorPIN，使用者需記憶一組四位數 PIN 並設定每一位數對應的顏色 (黑色、紅色或 白色)。登入時，PIN pad 上含數字 1 到 9 且每個數字下方有三個不同顏色的字母，使用 者須找到 PIN 並根據 PIN 所對應的顏色找到字母，最後依序輸入字母以登入系統。由於 使用者須長期記憶 PIN 對應的顏色，造成使用者額外的記憶負擔。此外，因 PIN 空間

只有 94_{，故暴力攻擊的成功機率較高。在 2014 年，Lee [Lee14] 提出兩套可抵擋擷取攻}

擊之四位數 PIN 認證設計 — LIN4和 LIN5。LIN4的登入過程包含四回合，使用者先在

第一回合找到 PIN 的第一位數對應的圖形，其餘三回合則將此圖形依序轉動至相對應之

底下。LIN4雖有較高的擷取攻擊抵擋能力但意外登入抵擋能力較低，而 LIN5雖然有較 高的意外登入抵擋能力但卻無法抵擋完整一次的擷取攻擊。

為了提高擷取攻擊的抵擋能力，Bianchi [Bian11] 等人在 2011 年提出ㄧ套以聲音/震 動為基礎的可抵擋擷取攻擊之四位數 PIN 認證設計 — Phone Lock，此設計藉由聲音或 震動傳遞秘密資訊給使用者。若使用者選擇以聲音傳遞秘密資訊則須隨身攜帶耳機方可 登入系統；若使用者選擇以震動傳遞秘密資訊則登入裝置須具備震動功能方可登入系統。 隔年，Bianchi [Bian12] 等人另提出ㄧ套以震動為基礎的可抵擋擷取攻擊之四位數 PIN 認證設計 — Time Lock，此設計之四位數 PIN 由數字 1 到 5 組成且主要透過震動傳遞 秘密資訊給使用者，因此登入裝置須具備震動功能方可登入系統。然而，由於此類設計 的登入裝置需要耳機或具備震動功能，有較高的應用環境限制。另外，利用震動的方式 傳遞秘密資訊可能降低登入成功率並增加平均登入時間。在本論文中，我們並不深入探 討此類設計。 在現有具擷取攻擊抵擋能力之 PIN 認證設計中，有些擷取攻擊抵擋能力強之 PIN 認 證設計的登入介面與規則較複雜而不易操作與學習，使用性較為不足；反之，有些 PIN 認證設計的登入介面與規則簡單且容易操作，但對於意外登入或擷取攻擊的抵擋能力則 較弱，意即安全性較為不足。在本論文中，我們提出一套兼顧安全性與使用性的四位數 PIN 認證設計 — RotPIN (Rotary Personal Identification Number)，本設計利用黑色與紅色 交錯的數字混淆攻擊者並採用字母標示位置來幫助使用者快速且準確地登入系統。然而， 根據 Lee [Lee14] 的研究，四位數 PIN 認證設計的意外登入成功機率與擷取攻擊成功機

們另提出了一套安全性較高且具備彈性的八位數 PIN 認證設計 — Flex-RotPIN (Flexible RotPIN)，使用者在註冊階段可依登入環境選擇適合的安全設定：(一)強意外登入抵擋能 力與弱擷取攻擊抵擋能力；(二)中意外登入抵擋能力與中擷取攻擊抵擋能力；(三)弱意外 登入抵擋能力與強擷取攻擊抵擋能力。在登入階段，標示位置的字母與畫面右上角的 grids 可幫助使用者快速且準確地登入系統。Flex-RotPIN 讓使用者可根據使用環境彈性 選擇適合的安全設定。 在本論文中，我們對 RotPIN 與 Flex-RotPIN 之安全性與使用性分析項目如下： 安全性分析項目

 PIN 空間 (PIN Space)：使用者註冊時可選擇的 PIN 總數量，意即由 0 到 9 所有數字任意組合的總數，PIN 空間越大表示註冊時可選擇的 PIN 總數越 多，抵擋暴力攻擊 (Brute-Force Attack) 的能力也越強。

 意外登入抵擋能力 (Resistance to Accidental Login)：在攻擊者未取得任何 資訊的情況下隨機猜測 PIN 並嘗試登入之成功登入機率稱為意外登入機 率，意外登入機率越低代表意外登入抵擋能力越強。

 擷取攻擊抵擋能力 (Resistance to Capture Attacks)：對於肩窺攻擊、隱藏攝 影機攻擊、間諜程式攻擊或竊聽攻擊等擷取攻擊的抵擋能力。在攻擊者完

 意外登入成功機率與擷取攻擊成功機率之乘積：N 位數 PIN (十進位) 認證

設計的意外登入成功 機率與擷取攻擊成功機率乘積之最佳值為 10N

[Lee14]。

使用性分析項目

 記憶負擔 (Memory Burden)：使用者記憶字母、數字、符號或登入規則等 的負擔。記憶負擔可分為短期記憶負擔 (Short-Term Memory Burden) 與長 期記憶負擔 (Long-Term Memory Burden)。在實務上，記憶項目的數量與 複雜度以及登入規則難易度等都可能影響使用者的記憶負擔。

 學習難易度 (Learning Difficulty)：使用者學習 PIN 認證設計之登入規則的 難易程度。較簡單的登入規則可有較低的學習難易度。

 操作負擔 (Operational Burden)：使用者在登入時所需進行之操作的難易度。 較複雜的操作介面與登入規則常導致較高的操作負擔。

 登入成功率 (Login Success Rate)：使用者成功登入系統的機率。此項目通 常與記憶負擔、學習難易度及操作負擔密切相關。當記憶負擔較高、使用 者較不熟悉登入規則或者登入介面較複雜時，使用者的成功登入機率通常 較低。

在本論文的後續章節中，第二章將介紹並評析現有具代表性的可抵擋擷取攻擊之 PIN 認證設計。接著，第三章將介紹我們提出的一套可抵擋擷取攻擊之四位數 PIN 認證 設計 — RotPIN，並分析其安全性與使用性。第四章將介紹我們提出的一套具彈性的可 抵擋擷取攻擊之八位數 PIN 認證設計 — Flex-RotPIN，並分析其安全性與使用性。第五 章為本論文之結論。

第二章

現有具代表性的可抵擋擷取攻擊之 PIN

認證設計的評析

由於傳統 PIN 的輸入方式無法抵擋擷取攻擊，因此 Roth [Roth04] 等人在 2004 年提 出一套可抵擋擷取攻擊之四位數 PIN 認證設計。而後陸續有許多可抵擋擷取攻擊之 PIN 認證設計被提出，在本章中，我們將介紹六套現有較具代表性的可抵擋擷取攻擊之 PIN 認證設計 (IOC [Roth04]、VO & VT [Shi09]、ColorPIN [Luca09]、LIN4 & LIN5 [Lee14])， 並評析各設計的安全性與使用性。

2.1 IOC 簡介與評析

由於傳統 PIN 的輸入方式無法抵擋擷取攻擊，因此，Roth [Roth04] 等人於 2004 年 提出一套可抵擋擷取攻擊之四位數 PIN 認證設計 — IOC (Immediate Oracle Choice)，此 設計利用黑色與白色在傳統數字鍵盤的背景上色藉以混淆攻擊者，降低擷取攻擊成功機 率。以下將介紹 IOC 並分析此設計。

