- ข้อความ
- ประวัติศาสตร์
Introduction:The common weakness in
Introduction:
The common weakness in these hacks is the password. It’s
an artifact from a time when our computers were not
hyper-connected. Today, nothing you do, no precaution
you take, no long or random string of characters can stop a
truly dedicated and devious individual from cracking your
account. The age of the password has come to an end;
we just
haven’t realized it yet. Passwords are as old as
civilization. And for as long as they’ve existed, people
have been breaking them.
In 413 BC, at the height of the Peloponnesian War,
theAthenian general Demosthenes landed in Sicily
with5,000 soldiers to assist in the attack on Syracusae.
Things were looking good for the Greeks. Syracusae, a
key ally of Sparta, seemed sure to fall. But during a
chaotic nighttime battle at Epipole, Demosthenes’
forces were scattered, and while attempting to regroup
they began calling out their watchword, a prearranged
term that would identify soldiers as friendly. The
Syracusans picked up on the code and passed it quietly
through their ranks. At times when the Greeks looked too
formidable, the watchword allowed their opponents to
pose as allies. Employing this ruse, theundermatched
Syracusans decimated the invaders, and when the sun rose,
their cavalry mopped up the rest. It was a turning point in
the war.The first computers to use passwords were likely
those in MIT’s Compatible Time-Sharing System,
developed in 1961. To limit the time any one user could
spend on the system, CTSS used a login to ration access.
It only took until 1962 when a PhD
student named Allan Scherr, wanting more than his fourhour
allotment, defeated the login with a simple hack: He
located the file containing the passwords and printed out
all of them. After that, he got as much time as he wanted.
During the formative years of the web, as we all went
online, passwords worked pretty well. This was due
largely to how little data they actually needed to protect.
Our passwords were limited to a handful of
applications: an ISP for email and maybe an ecommerce
site or two. Because almost no personal information was
in the cloud—the cloud was barely a wisp at that point
—there was little payoff for breaking into an
individual’s accounts; the serious hackers were still
going after big corporate systems.
So we were lulled into complacency. Email addresses
morphed into a sort of universal login, serving as our
username just about everywhere. This practice persisted
even as the number of accounts—the number of failure
points—grew exponentially. Web-based email was the
gateway to a new slate of cloud apps. We began banking
in the cloud, tracking our finances in the cloud, and doing
our taxes in the cloud. We stashed our photos, our
documents, our data in the cloud.
Eventually, as the number of epic hacks increased, we
started to lean on a curious psychological crutch: the
notion of the “strong” password. It’s the compromise that
growing web companies came up with to keep people
signing up and entrusting data to their sites. It’s the BandAid
that’s now being washed away in a river of blood.
One proposal to reduce problems related to text passwords
is to use password managers. These typically require that
users remember only a master password. They store (or regenerate)
and send on behalf of the user, to web sites
hosting user accounts, the appropriate passwords. Ideally
the latter are generated by the manager itself and are
stronger than user-chosen passwords. However,
implemen-tations of password managers introduce their
own usability issues [Chiasson et al. 2006] that can
exacerbate security problems, and their centralized
90 IJCSNS International Journal of Computer Science and Network Security, VOL.14 No.8, August 2014
architecture in-troduces a single point of failure and
attractive target: attacker access to the master password
provides control over all of the user’s managed accounts.
When text password users resort to unsafe coping
strategies, such as reusing pass-words across accounts to
help with memorability, the decrease in security cannot be
addressed by simply strengthening, in isolation, the
underlying technical secu-rity of a system. Usability issues
often significantly impact its real-world security. User
interface design decisions may unintentionally sway user
behaviour towards less secure behaviour. Successful
authentication solutions must thus also include improved
usability design based on appropriate research taking
into account the abilities and limitations of the target
users. In graphical passwords, human mem-ory for visual
information is leveraged in hope of a reduced memory
burden that will facilitate the selection and use of more
secure or less predictable passwords, dissuading users
from unsafe coping practices.
Early surveys of graphical passwords are available
[Monrose and Reiter 2005; Suo et al. 2005]. More
recent papers briefly summarize and categorize 12
schemes [Hafiz et al. 2008], and review numerous
graphical password systems while offering usability
guidelines for their design [Renaud 2009a]. In this
paper we provide a comprehensive review of the first
twelve years of published research on graphical passwords,
and reflect on it. It is now clear that the graphical nature of
schemes does not by itself avoid the problems typical of
text password systems. However, while proposals in this
first period of research exhibit some familiar problems, we
see signs that an emerging second generation of research
will build on this knowledge and leverage graphical
elements in new ways to avoid the old problems.
