防登入記錄攻擊之圖形化通行碼的 分析與實驗及改進設計

國立臺中教育大學資訊工程學系碩士論文

防登入記錄攻擊之圖形化通行碼的

分析與實驗及改進設計

Analysis and Experiment of Graphical

Password Schemes Resistant to

Login-Recording Attacks

and Improvement

指導教授：顧維祺 教授

研究生：葉育彰 撰

本研究論文能順利完成，首先要誠摯的感謝指導教授顧維祺老師兩年多來的 耐心指導，使我能在資訊安全這個領域發揮所長，在研究所的這段期間，老師不 只在研究上指引我方向，也很關心我們生活中大大小小的事，同時也提醒我們面 對任何事時應用謙虛、嚴謹的心態去處理，並用不同角度審視自己的作法，多虧 老師的提點與鼓勵，讓我在兩年的研究中成長不少。另外，也衷心感謝擔任本論 文口試委員的洪國寶老師與林嬿雯老師，在論文口試中給予許多寶貴的建議，使 得本論文能更加完整。 能順利完成本論文還要感謝身邊許多人的幫助，首先要感謝資安實驗室的夥 伴奕綸、惇旻以及畢業的維屏學長，他們這兩年在研究方面提出了不少寶貴的意 見，也在研究最忙碌的時候幫我分擔了不少瑣碎的事，得以讓我有更充分的時間 完成我的論文。另外，也感謝其他實驗室的同學們：英麟、瑤倫、效維、智忠、 則齊、智皓、明駿、柏寰、郁翔、佩珊、元愷、中正、宸勳和政彥，有他們的陪 伴讓我在修課時更順利，也讓我的研究所生活更多采多姿。還要特別感謝資工系 排和資研籃球隊，在課餘時間能盡情的在球場上揮灑汗水及釋放壓力。還要感謝 系辦助理鄭姊及瑋珊在這段時間不辭辛勞的為我們服務，使我們能更專心於課業 及研究上。 此外，還要誠摯的感謝我的家人，因有你們在精神上的鼓勵與生活上的支持， 才得以讓我無後顧之憂的學習與研究，並順利完成我的研究和論文，謹以此文與 你們分享我的喜悅。 最後，要感謝的人太多了，無法一一道出，願將本論文的完成獻給所有曾經 幫助我的人，由衷的感謝你們。 中華民國 102 年 7 月 資訊安全實驗室 葉育彰

在一般使用通行碼身分認證的登入環境中可能存在有肩窺攻擊、間諜程式攻擊、隱 藏式攝影機攻擊與竊聽攻擊等登入記錄攻擊的威脅，使用者的通行碼可能會被攻擊者透 過登入記錄攻擊取得。因此，有許多防登入記錄攻擊之圖形化通行碼設計與圖形化文字 通行碼設計被提出。其中，以記憶圖形為主的圖形化通行碼設計通常提供較大的通行碼 空間與較強的登入記錄攻擊抵擋能力；然而，在實務上，對於長期習慣記憶文字通行碼 的使用者而言，此類以記憶圖形為主的設計對其易有適應上的問題而較難推廣普及。而 以記憶文字為主的防登入記錄攻擊之圖形化文字通行碼設計雖然通常有通行碼空間較 小且登入記錄攻擊的抵擋能力較弱的缺點，但對於長期習慣記憶文字通行碼的使用者而 言有較高的接受度。我們在 2011 年提出一套防登入記錄攻擊之圖形化通行碼－RiS，以 及一套防登入記錄攻擊之圖形化文字通行碼－T-RiS。然而，由於我們在安全性的量化 分析上不夠深入，使得分析的結果精確性不足，且實作雛型在實務上考量不足而影響到 安全性與使用性。因此，在本論文中，我們繼續改進 RiS 與 T-RiS 的實作雛型，且除了 更深入分析其安全性與使用性外，亦透過安全性模擬與使用性實驗以驗證我們的理論分 析結果，並與其它類似的設計做比較。此外，近年來手持式裝置蓬勃發展，因此我們亦 提出一套適用於手持式裝置的防登入記錄攻擊之圖形化文字通行碼設計－ColorPalette， 此設計以一般使用者熟悉之文字通行碼為基礎，透過登入畫面中鍵盤式的字元排列以方 便使用者尋找通行碼字元，並使用顏色按鈕作為輸入媒介以抵擋登入記錄攻擊。我們除 了對 ColorPalette 的安全性與使用性做理論分析之外，亦透過安全性模擬與使用性實驗 以驗證我們的理論分析結果。 關鍵詞：圖形化通行碼、登入記錄攻擊、間諜程式、肩窺、竊聽、手持式裝置。

Conventional textual password schemes and graphical password schemes are vulnerable

to login-recording attacks, including the shoulder-surfing attack, the hidden camera attack, the

spyware attack, and the wiretapping attack. Thus, graphical password schemes with resistance

to login-recording attacks based on various techniques have been proposed. Furthermore, as

most users are familiar with textual passwords, some researchers have proposed graphical

text-based password schemes with resistance to login-recording attacks, in which the user

memorizes texts as his password while the system employs a graphical interface to protect the

textual password against login-recording attacks. In 2011, we have proposed a graphical

password scheme with resistance to login-recording attacks, RiS, and a graphical text-based

password scheme with resistance to login-recording attacks, T-RiS. However, we found that

our previous security analysis for RiS and T-RiS are not accurate, and our previous prototype

implementations of RiS and T-RiS are not considerate enough, which may affect the security

and usability in practice. In this thesis, we continue to improve the prototype implementations

of RiS and T-RiS, refine the security analysis for RiS and T-RiS, and perform security

simulation and usability experiments for validating our theoretical analysis results. In addition,

as handheld devices are booming in recent years, we also propose a graphical text-based

password scheme resistant to login-recording attacks suitable for handheld devices,

ColorPalette, in which a qwerty-like keyboard is used to facilitate the user to efficient and

easily find the password characters and color buttons are used to resist login-recording attacks.

We not only theoretically analyze the security and usability of ColorPalette, but also perform

security simulations and usability experiments to validate our theoretical analysis results for

ColorPalette.

Keywords: Graphical Password, Login-Recording Attack, Spyware, Shoulder Surfing, Wiretapping, Handheld Device.

摘要 ... i 目錄 ... iii 圖目 錄 ... vi 表目 錄 ... vii 第一 章 序論 ... 1 第二 章 研究背景 ... 7 2.1 圖形化通行碼 ... 7 2.2 防登入記錄攻 擊 之圖形 化 通行碼 ... 9 2.3 防登入記錄攻 擊 之圖形 化 文字通 行 碼 ... 13 第三 章 RiS 介紹及 其分析與模擬實驗 ... 17 3.1 RiS 介紹 ... 18 3.1.1 註冊階段 ... 18 3.1.2 登入階段 ... 18 3.2 安全 性 與使 用 性 分 析 ... 23 3.2.1 通行碼空 間 ... 23 3.2.2 意外登入 抵 擋能力 ... 23 3.2.3 登入記錄 攻 擊抵擋 能 力 ... 25 3.2.4 使用性 ... 27 3.3 安 全性 模擬 ... 28 3.3.1 意外登入 模 擬 ... 28 3.3.2 登入記錄 攻 擊模擬 ... 30 3.4 使用 性 實驗 ... 31 3.4.1 實驗進行方式 ... 31 3.4.2 實驗結果 ... 31

4.1 T-RiS 介紹 ... 36 4.1.1 註冊階段 ... 36 4.1.2 登入階段 ... 36 4.2 安全 性 與使 用 性 分 析 ... 39 4.2.1 通行碼空 間 ... 40 4.2.2 意外登入 抵 擋能力 ... 40 4.2.3 登入記錄 攻 擊抵擋 能 力 ... 42 4.2.4 使用性 ... 44 4.3 安 全性 模擬 ... 44 4.3.1 意外登入 模 擬 ... 44 4.3.2 登入記錄 攻 擊模擬 ... 46 4.4 使用 性 實驗 ... 49 4.4.1 實驗進行 方 式 ... 49 4.4.2 實驗結果 ... 49 4.5 現 有 較具代表 性 的防登 入 記錄攻 擊 之圖形化 文字通 行碼比較 ... 50 第五 章 ColorPalette 介 紹 及其分析與 模擬實驗 ... 53 5.1 ColorPalette 介紹 ... 54 5.1.1 註冊階段 ... 54 5.1.2 登入階段 ... 55 5.2 安全 性 與使 用 性 分 析 ... 56 5.2.1 通行碼空 間 ... 56 5.2.2 意外登入 抵 擋能力 ... 57 5.2.3 登入記錄 攻 擊抵擋 能 力 ... 58 5.2.4 使用性 ... 59

5.3.2 登入記錄 攻 擊模擬 ... 62 5.4 使用 性 實驗 ... 64 5.4.1 實驗進行 方 式 ... 64 5.4.2 實驗結果 ... 65 5.5 ColorPalette 與 GrIDsure 比較 ... 66 第六 章 結論與未 來研究方向 ... 69 參考 文 獻 ... 71 著作 目 錄 ... 74

