图像密码的故事记忆法

摘要：在本文中，为了减轻用户的图像密码的记忆负担，我们提出了利用基于识别型与基于回忆型相结合的图像密码记忆方法。陈述了该方法的设计思路，并对其可用性进行了探讨。

关键词：身份认证；图形密码；记忆法

中图分类号：TP393.08 文献标识码：A文章编号：1007-9599 (2011) 17-0000-02

Story Memory Method of Image Password

Xu Qiang

(College of Information Engineering,Zhengzhou University,Zhengzhou450001,China)

Abstract:In this article,in order to reduce burden on the memory,we propose a memory method using a combination of model-based recognition and model-based recall for graphical passwords.Statement of the method of design,and its availability are discussed.

Keywords:Authentication;Graphical passwords;Mnemonic

一、前言

如今，已经有了一些利用图形记忆的图形密码认证方案，并渐渐得到了广泛的关注。认知心理学表明，人们对图形的记忆优于随机文字列的记忆。并且，图形密码认证方案与传统的文字列密码认证方案相比，在安全性上有着一定的优势。对于猜测口令攻击、暴力破解、字典攻击和间谍软件攻击等，图形密码比传统的文字列密码有更好的防御能力。从保管口令的角度看，图形密码更不容易泄露给其它人。另外，通过避免直接对用户密码的操作的方法，图形密码还可以有效的避免窥探攻击[1]。

图像密码属于图形密码的一个分支，本文着重探讨用户如何记住自己的图像密码，也就是说，如何降低用户记忆图像密码的记忆负担。

二、关于密码记忆方法

根据密码记忆方法的不同，密码身份认证方案可分为基于回忆型和基于识别型两类。基于回忆型的密码记忆方法是指采用在设定密码时，用户预设一些秘密信息（一串文字列或者一个图形等）作为自己的密码，在认证时，用户重现这些作为密码的秘密信息（输入一串文字列或者画出一个图形），从而完成身份认证的方法。这种记忆方法是完全依赖于用户的记忆力来记住完整的密码。文字列密码身份认证是典型的利用基于回忆型的密码记忆方法的。基于识别型的密码记忆方法是指采用在设定密码时，用户从系统提供的一组候选信息中选定一些信息（例如几幅图型）作为自己的密码，在认证时，系统展示给用户包括用户作为密码的秘密信息在内的一组信息，用户从中选择自己的密码，从而实现身份验证的方法。在这种记忆方法中，用户不必完全依赖用户的记忆力，从展现的一组信息中，回忆并找出自己的密码的信息即可。大多数的图像密码认证方案都是利用了基于识别型的密码记忆方法。

可见，基于识别型的密码记忆方法是通过展现的信息中“找出”密码，基于回忆型的密码记忆方法是要求用户“完全记住”密码。“找出”比起“完全记住”来说，应该是降低了用户的记忆负担。所以说，采用了基于识别型的密码记忆方法的图像密码认证方案应该比采用了基于回忆型的密码记忆方法的文字列密码身份认证方案有着较低的记忆负担。这里所说的图像密码应该是“随机图像”，文字列密码应该是“随机文字列”。

但是，在现实的应用中，设定文字列密码时，很少有用户使用“随机文字列”作为自己的密码，大多数用户为了降低记忆负担，总是使用“有一定意义”的文字列来进行辅助记忆。可见，“随机文字列”对用户来说还是有较大的记忆负担的。在设定图像密码时，用户也可以采用有辅助记忆效果的“有关联”的图像作为密码，而不是使用“随机图像”，从而降低用户的记忆负担。

三、图像密码的故事记忆法

图像密码认证方案本身是利用了基于识别型的密码记忆方法，为了降低用户记忆图像密码的记忆负担，可以采用基于识别型结合基于回忆型的密码记忆方法――图像密码的故事记忆法。本文提出的图像密码的故事记忆法的设计思路是：用户在设定图像密码阶段，从系统提供的一组候选图像中选定一些图像作为密码，依照这些图像的内容和次序来编排一个小故事，并记住这个小故事，使它成为图像密码的辅助记忆部分。这样，在身份认证阶段，在如下几种情形下均可以完成身份认证：

（一）记住了每一幅密码图像及其先后次序的情况下，按顺序直接选择密码图像即可。

（二）记住了每一幅密码图像但是忘记了先后次序的情况下，可以依据小故事来确定密码图像的顺序。

（三）记不清密码图像，只是记住了小故事的情况下，可以根据小故事从展现给用户的一组图像中确定密码图像及顺序。

（四）只是记住了一部分密码图像，并且连小故事也记不清的情况下，可以由记住了一部分密码图像来帮助用户回忆起自己曾经编排的小故事，再从小故事来确定忘记的密码图像，从而得到完整的密码图像来完成身份认证。

可见，利用编排小故事把零散独立的密码图像依据内容关联起来的辅助记忆的方法，虽然用户记忆的内容好像增加了，但是对降低用户的记忆负担起到了积极有效的作用。这与使用“有一定意义”的文字列来进行辅助记忆有相似之处。例如，用户使用一个人的姓名全拼作为文字列密码时，用户不必牢记全部的文字列，只需记住这个人就行了，在使用密码时，从这个人的姓名全拼来还原整个文字列即可完成认证。

以36选4要求顺序并且不重复使用图像的图像密码认证方案为例[1]，说明图像密码的故事记忆法。假设在密码设定阶段，用户从系统提供的36幅候选图像中选定图1中的4幅图像作为密码，并采用从左到右的顺序列。选择这4幅图像的原因是用户已经根据这些图像的内容编排了一个小故事：我乘坐高速列车穿越时空隧道来到古埃及，发现我的手机竟然还可以收到信号。这样用户只需记住这个小故事，在身份认证的时候，根据这个小故事从36幅展示图像中按顺序找出图1中的4幅图像，按要求完成认证即可。

图1：密码图像及顺序

通过实验表明，用户编排的小故事越是离奇越是不符合逻辑则越是容易被用户记住。如何编排容易记住的小故事可能需要用户有一个学习和熟悉的过程。在记住小故事的前提下，用户很容易还原自己全部的密码图像及排列顺序。根据安全强度的要求不同，用户还可以增加编排小故事的内容来设定更多幅图像作为密码以提高安全强度。与此同时，用户的记忆负担并没有显著的升高。

四、可用性分析

难以记住随机文字列密码，所以用户使用“有一定意义”的文字列来进行辅助记忆。用生日、人名或电话号码等来进行辅助记忆的情况下，会有易被猜测，安全性低的问题存在。用户同样难以记住随机图像密码，用户可以使用故事记忆法来进行辅助记忆。由于用来辅助记忆的故事是用户根据候选图像随机编排的，所以很难被猜测，对于猜测攻击有相当强的防御强度。图像密码的故事记忆法是由用户自己编排故事来关联自己选定的密码图像，在记住密码图像的同时还可以记住密码的顺序。因为是自己编排的故事，所以很容易记住。即使在记不清楚的情况下，在身份认证时，通过展示图像也可以较容易的想起自己编排的故事来完成认证。

五、结语

本文提出的图像密码的故事记忆法利用回忆和识别相结合的方法来记住密码，在不降低安全性的前提下，有效地减轻了用户使用图像密码的记忆负担。

参考文献：

[1]徐强,徐婷,吴瑞红.防御摄像攻击的图形位置密码认证方案[J].计算机光盘软件与应用,2011,10