防御摄像攻击的图形位置密码认证方案

摘要：现在，基于文本密码的身份认证方式被广泛应用，但如果在认证系统输入密码时被人窥探的话，密码就有被泄露的危险。虽然已经提出了对窥探攻击拥有一定防御强度的密码认证方案，但是在用摄像设备进行摄像攻击的情况下，安全性急剧下降，可以说对摄像攻击没有防御强度。在本文中，我们提出对于摄像攻击具有高防御强度的图形位置密码认证方案。详细地陈述了该方案的设计原则及验证流程，并对其安全性和可用性进行了探讨。

关键词：身份认证；图形密码；摄像攻击；安全性

中图分类号：TP391 文献标识码：A文章编号：1007-9599 (2011) 10-0000-04

Graphic Location of Camera Attack Defense for Password Authentication Scheme

Xu Qiang1,Xu Ting1,Wu Ruihong2

(1.College of Information Engineering,Zhengzhou University,Zhengzhou450001,China;2.Zhengzhou Municipal People's Air Defense Office,Zhengzhou450001,China)

Abstract:Now,text-based password authentication method is widely used,but if the password in the authentication system when people pry into it,the password will have been exposed.Although the attacks have been proposed for snooping has some defensive strength of the password authentication scheme,but with camera equipment Camera case of attack,a sharp decline in security can be said that defensive intensity on the camera did not attack.In this paper,we propose for the camera with a high attack strength defense graphical location password authentication scheme.Detailed statement of the principles of the program design and verification process,and its security and usability are discussed.

Keywords:Authentication;Graphical passwords;Camera attacks;Security

一、简介

用户身份认证方式中，具有高度通用性和便利性的利用文本记忆的认证方式（如密码口令认证方式)是如今的主流方式。但是，为了设定具有较高安全强度的密码，最好使用一长串随机的文字数字列，那么，这样的密码口令就会使用户的记忆负担变得非常大。不少用户为了减轻记忆负担，使用像名字或生日等和本人有关的文字列或数字列来做密码，或者在各个不同的环境中使用相同的密码等，像这样使用密码所带来的问题已经越来越被关注。

另外，即使用户能够记住一个具有较高安全强度的密码，但是密码的输入操作（键操作或者触摸屏操作)一旦被他人偷窥，密码很容易就泄露了。实际上，在银行的ATM附近安装小型隐蔽摄像装置来盗取密码的事件时有发生。因为从物理层面上，要完全阻止窥探攻击或者巧妙设置的小型隐蔽摄像装置的摄像攻击是很困难的，所以我们希望有一个对窥探攻击和摄像攻击具有相当防御强度的身份认证方案来应对这种情况。

我们知道，防御对密码的窥探攻击和摄像攻击，结合生物识别技术或安全令牌能具有更好的效果。但生物识别技术涉及个人隐私，而安全令牌仍然需要一个Pin口令以防止遗失，同时，这两种认证技术都需要辅助设备或者辅助物来进行身份验证。本文旨在探讨只是利用人们的记忆力的本文提出的图形位置密码认证方案的基础上，不增加任何辅助硬件，仅改变认证系统软件，就可以实现对密码的窥探攻击和摄像攻击的有效防御。

二、图形认证方案

相对于记住文本，人们更善于记住图形，利用图形记忆的认证方式已经有了很多提案，并且引起了广泛的关注。认知心理学的长年研究表明，人们对图形的记忆优于文本的记忆。

图形密码认证与文本密码认证相比，在安全性上有着一定的优势。

对于猜测口令攻击，文本密码使用者为了方便记忆，会选择诸如生日、电话号码、姓名字母等来作为口令。这样就给猜测口令提供了便利。同样的，图形密码也不可避免的存在弱口令的情况。但是图形密码仍然比文本密码具有更强的不可猜测性。

对于密码泄露问题，图形密码与文本密码相比，因为图形密码使用者较难通过用语言描述图形密码来告知他人，图形密码也不方便写在纸上，所以，这样就减少了密码泄露的可能性。所以从保管口令的角度看，图形密码更不容易泄露给其它人。