圖 3.1： RiS 登 入 畫 面 中 三 個 同 心 圓 之 說 明 圖 ... 19 圖 3.2： RiS 之 LR1 登 入 模 式 說 明 圖 ... 21 圖 3.3： RiS 之 LR0 登 入 模 式 說 明 圖 ... 22 圖 3.4： RiS 之 LR1 登 入 模 式 中 不 同 的 n 值 與 意 外 登 入 成 功 機 率 pa l之 關 係 圖 ... 24 圖 3.5： RiS 之 LR0 登 入 模 式 中 不 同 的 n 值 與 意 外 登 入 成 功 機 率 pa l之 關 係 圖 ... 25 圖 3.6： RiS 之 LR1 登 入 模 式 中 不 同 的 N 值 與 登 入 記 錄 攻 擊 成 功 機 率 pl r之 關 係 圖 ... 26 圖 3.7： RiS 之 LR1 登 入 模 式 中 不 同 的 r 值 與 登 入 記 錄 攻 擊 成 功 機 率 pl r之 關 係 圖 ... 27 圖 3.8： RiS 之 LR1 登 入 模 式 的 意 外 登 入 模 擬 統 計 畫 面 ... 29 圖 3.9： RiS 之 LR1 登 入 模 式 的 意 外 登 入 模 擬 結 果 ... 29 圖 3.10： RiS 之 LR1 登 入 模 式 的 登 入 記 錄 攻 擊 模 擬 結 果 ... 30 圖 4.1： T-RiS 之 LR1 登 入 模 式 說 明 圖 ... 38 圖 4.2： T-RiS 之 LR0 登 入 模 式 說 明 圖 ... 39 圖 4.3： T-RiS 之 LR1 登 入 模 式 中 不 同 的 L 值 與 意 外 登 入 成 功 機 率 pa l ( L )之 關 係 圖 ... 41 圖 4.4： T-RiS 之 LR0 登 入 模 式 中 不 同 的 L 值 與 意 外 登 入 成 功 機 率 pa l ( L )之 關 係 圖 ... 42 圖 4.5： T-RiS 之 LR1 登 入 模 式 中 不 同 的 L 值 與 登 入 記 錄 攻 擊 成 功 機 率 pl r之 關 係 圖 ... 43 圖 4.6： T-RiS 之 LR1 登 入 模 式 的 意 外 登 入 模 擬 統 計 畫 面 ... 45 圖 4.7： T-RiS 之 LR1 登 入 模 式 的 意 外 登 入 模 擬 結 果 ... 46 圖 4.8： T-RiS 之 LR1 登 入 模 式 的 登 入 記 錄 攻 擊 執 行 畫 面 ... 47 圖 4.9： T-RiS 之 LR1 登 入 模 式 的 登 入 記 錄 攻 擊 模 擬 結 果 ... 48 圖 5.1： ColorPalette 之 登 入 畫 面 說 明 例 ... 56 圖 5.2： ColorPalette 中 不 同 的 L 值 與 意 外 登 入 成 功 機 率 pa l ( L )之 關 係 圖 ... 57 圖 5.3： ColorPalette 中 不 同 的 L 值 與 登 入 記 錄 攻 擊 成 功 機 率 pl r之 關 係 圖 ... 59 圖 5.4： ColorPalette 的 意 外 登 入 模 擬 統 計 畫 面 ... 60 圖 5.5： ColorPalette 的 意 外 登 入 模 擬 結 果 ... 61 圖 5.6： ColorPalette 的 登 入 記 錄 攻 擊 執 行 畫 面 ... 63 圖 5.7： ColorPalette 的 登 入 記 錄 攻 擊 模 擬 結 果 ... 64 圖 5.8： ColorPalette 與 GrIDsure 中 攻 擊 者 記 錄 登 入 次 數 與 攻 擊 成 功 機 率 之 關 係 圖 ... 66

表 3.2： 五 套 現 有 較 具 代 表 性 的 防 登 入 記 錄 攻 擊 之 圖 形 化 通 行 碼 設 計 的 安 全 性 與 使 用 性 比 較 表 ... 33 表 4.1： T-RiS 之 使 用 性 實 驗 結 果 ... 50 表 4.2： 五 套 現 有 較 具 代 表 性 的 防 登 入 記 錄 攻 擊 之 圖 形 化 文 字 通 行 碼 設 計 的 安 全 性 與 使 用 性 比 較 表 ... 51 表 5.1： ColorPalette 之 使 用 性 實 驗 結 果 ... 65 表 5.2： ColorPalette 與 GrIDsure 之 安 全 性 與 使 用 性 比 較 表 ... 67

序論

通行碼 (Password) 具有系統建置容易、不需額外裝置、運作成本低廉等優點，故 被廣泛使用在各式各樣的應用系統中當作使用者身分認證 (User Authentication) 的機制。 然而，使用者經常為了方便或減輕記憶負擔而採取較不安全的措施，如：對多套不同的 應用系統採用相同的通行碼，抑或是使用較易記憶但並不安全的通行碼。因此，為了降 低使用者的記憶負擔並提供適當的安全性，許多以記憶圖形為主的圖形化通行碼 (Graphical Password) 被提出，不同的設計各有適用的場合及安全性與使用性上的優缺點。 然而，使用者無論使用文字通行碼或圖形化通行碼登入系統，過程中其通行碼皆可能遭 受 登 入 記 錄 攻 擊 (Login-Recording Attack) ， 登 入 記 錄 攻 擊 包 括 ： 肩 窺 攻 擊 (Shoulder-Surfing Attack)、間諜程式攻擊 (Spyware Attack)、隱藏式攝影機攻擊 (Hidden

Camera Attack) 與竊聽攻擊 (Wiretapping Attack)，分項說明如下：

 肩窺攻擊：在使用者的登入環境中，攻擊者直接窺探使用者的登入過程，進而 竊取使用者的登入資訊。

 間諜程式攻擊：若系統遭到攻擊者植入木馬病毒等間諜程式，則攻擊者可透過 間諜程式取得使用者的登入資訊。

應。  竊聽攻擊：當使用者經由開放網路登入遠端系統時，攻擊者可竊聽其網路傳輸 的資料，若傳輸時未使用安全機制建立安全通道以保護傳輸訊息，則攻擊者可 竊取傳輸中完整的使用者登入資訊。 因為一般人的觀察力與記憶力有限，肩窺攻擊者通常難以完整記錄所有登入資訊，例如： 觀察鍵盤或滑鼠輸入時可能會忽略螢幕的顯示。而間諜程式攻擊、隱藏式攝影機攻擊與 竊聽攻擊乃藉由電腦程式或電子設備進行，故通常能竊取使用者較完整的登入資訊，包 括：鍵盤輸入資訊、滑鼠點擊位置、螢幕顯示資訊等。 由於現今的文字通行碼設計與一般的圖形化通行碼設計均無法有效抵擋登入記錄 攻擊，故近年來越來越多防登入記錄攻擊之圖形化通行碼設計及其相關研究被提出 [Sobr02][Hoan05][Li05][Koma08][Yama09][Gao09a][Gao09b][Zheng09][Zheng10][Liu11] [Chen11a][Kita13][Eeke13]，不同的設計各有安全性與使用性上的優缺點及其適用的環境。 然而，此類以記憶圖形為主的圖形化通行碼設計對於長期習慣記憶文字通行碼的使用者 而言易有適應上的問題，且若使用者必需存取多個不同系統，多組相異的通行碼可能會 大幅增加使用者的記憶負擔而難以推廣普及，故近年來有不少結合文字與圖形的防登入 記 錄 攻 擊 之 圖 形 化 文 字 通 行 碼 (Graphical Text-Based Password) 設 計 被 提 出 [Zhao07][Grid08][Hoan08][Sree11b][Kim11][Imra11][Chen11b]。在此類圖形化文字通行碼

Sobrado 和 Birget [Sobr02] 於 2002 年提出一套防登入記錄攻擊之圖形化通行碼設

計 — Movable Frame。然而，Hartanto 等人 [Hart06] 指出 Movable Frame 設計的使用 者在登入時難以將三個 pass-icons 對準成一直線，使得成功登入的機率偏低。針對此問 題，我們 [Chen11a] 在 2011 年提出了一套防登入記錄攻擊的圖形化通行碼設計 ─ RiS， 此設計的登入介面中利用圓形排列的 icons 改善 Movable Frame 設計中 pass-icons 不易對 齊的問題以降低登入失敗率。同年，我們亦提出一套防登入記錄攻擊之圖形化文字通行 碼 ─ T-RiS，此設計理念與 RiS 相似，但使用文字 (alphanumeric) 取代 icons，使用者 可使用與其它文字通行碼系統或圖形化文字通行碼系統相同的文字通行碼以減少記憶 負擔。此外，RiS 與 T-RiS 皆提供兩種登入模式，使用者可依環境有無登入記錄攻擊以 選擇較合適的登入模式以提高登入效率。然而，由於 RiS 與 T-RiS 原實作雛型在實務上 因考量不足而影響到安全性與使用性，且我們先前對其分析不夠深入、部分安全性量化 公式的推導不夠精確，並缺乏完整的安全性模擬與使用性實驗以驗證理論分析的正確性。 因此，我們參考 Biddle 等人 [Bidd11][Bidd12] 針對現有圖形化通行碼所做的整體性介 紹與評析以及 Renaud [Rena09] 提出的圖形化通行碼設計實作準則，於本論文中接續改 進實作雛型、更深入分析安全性與使用性，並透過安全性模擬與使用性實驗以驗證我們 的理論分析結果。 近年來，手持式裝置的蓬勃發展促使越來越多應用可直接或間接透過手持式裝置執 行或存取，使用者於手持式裝置存取應用程式帳號時，由於手持式裝置具有高機動性，