As will be seen, early graphical password systems tended
to focus on one par-ticular strength, for example being
resistant to shoulder-surfing, but testing and analysis
showed that they were vulnerable to one or more other
types of attacks. Except in very specific environments,
these would not provide adequate security.
Security:
An authentication system must provide adequate security
for its intended environ-ment, otherwise it fails to meet its
primary goal. A proposed system should at minimum be
evaluated against common attacks to determine if it
satisfies security requirements. A brief introduction is
provided here
We classify the types of attacks on knowledge-based
authentication into two general categories: guessing and
capture attacks. In successful guessing attacks,
attackers are able to either exhaustively search through the
entire theoretical pass-word space, or predict higher
probability passwords (i.e., create a dictionary of likely
passwords) so as to obtain an acceptable success rate
within a manageable number of guesses. Guessing attacks
may be conducted online through the intended login
interface or offline if some verifiable text [Gong et al.
1993] (e.g., hashes) can be used to assess the correctness
of guesses. Authentication systems with small the-oretical
password spaces or with identifiable patterns in user
choice of passwords are especially vulnerable to guessing
attacks.
Password capture attacks involve directly obtaining the
password, or part thereof, by capturing login credentials
when entered by the user, or by tricking the user into
divulging their password. Shoulder-surfing, phishing, and
some kinds of malware are three common forms of
capture attacks. In shoulder-surfing, credentials are captured
by direct observation of the login process or through
some external recording device such as a video camera.
Phishing is a type of social engineering attack where users
are tricked into entering their credentials at a fraudulent
website that records users’ input. Malware uses
unauthorized software installed on client computers or
servers to capture keyboard, mouse, or screen output,
which is then parsed to find login credentials.
The common weakness in these hacks is the password. It’s
an artifact from a time when our computers were not
hyper-connected. Today, nothing you do, no precaution
you take, no long or random string of characters can stop a
truly dedicated and devious individual from cracking your
account. The age of the password has come to an end;
we just
haven’t realized it yet. Passwords are as old as
civilization. And for as long as they’ve existed, people
have been breaking them.
In 413 BC, at the height of the Peloponnesian War,
theAthenian general Demosthenes landed in Sicily
with5,000 soldiers to assist in the attack on Syracusae.
Things were looking good for the Greeks. Syracusae, a
key ally of Sparta, seemed sure to fall. But during a
chaotic nighttime battle at Epipole, Demosthenes’
forces were scattered, and while attempting to regroup
they began calling out their watchword, a prearranged
term that would identify soldiers as friendly. The
Syracusans picked up on the code and passed it quietly
through their ranks. At times when the Greeks looked too
formidable, the watchword allowed their opponents to
pose as allies. Employing this ruse, theundermatched
Syracusans decimated the invaders, and when the sun rose,
their cavalry mopped up the rest. It was a turning point in
the war.The first computers to use passwords were likely
those in MIT’s Compatible Time-Sharing System,
developed in 1961. To limit the time any one user could
spend on the system, CTSS used a login to ration access.
It only took until 1962 when a PhD
student named Allan Scherr, wanting more than his fourhour
allotment, defeated the login with a simple hack: He
located the file containing the passwords and printed out
all of them. After that, he got as much time as he wanted.
During the formative years of the web, as we all went
online, passwords worked pretty well. This was due
largely to how little data they actually needed to protect.
Our passwords were limited to a handful of
applications: an ISP for email and maybe an ecommerce
site or two. Because almost no personal information was
in the cloud—the cloud was barely a wisp at that point
—there was little payoff for breaking into an
individual’s accounts; the serious hackers were still
going after big corporate systems.
So we were lulled into complacency. Email addresses
morphed into a sort of universal login, serving as our
username just about everywhere. This practice persisted
even as the number of accounts—the number of failure
points—grew exponentially. Web-based email was the
gateway to a new slate of cloud apps. We began banking
in the cloud, tracking our finances in the cloud, and doing
our taxes in the cloud. We stashed our photos, our
documents, our data in the cloud.
Eventually, as the number of epic hacks increased, we
started to lean on a curious psychological crutch: the
notion of the “strong” password. It’s the compromise that
growing web companies came up with to keep people
signing up and entrusting data to their sites. It’s the BandAid
that’s now being washed away in a river of blood.
