グラフィックパスワードは、見る人が自分自身を盗むことを許可しません

この記事では、「ユーザー認証のアイコン方式」というトピックに関する私の卒業プロジェクトについて説明します。 あなたの行動に従ってあなたの隣に立っている人があなたのために認証できないように認証することは可能ですか？」 この出版物では、プロジェクトの概要を簡単に説明します。

問題の声明

• プログラムの開発と暗号化認証の実装。その通過中、外部のオブザーバーはそれを繰り返すことができませんでした。
• このような認証など、ハッキングの可能性を判断します。

パスワード記憶

認証の前に、最初にパスワードを選択する必要があります。 パスワードは多数のアイコンから選択され、少なくとも3つの異なるアイコンで構成されている必要があります（以降、パスワードアイコンと呼びます）。 この例では、6つのパスワードアイコンを選択しました。 次に、認証自体に進みましょう。

認証

認証は次のとおりです。 パネルには、一般的なアイコンのセットがランダムに含まれています。そのうち、選択したパスワードから3つのパスワードアイコンが表示されます。 ユーザーは、3つのパスワードアイコンを視覚的に見つけ、それらを線で精神的に結び付け、三角形を取得して、この三角形の内側をクリックする必要があります。



その後、すべてのアイコンがシャッフルされ、いくつかが消え、いくつかが新しいアイコンが表示され、選択したパスワードの新しいパスワードアイコンも表示されます（パネルには最大3つのパスワードアイコンがあります）。 また、ユーザーはこの手順を数回実行し、三角形の内側を指定された回数クリックすると、認証が成功したと見なされます。 ユーザーが認証のいずれかの段階でミスすると、認証はパスされなかったとみなされ、すべての手順を再度実行する必要があります。



いくつかの質問がすぐに表示されます。

• 誤ってパスワードの三角形に陥る可能性はどのくらいですか？
• 信頼性の高い保護のために、認証ステップをいくつ実行する必要がありますか？

パスワードの三角形でマウスが偶発的にクリックされる確率

統計モデリングを実行し、さまざまなアスペクト比のステージ1でパスワードの三角形をマウスでクリックする確率を見つけます。







このヒストグラムから、パスワードパネルが正方形のビューに近づくほど、侵入しやすくなり、10％にほぼ等しくなることがわかります。 したがって、最も好ましいアスペクト比は1：1です。



計算は、アイコンのパネル幅5、15、および20セルで実行されました。 しかし、実際に得られた結果は互いに異ならない。



しかし、10％の確率でパスワードの三角形に到達する可能性は高すぎます。 したがって、認証はいくつかの段階で実行され、認証の第2段階では、ハッキングの確率は約10 ^ -2であることがわかります。

プログラム設定

1. プログラムでは、アイコンでパネルの彩度を調整できます。一方で、100％の彩度ではパスワードアイコンを検索するのが難しくなりますが、一方で、彩度が20％未満の場合、近くに立っている人がどのアイコンがパスワードで保護されているかを分析して理解できる可能性があります アイコン付きのパネルの最適な彩度は40〜60％です。
2. 信頼性の高い保護のために、5つの認証ステップ10 ^ -5で十分です。
3. パネルのアスペクト比も調整されます。

おわりに

• パスワード入力ウィンドウの側面の比率が1：1の場合、ハッキングの可能性は最小限です。 ただし、0.8：1までのアスペクト比の変更は、ハッキングの可能性の重大な増加を引き起こしません。
• ハッキングの確率に対する図像パネルのサイズの有意な影響はありませんでした。
• パスワードパネルを埋める程度は、40〜60％の範囲である必要があります。 最適な塗りつぶし値は50％です。これは、一方では外部の観察者によるパスワードの開示を困難にし、他方ではパスワードアイコンを検索するときに問題を引き起こしません。
• 5つのステップで図像認証を実行することで、ほとんどのアプリケーションを確実に保護できます。 強化されたセキュリティ対策を必要とする特に重要なアプリケーションの場合、認証は6または7ステップで実行できます。
• 実施された計算実験により、ステージ1で実行された図像認証の場合、ハッキングの可能性は非常に高く、約0.1（10％）であると結論付けることができます。 ただし、ステップ数が増えると、パスワード選択の確率は指数関数的に減少し、たとえば、5ステップの場合は10 ^ -5を超えません。
• 図像によるパスワード保護の方法では、パスワード自体は、暗号化された形式であってもネットワークを介して送信されません。 パスワード入力ウィンドウでのマウスクリックの座標のみがネットワークを介して送信され、サーバーのみがこのポイントがパスワードアイコンで指定された三角形の内側にあるかどうかを判断します。 したがって、端末とサーバー間で交換されるすべての情報を完全に傍受しても、パスワードを解読するための追加データは提供されません。 さらに、ユーザーの肩のそばに立っていても、どの三角形が内側をクリックしたのかわからないため、パスワードを盗み見ることはできません。 したがって、図像保護をクラックする唯一の方法は、誤ってパスワード入力ウィンドウをクリックすることです。

ソースのリスト

プログラムを書くという考えはここから取り入れられました 。 統計的な観察が行われ、パスワードの三角形を破る確率が決定されました。