一套適用於手持式裝置的防登入記錄攻擊之圖形化文字通行碼設計－ColorPalette，此設 計以一般使用者熟悉之文字通行碼為基礎，透過登入畫面中鍵盤式的排列以方便使用者 尋找通行碼字元，並使用顏色按鈕 (Color Buttons) 作為輸入媒介以抵擋登入記錄攻擊。 我們除了對 ColorPalette 的安全性與使用性做理論分析之外，亦透過安全性模擬與使用 性實驗以驗證我們的理論分析結果。 在本論文中，我們對圖形化通行碼設計的分析項目包括：  通行碼空間 (Password Space)：使用者可選擇的通行碼總數，意即通行碼所有 組合的總數，通行碼空間越大表示該設計可以選擇之通行碼總數越多，暴力 攻擊抵擋能力越強。

 意外登入抵擋能力 (Resistance to Accidental Login)：在攻擊者未取得任何登入 資訊的情況下隨意進行登入程序，成功登入的機率稱為意外登入機率，意外 登入機率越低則表示意外登入抵擋能力越強。

 登入記錄攻擊抵擋能力 (Resistance to Login-Recording Attack)：對於肩窺攻擊、 間諜程式攻擊、隱藏式攝影機攻擊與竊聽攻擊等登入記錄攻擊的抵擋能力。 若攻擊者需取得越多次登入過程紀錄才能成功破解使用者的通行碼，則登入 記錄攻擊抵擋能力越強。

時的感受等，稱為使用性。 在本論文的後續章節中，第二章將介紹圖形化通行碼設計的相關研究背景。接著， 第三章與第四章將深入分析兩套過去我們提出之圖形化通行碼改進設計－RiS 及 T-RiS， 並分別對兩套設計進行安全性模擬與使用性實驗。第五章將介紹我們針對手持式裝置新 提出的防登入記錄攻擊之圖形化文字通行碼設計 ColorPalette，且深入分析此設計之安全 性與使用性，並介紹對其所做的安全性模擬與使用性實驗。最後，第六章將為本論文研 究做總結並簡述未來研究方向。

第二章

研究背景

本章將介紹本論文的相關研究背景，依序為圖形化通行碼、防登入記錄攻擊之圖形 化通行碼及防登入記錄攻擊之圖形化文字通行碼。

2.1 圖形化通行碼

過去有學者 [Ma83][Calk98] 認為人類記憶及識別圖形的能力通常較文字好，因此， 為減輕使用者的記憶負擔，有許多以圖形化為基礎的通行碼設計陸續被提出。1996 年， Blonder [Blon96] 首先提出一套圖形化通行碼設計，註冊時，使用者須依序點選並記憶 數個圖片內不可見的區域作為使用者的圖形化通行碼；登入時，使用者須依序點選註冊 的區域以回應挑戰。然而，Blonder 的設計無法讓使用者自由選擇喜好的圖片，且可選 擇的區域為系統定義，導致使用者無法任意選擇其喜好的區域作為圖形化通行碼，故限 制了該設計的應用。1999 年，Jermyn 等人 [Jerm99] 提出 Draw-A-Secret (簡稱 DAS)。 註冊時，使用者可依其喜好在一個二維網格中手繪任意圖形作為圖形化通行碼；登入時， 使用者在須在同樣規格的二維網格中精確地手繪出相同的圖形以回應挑戰。由於 DAS 使用者可自由繪製任意圖形作為圖形化通行碼，故可提供較大的通行碼空間 (Password Space) 以抵擋暴力攻擊；而其缺點則是使用者必須精確地手繪出記憶中的圖形。後續對

擔，其特性包括：對稱圖形、集中於中間區域、數字或常見的字元，故易遭受到上述特 性的猜測攻擊。

在 2000 年，Dhamija 和 Perrig [Dham00a] 提出了一套圖形化通行碼設計 Déjà Vu， 其特色在於利用 hash visualization 的技術 [Dham00b] 產生抽象圖形。註冊時，使用者 須選擇並記憶系統隨機產生的抽象圖形作為其圖形化通行碼；登入時，使用者須從畫面 顯示的數個抽象圖形中識別並點選註冊時所選擇的抽象圖形以回應挑戰。由於該設計使 用的的圖形為系統隨機產生的抽象圖形，使用者不易向第三者透露自己選擇的抽象圖形， 因此可有效抵擋社交攻擊以提高安全性。然而，因為使用者須記憶的圖形為抽象圖形， 同時也增加了使用者的記憶負擔而降低使用性。2002 至 2003 年，De Angeli 等人 [Ange02][Ange03] 提出一系列以 PIN (Personal Identification Number) 為基礎的 VIP

(Visual Identification Protocol) 圖形化通行碼設計，其特色為以圖形化的認證方式取代傳

統以 PIN 為主的認證方式。登入時，使用者須正確識別註冊時所選擇的圖形。VIP 設計 和 PIN 設計最大的差別在於前者記憶圖形而後者記憶數字。2005 年，Wiedenbeck 等人 [Wied05] 指出 Blonder [Blon96] 所提出之圖形化通行碼設計的通行碼空間不足，並提出

了改進的設計 — PassPoints，其優點為使用者可依其喜好選擇圖片且可以不受系統限制 地任意選擇圖形上的位置作為圖形化通行碼。若圖形大小為 1024  768 像素、網格大小 為 14  14 像素且 5 個點選位置，則其通行碼空間相當於 8 個字元長度的傳統文字通行 碼。2011 年，Sreelatha 等人 [Sree11a] 提出一套以印度古遊戲 Snakes and Ladders 為基 礎的圖形化通行碼設計，透過兩種背景圖騰幫助使用者記憶通行碼以降低使用者的記憶

負擔，意即使用者可選擇較長的通行碼以增加安全性。然而，此設計對於針對熱點 (hot spot) 之猜測攻擊抵擋能力較弱。

2.2 防登入記錄攻擊之圖形化通行碼

前述的一般圖形化通行碼設計多數以良好的使用性或增加系統之通行碼空間以抵 擋暴力攻擊為優先考量，在設計時並未考慮登入記錄攻擊之威脅。然而，在實務上，使 用者登入時的環境很可能存在登入記錄攻擊之威脅，而導致使用者之通行碼遭受登入記 錄攻擊而被攻擊者直接取得或破解。在 2002 年，Sobrado 和 Birget [Sobr02] 首先針對該 問題提出三套防登入記錄攻擊之圖形化通行碼設計，分別為 Triangle 設計、Movable Frame 設計及 Intersection 設計。在 Triangle 設計中，使用者須於註冊時從系統提供的 icon

pool 中挑選並記憶數個 icons 作為其 pass-icons；登入時，登入畫面中至少會出現三個

pass-icons，使用者須識別出畫面中的 pass-icons 並點擊由任三個 pass-icons 所構成的三

角形區域以回應挑戰。在 Movable Frame 設計中，使用者須於註冊時從系統提供的 icon pool 中挑選並記憶數個 icons 作為其 pass-icons；登入時，登入畫面中有個外框 (Frame)，

外框上的 icons 可以移動，而登入畫面中總共會隨機出現三個 pass-icons，其中兩個 pass-icons 位於外框內，另一個 pass-icon 則位於外框上，使用者須移動外框將畫面中的

三個 pass-icons 連成一直線以回應挑戰。在 Intersection 設計中，使用者在註冊時須從系 統的 icon pool 中挑選並記憶數個 pass-icons；登入時，登入畫面中總共會出現四個 pass-icons，使用者須點擊由四個 pass-icons 連線所形成交叉點附近的區域。上述三套設

計皆提供登入記錄攻擊抵擋能力，且為減低意外登入成功率，使用者須於登入過程中完 成數回合的挑戰與回應。

2005 年，Sobrado 和 Birget [Sobr05] 指出其 2002 所提出的圖形化通行碼設計 Triangle

[Sobr02] 有中心區域點擊機率過高、pass-icons 和混淆 (decoy) icons 所挑選機率不一致

等問題，並針對這些問題提出改進設計 — CHC (Convex Hull Click)。然而，Hoanca 和 Mock [Hoan05] 隨即指出 CHC 容易受到邊角效應 (Edge and Corner Effect) 的影響而降

低其安全性，且如果系統顯示過多的 icons，使用者須花較多的時間去識別 pass-icons， 無形中增加了操作上的負擔。因此，他們提出一套使用句子 (sentence) 為基礎的圖形化 通行碼，利用句子的方式讓使用者更容易記憶其對應的圖形化通行碼。登入時，系統將 字母依特定順序規則加以排列以方便使用者尋找，使用者接著便依其記憶的句子以三個 字元為一組，點選其所組成的三角形區域內的中心位置以完成登入。該設計並利用延伸 邊界的方式來解決 CHC 的邊角效應問題。2006 年，Wiedenbeck 等人 [Wied06] 針對 CHC 進行使用性實驗，實驗結果顯示，大多數的使用者都能成功登入系統，並評述 CHC 對於登入記錄攻擊有不錯的抵擋能力。不過，他們並未提出較客觀的登入記錄攻擊抵擋 能力之量化分析。同年，Hartanto 等人 [Hart06] 針對 Movable Frame 進行使用性實驗， 實驗結果顯示，使用者在操作 Movable Frame 時，難以準確將三個 pass-icons 對齊成一 直線，平均成功登入機率僅 69%，意即成功登入的機率偏低。