2.1.1 IOC 之簡介

註冊階段 使用者註冊並記憶一組四位數 PIN。 登入階段 畫面上出現一個包含數字 0 到 9 的傳統數字鍵盤，每個數字背景隨機由系統配置為 黑色或白色且黑色背景與白色背景各占一半。畫面左下角有一個黑底白字的 B 按鈕 (代 表 Black)，畫面右下角有一個白底黑字的 W 按鈕 (代表 White)。登入步驟如下：

Step 1：找到 PIN 的第一位數並根據它的背景點擊 B (Black) 或 W (White)，共執行 四回合，各回合的數字背景由系統隨機配置。

Step 2：找到 PIN 的第二位數並根據它的背景點擊 B (Black) 或 W (White)，共執行 四回合，各回合的數字背景由系統隨機配置。

Step 3：找到 PIN 的第三位數並根據它的背景點擊 B (Black) 或 W (White)，共執行 四回合，各回合的數字背景由系統隨機配置。

Step 4：找到 PIN 的第四位數並根據它的背景點擊 B (Black) 或 W (White)，共執行 四回合，各回合的數字背景由系統隨機配置。

以 (圖 2.1) 為例，假設 PIN 的輸入數字為‘1’時，使用者須依序回應 — 黑、黑、白、 白。由於登入過程中，PIN 的每一位數均需執行四回合的挑戰，因此四位數 PIN 共需完 成 16 回合的挑戰。

圖 2.1：IOC 的登入說明圖例

2.1.2 IOC 之評析

PIN 空間 由於使用者須註冊一組四位數 PIN，且每一位數有 0 到 9 共十個十進位數字可供選 擇，因此 PIN 空間為 104_。 意外登入抵擋能力 攻擊者每次可由 0 到 9 中隨機挑選一個數字進行輸入且 IOC 為四位數 PIN，故意外 登入機率為 4 10 1        al p [Lee14]。

擷取攻擊抵擋能力 由於每一位數的輸入包含四個畫面，畫面上的每個數字都對應到一組黑白組合。若 攻擊者完整擷取一次登入資訊，則有接近 100%的機率可破解 PIN，意即 pca ≈ 1 [Lee14]。 使用性 在登入階段中，由於使用者輸入每一位數都要完成四回合的挑戰，意即四位數的 PIN 需完成 16 回合，故 IOC 的使用者登入時間較長。 意外登入機率與擷取攻擊成功機率乘積之最佳值

根據 Lee [Lee14] 提出的定理，四位數 PIN 之認證設計的意外登入成功機率與一次

擷取攻擊成功機率之乘積的最佳值為 104_{。而 IOC 的意外登入成功機率與一次擷取攻擊} 成功機率之乘積為 4 4 10 1 10 1 _{  }         _ca al p p 意即，IOC 的意外登入成功機率與一次擷取攻擊成功機率之乘積已達最佳值。

2.2 VO & VT 簡介與評析

Shi 等人 [Shi09] 於 2009 年提出兩套可抵擋擷取攻擊之四位數 PIN 認證設計 — Variant One (簡稱 VO) 與 Variant Two (簡稱 VT)。VO 有較強的意外登入抵擋能力，而 VT 則有較強的擷取攻擊抵擋能力。

2.2.1 VO 之簡介

此設計包含註冊階段與登入階段。 註冊階段 使用者註冊並記憶一組四位數 PIN。 登入階段 畫面上出現含四個同心圓的圓盤，每個同心圓上的顏色均相異且被平均切割為十等 份並隨機置入不重複的數字 0 到 9，圓盤由內而外分別為第一、二、三、四圈，第一圈 至第四圈分別對應 PIN 的第一位數至第四位數，圓盤右側有四組與四個同心圓底色對應 的旋轉按鈕。登入步驟如下：

Step 1：在第一圈找到 PIN 的第一位數。

Step 2：在第二圈找到 PIN 的第二位數並點擊第二組旋轉按鈕將它與 PIN 的第一位 數對齊。

Step 3：在第三圈找到 PIN 的第三位數並點擊第三組旋轉按鈕將它與 PIN 的前兩位 數對齊。

Step 4：在第四圈找到 PIN 的第四位數並點擊第四組旋轉按鈕將它與 PIN 的前三位 數對齊。

Step 5：點擊 Enter PIN 按鈕以完成登入。

以 (圖 2.2) 為例，假設 PIN 為“8121”，使用者需由內圈往外圈依序分別找到‘8’、‘1’、‘2’、 ‘1’並點擊各圈對應的旋轉按鈕將它們一一對齊，最後點擊右下角 Enter PIN 按鈕以完成 登入。

2.2.2 VO 之評析

PIN 空間 由於使用者須註冊一組四位數 PIN，且每一位數有 0 到 9 共十個十進位數字可供選 擇，因此 PIN 空間為 104_。 意外登入抵擋能力 攻擊者只要固定任一同心圓並隨意轉動或不轉動其它三個同心圓，因此 VO 的意外 登入機率為 3 10 1        al p 。 擷取攻擊抵擋能力 攻擊者完整擷取一次登入畫面時可取得十組候選 PINs，其中有一組必定為正確的 PIN，因此 10 1  ca p 。 使用性 在登入畫面上數字 0 到 9 分別出現四次，因此畫面上共有 40 個數字；畫面右側有 四組旋轉按鈕，使用者須點擊每一圈對應的旋轉按鈕方可完成登入。然而，這樣的操作 介面可能讓使用者眼花撩亂並增加使用者找尋數字的時間，因此使用性較差。

意外登入機率與擷取攻擊成功機率乘積之最佳值

根據 Lee [Lee14] 提出的定理，四位數 PIN 之認證設計的意外登入成功機率與一次

擷取攻擊成功機率之乘積的最佳值為 104_{。而 VO 的意外登入成功機率與一次擷取攻擊} 成功機率之乘積為 4 3 10 10 1 10 1 _{  }         _ca al p p 意即，VO 的意外登入成功機率與一次擷取攻擊成功機率之乘積已達最佳值。

2.2.3 VT 之簡介

此設計包含註冊階段與登入階段。 註冊階段 使用者註冊並記憶一組四位數 PIN。 登入階段 畫面上出現一個含兩個同心圓的圓盤，每個同心圓上的顏色均相異且被均勻切割為 十等份並隨機置入不重複的數字 0 到 9。圓盤內圈對應至圓盤右側上方第一組旋轉按鈕， 圓盤外圈對應至圓盤右側下方第二組旋轉按鈕。VT 分為兩步驟登入，第一步驟為 PIN 前兩位數的輸入，第二步驟為 PIN 末兩位數的輸入。使用者可自由選擇由任一圈開始， 最後只要將 PIN 依序對齊即可。登入步驟如下：

Step 1：在內圈找到 PIN 的第一位數並在外圈找到 PIN 的第二位數，利用旋轉按鈕 將兩者對齊並點擊 Next Step 按鈕。

Step 2：在內圈找到 PIN 的第三位數並在外圈找到 PIN 的第四位數，利用旋轉按鈕 將兩者對齊並點擊 Enter PIN 按鈕以完成登入。

以 (圖 2.3) 與 (圖 2.4) 為例，假設 PIN 為“1728”，使用者在內圈找到‘1’並在外圈找到‘7’ 將兩者對齊並點擊 Next Step 按鈕，接著在內圈找到‘2’並在外圈找到‘8’將兩者對齊並點 擊 Enter PIN 按鈕完成登入。