One proposal to reduce problems related to text passwords
is to use password managers. These typically require that
users remember only a master password. They store (or regenerate)
and send on behalf of the user, to web sites
hosting user accounts, the appropriate passwords. Ideally
the latter are generated by the manager itself and are
stronger than user-chosen passwords. However,
implemen-tations of password managers introduce their
own usability issues [Chiasson et al. 2006] that can
exacerbate security problems, and their centralized
90 IJCSNS International Journal of Computer Science and Network Security, VOL.14 No.8, August 2014
architecture in-troduces a single point of failure and
attractive target: attacker access to the master password
provides control over all of the user’s managed accounts.
When text password users resort to unsafe coping
strategies, such as reusing pass-words across accounts to
help with memorability, the decrease in security cannot be
addressed by simply strengthening, in isolation, the
underlying technical secu-rity of a system. Usability issues
often significantly impact its real-world security. User
interface design decisions may unintentionally sway user
behaviour towards less secure behaviour. Successful
authentication solutions must thus also include improved
usability design based on appropriate research taking
into account the abilities and limitations of the target
users. In graphical passwords, human mem-ory for visual
information is leveraged in hope of a reduced memory
burden that will facilitate the selection and use of more
secure or less predictable passwords, dissuading users
from unsafe coping practices.
Early surveys of graphical passwords are available
[Monrose and Reiter 2005; Suo et al. 2005]. More
recent papers briefly summarize and categorize 12
schemes [Hafiz et al. 2008], and review numerous
graphical password systems while offering usability
guidelines for their design [Renaud 2009a]. In this
paper we provide a comprehensive review of the first
twelve years of published research on graphical passwords,
and reflect on it. It is now clear that the graphical nature of
schemes does not by itself avoid the problems typical of
text password systems. However, while proposals in this
first period of research exhibit some familiar problems, we
see signs that an emerging second generation of research
will build on this knowledge and leverage graphical
elements in new ways to avoid the old problems.
As will be seen, early graphical password systems tended
to focus on one par-ticular strength, for example being
resistant to shoulder-surfing, but testing and analysis
showed that they were vulnerable to one or more other
types of attacks. Except in very specific environments,
these would not provide adequate security.
Security:
An authentication system must provide adequate security
for its intended environ-ment, otherwise it fails to meet its
primary goal. A proposed system should at minimum be
evaluated against common attacks to determine if it
satisfies security requirements. A brief introduction is
provided here
We classify the types of attacks on knowledge-based
authentication into two general categories: guessing and
capture attacks. In successful guessing attacks,
attackers are able to either exhaustively search through the
entire theoretical pass-word space, or predict higher
probability passwords (i.e., create a dictionary of likely
passwords) so as to obtain an acceptable success rate
within a manageable number of guesses. Guessing attacks
may be conducted online through the intended login
interface or offline if some verifiable text [Gong et al.
1993] (e.g., hashes) can be used to assess the correctness
of guesses. Authentication systems with small the-oretical
password spaces or with identifiable patterns in user
choice of passwords are especially vulnerable to guessing
attacks.
Password capture attacks involve directly obtaining the
password, or part thereof, by capturing login credentials
when entered by the user, or by tricking the user into
divulging their password. Shoulder-surfing, phishing, and
some kinds of malware are three common forms of
capture attacks. In shoulder-surfing, credentials are captured
by direct observation of the login process or through
some external recording device such as a video camera.
Phishing is a type of social engineering attack where users
are tricked into entering their credentials at a fraudulent
website that records users’ input. Malware uses
unauthorized software installed on client computers or
servers to capture keyboard, mouse, or screen output,
which is then parsed to find login credentials.