2005 年，Li 等人 [Li05] 提出一套防登入記錄攻擊的圖形化通行碼設計，其設計理

念以關聯性為基礎。註冊時，使用者須選擇任一個背景圖片，系統將該背景圖片分割成 數個區域，使用者可依喜好選擇一個區域，接著該區域會顯示數個 icons，使用者須依

喜好選擇一個 icon，之後再根據系統所顯示的顏色挑選其偏好的顏色，透過背景圖片、 區域、icons、顏色之間的關聯性以增強使用者對其通行碼的記憶性；登入時，使用者須 辨識出註冊的區域、icons、顏色，並依序地正確選取。此設計將顏色以群組的方式分割， 讓使用者所選擇的顏色隱藏在顏色群組之中，使用者僅需點選該群組而非明確點選正確 的顏色以抵擋登入記錄攻擊。2008 年，Komanduri 和 Hutchings [Koma08] 提出一套防登 入記錄攻擊之圖形化通行碼設計。註冊時，使用者須選擇並記憶數個 pass-icons；登入 時，登入畫面中所有 icons 皆對應一個文字，但 icons 與文字並不會同時顯示，使用者可 透過按鍵盤上之 Ctrl 鍵切換 icon 或文字。使用者在登入畫面中找到 pass-icons 後，按 Ctrl 鍵將 icons 畫面切換為文字畫面，接著輸入 pass-icons 對應的文字以完成挑戰。

2009 年，Yamamoto 等人 [Yama09] 提出一套防登入記錄攻擊之圖形化通行碼設

計 — TI-IBA (Temporal Indirect Image-Based Authentication)，其設計特色為以時間換取 空間的概念，因此可顯示更多 icons 於一個較小的螢幕上。註冊時，使用者選擇並記憶 數個 pass-icons；登入時，登入畫面上顯示數個 icon-sets，每個 icon-set 包含多個 icons， 且所有 icon-sets 每隔一段很短的時間同步更換 icons 一次，使用者須識別出有出現 pass-icon 的 icon-set 並點擊該 icon-set 以完成該次挑戰。2009 年，Gao 等人 [Gao09a] 提

出一套防登入記錄攻擊的圖形化通行碼設計 — ColorLogin，其設計特色主要是在 icons 的背景加上顏色以減少使用者尋找 pass-icons 時間，同時也可干擾攻擊者。註冊時，使 用者須選擇並記憶 pass-icons 及一種背景顏色，並且選擇一種安全等級，安全等級將決 定使用者在登入時須完成幾次挑戰；登入時，登入畫面中的每個 icon 均有其背景顏色， 使用者只須在註冊時選擇的背景色上尋找 icons 即可，找到並點擊 pass-icons 所在的列即

可完成挑戰 。同年，Gao 等人 [Gao09b] 又提出一套使用 CAPTCHA (Completely Automated Public Turing tests to tell Computers and Humans Apart) 的防登入記錄攻擊之

圖形化通行碼設計。註冊時，使用者須選擇並記憶數個 pass-icons 及每個 pass-icons 對 應的字元位置；登入時，使用者須依序找到自己的 pass-icons 並輸入圖中相對應字串的 字元位置。此設計的缺點為使用者除了須記下自己的 pass-icons 外，尚須記憶每個 icons 對應的字元位置，因此將加重使用者的記憶負擔，導致使用性較差。其後，Zheng 等人 [Zheng09][Zheng10] 於 2009 與 2010 年亦提出了一套防登入記錄攻擊的圖形化通行碼設

計－SBP (Stroke-Based Password)，該設計的部份理念與 DAS [Jerm99] 類似，但使用者 登入時並非在網格上手繪出形狀，而是依註冊時所畫出的形狀來輸入網格內的字串以完 成登入。

2011 年，我們 [Chen11a] 提出一套防登入記錄攻擊的圖形化通行碼設計 — RiS

(Rotating into Sector)，此設計以 Movable Frame [Sobr02] 為基礎，利用在登入畫面以 icons

組成的三個同心圓改善 Movable Frame 中 pass-icons 難以對齊的問題，並加入雙模式概 念，使用者可依環境有無登入記錄攻擊選擇較合適的登入模式。同年，Liu 等人 [Liu11] 提出了一套防登入記錄攻擊的圖形化通行碼設計 — CBFG (Click Button according to Figure in Grid)，其特色為藉隱藏使用者輸入通行碼起訖時間的機制強化登入記錄攻擊的

抵擋能力。註冊時，使用者須挑選 1 到 4 個 pass-images 並在挑選的 pass-images 上記憶 數個 pass-cells，另外須額外記憶 1 個 start-icon；登入時，畫面上呈現 4 張 background images，每張 background image 均由系統切割為許多 cells，每個 cell 上皆有一個由系統

面上的數字鍵以切換 start window 中的 icons，直到 start-icon 出現在 start window 中。接 著，使用者須從 4 張 background images 找到 pass-images 及其對應的所有 pass-cells，並 使用數字鍵輸入 pass-cells 中的數字，之後須將尚未被按過的數字鍵至少按過一次以完 成挑戰。然而，使用者須記憶 1 個 start-icon、多個 pass-images 及相對應的 pass-cells， 使用者的記憶負擔相對較重；使用者可能為了方便記憶僅選擇一張 pass-image 或選擇較 少的 pass-cells，但如此一來將增加意外登入成功機率。

2.3 防登入記錄攻擊之圖形化文字通行碼

由於目前多數使用者長期習慣記憶文字通行碼，若改使用以圖形為主的圖形化通行 碼設計可能有適應上的問題，且當使用者同時使用的多套系統的相異圖形化通行碼設計 時，使用者的記憶負擔將因須記憶過多圖片而大幅增加。因此，近年來有另一類圖形化 文字通行碼 (Graphical Text-Based Password) 設計被提出。Zhao 等人 [Zhao07] 在 2007 年提出一套名為 S3PAS 的防登入記錄攻擊的圖形化文字通行碼設計，其設計理念與 CHC 設計類似。註冊時，使用者須設定並記憶文字通行碼；登入時，使用者須在登入

畫面上依序找到自己的前三個 pass-character，並輸入由前三個 pass-character 所圍成的 Convex Hull 區域內之任一字元以回應挑戰，接著，使用者須在畫面上識別第 2 至第 4

個 pass-characters，並輸入由第 2 至第 4 個 pass-characters 所圍成的 Convex Hull 區域內 之任一字元以回應挑戰，依此類推直到使用者完成所有挑戰。然而，其意外登入抵擋能 力與登入記錄攻擊抵擋能力皆不及 CHC，且同樣存在邊角效應等安全問題。2008 年， Hoanca 和 Mock [Hoan08] 提出一套防登入記錄攻擊之圖形化文字通行碼設計。註冊時，

使用者須設定並記憶其文字通行碼；登入時，使用者須在登入畫面上找到三個自己的文 數字通行碼 (alphanumeric password)，例如：CD3，之後再輸入能與 CD3 形成平行四邊 形且為 C 的對角的字元即可完成登入。然而，若登入畫面太小，則通行碼可能因可選擇 的字元數過少而易被破解；反之，若登入畫面太大大，則可選擇的字元數較多而使得使 用者在找平行四邊形時較為困難而影響登入時間及成功率。 我們 [Chen11b] 在 2011 年亦提出了一套防登入記錄攻擊的圖形化文字通行碼設 計 — T-RiS，此設計理念與 RiS 相似，但使用文字 (alphanumeric) 取代 icons，使用者 亦可依環境有無登入記錄攻擊以選擇較合適的登入模式。註冊時，使用者須設定並記憶 文字通行碼；登入時，使用者須移動中圈，使得中圈上的 pass-character 落在由中心點、 內圈的 pass-character 以及外圈的 pass-character 所構成的扇形區域內以回應挑戰。2011 年 ， Sreelatha 等 人 [Sree11b] 提 出 了 兩 套 防 登 入 記 錄 攻 擊 的 圖 形 化 文 字 通 行 碼 Paired-Based Scheme 與 Hybrid Textual Authentication Scheme，此兩套設計分別透過文字

及顏色產生相對應的 session passwords，藉此抵擋登入記錄攻擊。然而，Hybrid Textual Authentication Scheme 的使用者不僅要記憶顏色順序，登入時還須將顏色順序再次對應 至畫面中的列與行，因而導致使用者的記憶負擔大且使用性差。Kim 等人 [Kim11] 於 2011 年提出一套防登入記錄攻擊的圖形化文字通行碼設計，其設計理念與實體密碼鎖類 似，使用者須透過上/下轉動的方式使通行碼出現在畫面中以回應挑戰。此外，由於登入 記錄攻擊抵擋能力較為複雜而不易分析，過去防登入記錄攻擊的圖形化通行碼的設計者 多僅以主觀、籠統、不精確的定性分析或較不具代表性的小型實驗說明其設計的登入記 錄攻擊抵擋能力，欠缺客觀、精確、具說服力的分析方法。因此，Kim [Kim11][Kim12]

等人亦針對他們所提出的設計之意外登入抵擋能力與登入記錄攻擊抵擋能力進行量化 分析，雖然其部份的分析有誤，但對於登入記錄攻擊抵擋能力的量化分析研究上仍具有 參考價值。