同时，有研究表明，图形密码在抵抗传统的口令攻击比如暴力破解、字典攻击和间谍软件等时较之文本密码有更好的防御能力。

对于窥探攻击和摄像攻击的有效防御是本文重点要解决的问题。窥探攻击又叫肩窥攻击，是指使用直接的观察技术来获取信息，就如同从某人的肩膀上方直接查看，也可以使用望远镜或者其它视觉增强设备来远距离实现。摄像攻击是指使用摄像设备记录用户身份认证的全过程（包括屏幕显示，键盘输入，鼠标的移动和点击等)来获取信息的方法。摄像攻击能够获取比窥探攻击更加全面和准确的信息，具有更强的攻击性，所以可以认为，如果一种密码身份认证方案能够防御摄像攻击，自然就能够防御窥探攻击。本文将主要探讨对摄像攻击的有效防御，就是说，即使攻击者在得到用户身份认证过程的全部细节信息，仍然无法确定用户的密码，从而达到对攻击的有效防御。

三、典型图形认证方案

根据图形密码身份认证方案实现的方式不同，图形密码身份认证方案可分为基于识别型和基于回忆型两类。

（一）基于识别型的图形密码方案

基于识别型的图形密码方案认证过程如下：设定密码阶段，用户从图形数据库中首先选定一些图形作为自己的密码图形，在认证阶段，系统从图形数据库中提取包括用户的密码图形和随机非密码图形的一组图形展示给用户，用户从中选择自己的密码图形，从而实现身份验证过程。

最典型的基于识别型的身份认证方案是Real User公司设计的Pass faces方案。Pass faces方案是利用识别人的面部图像来实现认证的。用户在设定密码阶段，从图像数据库挑选出4幅图像作为密码图形。验证阶段，用户看到一个由9张面部图像组成的3×3网格，如图1所示。包括一个密码图像和8个非密码图像。用户从中找出自己的密码图像并选择该图像。然后系统再显示一组新图像，让用户选择。这个过程持续多次，最终，用户选对全部的密码图像完成认证。

Pass faces方案是利用了人们对人的面部能准确的识别的特征，强化了对密码的记忆。但是，由于是通过直接点选自己的密码图形方式来认证，对摄像攻击是没有任何防御的。

（二）基于回忆型的图形密码方案

基于回忆型的图形密码方案认证过程如下：设定密码阶段，用户预设一个图形或者在一个图形中预设一些点，在认证阶段，用户重现预设图形或者预设点，从而实现身份认证的过程。

最典型的基于回忆型的图形密码方案是“画出秘密”认证方案(draw a secret，DAS)。这种方案在设定密码阶段，用户在系统显示的栅格中任意画一个图形作为密码图形。在认证阶段，系统显示同样的栅格，要求用户画出自己的密码图形，如果用户画出的图形按照以前设定的密码图形顺序经过相同的方格则通过验证。如图2所示。

此方案在认证阶段不但要求用户画出的图形与预先设计的密码图形一致，而且，图形所经过的栅格也要一致，即画出的图形与预先设计的密码图形的位置也要一致，密码空间要优于传统的文本密码。但是，由于是通过设备直接画出自己的密码图形来认证的，也无法有效防御摄像攻击。攻击者可以根据摄像信息，画出用户成功认证时所画图形近似一样的图形，来轻易的通过认证。

（三）小结

图形密码的易记忆性，且不易受到暴力攻击和字典攻击的优势逐渐得到了广泛的认可。但是，如果在认证阶段采用直接点选密码图形或画出密码图形的方法来认证的话，在对付摄像攻击的问题上，和传统的文本密码方案具有相同的脆弱性。

四、图形位置密码认证方案

（一）设计思路

密码身份认证过程是用户告知认证系统本人所知密码，从而通过认证系统的本人认证过程。在认证阶段中，传统的方法基本上是通过直接操作用户密码的方法来完成认证的。例如，输入密码文本，点选密码图形，绘出密码图形等。这样的认证方法，在有摄像攻击存在的情况下，用户在告知认证系统本人所知密码的同时，也等于把用户密码告知给攻击者。攻击者很容易就得到用户密码，从而重复用户在认证阶段的操作来欺骗认证系统。