0/5000
แนะนำ:อ่อนแอทั่วไปใน hacks เหล่านี้เป็นรหัสผ่าน มีเป็นสิ่งประดิษฐ์จากเวลาเมื่อคอมพิวเตอร์ของเราไม่ไฮเปอร์การเชื่อมต่อ วันนี้ ไม่มีอะไรคุณ ระวังไม่คุณ สามารถหยุดสายไม่ยาว หรือสุ่มอักขระคดเคี้ยว และไมตรีอย่างแท้จริงบุคคลจากถอดรหัสของคุณบัญชี อายุผ่านมาสิ้นสุดเราเพียงไม่รู้มันยัง รหัสผ่านจะเป็นเก่าอารยธรรม และสำหรับตราบเท่าที่พวกเขาได้อยู่ คนมีการทำลายพวกเขาในพ.ศ. 413 ที่สงคราม PeloponnesiantheAthenian Demosthenes ทั่วไปร่อนในซิซิลีwith5, 000 ทหารเพื่อช่วยในการโจมตีบน Syracusaeสิ่งมองดีในกรีก Syracusae การคีย์พันธมิตรบอกเล่า ลำบากใจอยู่ แต่ในระหว่างการสงครามค่ำคืนวุ่นวาย Epipole, Demosthenes'กองกำลังที่ กระจาย และใน ขณะที่พยายามจัดกลุ่มใหม่พวกเขาเริ่มการโทรออกของ watchword การ prearrangedคำที่จะระบุทหารเป็นมิตร ที่รับค่าในรหัส Syracusans และผ่านไปอย่างเงียบ ๆผ่านของยศ ครั้งเมื่อกรีกมองเกินไปน่ากลัว watchword อนุญาตให้ฝ่ายตรงข้ามไปก่อให้เกิดเป็นพันธมิตร ใช้ ruse นี้ theundermatchedผู้บุกรุก decimated Syracusans และ เมื่อดวงอาทิตย์ กุหลาบทหารม้าของ mopped ขึ้นส่วนเหลือ มันเป็นจุดเปลี่ยนในสงคราม คอมพิวเตอร์เครื่องแรกให้ใช้รหัสผ่านที่มีแนวโน้มในของ MIT ได้ Time-Sharing ระบบพัฒนาใน 1961 การจำกัดเวลาที่ผู้ใช้หนึ่งสามารถใช้ระบบ CTSS ใช้ล็อกอินเข้า rationมันเอาจนถึงปี 1962 เมื่อระดับปริญญาเอกนักเรียนชื่อ Allan เชอร์ ต้องมากกว่า fourhour ของเขาส่วนแบ่ง พ่ายแพ้เข้าสู่ระบบ ด้วยสับง่าย: เขาแฟ้มที่ประกอบด้วยรหัสผ่าน และพิมพ์ตั้งอยู่ทั้งหมด หลังจากนั้น เขามีเวลามากที่สุดเท่าที่เขาต้องการในช่วงปีความอุดมสมบูรณ์ของเว็บ เป็นเรา ทั้งหมดไปออนไลน์ รหัสผ่านทำงานสวยดี นี้ครบส่วนใหญ่ให้ข้อมูลว่าเล็กน้อยพวกเขาจะต้องปกป้องรหัสผ่านของเราถูกจำกัดเพื่อหยิบของโปรแกรมประยุกต์: ISP สำหรับอีเมลและการอีคอมเมิร์ซบางทีไซต์หรือสอง เนื่องจากแทบไม่มีข้อมูลส่วนบุคคลในเมฆซึ่งเมฆถูกกำมือแทบไม่ถึงจุดนั้นโดยมีผลตอบแทนน้อยสำหรับเจาะเข้าไปในตัวของแต่ละบัญชี แฮกเกอร์ร้ายแรงยังมีไปหลังจากระบบใหญ่ขององค์กรดังนั้นยามหลับไหลใน complacency ได้ ที่อยู่อีเมล์morphed ในการเรียงลำดับของการเข้าสู่ระบบสากล การให้บริการเป็นของเราชื่อเพียงเกี่ยวกับทุก แบบฝึกหัดนี้ยังคงอยู่เป็นหมายเลขของบัญชีตัวเลขของความล้มเหลวคะแนนโดยเพิ่มขึ้นเป็นทวีคูณเมื่อ เว็บอีเมล์ได้ประตูสู่ชนวนใหม่เมฆปพลิเคชัน เราเริ่มที่ธนาคารในเมฆ ติดตามเงินทุนของเราในเมฆ และทำภาษีของเราในเมฆ เรา stashed ภาพถ่ายของเรา ของเราเอกสาร ข้อมูลในเมฆในที่สุด เป็นจำนวนเพิ่มขึ้น hacks มหากาพย์เราเริ่มเอน crutch