圖 2.3：VT 的登入說明圖例一

2.2.4 VT 之評析

PIN 空間 由於使用者須註冊一組四位數 PIN，且每一位數有 0 到 9 共十個十進位數字可供選 擇，因此 PIN 空間為 104_。 意外登入抵擋能力 由於每個同心圓上有十個數字且攻擊者可隨意轉動任一同心圓使內圈與外圈的 PIN 依序對齊，因此任一步驟的意外登入機率為 10 1 _{。VT 的登入共含兩步驟，因此 VT 的意} 外登入機率為 2 10 1        al p 。 擷取攻擊抵擋能力 攻擊者完整擷取步驟一與步驟二登入畫面時分別可取得十組候選 PINs，在任一步驟 中擷取攻擊成功破解的機率為 10 1 _，因此 2 10 1        ca p 。 使用性 設計者將登入畫面的四個同心圓改為各兩個同心圓，使得登入畫面上的數字由 40 個縮減為 20 個，藉此減少使用者的操作負擔。儘管此設計提升了使用性，但在安全性

意外登入機率與擷取攻擊成功機率乘積之最佳值

根據 Lee [Lee14] 提出的定理，四位數 PIN 之認證設計的意外登入成功機率與一次

擷取攻擊成功機率之乘積的最佳值為 104_{。而 VT 的意外登入成功機率與一次擷取攻擊} 成功機率之乘積為 4 2 2 10 10 1 10 1 _                 ca al p p 意即，VT 的意外登入成功機率與一次擷取攻擊成功機率之乘積已達最佳值。

2.3 ColorPIN 簡介與評析

Luca 等人 [Luca10] 於 2010 年提出一套可抵擋擷取攻擊之四位數 PIN 認證設計 — ColorPIN。此設計運用三種顏色 (黑色、紅色與白色) 與間接輸入的概念讓擷取攻擊者 不易獲得正確的 PIN。

2.3.1 ColorPIN 之簡介

此設計包含註冊階段與登入階段。 註冊階段 使用者註冊並記憶一組四位數 PIN 以及由黑色、紅色與白色三種顏色中分別選擇每 一位數對應的顏色。 登入階段 畫面上有 9 個數字 (含數字 1 至 9) 且系統會由 26 個字母中任選 9 個字母分別以黑 色、紅色與白色隨機出現於相異數字下方。使用者須依序找到 PIN 的每一位數所對應的 顏色以回應該顏色的字母，在每次回應後，畫面上的字母會重新由 26 個字母中任選 9 個字母分別以黑色、紅色與白色隨機出現於相異數字下方。登入步驟如下： Step 1：找 PIN 的第一位數並於其下方找到對應的顏色字母，回應該字母進行挑戰。 Step 2：找 PIN 的第二位數並於其下方找到對應的顏色字母，回應該字母進行挑戰。

Step 4：找 PIN 的第四位數並於其下方找到對應的顏色字母，回應該字母完成挑戰。 以 (圖 2.5) 為例，假設 PIN 為“1234”，對應的顏色為 — “黑紅白黑”，則使用者須回應 ‘1’下方黑色字母‘Q’、‘2’下方紅色字母‘F’、‘3’下方白色字母‘H’與‘4’下方黑色字母‘L’以 完成登入。 圖 2.5：ColorPIN 的登入說明圖例

2.3.2 ColorPIN 之評析

PIN 空間 使用者登入時需回應數字下的英文字母，而系統會由 26 個字母中隨機挑選 9 個字 母分佈於相異數字下，因此 PIN 空間為 94 _{(= 6561)。}

意外登入抵擋能力 系統由 26 個字母中隨機挑選 9 個字母置於登入畫面，因此攻擊者正確回應每一位 數的機率為 9 1 _{。由於一次登入共需完成四次回應，其意外登入機率為} 4 9 1        al p 。 擷取攻擊抵擋能力 系統由 26 個字母中隨機挑選 9 個字母置於相異數字下方，當攻擊者完整擷取一次 登入畫面即可得知使用者回應的字母，而每個字母會對應到三個數字，故每一位數擷取 攻擊成功機率為 3 1 。由於一次登入共需完成四次回應，其擷取攻擊成功破解機率為 4 3 1        ca p 。 使用性 使用者除了記憶一組四位數 PIN 外，還需記憶每位數對應的顏色，額外增加使用者 的長期記憶負擔。此外，在數字鍵底下的字母比較小，對年長者或視力較弱者而言容易 造成操作上的困擾。 意外登入機率與擷取攻擊成功機率乘積之最佳值

根據 Lee [Lee14] 提出的定理，四位數 PIN 之認證設計的意外登入成功機率與一次

2.4 LIN

4

& LIN

5

簡介與評析

Lee [Lee14] 於 2014 年提出兩套可抵擋擷取攻擊之四位數 PIN 認證設計 — LIN4與

LIN5，主要運用人對圖形的短暫記憶來登入系統。LIN4與 LIN5的設計相似，差別在於

LIN5比 LIN4多一步驟的輸入。LIN4有較佳的擷取攻擊抵擋能力，LIN5則有較佳的意外

登入抵擋能力。

2.4.1 LIN

4

之簡介

此設計包含註冊階段與登入階段。 註冊階段 使用者註冊並記憶一組四位數 PIN。 登入階段 畫面上出現兩列，上列依序為數字 1 到 0，下列為十個相異的 icons，使用者可利用 下方的 Left 與 Right 按鈕轉動 icons。登入步驟如下：

Step 1：找到 PIN 第ㄧ位數下方的 icon (以 X 表示) 並暫時記憶 icon X，點擊 OK 按 鈕使畫面上的 icons 重新隨機排列。

Step 3：找到 icon X 並點擊 Left 或 Right 按鈕將 icon X 轉動至 PIN 的第三位數下方 ，點擊 OK 按鈕使畫面上的 icons 重新隨機排列。

Step 4：找到 icon X 並點擊 Left 或 Right 按鈕將 icon X 轉動至 PIN 的第四位數下方 ，點擊 OK 按鈕以完成登入。

以 (圖 2.6) 、 (圖 2.7) 與 (圖 2.8) 為例，假設 PIN 為“2371”，使用者先找到 PIN 的第 一位數‘2’並短暫記憶其對應的 icon (○)，點擊 OK 按鈕後，icons 的位置會重新隨機排列。

接著找到 icon (○) 並利用 Left 或 Right 按鈕將它轉動至 PIN 的第二位數‘3’底下，點擊

OK 按鈕繼續進行後續挑戰。

2.4.2 LIN

4

之評析

PIN 空間 由於使用者須註冊一組四位數的 PIN，且每一位數有 0 到 9 共十個十進位數字可供 選擇，因此 PIN 空間為 104_。 意外登入抵擋能力 決定該次登入使用的 icon 後須轉動 icons 進行回應，每個轉動步驟都有 10 1 的機率將 icon 轉動到正確的 PIN 底下，因此意外登入機率為 3 10 1        al p 。 擷取攻擊抵擋能力 每個 icon 會對應到一組四位數 PIN，當攻擊者完整擷取一次登入畫面時可取得十組 候選 PINs，其中一組即為正確的 PIN，因此 10 1  ca p 。 使用性 使用者進行三次回應即可登入系統，但 LIN4 沒有多次錯誤鎖定帳號的設計，因此 意外登入抵擋能力稍嫌不足。