RiS 介紹及其分析與模擬實驗

2002 年，Sobrado 和 Birget [Sobr02] 提出一套防登入記錄攻擊之圖形化通行碼設

計— Movable Frame。在此設計中，登入畫面上有兩個區域，分別是外框架 (Frame) 上 與框架內區域，外框架可轉動而框架內區域固定不動。登入時，框架內區域會出現兩個 pass-icons 而外框架上僅有一個 pass-icon，使用者需要移動外框架使得三個 pass-icons 連

成一直線以完成一回合的挑戰，使用者須成功完成數回合的挑戰才可成功登入。然而， 2006 年，Hartanto 等人 [Hart06] 的研究告報中指出 Movable Frame 設計的缺點為使用

者在登入時難以將三個 pass-icons 對準成一直線，使得成功登入的機率偏低 (登入成功 率 69%)。針對此問題，我們 [Chen11a] 在 2011 年提出了一套防登入記錄攻擊的圖形化 通行碼設計 ─ RiS，在此設計的登入介面中利用圓形排列的 icons 改善 Movable Frame 設計中 pass-icons 難以對齊的問題，降低登入失敗率。然而，由於我們先前對 RiS 的分 析不夠深入、部分安全性量化公式的推導不夠精確、RiS 原實作雛型在實務上的考量不 足而影響到安全性與使用性，且缺乏完整的安全性模擬與使用性實驗以驗證理論分析的 正確性，因此我們繼續改進 RiS 實作雛型、更深入分析 RiS 的安全性與使用性，並透過 安全性模擬與使用性實驗以驗證我們的理論分析結果。以下將先介紹 RiS 與改良的實作 雛型，以及修正的安全性與使用性理論分析結果，並接著介紹我們對 RiS 的安全性模擬 與使用性實驗結果。

本節將介紹 RiS 及其改良實作雛型，符號說明如下：N 為正整數，表示系統 icons pool 的大小，即系統所提供的 icons 總數；k 為不小於 3 之正整數，表示使用者須選擇之 pass-icons 數量；n 為 3 的倍數，表示一次挑戰中畫面顯示之所有 icons 數量。此外，為 了抵擋攻擊者對多次的登入畫面進行交叉比對，須使每次 pass-icons 與 decoy-icons 被選 中顯示在畫面上的機率相同，意即 n/N 的比值必須與 3/k 的比值相同。RiS 包含註冊和 登入兩階段，依序分述如下。

3.1.1 註冊階段

系統提供 N 個 icons 作為 icons pool，使用者須從中選擇並記憶 k 個 icons 做為 pass-icons，即 graphical password。系統會建議使用者在無登入記錄攻擊之環境進行註冊。

同時，系統會使用 SSL/TLS [SSL11][TLS08] 或任何其它的安全傳輸機制與使用者建立 安全通道 (secure channel) 保護使用者與系統之間的傳輸訊息。此外，使用者必須註冊 一個 e-mail address，當使用者的帳號被鎖住時，必須使用此 e-mail address 來進行解鎖， 此機制將於本節後面進行詳細說明。

3.1.2 登入階段

登入畫面包含三個同心圓，由外而內分別是外圈、中圈及內圈，每個圓圈平均分割 成 n/3 個格子放置 icons，每圈上的格子會與其它兩圈切齊以方便使用者移動時對齊，如 (圖 3.1)。使用者可依登入時所處的環境是否存在登入記錄攻擊之威脅而選擇有登入記錄

式)；LR1 登入模式為預設模式，使用者可點 擊畫面上“Switch to LR0”按鈕切換至 LR0 登入模式。LR1 登入模式的每個挑戰中，系統 會 隨 機 挑 選 3 個 pass-icons 和 n － 3 個 decoy-icons 隨機且平均放入外圈、中圈及內 圈，使得每圈恰有 1 個 pass-icon 和 (n－3)/3

個 decoy-icons。內圈及外圈上的 icons 是固定的，而中圈上的 icons 可透過滑鼠滾輪或 點擊“Rotation”按鈕組進行順時鐘或逆時鐘的轉動，轉動時，中圈上的所有 icons 會同 時往順時鐘或逆時鐘方向移動一格。使用者必須辨識出 pass-icons 並轉動中圈上的 icons 以回應挑戰。在 LR1 登入模式中，使用者須完成 r 次挑戰。此外，使用 LR1 登入模式 時，系統會強制禁止使用者將滑鼠指標移動至 icons 顯示區域。在 LR0 登入模式中，系 統隨機挑選 3 個 pass-icons 和 n－3 個 decoy-icons 隨機且平均放入外圈、中圈及內圈， 使得每圈恰有 1 個 pass-icon 和 (n－3)/3 個 decoy-icons。LR0 登入模式中的 3 圈 icons 皆是固定的，使用者須直接點擊出現在畫面中的 3 個 pass-icons 以回應挑戰。為方便使 用者於登入時區別正在使用哪個登入模式登入，分別將 LR1 登入模式及 LR0 登入模式 之背景分別用黃色及藍色標示，並於 LR1 登入模式左上角加入一對眼睛以提醒使用者。 LR1 登入模式和 LR0 登入模式分述如下： 圖 3.1： RiS 登 入 畫面中 三 個 同心 圓 之 說 明 圖

Step 1： 使用者於預設登入模式 (LR1 登入模式) 要求登入。令 i 為已完成的挑戰

數，並設定初始值為 0。

Step 2： 系 統隨 機從 k 個 pass-icons 中 挑 選 3 個 pass-icons ，並從 N － k 個

non-pass-icons 中隨機挑選 n－3 個做為 decoy-icons，系統將挑選出的 pass-icons 和 decoy-icons 分別隨機且平均地擺放於 3 圈，使得每圈恰有 1 個 pass-icon 和 (n－3)/3 個 decoy-icons。 Step 3： 若內圈和外圈的兩個 pass-icons 與同心圓之圓心夾角為 180 度 (意即連成 一直線) 時，使用者須用滑鼠滾輪或點擊“Rotation”按鈕組轉動中圈以使 得中圈上的 pass-icon 落在此直線上 (意即三個 pass-icons 與圓心成一直線)； 否則，使用者須使用相同方式將中圈上的 pass-icon 移入由內圈和外圈上之 pass-icons 與同心圓之圓心圍成的扇形區域 (sector region) 內。接著，使用

者點擊“Confirm”按鈕以回應該次挑戰。同時，i＝i＋1。

Step 4： 若 i＜r，系統跳至 Step 2 繼續執行；否則，系統對使用者進行認證。

(圖 3.2) 為 RiS 的改良實作雛型之 LR1 登入模式說明圖，圖中的 3 個紅色圈標記處

為使用者的 pass-icons，藍色線標記圓心、內圈及外圈上的兩個 pass-icons 所形成的扇形 區域，使用者須把中圈的 pass-icon 轉入扇形區域內以回應該次挑戰，圖中的紅色圈和藍 色線僅為說明用並不會在登入時顯示。在實務上，使用者在登入時的一些不當行為可能

導致安全問題。因此我們在 LR1 登入模式畫面中加入明顯警語，提醒使用者勿使用手指 指出畫面中的 pass-icons 以避免攻擊者利用肩窺或隱藏式攝影機等方式直接獲取使用者 的 pass-icons。 LR0 登入模式 使用 LR0 登入模式進行登入時，使用者須完成下列步驟： Step 1： 使用者在預設的 LR1 登入畫面中點擊“Switch to LR0”按鈕以切換至 LR0 登入模式。

Step 2： 系統隨機從 k 個 pass-icons 中挑選 3 個 pass-icons ，並 從 N － k 個

Step 3： 使用者須識別並正確點擊他們的 pass-icons。若顯示在畫面中的 pass-icons 皆被點擊到且沒有任何 decoy-icons 被點擊，則系統對使用者進行驗證。 (圖 3.3) 為 RiS 的改良實作雛型之 LR0 登入模式說明圖，登入畫面中具明顯警語， 提醒使用者若處於有登入記錄攻擊的環境中須點擊“Switch to LR1”按鈕切換回 LR1 登入模式。圖中的 3 個紅色圈標記處為使用者的 pass-icons，使用者須分別正確點擊以 通過驗證。此外，若帳戶連續三次登入失敗 (兩登入模式合計)，則該帳戶會立即被鎖住 (disabled)，同時系統會發送一封含有解鎖連結 (re-enabled link) 的 e-mail 至該用戶註冊

本節將對 RiS 做安全性與使用性的深入理論分析，分析項目包括：通行碼空間、意 外登入抵擋能力、登入記錄攻擊抵擋能力及使用性等四項。

3.2.1 通行碼空間

LR1 登入模式

由於系統的 icons pool 中提供 N 個 icons 可選擇，使用者在註冊階段須選擇並記憶 k 個 icons 作為 pass-icons，故 LR1 登入模式之通行碼空間為 。若取 N = 400、k = 8，則 通行碼空間為 _{，其強度相當於 8 個字元長度的文字通行碼。} LR0 登入模式 LR0 登入模式之通行碼空間與 LR1 登入模式之通行碼空間相同。

3.2.2 意外登入抵擋能力

若攻擊者連續三次登入失敗 (兩登入模式合計)，則該帳戶會立即被鎖住 (disabled)， 同時系統會發送一封含有解鎖連結 (re-enabled link) 的 e-mail 至該用戶註冊時設定之 e-mail address，且該解鎖連結僅可使用一次。此機制可有效加強 RiS 對意外登入的抵擋