มีจิตใจอยากรู้อยากเห็น:แนวคิดของรหัสผ่านที่ "แข็งแกร่ง" เป็นปัญหาที่เว็บบริษัทเติบโตมากับให้คนการลงนาม และ entrusting ข้อมูลของ เป็นการ BandAidที่เป็นตอนนี้ถูกน้ำในแม่น้ำของเลือดข้อเสนอที่หนึ่งเพื่อลดปัญหาที่เกี่ยวข้องกับรหัสผ่านข้อความคือการ ใช้รหัสผ่านผู้จัดการ เหล่านี้จำเป็นที่ผู้ใช้จำรหัสผ่านหลักเท่านั้น พวกเขาเก็บ (หรือสร้างใหม่)และส่งในนามของผู้ใช้ เว็บไซต์จัดการโฮสต์สำหรับบัญชีผู้ใช้ รหัสผ่านที่เหมาะสม แห่งนี้ให้บริการหลังสร้างขึ้น โดยตัวจัดการตัวเอง และมีแข็งแกร่งกว่ารหัสผ่านผู้ใช้เลือก อย่างไรก็ตามแนะนำเกี่ยว-tations ผู้จัดการรหัสผ่านของพวกเขาปัญหาการใช้งานของตัวเอง [Chiasson et al. 2006] ที่สามารถทำให้รุนแรงปัญหาความปลอดภัย และของส่วนกลางสมุดรายวันระหว่างประเทศ 90 IJCSNS วิทยาการคอมพิวเตอร์และเครือข่ายรักษาความปลอดภัย VOL.14 No.8, 2014 สิงหาคมสถาปัตยกรรมใน troduces จุดเดียวของความล้มเหลว และเป้าหมายที่น่าสนใจ: ถึงผู้โจมตีผ่านหลักช่วยให้การควบคุมของผู้จัดการบัญชีเมื่อข้อความรหัสผ่านผู้ใช้หันไปเผชิญไม่ปลอดภัยกลยุทธ์ เช่นการใช้ซ้ำคำผ่านข้ามบัญชีไม่สามารถช่วยเหลือ memorability รักษาความปลอดภัยที่ลดลงนี้การเพียงเข้มแข็ง แยก การเทคนิคพื้นฐาน secu rity ของระบบ ปัญหาการใช้งานผลกระทบของความปลอดภัยจริงบ่อยมาก ผู้ใช้ตัดสินใจออกแบบอินเตอร์เฟซอาจเอนเอียงผู้ใช้โดยไม่ได้ตั้งใจพฤติกรรมที่มีต่อพฤติกรรมความปลอดภัยน้อย ประสบความสำเร็จวิธีการรับรองความถูกต้องดังนั้นยังต้องมีปรับปรุงออกแบบใช้งานตามการวิจัยที่เหมาะสมเข้าบัญชีในความสามารถและข้อจำกัดของเป้าหมายผู้ใช้ รหัสผ่านรูปภาพ มนุษย์หน่วยความจำ ory สำหรับ visualข้อมูลมี leveraged in hope of หน่วยความจำลดลงภาระงานที่จะช่วยในการเลือกและการใช้มากขึ้นปลอดภัย หรือลบรหัสผ่านที่คาดเดาได้ dissuading ผู้ใช้จากวิธีรับมือไม่ปลอดภัยสำรวจก่อนรหัสผ่านรูปภาพมี[Monrose และ Reiter 2005 Suo et al. 2005] เพิ่มเติมเอกสารล่าสุดสรุปสั้น ๆ และจัดประเภท 12แผนงาน [ฮุสเซนกล่าว et al. 2008], และตรวจสอบมากมายระบบรหัสผ่านภาพขณะใช้งานนำเสนอแนวทางสำหรับการออกแบบ [Renaud 2009a] ในที่นี้กระดาษที่เรามีการตรวจทานครั้งแรกครอบคลุมวิจัยเผยแพร่ภาพผ่าน สิบสองปีและสะท้อนการ ตอนนี้ ล้างที่เป็นลักษณะของกราฟิกโครงร่าง ด้วยตัวเองไม่หลีกเลี่ยงปัญหาของระบบรหัสผ่านข้อความ อย่างไรก็ตาม ในขณะที่ข้อเสนอนี้รอบระยะเวลาแรกของงานวิจัยแสดงปัญหาคุ้นเคย เราดูป้ายที่อันเกิดใหม่รุ่นที่สองของงานวิจัยจะสร้างความรู้นี้ และใช้รูปภาพองค์ประกอบในรูปแบบใหม่เพื่อหลีกเลี่ยงปัญหาเก่าเป็นจะมีแนวโน้มที่ระบบรหัสผ่านภาพที่เห็น