为了防御摄像攻击就要避免直接对用户密码的操作，并且每次认证过程的操作都是不一样的。这样，首先，攻击者无法得到用户密码，并且，即使攻击者根据得到的信息，完全模拟用户的认证操作也无法通过认证系统的认证，从而达到有效的防御摄像攻击的目的。

为了使用户在认证阶段的一组操作，达到即可以让摄像攻击者无法得到用户密码，又可以让认证系统完成本人认证的目的，就需要让认证系统比摄像攻击者拥有更多的用于认证的“秘密信息”。这样，认证系统就可以通过“秘密信息”结合用户的认证操作来确定用户密码，从而完成认证，而摄像攻击者由于没有“秘密信息”，所以无法确定用户密码。

（二）图形位置密码认证方案

本文提出的图形位置密码方案是结合基于识别型与基于回忆型的综合型图形密码认证方案。

本方案中，用户密码是一组图形以及每个图形所处的位置，也就是说，一个图形和一个位置的组合是用户密码的一个密码单元。用户密码可根据安全性需求，来决定由多少个密码单元组成。

为了方便说明，我们使用一个3×3网格内一个密码单元来进行阐述。如图3所示，由9张图形分别放在9个框架内组成一幅显示图。在密码设定阶段，用户要选择一幅图像作为自己的密码图形，同时，还要指定一个位置作为自己的密码位置。在这里，我们假设用户的密码设置是在一个安全的环境中来完成操作的，不存在安全性的问题。用户可以通过直接点选的方法来指定自己的密码图形和密码位置。

在认证阶段，使用同样的3×3网格，显示的9张图形和密码设定阶段是显示给用户的图形相同，但是这9张图形的出现位置是系统随机设定的。用户通过对图形的整体移动，最终使自己的密码图形落入自己的密码位置，然后确定，完成本次的身份认证。

移动图形的方法是通过对全部图形的竖移和横移操作来实现的，这样可以避免用户对密码图形进行直接操作而泄露自己的密码。例如，点击[上移]按钮，则第三行的3张图形上移到第二行，第二行的3张图形上移到第一行，第一行的3张图形移到第三行。同样，当点击[右移]按钮是，则第一列的3张图形右移到第二列，第二列的3张图形右移到第三列，第三列的3张图形移到第一列。这样，通过[上移]、[右移]和[确定]三个按钮的操作就可以完成整个认证过程。

举例说明，如图3所示为用户的认证界面，9张图形随机显示在9个框架内。假设，用户的密码图形是位于框架1内的蔬菜图片，密码位置是框架9的位置。用户就要通过[上移]-[右移]-[右移]这一系列的操作，把密码图形[蔬菜图片]移动到密码位置[框架9]，然后点击[确定]按钮完成认证。

认证系统的按钮选择上，我们只选用了[上移]和[右移]按钮，没有同时使用[下移]和[左移]按钮。同时使用4个方向的按钮会在一些情况下可以减少用户的操作数，使认证过程更简单，但是却存在着安全隐患。实验表明，用户在移动图形的过程中，总是倾向于让自己的密码图形在框架内移动，而不是采用移出框架循环到另一侧的方式。例如在上面的例子中，如存在4个方向的情况下，用户常常采用[下移]-[下移]-[右移]-[右移]这样的方式把密码图形[蔬菜图片]移动到密码位置[框架9]。这样的话，摄像攻击者有可能会利用用户的这种操作倾向来推测出用户的密码图形和密码位置。为了避免上述安全隐患，我们只选用了[上移]和[右移]按钮，使图片在竖移和横移操作中只能单方向移动。

从密码的安全性和用户的记忆负担上综合考虑，如图4所示，我们采用6×6网格共36张图形作为候选图形，用户从中选择4张不重复的图形作为自己的密码图形，选择4个不重复的位置作为密码位置，共组成4组密码单元，并且要求密码单元之间有先后顺序。为了方便用户记忆密码位置，把36个位置分为4个区域，每个区域包含9个位置。

