سیستم جدید برای محافظت از رمزهای عبور تصویر با استفاده از اعوجاج قابل تنظیم

24 مارس 2022 -توسط دانشگاه تسوکوبا

پیکربندی سیستم و رابط کاربری EYEDi:

الف) ابتدا، یک کاربر قانونی چندین تصویر کلیدی را از دستگاه تلفن همراه یا رایانه شخصی خود ثبت می کند. در آزمایش ما، تعداد تصاویر کلیدی پنج بود. برای ساده سازی، این تصویر سه تصویر کلیدی را نشان می دهد. تصویر کلید در یک پایگاه داده ذخیره می شود و آزمایشگر یک تصویر ساختگی را از قبل آماده می کند.

(ب) تصویر کلید به طور تصادفی به اندازه 4/5 برش داده می شود. پردازش برش، یافتن نشانه را برای مهاجم دشوار می کند، زیرا نقاط مشخصه در تصویر کلیدی با هر احراز هویت ظاهر می شوند و ناپدید می شوند.

(ج) سه فیلتر پردازش تصویر، Gaussian، Posterization و Mosaic به طور تصادفی روی تصویر کلید اعمال می‌شوند.

 (د) نقاط قوت سه فیلتر از منحنی طبقه بندی برآورد شده از داده های احراز هویت گذشته محاسبه می شود. (ه) تصاویر کلیدی و تصاویر ساختگی که با برش و فیلتر کردن تحریف شده‌اند به ترتیب تصادفی در صفحه احراز هویت ارائه می‌شوند.

 (و) کاربر تصاویر کلیدی را از روی صفحه نمایش برای احراز هویت انتخاب می کند. کاربر قانونی بسیاری از ویژگی های تصویر کلیدی را با استفاده از خاطرات آشنا از این تصاویر کلیدی به عنوان نشانه به یاد می آورد. مهاجمان می توانند تمام تصاویر انتخاب شده را با دوربینی که صفحه تأیید هویت یک کاربر قانونی را ضبط می کند، ضبط کنند. مهاجم سعی می‌کند بر اساس ویژگی‌های موجود در تصاویر ضبط‌شده، احراز هویت را بشکند، اما به دلیل از دست دادن نقاط ویژگی ناشی از برش و تغییرات اعوجاج مختلف، نمی‌تواند تصویر کلیدی را پیدا کند. اعتبار: IEEE Access (2022). DOI: 10.1109/ACCESS.2021.3138093

دانشمندان دانشکده مهندسی، اطلاعات و سیستم‌های دانشگاه تسوکوبا با استفاده از روش تصدیق گرافیکی بهبودیافته، جایگزینی برای رمزهای عبور متنی پیشنهاد می‌کنند. با تحریف تصادفی تصاویر کلیدی به طور متفاوت در هر بار، سیستم در برابر شکننده رمز عبور بسیار ایمن تر است، حتی اگر آنها بتوانند صفحه کاربر را ببینند. این کار می تواند به پیشرفت های قابل توجهی در امنیت اینترنت منجر شود.

اگرچه رمزهای عبور متنی پایه اصلی زندگی مدرن در اینترنت هستند، اما نشان دهنده یک آسیب پذیری بزرگ در اینترنت جهانی هستند. برای به خاطر سپردن آنها، مردم اغلب رمزهای عبور بسیار ساده را انتخاب می کنند و ممکن است به راحتی توسط بازیگران بد شکسته شوند. یکی از راه حل های پیشنهادی استفاده از مجموعه ای از تصاویر به نام “تصاویر کلیدی” است. برای ورود به سیستم، کاربر تصاویر کلید مخفی خود را از میان مجموعه ای از تصاویر انتخاب می کند. در حالی که به خاطر سپردن آسان و نسبتاً ایمن است، این رویکرد همچنان مستعد حملاتی است که به آن “حملات از روی شانه” می گویند، که در آن شخصی در حال تماشای صفحه نمایش است. بنابراین، یک رویکرد جدید برای کمک به مقاوم‌تر کردن احراز هویت گرافیکی در برابر این آسیب‌پذیری‌ها مورد نیاز است.

اکنون، محققان دانشگاه تسوکوبا سیستم «تخمین تصاویر تحریف‌شده رمزگذاری‌پذیر شما» (EYEDi) را معرفی کرده‌اند. EYEDi با ایجاد نسخه های تحریف شده از تصاویر کلیدی در طول هر ورود به سیستم با اعمال چندین فیلتر پردازش تصویر کار می کند. حتی اگر رایانه با یک برنامه ضبط صفحه در معرض خطر قرار گرفته باشد، که به هکر اجازه می دهد صفحه کاربر را ببیند، آنها باز هم نمی توانند تصاویر اصلی را تشخیص دهند. پروفسور Keiichi Zempo، نویسنده، توضیح می‌دهد: «اگرچه برخی از روش‌های قبلی اعوجاج تصویر پیشنهاد شده‌اند، این روش‌ها نمی‌توانند از ضبط دوربین یا حملات عکس‌برداری از صفحه جلوگیری کنند، زیرا تصاویر کلیدی هر بار یکسان هستند.

برای ثبت نام با استفاده از سیستم EYEDi، پنج تصویر کلیدی انتخاب می شود. سپس برای ورود به سیستم، یک شبکه 5×5 از تصاویر نمایش داده می شود. تصاویر کلیدی هر بار به صورت تصادفی برش داده می شوند و با فیلتر متفاوتی تغییر شکل می دهند. این تیم این سیستم را با 20 کاربر در طول 300 حمله شبیه سازی شده از صفحه نمایش، با استفاده از دوربینی که روی شانه آنها نگاه می کرد، آزمایش کردند. آنها دریافتند که EYEDi بهتر از روش های گرافیکی قبلی از هک جلوگیری می کند. این سیستم همچنین می تواند به صورت پویا قدرت اعوجاج را تنظیم کند تا مطمئن شود که فقط کاربران مجاز می توانند وارد شوند. پروفسور Keiichi Zempo، نویسنده می گوید: “انسان ها در تشخیص ویژگی های برجسته تصاویر کلیدی انتخابی خود بسیار خوب هستند، حتی با اعمال فیلترهای اعوجاج تصادفی.” این تحقیق ممکن است به ایمن سازی وب سایت ها کمک کند زیرا احراز هویت گرافیکی گسترده تر می شود.

https://techxplore.com