ต้นให้ความสำคัญกับหนึ่งพาร์ ticular ความแข็งแรง เช่น การทนต่อไหล่ ท่อง แต่การทดสอบ และวิเคราะห์แสดงให้เห็นว่า พวกเขามีการหนึ่ง หรืออื่น ๆ เพิ่มเติมชนิดของการโจมตี ยกเว้นในสภาพแวดล้อมที่เฉพาะเจาะจงมากเหล่านี้จะมีความปลอดภัยเพียงพอความปลอดภัย:ระบบการรับรองความถูกต้องต้องให้ความปลอดภัยเพียงพอสำหรับความตั้งใจ environ-ติดขัด มิฉะนั้นมันไม่ตรงตามความเป้าหมายหลักการ ระบบการนำเสนออย่างน้อยควรประเมินจากการโจมตีทั่วไปตรวจนั้นตรงตามความต้องการความปลอดภัย แนะนำสั้น ๆ คือมาที่นี่เราแบ่งชนิดของการโจมตีในความรู้รับรองความถูกต้องเป็นสองประเภท: คาดเดา และจับโจมตี ในการโจมตีในการคาดเดาความสำเร็จผู้โจมตีจะลมค้นหาผ่านการทฤษฎีทั้งคำผ่านพื้นที่ หรือทำนายสูงความน่าเป็นรหัสผ่าน (เช่น สร้างพจนานุกรมของแนวโน้มรหัสผ่าน) เพื่อให้ได้สำเร็จเป็นที่ยอมรับภายในจัดการจำนวนครั้งที่ทายไว้ คาดเดาการโจมตีอาจดำเนินออนไลน์ผ่านเข้าสู่ระบบผู้อินเทอร์เฟซหรือแบบออฟไลน์ถ้าบางข้อพิสูจน์ [กง et al1993] (เช่น ค่า hash) สามารถใช้เพื่อประเมินความถูกต้องของครั้งที่ทาย ระบบการตรวจสอบ มีขนาดเล็ก-oreticalช่องรหัสผ่าน หรือรูปบุคคลในผู้ใช้เลือกรหัสผ่านอ่อนแอโดยเฉพาะการคาดเดาโจมตีโจมตีจับรหัสผ่านที่เกี่ยวโดยตรงได้รับการรหัสผ่าน หรือส่วนหนึ่งส่วนใด โดยจับล็อกอินเมื่อป้อน โดยผู้ใช้ หรือหลอกผู้เข้าdivulging รหัสผ่าน ไหล่ท่อง ฟิชชิ่ง และมัลแวร์บางชนิดมีสามรูปแบบทั่วไปของจับโจมตี ในไหล่ท่อง ข้อมูลประจำตัวถูกจับโดยการสังเกตโดยตรง ของกระบวนการเข้าสู่ระบบ หรือผ่านบางอุปกรณ์ภายนอกบันทึกเช่นกล้องวิดีโอฟิชชิ่งคือโจมตีวิศวกรรมการประกันสังคมซึ่งผู้ใช้หลอกเป็นการป้อนข้อมูลประจำตัวของพวกเขาที่การหลอกลวงเว็บไซต์ที่ระเบียนผู้ใช้ป้อนข้อมูล มัลแวร์ใช้ซอฟต์แวร์ที่ติดตั้งบนคอมพิวเตอร์ไคลเอนต์ที่ไม่ได้รับอนุญาต หรือเซิร์ฟเวอร์เพื่อจับภาพแป้นพิมพ์ เมาส์ หรือแสดง ผลของหน้าจอซึ่งจะแยกวิเคราะห์หาล็อกอินแล้ว
การแปล กรุณารอสักครู่..
บทนำ:
จุดอ่อนที่พบบ่อยในการแฮ็กเหล่านี้เป็นรหัสผ่าน มันเป็น
สิ่งประดิษฐ์จากช่วงเวลาที่เครื่องคอมพิวเตอร์ของเราไม่ได้
มากเกินไปที่เชื่อมต่อ วันนี้ไม่มีอะไรที่คุณไม่ระมัดระวังไม่มี
คุณใช้ไม่มีสายยาวหรือสุ่มของตัวอักษรที่สามารถหยุด
แต่ละทุ่มเทอย่างแท้จริงและคดเคี้ยวจากการแตกของคุณ
บัญชี อายุรหัสผ่านได้มาถึงจุดจบ;
เราก็
ไม่ได้ตระหนักถึงมันยัง รหัสผ่านเป็นเช่นเดิมเป็น
อารยธรรม และให้นานที่สุดเท่าที่พวกเขาเคยอยู่คน
ได้รับการทำลายพวกเขา.
ใน 413 ปีก่อนคริสตกาลที่ความสูงของเพโลโพนีสงคราม
Demosthenes ทั่วไป theAthenian ที่ดินในซิซิลี
with5,000 ทหารเพื่อช่วยในการโจมตีใน Syracusae.