能力。以下分別針對兩種登入模式之意外登入抵擋能力進行分析。 LR1 登入模式

因為登入畫面中 icons 是平均擺放於 3 圈上，即每圈上有 n/3 個 icons。則意外登入 的成功機率 為

[ ( ) ] 其 大 括 號 中 分 子 的 為 一 次 登 入 畫 面 中 三 圈 各 取 一 個 icon 的 組 合 數 ， 而 [ (∑ ⁄ )] 則為一次登入畫面中符合登入條件之 icons 的個數。 若 n＝150、r＝5，則意外登入的成功機率 。(圖 3.4) 為 不同的 n 值與意外登入的成功機率之關係圖，其中 r＝5。 LR0 登入模式 由於攻擊者必須分別在三圈中找到 pass-icon，因此意外登入的成功機率 。若 n＝150，則意外登入的成功機率 ( ) 。(圖 3.5) 為 不同的 n 值與意外登入成功機率之關係圖。 圖 3.4： RiS 之 LR1 登 入 模 式 中不 同 的 n 值 與意 外 登 入成 功 機 率 pal之 關 係 圖

3.2.3 登入記錄攻擊抵擋能力

LR1 登入模式 在一次挑戰的登入畫面中，符合登入所需條件的扇形區域與完整區域的平均比值為 [ (∑ )] ( ₎ 。 若攻擊者已記錄多次完整登入過程，則攻擊者可藉由記錄到的登入資訊進行交叉比對以 分析所有 icons 組合中不可能為 pass-icons 的組合，經過多次比對並排除不可能的組合後 即可得到使用者的 pass-icons。令 T 為攻擊者成功記錄到的完整登入過程次數、r 為登入 系統的挑戰次數、E 為每次登入畫面中可排除的 icons 組合數占所有 icons 組合數之比例， 假設每個 icon 出現在畫面上的機率相同，則對於 RiS 的登入記錄攻擊成功機率 為

_{( ) [ ]} 其中

在 E 的分子中， 為每次挑戰畫面中任意挑選三個 icons 的的所有組合數； 為每次登入畫面中符合登入條件之 icons 組合數；將每次畫面中所有任取三個 icons 的組 合數 扣除符合登入條件之 icons 組合數即為可排除之 icons 組合數，由於每個 icon 出 現在畫面上的機率相同，因此可排除之 icons 組合可能重複，在考慮重複的機率下，每 次可排除的 icons 組合數為[ ] ( )。將此可排除的 icons 組合 數除以 即為一次挑戰畫面中可排除的 icons 組合數占全部 icons 組合數的比例。 中， 攻擊者經過記錄分析 T 次的完整登入過程畫面後 (其中每次完整登入過程包含 r 次的登 入畫面)，除了 pass-icons 的組合外，剩下的 icons 組合數尚有 ( ) [ ] _組 符合登入條件。(圖 3.6) 為不同的 N 值與登入記錄攻擊成功機率之關係圖，其中 r＝5； 圖 3.6： RiS 之 LR1 登 入 模 式 中不 同 的 N 值與 登 入 記錄 攻 擊成 功 機率 plr之 關 係 圖

(圖 3.7) 為不同的 r 值與登入記錄攻擊成功機率之關係圖，其中 N＝600。其中兩圖之橫 坐標皆為攻擊者完整記錄次數 T、縱座標代表攻擊成功機率 。由圖中可知，調整不 同參數值，可使 RiS 達到 30～60 次完整記錄的登入記錄攻擊抵擋能力，因此 RiS 具有 良好的登入記錄攻擊抵擋能力。 LR0 登入模式 LR0 登入模式主要是讓使用者快速進行登入，不提供登入記錄攻擊抵擋能力。

3.2.4 使用性

使用者可依環境中是否可能有登入記錄攻擊而動態選擇不同的登入模式，因此使用 者不管在有無登入記錄攻擊的環境下皆可使用適當的登入模式進行登入。此外，RiS 以 圓形排列的 icons 改善了 Movable Frame 設計中 pass-icons 難以用肉眼對齊的問題。然而， 若為了提高安全性而將登入時須完成的挑戰次數增加，登入時間也將明顯的上升。此外，

加了意外登入機率而降低安全性：若扇形區域較小，雖然意外登入機率較低，但同時也 因此使得登入時間增加而降低安全性。

3.3 安全性模擬

由於 LR0 登入模式規則較簡單且不提供登入記錄抵擋能力，毋需再做安全性模擬實 驗，因此本節僅針對 LR1 登入模式的安全性理論分析公式之正確性做模擬實驗，實驗內 容包括意外登入模擬與登入記錄攻擊模擬。為使模擬單純化，統一設置以下參數：N＝ (160, 200, 240, 280, 320, 360, 400, 440, 480, 520, 560)、n＝(60, 75, 90, 105, 120, 135, 150, 165, 180, 195, 210)、k＝8 以及 r＝5。

3.3.1 意外登入模擬

模擬進行方式

首先，模擬器隨機從 icons pool 中挑選 8 個 icons 當作模擬使用者之 pass-icons。在 每次的意外登入模擬中，模擬器會完成回應 5 次的系統挑戰，其回應挑戰的方式為模擬 器隨機轉動中圈若干次後點擊“Confirm”按鈕以完成該次回應。對每個的 n 值，模擬 器將會執行 3,000,000 次的意外登入模擬。在所有的模擬中，挑戰畫面上之所有 icons 數 (n)與系統 icons pool 中之 icons 數 (N) 之比值 (即 n/N) 須恆為 3/8。(圖 3.8) 為模擬統

分別為預定的意外登入次數、目前實際成功次數及目前已嘗試意外登入次數。

模擬結果探討

(圖 3.9) 為 RiS 之 LR1 登入模式的意外登入模擬結果，其中意外登入成功機率的模

首先，模擬器針對不同的 N 值分別預先隨機產生 30 組模擬使用者帳號與圖形通行 碼，並對每位模擬使用者產生 15 筆成功登入記錄。接著，模擬器分別對每位模擬使用 者進行登入記錄攻擊，其攻擊方式為：將第一筆資料與第二筆資料進行交叉比對，藉此 排除一部份可能的 pass-icons 組合，然後再將剩餘的可能 pass-icons 組合與第三筆資料 進行交叉比對。而後以相同方式進行，直到該模擬使用者的所有記錄都被比對後方可停 止。每經過一次比對，系統取剩餘的可能 pass-icons 組合數之倒數做為該模擬使用者遭 受登入記錄攻擊的成功機率。 模擬結果探討 (圖 3.10) 為 RiS 之 LR1 登入模式的登入記錄攻擊模擬結果，在模擬結果中無論 N 值為何，經過 15 次的交叉比對後，所有模擬使用者的登入記錄攻擊成功機率仍趨近於 0， 意即可抵擋 15 次的登入記錄攻擊。此模擬結果符合理論分析結果。

為了解使用者使用 RiS 之不同登入模式的使用性，我們規劃下列實驗，對使用者在 不同登入模式的登入時間及登入成功率進行探討。

3.4.1 實驗進行方式

在使用性實驗中，受測對象為 22 位國立臺中教育大學資訊工程學系修習網路安全 的大學部三年級學生 (包括 12 名男生及 10 名女生)，所有受測學生皆熟悉電腦的操作， 但並不熟悉圖形化通行碼。首先，我們請受測者進行 RiS 註冊 (包含 ID 與圖形化通行 碼)，接著，經過充分的練習後開始進行實驗。每位受測者分別使用 RiS 之 LR1 登入模 式和 LR0 登入模式各進行五次登入，在操作期間，系統會自動記錄登入成功與否以及每 次登入所花時間。

3.4.2 實驗結果

(表 3.1) 為 RiS 之使用性實驗結果，從中可以看出使用者經過充分的練習過後可以 達到良好的登入成功率，而大多數受測者的登入時間也短於目前大部分的防登入記錄攻 擊之純圖形化通行碼設計。

1 34.29 100.00% 9.98 100.00% 2 29.66 100.00% 7.98 100.00% 3 31.53 100.00% 6.28 100.00% 4 20.09 100.00% 8.46 100.00% 5 17.27 100.00% 6.53 100.00% 6 47.77 80.00% 15.62 100.00% 7 8.90 100.00% 7.53 100.00% 8 23.69 100.00% 10.04 100.00% 9 25.33 100.00% 11.71 100.00% 10 24.30 100.00% 9.50 100.00% 11 17.27 100.00% 5.96 100.00% 12 49.97 100.00% 13.22 100.00% 13 43.63 100.00% 11.64 100.00% 14 21.22 100.00% 9.21 100.00% 15 21.59 100.00% 9.75 100.00% 16 19.96 100.00% 8.84 100.00% 17 17.49 100.00% 4.80 100.00% 18 14.08 100.00% 15.23 100.00% 19 29.53 100.00% 15.42 100.00% 20 60.56 100.00% 18.16 100.00% 21 23.58 100.00% 10.56 100.00% 22 31.90 100.00% 7.07 100.00% 平 均 27.90 99.09% 10.16 100.00% 標 準 差 12.46 0.04 3.46 0

3.5 現有較具代表性的防登入記錄攻擊之圖形化通行碼比較

我們 [Chen12] 過去曾以相同或相近的安全參數設定 (系統 icons pool：400，挑戰 次數：3，畫面中顯示的 icons 數：150) 比較 CHC、Movable Frame 設計、ColorLogin、 TI-IBA 及 RiS 等五套防登入記錄攻擊之圖形化通行碼設計。然而，由於我們已修正 RiS