意外登入機率與擷取攻擊成功機率乘積之最佳值

根據 Lee [Lee14] 提出的定理，四位數 PIN 之認證設計的意外登入成功機率與一次

擷取攻擊成功機率之乘積的最佳值為 104_。LIN 4的意外登入成功機率與一次擷取攻擊成 功機率之乘積為 4 3 10 10 1 10 1 _{ }                ca al p p 意即，LIN4的意外登入成功機率與一次擷取攻擊成功機率之乘積已達最佳值。

2.4.3 LIN

5

之簡介

此設計包含註冊階段與登入階段。 註冊階段 使用者註冊並記憶一組四位數 PIN。 登入階段 畫面上出現兩列，上列依序為數字 1 到 0，下列為十個相異的 icons，使用者可利用 下方的 Left 與 Right 按鈕轉動 icons。登入步驟如下：

Step 1：找到 PIN 第ㄧ位數下方的 icon (以 X 表示) 並短暫記憶 icon X，點擊 OK 按 鈕使畫面上的 icons 重新隨機排列。

Step 2：找到 icon X 並點擊 Left 或 Right 按鈕將 icon X 轉動至 PIN 的第二位數下方 點擊 OK 按鈕使畫面上的 icons 重新隨機排列。

Step 3：找到 icon X 並點擊 Left 或 Right 按鈕將 icon X 轉動至 PIN 的第三位數下方 點擊 OK 按鈕使畫面上的 icons 重新隨機排列。

Step 4：找到 icon X 並點擊 Left 或 Right 按鈕將 icon X 轉動至 PIN 的第四位數下方 點擊 OK 按鈕使畫面上的 icons 重新隨機排列。

2.4.4 LIN

5

之評析

PIN 空間 由於使用者須註冊一組四位數的 PIN，且每一位數有 0 到 9 共十個十進位數字可供 選擇，因此 PIN 空間為 104_。 意外登入抵擋能力 決定該次登入使用的 icon 後須轉動 icons 進行回應，每個轉動步驟都有 10 1 _的機率將

icon 轉動到正確的 PIN 底下且 LIN5比 LIN4多一回合，因此意外登入機率為

4 10 1        al p 。 擷取攻擊抵擋能力

由於 icon 在 Step 5 轉回 PIN 的第一位數底下，攻擊者即可透過比對得知該次登入

使用的 icon 並得知正確的 PIN，因此 p_ca 1。

使用性

為了降低意外登入機率因而要求使用者進行 Step 5 的挑戰，此舉不僅增加了使用者 的操作負擔，使得登入時間變長，同時也讓擷取攻擊破解機率接近 1。

意外登入機率與擷取攻擊成功機率乘積之最佳值

根據 Lee [Lee14] 提出的定理，四位數 PIN 之認證設計的意外登入成功機率與一次

擷取攻擊成功機率之乘積的最佳值為 104_。LIN 4的意外登入成功機率與一次擷取攻擊成 功機率之乘積為 4 4 10 1 10 1 _{  }         ca al p p 意即，LIN5的意外登入成功機率與一次擷取攻擊成功機率之乘積已達最佳值。

2.5 現有具代表性的可抵擋擷取攻擊之 PIN 認證設計的比較

我們以相同或相近的參數設定比較本章所分析的設計，(表 2.1) 為本章分析的六套 現有具代表性的可抵擋擷取攻擊之 PIN 認證設計的安全性與使用性比較表。 表 2.1：現有具代表性的可抵擋擷取攻擊之 PIN 認證設計的比較 設 計 比 較 項 目

IOC VO VT ColorPIN LIN4 LIN5

PIN 空 間 104 ₁₀4 ₁₀4 ₉4 ₁₀4 ₁₀4 意 外 登 入 抵 擋 能 力 意 外 登 入 成 功 機 率 10 4 103 102 94 103 104 錯 誤 登 入 控 制 機 制 無 無 無 無 無 無 擷 取 攻 擊 成 功 機 率 1 10 1 102 34 101 1 使 用 性 操 作 負 擔 高 高 低 高 低 中 記 憶 負 擔 低 低 低 高 中 中 學 習 難 易度 低 中 中 高 中 中 登 入 成 功率 中 高 高 中 高 高 平 均 登 入 時 間 (秒 ) 23.28 11.7 10.57 8.9 8.9 11.2

第三章

可抵擋擷取攻擊之 PIN 認證設計 ― RotPIN

儘管目前已有許多可抵擋擷取攻擊之 PIN 認證設計被提出，但有些可抵擋擷取攻擊 之 PIN 認證設計為了提升擷取攻擊的抵擋能力，使得登入介面與規則較為複雜而不易操 作與學習；反之，有些可抵擋擷取攻擊之 PIN 認證設計的登入方式很簡單易懂，但對於 擷取攻擊的抵擋能力則較差，例如：只能抵擋偷窺者於使用者登入系統時在一旁窺視的 肩窺攻擊。在本章中，我們將提出一套平衡使用性與安全性的可抵擋擷取攻擊之四位數 PIN 認證設計 — RotPIN。以下，我們將介紹 RotPIN 並分析其安全性與使用性。

3.1 RotPIN 介紹

本設計利用黑色數字與紅色數字來混淆攻擊者，藉以強化擷取攻擊的抵擋能力。 RotPIN 的設計包含註冊階段與登入階段，分述如下：

3.1.1 註冊階段

使用者與系統使用 SSL/TLS [SSL11] [TLS08] 或任何其它的安全傳輸機制建立安全 通道 (Secure Channel) 以保護使用者與系統之間的訊息傳輸，並提醒使用者須在無肩窺 攻擊、隱藏攝影機攻擊與間諜程式攻擊之環境下進行註冊。系統提供之字元集包含十個

3.1.2 登入階段

使用者與系統使用 SSL/TLS [SSL11] [TLS08] 或任何其它的安全傳輸機制建立安全 通道以抵擋竊聽攻擊。接著，使用者須完成下列步驟以登入系統： Step 1： 使用者輸入 ID 以要求登入系統。 Step 2： 系統於登入畫面中顯示一個圓盤，此圓盤被平均分割為 20 個 slots，slots 上顯示黑色與紅色交錯的數字 (0 到 9)，每個數字隨機擺放。畫面的 右下角有一組 Rotation 按鈕、一個 Confirm 按鈕與一個 Finish 按鈕。 在圓盤的外圍有 A 到 T 共 20 個字母用來標示圓盤上每個 slot 的位置。 Step 3： 使用者隨意找到黑色或紅色 PIN 的第一位數，該顏色稱為 pass-color， 該數字所在位置稱為 pass-slot。使用者需暫時記憶 pass-color 與 pass-slot 並點擊 Confirm 按鈕讓登入畫面上的數字重新隨機排列。令參數 i = 2。 Step 4： 使用者找到與 pass-color 相同顏色之 PIN 的第 i 位數，並將該位數轉動

至 pass-slot 中，接著點擊 Confirm 按鈕讓登入畫面上的數字重新隨機 排列。令參數 i = i + 1，若 i < 5，則回到 Step 3。

Step 5： 使用者點擊 Finish 按鈕以完成登入。

(圖 3.1) 為 RotPIN 的登入範例，假設使用者的 PIN 為“5139”，使用者在登入畫面任意找 到黑色或紅色的第一位數‘5’並暫時記憶該 pass-color (本例中，pass-color 為黑色) 與其 所在的位置 pass-slot (本例中，pass-slot 為‘S’)，接著點擊 Confirm 按鈕，登入畫面上的 數字將重新隨機排列。接著，使用者根據 pass-color 找到黑色的第二位數‘1’並將其轉入