สิ่งที่กำลังมองหาที่ดี สำหรับชาวกรีก Syracusae,
พันธมิตรที่สำคัญของสปาร์ตาดูเหมือนแน่ใจว่าจะลดลง แต่ในระหว่าง
การสู้รบกลางคืนวุ่นวายที่ Epipole, Demosthenes '
กองกำลังกระจัดกระจายและในขณะที่พยายามที่จะจัดกลุ่มใหม่
พวกเขาก็เริ่มโทรออกหลักสำคัญของพวกเขาจัดแจงไว้ก่อน
คำที่จะระบุว่าเป็นทหารที่เป็นมิตร
ซีราคิวส์หยิบขึ้นมาในรหัสและผ่านมันเงียบ ๆ
ผ่านการจัดอันดับของพวกเขา ในช่วงเวลาที่ชาวกรีกมองเกินไป
น่ากลัวคำขวัญที่ได้รับอนุญาตของฝ่ายตรงข้ามที่จะ
ก่อให้เกิดเป็นพันธมิตร จ้างอุบายนี้ theundermatched
ซีราคิวส์ทำลายผู้บุกรุกและเมื่อดวงอาทิตย์กุหลาบ,
ทหารม้าของพวกเขาเช็ดส่วนที่เหลือ มันเป็นจุดเปลี่ยนใน
คอมพิวเตอร์ war.The แรกที่จะใช้รหัสผ่านที่มีแนวโน้มที่
ผู้ที่อยู่ในเอ็มไอทีที่รองรับการทำงานของระบบเวลาร่วมกัน
พัฒนาขึ้นในปี 1961 เพื่อ จำกัด เวลาของผู้ใช้คนใดคนหนึ่งอาจ
ใช้จ่ายในระบบ CTSS ใช้เข้าสู่ระบบการปันส่วนการเข้าถึง .
มันจนกระทั่ง 1962 เมื่อเอก
นักศึกษาชื่ออัลลัน Scherr ต้องการมากกว่า fourhour เขา
จัดสรรแพ้เข้าสู่ระบบด้วยสับง่าย: เขา
อยู่ไฟล์ที่มีรหัสผ่านและพิมพ์ออกมา
ทั้งหมดของพวกเขา หลังจากนั้นเขาได้มีเวลามากที่สุดเท่าที่เขาต้องการ.
ในช่วงปีของเว็บที่เราทุกคนไป
ออนไลน์รหัสผ่านที่ทำงานสวยดี นี่เป็นเพราะ
ส่วนใหญ่จะว่าข้อมูลเล็ก ๆ น้อย ๆ ที่พวกเขาต้องการจริงเพื่อปกป้อง.
รหัสผ่านของเราถูก จำกัด ให้กำมือของ
การใช้งาน: ISP สำหรับอีเมลและอาจอีคอมเมิร์ซ
เว็บไซต์หรือสอง เพราะแทบจะไม่มีข้อมูลส่วนบุคคลเป็น
ในเมฆเมฆก็แทบจะไม่กำมือที่จุดที่
-there เป็นผลตอบแทนเล็ก ๆ น้อย ๆ สำหรับการบุกเข้าไปใน
บัญชีของแต่ละบุคคล; แฮกเกอร์ร้ายแรงก็ยังคง
ไปหลังจากที่ระบบขององค์กรขนาดใหญ่.
ดังนั้นเราจึงได้รับการวางใจในความพึงพอใจ ที่อยู่อีเมล์
ปรับเปลี่ยนการจัดเรียงของการเข้าสู่ระบบสากลที่ทำหน้าที่เป็นของเรา
ชื่อผู้ใช้เพียงเกี่ยวกับทุก การปฏิบัตินี้ยังคง
แม้ในขณะที่จำนวนบัญชีจำนวนของความล้มเหลว
จุดเพิ่มขึ้นชี้แจง อีเมลบนเว็บเป็น
ประตูสู่ชนวนใหม่ของแอพพลิเคเมฆ เราเริ่มต้นการธนาคาร
ในเมฆติดตามการเงินของเราในเมฆและทำ
ภาษีของเราในเมฆ เรา stashed ภาพถ่ายของเราของเรา
เอกสารข้อมูลของเราในเมฆ.
ในที่สุดเป็นจำนวนของแฮ็กมหากาพย์ที่เพิ่มขึ้นเรา
เริ่มที่จะพึ่งพาทางด้านจิตใจอยากรู้อยากเห็นไม้ยันรักแร้:
ความคิดของรหัสผ่าน "แข็งแกร่ง" มันประนีประนอมว่า
การเจริญเติบโตของ บริษัท เว็บขึ้นมาเพื่อให้คน
ที่ลงทะเบียนและมอบหมายให้ข้อมูลไปยังเว็บไซต์ของตน มัน bandaid
ที่ตอนนี้ถูกล้างออกไปในแม่น้ำเลือด.
