鄭士康Jeng, Shyh-Kang臺灣大學:電機工程學研究所楊文鋒Yang, Wen-FengWen-FengYang2010-07-012018-07-062010-07-012018-07-062008U0001-0307200810262800http://ntur.lib.ntu.edu.tw//handle/246246/187934從1990年末開始有人開始思考文字通行碼(Textual Password)之外的替代方法，以彌補文字通行碼的不足之處，諸如文字記錄器的側錄問題、字典檔的攻擊問題。這其中被討論最多的且最具代表性的或許就是圖形化密碼(Graphical Password)，因其獨有的一些特性使被側錄的難度大幅提高，進而增加了某些方面的安全性。在此論文中，我們首先回顧現存的通行機制與什麼是肩窺(Shoulder Surfing)問題的核心本質，進而分析目前存在各式各樣可抵禦肩窺的認證機制，並比較其異同優劣之處。另外對於目前許多關於肩窺發表的文章之盲點提出了次肩窺抵禦(偽肩窺抵禦)的概念。最後提出幾套具肩窺抵禦功能的使用者可定義通行碼機制，並比較其與現存的其他方法之優劣。此篇論文中，我們也同時提出了使用者可定義通行機制的許多優勢。此篇論文所要討論的則不包含生物特徵(Biometric Based Authentication)等包含個人特定身份資訊或實體裝置(Token Based Authentication)的認證方式；而專注在知識基礎認證 (Knowledge Based Authentication) 的討論。From the late 1990’s, researchers have dedicated to find the alternative authentication methods for Textual Password to solve the many shortcuts in it such as the keyboard logger and dictionary attack threats. Among many of these methods, the most represented one might be graphical password. Based on some of the specific qualities of it, the security level increases. In this thesis, we first review many related authentication method now presented and what shoulder surfing problem is, analyzing them and their difference. In the awareness of nowadays misuse of the word ‘shoulder surfing resistant’, we presented ‘sub shoulder surfing resistant’ concept. In last, we present a user defined pass mechanism authentication method and compare it to the many methods now existed. We also explain what user defined pass mechanism’s advantage is. What we are going to discuss in this thesis does not contain those bio-authentication method containing person-to-person variant information. The most widely discussed and most representative method might be Graphical Password since some of its unique features make logging more difficult for mal-intention attackers.口試委員會審定書 #謝 i文摘要 ii文摘要 iii錄 iv目錄 vi目錄 vii1章 緒論 12章 研究背景知識 4.1 通行物件及通行機制 4.2 常見的通行機制 5.2.1 回想基礎(recall-based)及辨識基礎(recognition-based) 5.2.2 一次性通行碼概念 6.2.3 文字通行碼、圖形通行碼及各式改良 7.2.4 其他類通行機制 11.3 攻擊手法回顧 11.3.1 側錄裝置 12.3.2 頻率分析 12.3.3 暴力破解 12.3.4 用戶種子攻擊(Human-Seeded Attack) 13.4 肩窺問題的定位與肩窺抵擋的條件 13.4.1 肩窺問題的定位 13.4.2 肩窺問題的抵擋 14.4.3 次肩窺抵禦(偽肩窺抵禦) 16.4.4 幾種肩窺抵禦機制回顧 19.5 密碼學的相關知識 203章 使用者可定義之肩窺抵禦通行碼機制 23.1使用者可定義通行機制概念 24.2替換通行碼認證系統 26.3 FMNS使用者自行定義通行碼認證系統 304章 使用者可定義通行碼機制與傳統方法之比較 36.1 密碼空間大小與隨機登入機率的比較 37.2肩窺抵禦功能的比較 38.2.1 IDCAS弱點分析 39.2.2 Sobrado和Birget之幾何方法弱點分析 39.2.3 本文替換通行碼之弱點分析 40.2.4 FMNS使用者自行定義通行機制弱點分析 41.3 使用者友善度的比較 46.3.1 登入與設定通行碼的時間成本 47.3.2 通行碼的可記憶性 475章 結論 50考文獻 51607386 bytesapplication/pdfen-US圖形密碼肩窺問題身分認證側錄問題鍵盤記錄器使用者可定義通行機制Graphical PasswordsShoulder Surfing ProblemAuthenticationKeyboard LoggerUser Defined Pass Mechanismthesishttp://ntur.lib.ntu.edu.tw/bitstream/246246/187934/1/ntu-97-R95921041-1.pdf