機率。各設計皆有其優缺點，此分析結果可提供系統開發者依不同的應用環境、安全性 與使用性需求選擇合適的設計。 表 3.2：五套現有較具代表性的防登入記錄攻擊之圖形化通行碼設計的安全性與使用性比較表 設計 比較項目 CHC Movable

Frame ColorLogin TI-IBA RiS

通行碼空間 意外登入 成功機率 登入 記錄 攻擊 成功 機率 記錄次數 1 2 3 使用性 Pass-icons 搜尋 時間較長，登入 過程較費時 (1) 不易將三個 pass-icons 對準 成一直線，使得 成功登入的機率 偏低 (2) Pass-icons 搜 尋時間較長，登 入過程較費時 利用背景顏色 縮短 pass-icons 搜尋時間，登入 時間較短 登入時間受 icons 切換速度影響 (1) 每圈上恰有 一個pass-icon，使 用者找到其中一 個圈上的pass-icon 後即可搜尋其它 圈，登入過程相對 較 CHC 及Movable Frame設計省時 (2) 提供 LR0 登 入模式縮短使用 者在無登入記錄 攻擊環境的登入 時間

T-RiS 介紹及其分析與模擬實驗

就安全性而言，我們並不建議使用者對多套通行碼系統使用相同的通行碼。然而， 在實務上，若使用者必須存取多個 (例如：10 個) 以上的不同系統，多組相異的通行碼 可能會造成使用者的記憶負擔，在這種情況下，部分使用者會傾向將通行碼以紙筆或電 子檔的方式記下，抑或是使用較易記憶但並不安全的通行碼。另一方面，目前不同的圖 形化通行碼系統使用的 icons pool 通常並不相同或具備關聯性，且大多數的使用者仍較 習慣使用文字通行碼。因此，我們 [Chen11b] 於 2011 年提出一套防登入記錄攻擊的圖 形化文字通行碼－T-RiS，此設計理念與 RiS 相似，但使用文字 (alphanumeric) 取代 icons， 因此較適合習慣於記憶文字通行碼的使用者，使用者可使用與其它文字通行碼系統或圖 形化文字通行碼系統相同的文字通行碼以減少記憶負擔，並且使用者可依環境有無登入 記錄攻擊以選擇較合適的登入模式。然而，由於 T-RiS 原實作雛型在實務上的考量不足 而影響到安全性與使用性且我們先前對 T-RiS 的分析不夠深入、部分安全性量化公式的 推導不夠精確，並缺乏完整的安全性模擬與使用性實驗以驗證理論分析的正確性，因此 我們接續改進 T-RiS 實作雛型、更深入分析 T-RiS 的安全性與使用性，並透過安全性模 擬與使用性實驗以驗證我們的理論分析結果。以下將先介紹 T-RiS 與我們對其改良的實 作雛型以及修正的安全性與使用性理論分析結果，接著並介紹我們對 T-RiS 的安全性模 擬與使用性實驗結果。

本節將介紹 T-RiS 及其改良實作雛型。T-RiS 包含註冊和登入兩階段，依序分述如 下。

4.1.1 註冊階段

T-RiS 使用的通行碼字元集為 62 字元，包括大寫英文字母 (A～Z)、小寫英文字母 (a ～z) 及數字 (0～9)。使用者須設定長度為 L (6≦L≦15) 個字元的文字通行碼。系統會 建 議 使 用 者 在 無 登 入 記 錄 攻 擊 之 環 境 進 行 註 冊 。 同 時 ， 系 統 會 使 用 SSL/TLS [SSL11][TLS08] 或任何其它的安全傳輸機制與使用者建立安全通道 (secure channel) 保護使用者與系統之間的傳輸訊息。此外，使用者必須註冊一個 e-mail address，當使用 者的帳號被鎖住時，必須使用此 e-mail address 來進行解鎖，此機制將於本節後面進行 詳細說明。

4.1.2 登入階段

使用者可依登入時所處的環境是否存在登入記錄攻擊之威脅以選擇有登入記錄攻 擊抵擋能力的模式 (LR1 登入模式) 或無登入記錄攻擊抵擋能力的模式 (LR0 登入模式)； LR1 登入模式為預設模式，使用者可點擊畫面上“Switch to LR0”按鈕切換至 LR0 登入 模式。LR1 登入模式和 LR0 登入模式分述如下：

元，每圈上的格子會與其它兩圈切齊以方便使用者移動時對齊，請參見 (圖 3.1)。使用 LR1 登入模式進行登入時，使用者須完成下列步驟： Step 1： 使用者於預設登入模式 (LR1 登入模式) 要求登入，系統於登入畫面顯示 三個同心圓，由外而內分別是外圈、中圈及內圈。每圈的 62 個格子會切 割成三個區段，分別為隨機放置的 26 個大寫英文字母、26 個小寫英文字 母及 10 個數字。而內圈和外圈上的文字字元是固定的，中圈上的文字字 元則可透過滑鼠滾輪或點擊“Rotation”按鈕組進行順時鐘或逆時鐘的轉 動。 Step 2： 使用者須於外圈中辨識出第 1 個通行碼字元，且於內圈中辨識出第 2 個通 行碼字元。令 i 為即將輸入的字元之索引(index)，並設定其初始值為 3。 Step 3： 若內圈和外圈的兩個通行碼字元與同心圓之圓心夾角為 180 度 (意即連成 一直線) 時，使用者須用滑鼠滾輪或點擊“Rotation”按鈕組轉動中圈以使 得中圈上的第 i 個通行碼字元落在此直線上 (意即三個通行碼字元與圓心 成一直線)；否則，使用者須使用相同方式將中圈上的通行碼字元移入由內 圈和外圈上之通行碼字元與同心圓之圓心圍成的扇形區域 (sector region) 內。接著，使用者點擊“Confirm”按鈕以回應該挑戰。同時，i＝i＋1。

對使用者進行認證。 (圖 4.1) 為 T-RiS 的改良實作雛型之 LR1 登入模式說明圖，圖中的 3 個紅色圈標記 處為該挑戰中使用者的三個通行碼字元，藍色線標記圓心、內圈及外圈上的兩個通行碼 字元所形成的扇形區域，使用者須把中圈的通行碼字元轉入扇形區域內以回應該次挑戰， 圖中的紅色圈和藍色線僅為說明用並不會在登入時顯示。在實務上，使用者在登入時的 一些不當行為可能導致安全問題。因此我們在 LR1 登入模式畫面中加入明顯警語，提醒 使用者勿使用手指指出畫面中的通行碼字元以避免攻擊者利用肩窺或隱藏式攝影機等 方式直接獲取使用者的通行碼字元。 圖 4.1：T-RiS 之 LR1 登 入 模 式說 明 圖

Step 1： 使用者於預設登入模式 (LR1 登入模式) 之登入畫面中點擊“Switch to LR0”按鈕切換至 LR0 登入模式。系統提示使用者輸入文字通行碼。 Step 2： 使用者以傳統方式輸入文字通行碼。若使用者輸入之文字通行碼正確，則 使用者通過驗證。 (圖 4.2) 為 T-RiS 的改良實作雛 型之 LR0 登入模式說明圖，登入畫面 中具明顯警語，提醒使用者若使用者 處於有登入記錄攻擊的環境中須點 擊“Switch to LR1”按鈕切換回 LR1 登入模式。此外，若帳戶連續三次登 入失敗 (兩登入模式合計)，則該帳戶

會立即被鎖住 (disabled)，同時系統會發送一封含有解鎖連結 (re-enabled link) 的 e-mail 至該用戶註冊時設定之 e-mail address，且該解鎖連結僅可使用一次。

4.2 安全性與使用性分析

本節將對 RiS 做安全性與使用性的深入理論分析，分析項目包括：通行碼空間、意 外登入抵擋能力、登入記錄攻擊抵擋能力及使用性等四項。

由於通行碼字元集包含 62 個字元且通行碼長度 L 的範圍為 6≦L≦15，因此通行碼 空間為 ∑ 。 LR0 登入模式 LR0 登入模式之通行碼空間與 LR1 登入模式之通行碼空間相同。

4.2.2 意外登入抵擋能力

若攻擊者連續三次登入失敗 (兩登入模式合計)，則該帳戶會立即被鎖住 (disabled)， 同時系統會發送一封含有解鎖連結 (re-enabled link) 的 e-mail 至該用戶註冊時設定之 e-mail address，且該解鎖連結僅可使用一次。此機制可有效加強 RiS 對意外登入的抵擋

能力。以下分別針對兩種登入模式之意外登入抵擋能力進行分析。 LR1 登入模式 攻擊者進行意外登入時，須轉動中圈將字元轉入扇形區域內，若使用者的通行碼長 度為 L，則攻擊者須意外完成 L－2 次挑戰。對於不同的 L 值，其意外登入成功機率 ( )為 ( ) ∑ ( ₎ 。 其分子中之 為內圈和外圈通行碼字元與圓心夾角為 0 或 180 度時 (即三者 呈一直線) 的登入成功率；而分子之 ∑ ( ) 為內圈和外圈通行碼字元與圓心 夾角為小於 180 度且大於 0 度時所有可能角度之登入成功率；將上述兩者相加取平均後 則可得到 。若使用者之通行碼長度為 10，則意外登入成功機率 _。