末兩位數‘3’與‘9’的輸入與第二位數‘1’的輸入規則相同，在最後將黑色‘9’轉入 pass-slot ‘S’後，只要點擊 Finish 按鈕即完成挑戰。若使用者連續三次登入失敗，則系統將啟動錯 誤登入控制機制以立即鎖定 (disable) 帳號而無法再進行登入，接著發送一封解除帳號 鎖定用的信件至使用者註冊時設定的 e-mail address，只有在使用者接收到此解鎖信件並 點擊信件中的解鎖連結以進行帳號解鎖後方可再進行登入。 (a) (b) (c) (d)

3.2 RotPIN 安全性分析

我們對 RotPIN 的安全性進行量化分析，其中包含 PIN 空間、意外登入抵擋能力與 擷取攻擊抵擋能力。另外，根據 Lee [Lee14] 的研究，四位數 PIN 的意外登入成功機率

與一次擷取攻擊成功機率之乘積的最佳值為 104_{。我們將在安全性分析中證明 RotPIN}

的意外登入成功機率與一次擷取攻擊成功機率之乘積已達最佳值。本節採用參數如下： 正整數 N 表示字元集的大小 (在 RotPIN 中，N = 10)、正整數 K 表示畫面上每一個數字 重複出現的次數 (在 RotPIN 中，K = 2)、正整數 L 表示 PIN 長度 (在 RotPIN 中，L = 4)， 而 K× N 則表示畫面上 slots 的數量 (在 RotPIN 中，K× N = 20)。

3.2.1 PIN 空間

由於註冊時使用者需輸入一組四位數的 PIN，且字元集提供每一位數有 0 到 9 共十

個十進位數字可供選擇，因此 PIN 空間為 NL _{= 10}4_。

3.2.2 意外登入抵擋能力

登入時，除了 PIN 的第一位數是用來決定該次登入的 pass-color 與 pass-slot 外，使 用者需根據 pass-color 與 pass-slot 去完成剩餘三回合的挑戰。攻擊者隨機挑戰三回合， 每回合的可能有十種，三回合的可能共有 1000 種。而攻擊者不論是使用一組黑色的 PIN 或是一組紅色的 PIN 登入都能完成挑戰。因此，RotPIN 的意外登入機率 pal為 3 3 4 4 2 10 10 2 10 2 10 _{  }     N K N p_al

為了強化 RotPIN 對意外登入的抵擋能力，若帳戶連續三次登入失敗，則該帳戶會立即 被錯誤登入控制機制鎖定 (disabled)，同時系統會發送一封含有解鎖連結的 e-mail 至該 用戶註冊時設定的 e-mail address 供使用者解鎖使用且此解鎖連結僅可使用一次。

3.2.3 擷取攻擊抵擋能力

假設攻擊者完整擷取一次登入畫面，該畫面上有 N × K 共 20 個 slots，每個 slot 都 能對應到一組 PIN，攻擊者僅可從此 20 組候選 PINs 中隨機猜測正確的 PIN。因此，RotPIN

的擷取攻擊成功機率 pca為 2 10 5 20 1 1 _{  }    K N pca

3.2.4 意外登入機率與擷取攻擊成功機率乘積之最佳值

根據 Lee [Lee14] 提出的定理，四位數 PIN 的認證設計之意外登入成功機率與一次

擷取攻擊成功機率之乘積的最佳值為 104_{。而 RotPIN 的意外登入機率與一次擷取攻擊} 成功機率之乘積為 4 10 10000 1 20 1 1000 2 _{  }    _ca al p p 意即，RotPIN 的意外登入成功機率與一次擷取攻擊成功機率之乘積已達最佳值。

3.3 RotPIN 使用性分析

3.3.1 記憶負擔

根據 Miller [Mill56] 的研究，人類的短暫記憶容量約為 7 ± 2 個 objects (objects 包含 字元、數字、顏色與位置等)，而在 RotPIN 的設計中，使用者只需要長期記憶一組四位 數 PIN 並短暫記憶一個 pass-color 與一個 pass-slot，並不會造成使用者太大的記憶負擔。

3.3.2 學習難易度

只要在第一回合決定了 pass-color 與 pass-slot，其餘回合的登入規則均相同。由於 登入規則簡單易懂，因此 RotPIN 是易於學習的。

3.3.3 操作負擔

登入畫面中每個 slot 旁均標示一個英文字母幫助使用者可以準確的將找到數字正確 地轉入 pass-slot 中。另外，使用者在找尋數字時只須觀察相同顏色的十個數字，可大幅 減少使用者尋找數字的時間。綜上所述，RotPIN 的操作負擔不高。

3.3.4 登入成功率

登入規則簡明易瞭且登入畫面中每個 slot 旁均標示一個英文字母幫助使用者可以準 確的將找到數字正確地轉入 pass-slot 中。因此在一般環境下登入成功率高。

3.3.5 平均登入時間

使用者只須分別點擊 Rotation 按鈕三回合與 Confirm 按鈕三回合，最後點擊 Finish 按鈕完成挑戰。由於操作步驟相同且每次使用相同的 pass-color 登入，因此使用者對登 入的操作容易上手且找尋數字花費的時間也能減少一半。RotPIN 的平均登入時間為 7.5 秒。

3.4 RotPIN 與其它具代表性的設計之安全性及使用性比較

(表 3.1) 為 RotPIN 與其它具代表性的設計之安全性及使用性比較表。在安全性上，

RotPIN 的擷取攻擊抵擋能力優於 IOC、VO、LIN4與 LIN5。而 VT 與 ColorPIN 的問題

在於 VT 的意外登入機率偏高以及 ColorPIN 的 PIN 空間太小；在使用性上，IOC 的登 入回合數太多、VO 的登入畫面較複雜以及 ColorPIN 的記憶負擔太高，而 RotPIN 的登 入畫面清楚明瞭且登入規則簡單易懂。綜合比較結果，RotPIN 在安全性與使用性的平 衡上優於其它具代表性的設計。

表 3.1：RotPIN 與其它具代表性的 PIN 認證設計之比較表 設計

比較項目 RotPIN IOC VO VT ColorPIN LIN4 LIN5 PIN 空間 104 ₁₀4 ₁₀4 ₁₀4 ₉4 ₁₀4 ₁₀4 意 外 登 入 抵 擋 能 力 意 外 登 入 成 功 機 率 2×10 3 104 103 102 94 103 104 錯 誤 登 入 控 制 機 制 有 無 無 無 無 無 無 擷 取 攻 擊 成 功 機 率 5×10 2 ₁ 101 102 34 101 1 使 用 性 記 憶 負 擔 中 低 低 低 高 中 中 學 習 難 易度 中 低 低 低 高 中 中 操 作 負 擔 低 高 高 低 高 低 中 登 入 成 功率 高 低 低 高 低 高 中 平 均 登 入 時 間 (秒 ) 7.5 23.28 11.7 10.57 8.9 8.9 11.1