在认证过程中，要求用户通过对全部图形的竖移和横移操作把第一组密码单元中的密码图形移动到对应的密码位置，而后点击[确定]完成第一组密码单元的认证。然后，继续用同样的方法移动图形依次完成后面的密码单元的认证。当第四组密码单元的认证完成后，即完成了整个认证过程。

用户共有3次尝试认证的机会，如果3次认证都没有通过的话，将锁定该用户。

（三）安全性分析

本文的方案中，采用了36选4的认证方法，即使在摄像攻击者得到了用户身份认证通过情况下的全部操作和显示信息，能够推测出的密码组合共有36×35×34×331413720个，由于有3次尝试的机会，攻击成功率为3÷14137202.122×10-6。这与随机数攻击的成功率是相等的。也就是说，摄像攻击者无法通过摄像的手段提高比随机数攻击者更高的攻击成功率。

本方案比常用的6位数字密码拥有更大一些的密码空间，也就是说，对于随机数攻击，本方案拥有比6位数字密码更高的安全强度。也可以说，本方案的认证方法在摄像攻击存在的情况下，依然比不存在摄像攻击的6位数字密码更安全。

本方案在一次摄像攻击的前提下是有着极高的安全强度的，但是在复数次摄像攻击的情况下，攻击者通过对复数次用户认证操作和显示画面的分析进行交叉攻击，有一定的概率推测出用户的密码。也就是说，本方案在复数次摄像攻击结合交叉攻击的情况下，存在着一定的脆弱性。这个问题有待于今后继续研究。

五、基础实验

（一）实验系统

在本次实验中，采用6×6网格用于显示36张128×96像素的图像，网格右侧设置6个按钮，分别是[密码设定]、[身份认证]、[上移]、[右移]、[确定]和[重置]。数据库中保存500张不同的图像样本作为待选图形。系统启动初期，网格内不加载任何图形，为空白状态。

在密码设定阶段，启动系统，点击[密码设定]按钮，弹出设定用户名对话框，实验者设定自己的用户名，点击[OK]关闭对话框。系统提示用鼠标依次点选4个框架作为密码位置，实验者依次选择完成4个密码位置后点击[确定]按钮完成密码位置设定。系统从500张待选图形中随机选择36张图像显示在网格内，并提示用鼠标依次点选4个图像作为密码图形，实验者依次选择完成4个密码图形后点击[确定]按钮完成密码图形设定。至此，密码设定阶段完成。密码设定阶段要求是在安全的环境中进行的，不存在被摄像攻击的问题。

在身份认证阶段，启动系统，点击[身份认证]按钮，弹出输入用户名对话框，实验者输入自己的用户名，点击[OK]关闭对话框。系统把该用户在密码设定阶段显示的36张图像重新排序，随机显示在网格内，实验者要找到自己的密码图形1，并通过[上移]和[右移]按钮，使它移动到自己的密码位置1内，点击[确定]按钮，然后继续通过[上移]和[右移]按钮使自己的密码图形2移动到自己的密码位置2内，点击[确定]按钮。用同样的方法完成密码图形3和4的移动和确定，当全部操作完成后，就完成了身份认证阶段。在全部操作完成之前，实验者都可以通过点击[重置]按钮返回到输入用户名后的初始状态，系统同时清空刚才所有的动作重新开始认证。认证失败，则系统记录下认证操作，并返回到输入用户名后的初始状态让用户继续尝试认证。如果三次认证都失败，系统则锁定该用户名，退出认证状态，阻止用户继续尝试认证。

（二）实验方法

参加实验的是50名在校本科生。在密码设定阶段，要求每个人都建立唯一的用户名并按要求设置好自己的图形位置密码。

参与实验的50人分成10组，每组5人，以小组为单位进行摄像攻击实验。小组的每个人都轮流进行一次本人的身份认证操作，当一个人进行认证操作时，由小组的其他4人扮演攻击者。由于实验系统采用全鼠标操作，所以用屏幕录像软件即可记录整个认证过程，而后将记录视频交给4名攻击者分析，然后让4名攻击者每人猜测出一组最有可能的图形位置密码。

