Page 336 - 《软件学报》2025年第5期
P. 336
2236 软件学报 2025 年第 36 卷第 5 期
求用户从一个大集合中选择图形内容的一个子集作为秘密知识来注册身份信息. 在身份验证过程中, 用户需要正
确识别所有预先选择的秘密图案内容, 以证明其身份. 这类方法主要研究如何从图案内容 (如图片、图标和符号)
中提取秘密信息, 并将其转换为图案口令. Dhamija 等人 [41] 应用哈希可视化技术生成随机图片, 供用户选择口令,
并在身份验证期间基于识别正确的预选图案对用户进行验证. 后来, 基于识别的秘密图案因其简单性和便于记忆
而被移动终端广泛采用. 移动终端中可用的各种图形内容已被探索用于身份验证, 例如具有强关联性的图片 [42] 、
数学函数 [43] 生成的抽象像素以及已安装的 APPs 图标 [44] . 这些认证方法丰富了基于识别的图案认证系统, 并为用
户提供易于识别的便利, 然而现有图案认证系统秘密空间小, 被破解可能性大.
与基于识别的图案认证系统不同, 基于召回的图案认证系统要求用户输入秘密图案内容, 而不是简单地识别
它们. 它可以进一步分为基于回忆的技术和基于提示回忆的技术. 基于回忆的技术要求用户在没有任何提示的情
况下重现秘密的图像内容. Jermyn 等人 [45] 让用户在触摸屏上绘制一个独特的图案模式 (例如, 一个字母“a”) 来进
行身份认证. 如果图案与用户先前注册过程中的图案相匹配, 则用户通过身份认证. 此外, 研究表明, 自由形式的手
势 [46] 和签名 [47] 都是移动终端上使用效果良好的图案秘密. 另一种在移动终端上广泛使用的基于召回的图案秘密
是手势口令, 它允许用户按照特定的规则在给定网格上的点绘制特定图案模式. 手势口令更容易记忆, 同时保持
与 PIN 码相当的安全强度. 例如, 一个 3×3 网格映射有 389 112 种不同的图案模式, 与 6 位 PIN 码 (即 1 000 000 个
可能的组合) 相比, 攻击者进行破解需要花费同一级别的时间. Cho 等人 [48] 提出一种系统引导用户设置手势口令
的方案, 该方案要求用户选择的图案模式必须包含系统随机生成的几个点, 以此确保用户设置手势口令没有习惯
性偏好. 类似的工作还包括姚沐言等人 [49] 提出一种基于上采样单分类的智能手机手势口令隐式身份认证机制, 融
合用户使用手势口令的行为特征抵抗肩窥攻击. Double Patterns [50] 允许用户依次输入两种图案并叠加, 来完成身份
验证过程. 相比于传统的单图案手势口令和 4–6 位 PIN 码, 安全性得到提升. Munyendo 等人 [51] 通过使用图案黑名
单, 即禁止用户选用常见的图案来提高安全性, 并建议图案黑名单的容量为 100 个, 可以有效地权衡安全性和实用
性. 基于提示回忆的技术允许用户使用提示再现秘密图形内容. 口令点 [52] 要求用户在任意图像上选择 5 个有序点/
像素序列对用户进行身份验证.
后文表 1 总结和对比了各种基于秘密知识的典型认证方案. 相比文本型秘密知识, 图案型秘密知识更加易于
记忆, 一定程度上缓解了记忆性和秘密强度上的冲突, 但是图案型秘密知识也因其技术特征有自己的弱点: 现有图
案型秘密知识空间较小, 特别是对于基于识别的秘密, 受预定义图像池的限制. 同时还受倾向性的影响, 不同的用
户倾向于选择相似的点或图像作为其秘密的一部分, 这使得对手能够基于常用的图案秘密发起字典攻击. 图案秘
密的安全强度还受制于生成秘密的规则, 这可能导致一些图形秘密比文本秘密弱. 例如, 复杂手势口令 (例如, 8 条
线构成的图案) 可能显示出更小的组合空间, 并且滑动过程中可能比简单手势口令 (例如, 4 条线构成的图案) 更容
易中断.
表 1 基于秘密知识的典型认证方案对比与总结
秘密类型 秘密 认证方式 抵抗攻击类型 文献 误判率 (%)
PIN码 基于召回 - [11,27,30–32] <3.5
口令 基于召回 - [28] 1–5
文本类
增强PIN码 基于召回 肩窥攻击 [33,34] >10
强制口令 基于召回 肩窥攻击 [35−40] >5
图片 基于识别 肩窥攻击 [41,42] <6
抽象像素 基于识别 肩窥攻击 [43] 5
应用图标 基于识别 肩窥攻击 [44] 4.5
秘密绘画 基于召回 - [45] -
图案类
自由手势 基于召回 肩窥攻击 [46] 10–40
在线签名 基于召回 肩窥攻击 [47] 5–30
手势口令 基于召回 统计猜测攻击 [48−51] <12
像素序列 基于召回 字典攻击 [52] 21