第四章

具彈性的可抵擋擷取攻擊之 PIN 認證設計 ―

Flex-RotPIN

儘管目前已有許多可抵擋擷取攻擊之 PIN 認證設計被提出，但實際上根據 Lee [Lee14] 的研究，四位數 PIN 的意外登入成功機率與一次擷取攻擊成功機率之乘積的最 佳值為104_{，意即四位數 PIN 認證設計無法滿足較高的安全需求。因此，我們提出一套} 安全性較高且具備彈性的八位數 PIN 認證設計 — Flex-RotPIN。在本章中，我們將介紹 Flex-RotPIN 並分析其安全性與使用性。

4.1 Flex-RotPIN 介紹

本設計透過將八位數 PIN 分割的方法，藉以滿足較高的安全需求並提供使用者可根 據使用環境的需求自行選擇適合的安全設定。我們將八位數 PIN 以至少兩位數為一單位 作分割，共可分為兩組、三組與四組。若選擇將 PIN 分為兩組，則有三種分割方式：(1) 前兩位數與末六位數；(2) 前三位數與末五位數；(3) 前四位數與末四位數。若選擇將 PIN 分為三組，則有兩種分割方式：(1) 前兩位數、中間兩位數與末四位數；(2) 前兩位 數、中間三位數與末三位數。若選擇將 PIN 分為四組，則僅有一種分割方式：每兩位數 為一組。(表 4.1) 列出所有的分割方式與對應的意外登入機率與擷取攻擊破解機率。

表 4.1：八位數 PIN 的分割方式 8 位 數 PIN 安 全 性 分 析 項 目 分 割 方 式 2-6 3-5 4-4 2-2-4 2-3-3 2-2-2-2 意外登入機率 4×106 _8×105 _1.6×103 擷取攻擊 破解機率 2.5×10 3 _1.25×104 _6.25×106 由 (表 4.1) 可知，PIN 分割為兩組的方式適用於低擷取攻擊威脅的環境、PIN 分割為三 組的方式適用於中擷取攻擊威脅的環境、PIN 分割為四組的方式適用於高度擷取攻擊威 脅的環境。為了讓使用者能快速熟悉操作介面與規則並降低操作的複雜度，我們選擇較 均勻的 PIN 分割方式，如 (表 4.2) 所示：將八位數 PIN 分割為兩組，前四位數與末四 位數；將八位數 PIN 分割為三組，前三位數、中間三位數與末兩位數；將八位數 PIN 分 割為四組，每兩位數為一組。 表 4.2：Flex-RotPIN 的分割方式 擷 取 攻 擊 抵 擋 能 力 意 外 登 入 抵 擋 能 力 低 中 高 低 2-2-2-2 中 3-3-2 高 4-4

4.1.1 註冊階段

使用者與系統使用 SSL/TLS [SSL11] [TLS08] 或任何其它的安全傳輸機制建立安全 通道 (Secure Channel) 以保護使用者與系統之間的訊息傳輸，並提醒使用者須在無肩窺 攻擊、隱藏攝影機攻擊與間諜程式攻擊之環境下進行註冊。系統提供之字元集包含十個 十進位數字 {0, 1, 2, 3, 4, 5, 6, 7, 8, 9}，使用者需由字元集中任選八個數字 (可重複選取) 組成一組八位數的 PIN。根據使用的環境需求，使用者可自行選擇適合的安全設定：(一)

強意外登入抵擋與弱擷取攻擊抵擋 (“High_RAL _{& Low_R}CA_{”)；(二) 中意外登入抵擋與}

中擷取攻擊抵擋 (“Medium_RAL _{& Medium_R}CA_{”)；(三) 弱意外登入抵擋與強擷取攻擊}

抵擋 (“Low_RAL _{& High_R}CA_{”)。例如：若使用者選擇 (“High_R}AL _{& Low_R}CA_{”) 安全設} 定，則其登入分為兩個 Stages，Stage 1 為前四位數的輸入而 Stage 2 則為末四位數的輸 入。此外，使用者還要設定一組用以解除帳號鎖定的 e-mail address，此機制將於後面詳 細說明。註冊說明圖如 (圖 4.1)。

4.1.2 登入階段

使用者與系統使用 SSL/TLS [SSL11] [TLS08] 或任何其它的安全傳輸機制建立安 全通道以抵擋竊聽攻擊。接著，使用者須完成下列步驟以登入系統： Step 1：使用者輸入 ID 以要求登入系統。令參數 i = 1 與 s = 1，其中 i 代表 PIN 的位數、s 代表 Stage。 Step 2：系統於登入畫面中顯示一個圓盤，此圓盤被平均分割為 20 個 slots，slots 上顯示黑色與紅色交錯的數字 (0 到 9)，每個數字隨機放置。畫面的右 下角有一組 Rotation 按鈕與一個 Confirm 按鈕。在圓盤的外圍有 A 到 T 共 20 個字母用來標示圓盤上每個 slot 的位置。而在畫面的右上角則有 8 個 grids，根據使用者註冊時選擇的安全設定配置，如 (圖 4.2) 、 (圖 4.3) 與 (圖 4.4)。

Step 3：找到黑色或紅色 PIN 的第 i 位數，該顏色稱為 pass-color，該數字所在位 置稱為 pass-slot。使用者需暫時記憶 pass-color 與 pass-slot 並點擊 Confirm 按鈕讓登入畫面上的數字重新隨機排列。令參數 i = i + 1。

Step 4：找到與 pass-color 相同顏色之 PIN 的第 i 位數，並將該位數轉入 pass-slot 中，接著點擊 Confirm 按鈕讓登入畫面上的數字重新隨機排列。根據使 用者註冊時選擇的安全設定，有以下三種 cases：

(Case 1)：High_RAL _{& Low_R}CA

若參數 i = 5，令 s = s + 1 並回到 Step 2。若 i ≠ 9，則回到 Step 3。 (Case 2)：Medium_RAL _{& Medium_R}CA

若參數 i = 4 或 i = 7，令 s = s + 1 並回到 Step 2。若 i ≠ 9，則回

到 Step 3。

(Case 3)：Low_RAL & High_RCA

若參數 i = 3、i = 5 或 i = 7，令 s = s + 1 並回到 Step 2。若 i ≠ 9，

則回到 Step 3。

Step 5：使用者點擊 Confirm 按鈕以完成登入。

(圖 4.5) 、 (圖 4.6) 與 (圖 4.7) 為 Flex-RotPIN 的登入說明圖例，假設使用者的 PIN 為

“20735812” 且註冊時選擇的安全設定為 (“Medium_RAL _{& Medium_R}CA_{”)，則登入將分}

為三個 Stages。Stage 1 輸入“207”含三回合；Stage 2 輸入“358”含三回合；Stage 3 輸入“12” 含兩回合。每個 Stage 的第一回合決定該 Stage 的 pass-color 與 pass-slot，其餘回合只需

(a) Stage 1： digit-1 = ‘2’

(b) Stage 1： digit-2 = ‘0’ (c) Stage 1： digit-3 = ‘7’

(a) Stage 2： digit-4 = ‘3’

(b) Stage 2： digit-5 = ‘5’ (c) Stage 2： digit-6 = ‘8’

若使用者連續三次登入失敗，則系統將啟動錯誤登入控制機制以立即鎖定 (disable) 帳號而無法再進行登入，接著發送一封解除帳號鎖定用的信件至使用者註冊時設定的

(a) Stage 3： digit-7 = ‘1’

