對網(wǎng)絡(luò)計算機系統(tǒng)的威脅與日俱增,不斷挑戰(zhàn)人們的安全“神經(jīng)”。安全專家已經(jīng)在系統(tǒng)保護(hù)領(lǐng)域取得了長足進(jìn)步。但是一直以來,安全問題只被當(dāng)作技術(shù)問題處理,而系統(tǒng)的使用者卻未被納入考慮范圍。安全問題實際是一個人機交互的問題,在計算機系統(tǒng)安全中,人為因素是最為薄弱的環(huán)節(jié)。
身份驗證是系統(tǒng)決定一個使用者是否有權(quán)限登陸本系統(tǒng)并使用特定資源的過程,是安全領(lǐng)域的重要研究課題。傳統(tǒng)的身份驗證方法是依據(jù)用戶提交的用戶名和相應(yīng)文本密碼。這些文本密碼由字母和數(shù)字組成。人們也提出過利用生物技術(shù)和智能卡技術(shù)來進(jìn)行身份驗證,但生物技術(shù)涉及個人隱私,而智能卡仍然需要一個Pin口令以防止遺失。因此密碼在未來一段時間內(nèi)將繼續(xù)作為身份驗證的一項重要手段使用,但是傳統(tǒng)的字符式口令存在諸多缺點,這些缺點極易演變?yōu)榘踩珕栴}。例如:安全的密碼必須具有很強的隨機性,并經(jīng)常更換,但是這樣的密碼不利于用戶記憶,在實際生活中用戶傾向于寫下文本密碼或者在多個系統(tǒng)中使用相同的密碼,這都給系統(tǒng)安全造成隱患。
圖形密碼是利用人們對圖形記憶要優(yōu)于對文本記憶的特點設(shè)計的一種新型密碼。用戶不用記憶冗長的字符串,而是通過識別或記住圖形來進(jìn)行身份驗證。并且,圖形密碼能夠提供比文本密碼更強的安全性。從技術(shù)上,圖形密碼可以分為兩類:基于識別型和基于回憶型的圖形密碼。
基于識別型的圖形密碼身份驗證要求用戶記憶預(yù)先選定的一些特定圖片,在驗證階段系統(tǒng)從圖案庫中隨機產(chǎn)生一組圖片,讓用戶從中間選擇預(yù)先設(shè)定的圖片,從而實現(xiàn)身份驗證的過程。實驗結(jié)果顯示90%的參與者成功地完成了驗證。而相比之下,只有70%的完成了使用文本口令和Pins口令的驗證,這是由于記憶誤差造成的。這表明圖片是非常有效的記憶方法。
從基于識別型的圖形密碼思想發(fā)展的驗證系統(tǒng)有若干種。其中一種是利用人臉圖像識別來實現(xiàn)的。用戶在設(shè)定密碼階段,從人臉數(shù)據(jù)庫挑選出4幅圖像作為口令。驗證階段,用戶看到一個九個人臉組成的3x3網(wǎng)格。包括一個口令圖像和8個迷惑圖像。這個過程持續(xù)多次,用戶全部選對預(yù)先設(shè)定的人臉圖像就可以通過驗證。因為人們對人臉記憶更容易,識別更迅速,因而縮短了驗證時間。
另外一種實現(xiàn)方式是由用戶預(yù)先選擇一些圖形物體,在驗證的時候系統(tǒng)顯示出一個有許多圖形組成的陣列,用戶需要識別出這些物體,并且移動一個固定的框架使陣列中預(yù)先定義的物體全部落在框架中,通過多次重復(fù)此過程來防止隨機選中的可能。這種方法可以有效地防止“肩窺”。肩窺指使用直接的觀察技術(shù)來獲取信息,就如從某人的肩膀上方來查看。在擁擠的公共場所,肩窺是竊取信息的一種有效方法,當(dāng)別人填表、在ATM機輸入PIN碼、或者在公共付費電話使用電話卡時,其私密信息容易被他人獲取。肩窺也可以使用雙眼望遠(yuǎn)鏡或者其它視覺增強設(shè)備來遠(yuǎn)距離實現(xiàn)。在使用傳統(tǒng)文本密碼的情況下,用戶只能依靠身體遮擋工作區(qū)來避免肩窺。在采用這種圖形密碼方法后,即使偷窺者看到用戶輸入過程,但仍然無法確定用戶設(shè)定的圖形,并且在每次驗證時展現(xiàn)的圖像陣列都不相同,所以能夠有效防止肩窺。
基于回憶型的圖形密碼身份驗證則是要求用戶重復(fù)以前設(shè)定的一個過程。例如,在一種基于回憶型的圖形密碼身份驗證方法中,設(shè)定密碼時候系統(tǒng)要求用戶在2d柵格上畫出口令。在驗證階段,系統(tǒng)顯示同樣的柵格要求用戶重復(fù)原來的設(shè)定過程,如果用戶畫出的圖形按照以前設(shè)定的順序經(jīng)過相同的方格則通過驗證。另一種身份驗證方法要求在用戶一個圖形上預(yù)先按順序點擊一些位置,在身份驗證階段重復(fù)此過程。
圖形密碼與傳統(tǒng)文本密碼相比較在安全性上具有很大優(yōu)勢。我們可以通過增大圖案庫的容量來擴(kuò)大口令空間,提高系統(tǒng)的安全性,而傳統(tǒng)的字符只有94個(包括空格),其口令空間受到限制。從攻擊者的角度看,攻擊者必須了解并精確復(fù)制系統(tǒng)圖庫,難度加大。圖形密碼采用鼠標(biāo)輸入,比傳統(tǒng)密碼的鍵盤輸入更加難以猜測。攻擊者使用間諜軟件來跟蹤鍵盤輸入容易,但是跟蹤鼠標(biāo)輸入困難,并且由于用戶輸入圖形操作和用戶當(dāng)前所使用的圖形窗口位置、大小以及時間信息都有關(guān),盜取密碼更加困難。從保管口令的角度看,圖形更不容易泄露給其他人。