(圖 4.3) 為不同 L 值與其意外登入成功機率 ( ) 之關係圖。由圖中可看出，然而，除 非攻擊者藉登入記錄攻擊或其它方法取得 L 值，否則 L 值對攻擊者而言屬未知。假設各 種 L 值的機率皆相同 (即 1/10)，則 T-RiS 的意外登入成功機率 為 ( ) ∑ ( ) _。 LR0 登入模式 若使用者之通行碼長度為 L，攻擊者的意外登入成功機率 _{( )} 為 ( ) ( ) 。 若使用者之通行碼長度為 6，則意外登入成功機率 _{( )} 約為 。(圖 4.4) 為不 同 L 值與其意外登入成功機率 _{( )} 之關係圖。然而，除非攻擊者藉登入記錄攻擊或 其它方法取得 L 值，否則 L 值對攻擊者而言屬未知。假設各種 L 值的機率皆相同 (即 1/10)， 則 T-RiS 的意外登入成功機率 為 ( ) ∑ ( )

4.2.3 登入記錄攻擊抵擋能力

LR1 登入模式 在一次挑戰的登入畫面中，符合登入所需條件的扇形區域與完整區域的平均比值為 [ (∑ )] 。 在一次登入過程中，因為第 1 個通行碼字元與第 2 個通行碼字元在畫面上的位置固定， 且使用者須將第 3 個至第 L 個通行碼字元分別依序移入第 1 個通行碼字元、第 2 個通行 碼字元和同心圓圓心所圍成的扇形區域內並按下“Finish”按鈕以完成登入程序。因此 攻擊者可針對使用者移動完每個通行碼字元並按下“Confirm”按鈕時的畫面進行分析， 利用多次的登入畫面破解扇形區域 (即破解第 1 個及第 2 個通行碼字元)，接著再分析以 破解第 3 個至第 L 個通行碼字元。假設攻擊者成功記錄 T (正整數) 次相同使用者之完整 登入過程，則攻擊者分析破解第 1 個通行碼字元及第 2 個通行碼字元之機率 _{[ ]} 為 [ ] _{( ( ) ( ))}。

錄這些組合仍符合登入條件的組合數為 ( ) [( ) ]。而攻擊者分析破解 第 3 個至第 L 個通行碼字元之機率 _{[ ]}為 [ ] ( ( )) 。 其中分母為符合登入條件之字元組合數 (包括通行碼及其它混淆的組合)，而 為攻 擊者第一次記錄到的畫面中，通行碼以外符合登入條件的字元組合數，經過 T 次記錄這 些組合仍符合登入條件的組合數為 _{[( ) ] 。很明顯地，LR1 登入模式完整} 之登入記錄攻擊成功機率 為 [ ] [ ]。 若使用者通行碼長度為 12，且攻擊者成功記錄到 3 次完整登入過程畫面，則登入記錄攻 擊成功機率為 _{。(圖 4.5) 為 T-RiS 之 LR1 登入模式中不同的 L 值與登入記錄} 攻擊成功機率之關係圖。由圖可知，T-RiS 約可抵擋 4 次完整登入記錄攻擊。 圖 4.5：T-RiS 之 LR1 登 入 模 式中 不 同 的 L 值與 登 入 記錄 攻 擊成 功 機率 p 之 關 係 圖

由於使用者使用 LR0 登入模式輸入通行碼時，系統畫面上會以星號 (*) 顯示使用者之 通行碼，因此仍可抵擋部分登入記錄攻擊，如畫面擷取攻擊。

4.2.4 使用性

使用者可依環境中是否可能有登入記錄攻擊而動態選擇不同的登入模式，因此使用 者不管在有無登入記錄攻擊的環境下皆可使用適當的登入模式進行登入。此外，大部分 使用者較熟悉文字通行碼，且每圈將大寫英文字母、小寫英文字母及數字分別放於連續 的區段中，因此使用者可以更容易且更快速在登入畫面中找到通行碼字元。再者，由於 使用者只須將通行碼字元移入扇形區域即可，而扇形區域平均佔同心圓的 1/4，易於操 作。

4.3 安全性模擬

由於 LR0 登入模式規則與一般文字通行碼系統無異，並不提供登入記錄攻擊抵擋能 力，因此本節僅針對 LR1 登入模式的安全性理論分析公式之正確性做模擬實驗，實驗內 容包括意外登入模擬與登入記錄攻擊模擬。

4.3.1 意外登入模擬

模擬進行方式 首先，模擬器對不同的 L (6≦L≦15) 值各隨機產生一組文字通行碼，並分別指定給

滾輪 k (0≦k≦61)次並按下“Confirm”按鈕。模擬器將對各種可能的通行碼長度分別嘗 試 3,000,000 次意外登入，並記錄下該次意外登入是否成功。(圖 4.6) 為 T-RiS 之 LR1 登入模式在 L＝10 時的意外登入模擬統計畫面，圖中左方分別為每次意外登入之流水編 號及該次的 L－2 個挑戰/回應成功與否之記錄 (成功記為 1，失敗記為 0)；接著依序列 出第 1 個及第 2 個通行碼字元所在位置、可成功登入之範圍大小、第 3 個及其後之通行 碼字元位置。例如：第 3943 次意外登入之 8 次挑戰/回應皆成功。圖中右下方的視窗內 分別為預定的意外登入次數、目前實際成功次數及目前已嘗試意外登入次數。 圖 4.6：T-RiS 之 LR1 登 入 模 式的 意 外登 入 模擬 統 計 畫面

擬值皆近似於意外登入成功機率之理論分析結果，意即理論分析結果與模擬結果一致。

4.3.2 登入記錄攻擊模擬

模擬進行方式 首先，模擬器針對不同的 L 值分別預先隨機產生 30 組模擬使用者帳號與文字通行 碼，並對每位模擬使用者產生 15 筆成功登入記錄。接著，模擬器分別對每位模擬使用 者進行登入記錄攻擊，其攻擊方式為：比對內圈和外圈對應的所有文字字元組合及其包 含之中圈文字字元以破解第 1 個與第 2 個通行碼字元，並使用前述排除後的內外圈組合 比對出每次挑戰畫面裡中圈的可能字元 (即第 3 個至第 L 個通行碼字元)。經過一次完整 記錄比對，第 1 個與第 2 個通行碼字元可能組合數依序乘上第 3 個至第 L 個可能字元數 後取倒數即為該模擬使用者遭受登入記錄攻擊成功率。(圖 4.8) 為登入記錄攻擊模擬畫 圖 4.7：T-RiS 之 LR1 登 入 模 式的 意 外登 入 模擬 結 果

以此圖為例，除了第 12 個字元尚有兩個可能字元外 (0 和 6)，其餘字元皆已破解出確定 字元。所以，在此條件下攻擊者進行登入記錄攻擊之成功率為 1/2。 模擬結果探討 (圖 4.9) 為 T-RiS 之 LR1 登入模式的登入記錄攻擊模擬結果，從圖中可知：不同長 度的通行碼皆約可抵擋 4～5 次完整登入記錄攻擊，且模擬結果的整體趨勢與理論分析 結果具有相當高的一致性。 圖 4.9：T-RiS 之 LR1 登 入 模 式的 登 入記 錄 攻擊 模 擬 結果

為了解使用者使用 T-RiS 之不同登入模式的使用性，我們規劃下列實驗，對使用者 在不同登入模式的登入時間及登入成功率進行探討。

4.4.1 實驗進行方式

在使用性實驗中，受測對象與 RiS 之受測對象相同。首先，我們請受測者進行 T-RiS 註冊 (包含 ID 與文字通行碼)，接著，經過充分的練習後開始進行實驗。每位受測者分 別使用 T-RiS 之 LR1 登入模式和 LR0 登入模式各進行五次登入，在操作期間，系統會 自動記錄登入成功與否及每次登入所花時間。

4.4.2 實驗結果

(表 4.1) 為 T-RiS 之使用性實驗結果，從中可以看出使用者經過充分的練習過後可 以達到良好的登入成功率，而大多數受測者的登入時間也短於目前大部分的防登入記錄 攻擊之圖形化文字通行碼設計。

1 20.55 100.00% 7.62 100.00% 2 21.93 100.00% 4.03 100.00% 3 27.83 100.00% 4.03 100.00% 4 34.73 100.00% 3.69 100.00% 5 27.44 100.00% 2.59 100.00% 6 47.24 100.00% 3.80 100.00% 7 17.89 100.00% 2.12 100.00% 8 14.91 100.00% 0.76 100.00% 9 25.12 100.00% 2.94 100.00% 10 23.76 100.00% 3.18 100.00% 11 29.17 100.00% 5.87 100.00% 12 26.66 100.00% 4.54 100.00% 13 34.85 100.00% 5.13 100.00% 14 17.06 100.00% 4.16 100.00% 15 17.82 100.00% 1.57 100.00% 16 17.28 80.00% 1.94 100.00% 17 22.45 100.00% 3.77 100.00% 18 11.13 100.00% 1.08 100.00% 19 19.68 100.00% 3.40 100.00% 20 43.90 100.00% 3.43 100.00% 21 15.56 100.00% 2.38 100.00% 22 17.03 100.00% 2.13 100.00% 平 均 24.27 99.09% 3.37 100.00% 標 準 差 9.05 0.04 1.55 0

4.5 現有較具代表性的防登入記錄攻擊之圖形化文字通行碼比較

我們 [Chen12] 過去曾以相同或相近的安全參數設定 (文字通行碼長度：8) 比較 Pair-Based Scheme、Kim 等人的設計、S3PAS、Advance Secure Login 及 T-RiS 等五套防