[发明专利]防止肩窥攻击的图形密码认证系统及方法

说明书

技术领域

本公开涉及一种防止肩窥攻击的图形密码认证的系统及方法。

背景技术

现存的认证系统(Authentication System)的密码是以大小写的字母和数字的组合为主，是谓传统的文字密码。近十年网络服务(Web Service)、网页应用程序(Web application)如雨后春笋般的涌现，为了取得相关的服务，使用者必须在个别的平台注册帐号及密码，在每次进入系统使用服务时，输入其所注册的帐号与密码，输入正确才得以使用服务。然而，为了能快速且正确的进行认证，使用者倾向于在多个系统使用相同的帐号密码，并且使用简单的密码(如图1A所示)，如纯数字、纯小写英文单字等等，造成若密码(Weak Password)问题，攻击者可以通过暴力破解法(Brute Force Attack)及字典攻击(Dictionary Attack)破解使用者密码。

除此之外，目前认证系统在认证阶段，是以直接敲打键盘输入密码或直接触摸屏幕绘制图形的方式为主，而科技的进步让使用者可以随时随地以简易型计算机(Thin Client)及移动装置(Mobile Device)来使用云端计算(Cloud Computing)的服务，大幅增加了使用者在公共场所进行认证已取得服务的机会。当认证阶段暴露在公共场所中，有心人士可以通过肩窥攻击(Shoulder Surfing Attack)以肉眼或图像录制技术清楚记录使用者认证过程，而轻松破解使用者密码，造成使用者个人隐私及财产安全受到威胁。

近年来许多不同类型的认证方法陆续被提出，例如图形认证系统(Graphical Authentication System)以及基于生物特征的认证系统如指纹辨识系统(Fingerprint Recognition System)、虹膜辨识系统(Iris Recognition System)等等，用来解决人类对文字字串在长期记忆的不足，但由于生物特征的认证系统需有额外装置的辅助，不具可携性，因此目前认证系统皆以基于知识(Knowledge-based)的认证系统为主流；然而，这些认证系统多无法抵御肩窥攻击(Shoulder Surfing Attack)，只要以肉眼或图像录制技术就能轻易破解使用者密码。

针对已知专利而言，例如美国专利Apparatus and Method for Inputting User Password所公开的技术，是基于Personal Identification Number(PIN)为登录密码的一种防止肩窥攻击的方法。其使用者事先定义一数字字串作为其日后登录的密码，并且为每个PIN码位定义一个颜色，例如PIN码设定为“531”，颜色分别为黄色、咖啡色、紫色。在登录时，系统显示PIN码输入界面并随机分配一个背景颜色，使用者需利用方向键来移动背景颜色，以本例来说，使用者需执行右、上将黄色色块移到数字5下方来输入5(参考图1B)。由于颜色为事先定义，每次登录时都将相同颜色移动到特定数字。

再如美国专利Graphical Image Authentication and Security System提出之一种认证方法，其使用者于注册阶段，从至少一个类别的图形中选择至少一张图作为其认证密码，在认证阶段，系统将随机显示9张图，其中包含至少一张密码图，而每张图都随机产生一个识别码，识别码为数字或文字，使用者输入其密码涂上的识别码以进行认证。如图1C所示，如使用者密码图为树及草莓，则输入“E3”。

本公开是设计一个基于图形密码的认证系统，利用一个一次性(仅有一次效力)的登录指示来防止肩窥攻击，有效保护使用者密码安全。

发明内容

本公开主要在于提供一种防止肩窥攻击的图形密码认证的系统及方法，该系统包括：

一图片分割模块，用以将使用者选定的图片分割为M*N个图片方格，使用者可依据图片方格内所具有的图形特征，选择其中一个图片方格作为该使用者日后登录的密码；

一登录指示模块，用以提供一组随机产生的登录指示，该登录指示由一水平轴元件及一垂直轴元件组成；

一水平与垂直轴控制模块，用以于该使用者进行密码认证时提供该使用者控制一水平轴及一垂直轴，该水平轴与垂直轴分别中由M个及N个特征可相互区别的元件所组成；

一服务器沟通模块，用以负责一服务器与其他模块间的数据传输；

一密码验证模块，用以验证使用者输入的密码;及

一数据库，用以存储使用者的帐户信息。

本公开的防止肩窥攻击的图形密码认证的方法包括：