_{(b) Stage 3： digit-8 = ‘2’}

4.2 Flex-RotPIN 安全性分析

我們對 Flex-RotPIN 的安全性進行量化分析，其中包含 PIN 空間、意外登入抵擋能 力與擷取攻擊抵擋能力。另外，根據 Lee [Lee14] 的研究，八位數 PIN 的意外登入成功

機率與一次擷取攻擊成功機率之乘積的最佳值為 108_{。我們將在安全性分析中證明}

Flex-RotPIN 的意外登入成功機率與一次擷取攻擊成功機率之乘積已達最佳值。本節採 用參數如下：正整數 N 表示字元集的大小 (在 Flex-RotPIN 中，N = 10)、正整數 K 表示 畫面上每個數字重複出現的次數 (在 Flex-RotPIN 中，K = 2)、正整數 L 表示 PIN 長度 (在 Flex-RotPIN 中，L = 8) ，而 K× N 則表示畫面上 slots 的數量 (在 Flex-RotPIN 中，K× N = 20)。

4.2.1 PIN 空間

由於註冊時使用者需輸入一組八位數的 PIN，且字元集提供每一位數有 0 到 9 共十 種十進位數字可供選擇，因此 PIN 空間為 NL _{= 10}8_。

4.2.2 意外登入抵擋能力

根據使用者註冊時選用不同的安全設定，其意外登入抵擋能力分述如下：

High_RAL & Low_RCA

每個 Stage 的第一回合用來確定該 Stage 採用的 pass-color 與 pass-slot。Stage 1 與 Stage 2 分別進行三回合挑戰，兩者意外登入機率均為 1000 2 ，則整體意外登入的機率為：





6 2 CA AL 10 4 1000 2 Low_R & High_R           al p

Medium_RAL & Medium_RCA

每個 Stage 的第一回合用來確定該 Stage 採用的 pass-color 與 pass-slot。Stage 1 與 Stage 2 分別進行兩回合挑戰，兩者的意外登入機率均為 100 2 ；Stage 3 執行一回合挑戰， 意外登入機率為 10 2 ，則整體意外登入的機率為：





5 2 CA AL 10 8 10 2 100 2 Medium_R & Medium_R            al p

Low_RAL & High_RCA

每個 Stage 的第一回合用來確定該 Stage 採用的 pass-color 與 pass-slot。Stage 1 至

Stage 4 分別進行一回合挑戰，其意外登入機率為 10 2 ，則整體意外登入的機率為：





3 4 CA AL 10 6 . 1 10 2 High_R & Low_R           al p

4.2.3 擷取攻擊抵擋能力

假設攻擊者完整擷取一次登入畫面，該畫面上有 N × K 共 20 個 slots，每個 slot 都 能對應到一組 PIN，攻擊者僅可從此 20 組候選 PINs 中隨機猜測正確的 PIN。根據使用 者註冊時選用不同的安全設定，其擷取攻擊抵擋能力分述如下：

High_RAL & Low_RCA

因各 Stage 的擷取攻擊成功機率為 20

1

，在 (“High_RAL _{& Low_R}CA_{”) 須執行兩個} Stages，故擷取攻擊成功的機率為：





3 2 CA AL 10 5 . 2 20 1 Low_R & High_R           ca p

Medium_RAL & Medium_RCA

因各 Stage 的擷取攻擊成功機率為 20

1

，在 (“Medium_RAL _{& Medium_R}CA_{”) 須執行} 三個 Stages，故擷取攻擊成功的機率為：





4 3 CA AL 10 25 . 1 20 1 M edium_R & M edium_R           ca p

Low_RAL _{& High_R}CA

因各 Stage 的擷取攻擊成功機率為 20

1

，在 (“Low_RAL _{& High_R}CA_{”) 須執行四個} Stages，故擷取攻擊成功的機率為：

4.2.4 意外登入機率與擷取攻擊成功機率乘積之最佳值

根據 Lee [Lee14] 提出的定理，八位數 PIN 的認證設計之意外登入成功機率與一次

擷取攻擊成功機率之乘積的最佳值為 108_{。以下將列出各安全設定之最佳安全值：}

High_RAL & Low_RCA









8 2 2 CA AL CA AL 10 20 1 1000 2 Low_R & High_R Low_R & High_R                  ca al p p

Medium_RAL & Medium_RCA



 



8 3 2 CA AL CA AL 10 20 1 10 2 100 2 Medium_R & Medium_R Medium_R & Medium_R                   ca al p p

Low_RAL & High_RCA









8 4 4 CA AL CA AL 10 20 1 10 2 High_R & Low_R High_R & Low_R                  ca al p p 結果證實，在 Flex-RotPIN 的設計中，三個安全設定的意外登入成功機率與ㄧ次擷取攻 擊成功機率之乘積已達最佳值。

4.3 Flex-RotPIN 使用性分析

4.3.1 記憶負擔

使用者須長期記憶一組八位數 PIN 且每個 Stage 短暫記憶一個 pass-color 與一個 pass-slot ，因此在 (“High_RAL & Low_RCA”)、 (“Medium_RAL & Medium_RCA”) 與 (“Low_RAL & High_RCA”) 中 ， 使 用 者分 別須 短 暫記 憶 “ 兩個 pass-colors 和 兩 個 pass-slots”、“三個 pass-colors 和三個 pass-slots” 與 “四個 pass-colors 和四個 pass-slots”。

4.3.2 學習難易度

每個 Stage 的第一回合用來決定 pass-color 與 pass-slot，其餘回合的輸入都是相同的 登入規則。登入規則簡明易瞭，因此易於學習。

4.3.3 操作負擔

登入畫面中的每個 slot 旁均標示一個英文字母用來幫助使用者能夠快速找到 pass-slot 並準確地將數字轉入。在 Flex-RotPIN 中，使用者須分別找到 PIN 的相對應位

數 且 不 同 的 安 全 設 定 須 執 行 轉 動 登 入 的 次 數 有 所 不 同 ， 因 此 在 (“High_RAL _&

Low_RCA”)、(“Medium_RAL & Medium_RCA”) 與 (“Low_RAL & High_RCA”) 中，使用者 分別須轉動圓盤 6 次、5 次與 4 次。

4.3.4 登入成功率

登入畫面中每個 slot 旁均標示一個英文字母幫助使用者可以準確的將找到數字正確 地轉入 pass-slot 中。另外，在畫面的右上角有八個 grids 用來幫助使用者準確的完成每 個 Stage 的登入，因此在一般的環境下登入成功率高。

4.3.5 平均登入時間

使用者在登入時，透過英文字母的標示，大幅省略使用者尋找數字的時間並幫助使

用 者記 憶 pass-slot 。 因 為不同安 全 設定 的 登入 Stages 不 同， 因此 (“High_RAL _&

Low_RCA”)、(“Medium_RAL & Medium_RCA”) 與 (“Low_RAL & High_RCA”) 的平均登入 時間分別為 16 秒、15 秒與 14 秒。