整个实验共进行身份认证操作50次，摄像攻击共200人次。对每一次身份认证操作给出12组图形位置密码的猜测结果。

（三）实验结果与评价

1次成功 2次成功 3次成功 认证失败 总计

次数 45 3 0 2 50

百分比 90% 6% 0% 4% 100%

表1：认证实验结果

0位正确 1位正确 2位正确 3位正确 攻击成功

次 138 45 9 0 0

% 71.9% 23.4% 4.7% 0% 0%

表2：攻击实验结果

认证实验结果如表1所示。表中的“1次成功”是指实验者在第一次尝试认证中就成功完成认证。“认证失败”是指实验者通过3次尝试认证都没有成功完成认证，即认定为认证失败。“总计”是指包括成功认证和失败认证在内的所有有效认证过程。从表1中可以看出，认证失败为4%，认证成功为96%，可以认为，本方案对用户的记忆负担是在可接受的范围之内的。通过对2次失败认证的分析得知，一次是记住了密码图形和密码位置，但是记错了密码图形的顺序，导致认证失败。另外一次是记住了密码图形，但是完全忘记了密码位置的其中一个，经过3次尝试也没能找对那个位置而导致认证失败。可见，用户能较容易的记住密码图形，但是如何同时记住密码图形顺序和密码位置还需要有好的方法，也是今后继续研究的课题之一。

攻击实验结果如表2所示。表中的“0位正确”是指攻击者猜测的密码中没有一位与用户的密码相符。“1位正确”是指攻击者猜测的密码中有一位与用户的密码相符。“攻击成功”是指攻击者猜测的密码与用户的密码完全相符。由表中的数据可知，在192次有效结果中，没有一位攻击者可以通过摄像攻击的方法成功得到用户的密码，猜出3位密码的攻击者人数也是0。通过实验后讨论得知：大多数的攻击者通过屏幕录像得不到用户认证的有用信息，主要是通过自己的主观猜测得出密码的，没有什么依据。但是，有的攻击者准确的猜测出用户的一位密码，原因是在用户的某一位密码图像需要经过两次翻转操作才能移动到密码位置的情况下，也就是说，密码图形需要从最上面一行，通过点击[上移]按钮移动到最下面一行，在后续的操作中，还需要从最右列通过点击[右移]按钮移动到最左列，才能到达密码位置的情况下，由于这些用户在翻转操作后，有一个较长时间的停顿，用来移动视线再次找到自己的该密码图像，这样，导致攻击者可以通过确定一行和一列的信息来确定该密码图像，而后，在用户点击[确定]按钮时，通过该密码图像所处的位置来确定密码位置。可见，在认证操作时还需要用户用一个好的方法来避免这种可能存在的风险。

从实验结果可以看出，本文的图形位置密码方案能有效地防止摄像攻击，保护用户的密码安全。

六、结论

本文提出了结合识别型与回忆型的图形位置密码认证方案，采用非直接操作密码图形的方法来完成认证。在考虑安全性和可用性之间的平衡性问题上，适当的设置密码空间。通过开发的实验认证系统进行的基础实验表明：本文提出的图形位置密码认证方案能有效地防范攻击者通过摄像攻击来窃取用户密码。

参考文献：

[1]Sobrado L,Birget J C.Graphical passwords[J].An Electronic Bulletin for Undergraduate Research,2002,4:19-23

[2]胡卫,吴晓平,张昌宏.图形密码身份认证方案设计及其安全性分析[J].计算机工程与设计,2009,30:14

[3]RealUser.

[4]Thorpe J,Oorschot P C.Graphical dictionaries and the memorable space of graphical passwords[C].San Deigo:Proceedings of the 13th USENIX Security Symposium.USA:USENIX,2004,66-70

[5]Davis,D.Monrose,F.and Reiter,M.K.On user choice in graphical password schemes,In Thirteenth Usenix Security Symposium(San Diego,CA,USA,Aug.9-13,2004)

[6]V.Roth,K.Richter and R.Freidinger:A PIN-Entry Method Resilient Against Shoulder Surfing,In Proc.of the 11th ACM conference on Computer and communications security,CCS’04,pp.236-245,2004