4.4 Flex-RotPIN 各安全設定之安全性與使用性比較

(表 4.2) 為 Flex-RotPIN 各安全設定之安全性與使用性比較表，可供使用者選擇適 合的安全設定。 表 4.3：Flex-RotPIN 各安全設定之安全性與使用性比較表 安全設定 比較項目 High_RAL & Low_RCA Medium_RAL & Medium_RCA Low_RAL & High_RCA PIN 空間 108 ₁₀8 ₁₀8 意 外 登 入 抵 擋 能 力 意 外 登 入 成 功 機 率 4× 10 6 8× 105 1.6×103 錯 誤 登 入 控 制 機 制 有 有 有 擷 取 攻 擊 成 功 機 率 2.5×10 3 1.25×104 6.25×106 使 用 性 記 憶 負 擔 8 位數 2 個 pass-slots 2 個 pass-colors 8 位數 3 個 pass-slots 3 個 pass-colors 8 位數 4 個 pass-slots 4 個 pass-colors 學 習 難 易度 低 低 低 操 作 負 擔 找 8 位數 轉動 6 回合 找 8 位數 轉 5 回合 找 8 位數 轉動 4 回合 登 入 成 功率 高- _{高 高}+ 平 均 登 入時 間 (秒 ) 16 15 14

第五章

結論

使用者在登入過程中可能面臨肩窺攻擊、隱藏攝影機攻擊、間諜程式攻擊與竊聽攻 擊等擷取攻擊的威脅，擷取攻擊者有機會藉由擷取使用者的登入資訊直接獲得或間接分 析比對後破解使用者的 PIN。由於傳統 PIN 的輸入方式無法抵擋擷取攻擊，因此有不少 學者提出防擷取攻擊之 PIN 認證設計來解決此問題。然而，有些擷取攻擊抵擋能力較強 之 PIN 認證設計的登入介面與規則較複雜而不易操作與學習，使用性較為不足；反之， 有些 PIN 認證設計的登入介面與規則簡單且容易操作，但對於意外登入或擷取攻擊的抵 擋能力則較弱，意即安全性較為不足。在本論文中，我們首先提出ㄧ套可抵擋擷取攻擊 之四位數 PIN 認證設計 — RotPIN (Rotary Personal Identification Number)。透過黑色數 字與紅色數字來混淆攻擊者以強化擷取攻擊的抵擋能力，登入畫面上運用簡單的英文字 母標示位置幫助使用者可正確且快速地登入系統。我們並以量化分析方法證實 RotPIN 具備基本的擷取攻擊抵擋能力與良好的使用性。然而，由於四位數 PIN 認證設計無法滿 足安全需求較高的使用環境，因此，我們又提出了一套安全性較高且具備彈性的八位數 PIN 認證設計 — Flex-RotPIN (Flexible RotPIN)，使用者可根據使用環境自行選擇合適的 安全性設定，登入畫面上運用簡單的標示與提示讓使用者可正確且快速地登入系統。我

參考文獻

[Bian11] A. Bianchi, I. Oakley, V. Kostakos, and D. S. Kwon, “The phone lock: Audio and haptic shoulder-surfing resistant PIN entry methods for mobile devices,” Proceedings of the 2011 Fifth International Conference on Tangible, Embedded and Embodied Interaction, pp. 197–200, 2011.

[Bian12] A. Bianchi, I. Oakley, and D. S. Kwon, “Counting clicks and beeps: Exploring numerosity based haptic and audio PIN entry,” Interacting with Computers, vol. 24, no. 5, pp. 409–422, 2012.

[Chen11] W. P. Chen, B. R. Cheng, W. C. Ku, and Y. C. Yeh, “A graphical password scheme with dynamically adjustable resistance to login-recording attacks,” Proceedings of the 2011 National Computer Symposium, 2011.

[Eeke13] W. V. Eekelen, J. V. D. Elst, and V. J. Khan, “Picassopass: a password scheme using a dynamically layered combination of graphical elements,” Proceedings of the 2013 CHI, 2013.

[Gao09a] H. Gao, X. Liu, S. Wang, H. Liu, and R. Dai, “Design and analysis of a graphical password scheme,” Proceedings of the 2009 International Conference on Innovative Computing, Information and Control, 2009.

[Gao09b] H. Gao, X. Liu, S. Wang, and R. Dai, “A new graphical scheme against spyware by using CAPTCHA,” Proceedings of the 2009 Symposium on Usable Privacy and Security, 2009.

[Haqu14] A. Haque and B. Imam, “A new graphical password: Combination of recall & recognition based approach,” International Journal of Computer, Control, Quantum and Information Engineering, vol. 8, no. 2, 2014.

[Hart06] B. Hartanto, B. Santoso, and S. Welly, “The usage of graphical password as a replacement to the alphanumerical password,” Journal Informatika, vol. 7, no. 2, 2006. [Hoan05] B. Hoanca and K. Mock, “Screen oriented technique for reducing the incidence of

shoulder surfing,” Proceedings of the International Conference on Security and Management, 2005.

[Kita13] Y. Kita, F. Sugai, M. Park, and N. Okazaki, “A proposal and implementation of the shoulder-surfing attack resistant authentication method using two shift functions,” Proceedings of the Second International Conference on Cyber Security, Cyber Peacefare and Digital Forensic, pp. 54–59, 2013.

[Kuma07] M. Kumar, T. Garfinkel, D. Boneh, and T. Winograd, “Reducing shoulder-surfing by using gaze-based password entry,” Proceedings of the 2007 Symposium On Usable Privacy and Security, pp. 13–19, 2007.

[Lee14] M. K. Lee, “Security notions and advanced method for human,” IEEE Transactions on Information Forensics and Security, vol. 9, no. 4, April 2014.

[Li05] Z. Li, Q. Sun, Y. Lian, and D. D. Giusto, “An association-based graphical password design resistant to shoulder-surfing attack,” Proceedings of the IEEE International Conference on Multimedia and EXPO, 2005.

[Liu11] X. Liu, J. Qiu, L. Ma, H. Gao, and Z. Ren, “A novel cued-recall graphical password scheme,” Proceedings of the 2011 Sixth International Conference on Image and Graphics, pp. 949–956, 2011.

[Luca10] A. D. Luca, K. Hertzschuch, and H. Hussmann, “ColorPIN: Securing PIN entry through indirect input,” Proceedings of the 2010 CHI, pp. 1103–1106, 2010.

[Luca13] A. Luca, E. Zezschwitz, N. Nguyen, M. Maurer, E. Rubegni, M. Scipioni, and M. Langheinrich, “Back-of-device authentication on smartphones,” Proceedings of the 2013 CHI, 2013.

[Mill56] G. A. Miller, “The magical number seven, plus or minus two: Some limits on our capacity for processing information,” Psychological Review, vol. 63, no. 2, pp. 81–97, 1956.

[Mulw13] K. Mulwani, S. Naik, N. Gurnani, N. Giri, and S. Sengupta, “3LAS (three level authentication scheme),” International Journal of Emerging Technology and Advanced Engineering, vol. 3, pp. 103–107, 2013.

[Rao12] M. K. Rao and S. Yalamanchili, “Novel shoulder-surfing resistant authentication schemes using text-graphical passwords,” International Journal of Information & Network Security, vol. 1, no. 3, pp. 163–170, 2012.

[Ritt13] D. Ritter, F. Schaub, M. Walch, and M. Weber, “MIBA: Multitouch image-based authentication on smartphones,” Proceedings of the 2013 CHI, 2013.

[Roth04] V. Roth, K. Richter, and R. Freidinger, “A PIN-entry method resilient against shoulder surfing,” Proceedings of the 2004 ACM Conference on Computer and Communication Security, pp. 236–245, 2004.

[Shi09] P. Shi, B. Zhu, and A. Youssef, “A rotary pin entry method resilient to shoulder-surfing,” Proceedings of the 2009 International Conference for Internet