หนึ่งในข้อเสนอเพื่อลดปัญหาที่เกี่ยวข้องกับข้อความรหัสผ่าน
คือการใช้รหัสผ่านผู้จัดการ เหล่านี้มักจะกำหนดให้
ผู้ใช้เพียงจำรหัสผ่านหลัก พวกเขาเก็บ (หรืองอกใหม่)
และส่งในนามของผู้ใช้ไปยังเว็บไซต์
hosting บัญชีผู้ใช้รหัสผ่านที่เหมาะสม จะเป็นการดี
หลังถูกสร้างขึ้นโดยผู้จัดการของตัวเองและมีความ
แข็งแกร่งกว่ารหัสผ่านผู้ใช้เลือก อย่างไรก็ตาม
Implemen tations ของผู้จัดการรหัสผ่านของพวกเขาแนะนำ
ปัญหาการใช้งานของตัวเอง [Chiasson et al, 2006] ที่สามารถ
ทำให้รุนแรงปัญหาด้านความปลอดภัยและการรวมศูนย์ของพวกเขา
90 IJCSNS วารสารนานาชาติวิทยาศาสตร์คอมพิวเตอร์และการรักษาความปลอดภัยเครือข่าย Vol.14 8, สิงหาคม 2014
สถาปัตยกรรมใน troduces จุดเดียวของความล้มเหลวและ
เป้าหมายที่น่าสนใจ: การเข้าถึงโจมตีรหัสผ่านหลัก
ให้ควบคุมทั้งหมดของบัญชีที่มีการจัดการของผู้ใช้.
เมื่อผู้ใช้รหัสผ่านข้อความรีสอร์ทเพื่อการเผชิญปัญหาที่ไม่ปลอดภัย
กลยุทธ์เช่นการนำผ่านคำทั่วทั้งบัญชีที่จะ
ช่วยให้มีการ memorability ลดลงในการรักษาความปลอดภัยไม่สามารถ
แก้ไขโดยเพียงแค่การเสริมสร้างความเข้มแข็งในการแยก
ทางเทคนิคพื้นฐาน Secu-ระบบรักษาความ ปัญหาการใช้งาน
มักจะส่งผลกระทบอย่างมีนัยสำคัญการรักษาความปลอดภัยที่แท้จริงของโลกของ ผู้ใช้
ตัดสินใจในการออกแบบอินเตอร์เฟซที่ไม่ได้ตั้งใจอาจแกว่งไปแกว่งมาใช้
พฤติกรรมที่มีต่อพฤติกรรมความปลอดภัยน้อยลง ที่ประสบความสำเร็จ
จะต้องแก้ปัญหาการตรวจสอบจึงยังรวมถึงการปรับปรุง
การออกแบบการใช้งานอยู่บนพื้นฐานของการวิจัยที่เหมาะสม
เข้าบัญชีความสามารถและข้อ จำกัด ของเป้าหมาย
ผู้ใช้ ในรหัสผ่านกราฟิกข่าว-ออร์รี่มนุษย์มองเห็น
ข้อมูลที่จะยกระดับในความหวังของหน่วยความจำลด
ภาระที่จะอำนวยความสะดวกในการเลือกและการใช้มากขึ้น
รหัสผ่านที่ปลอดภัยหรือคาดเดาน้อยกว่าผู้ใช้ยับยั้ง
การเผชิญปัญหาจากการปฏิบัติที่ไม่ปลอดภัย.
สำรวจในช่วงต้นของรหัสผ่านแบบกราฟิกที่มีอยู่
[ Monrose และไรเตอร์ 2005; Suo et al, 2005] เพิ่มเติม
เอกสารสั้น ๆ ที่ผ่านมาสรุปและจัดหมวดหมู่ 12
รูปแบบ [ฮาฟิซอัลเอต 2008] และทบทวนหลาย
ระบบกราฟิกรหัสผ่านการใช้งานในขณะที่เสนอ
แนวทางในการออกแบบของพวกเขา [Renaud 2009a] ในการนี้
กระดาษที่เรามีให้ทานที่ครอบคลุมของแรก
สิบสองปีของการวิจัยที่ตีพิมพ์ในรหัสผ่านกราฟิก
และสะท้อนให้เห็นถึงมัน ตอนนี้มันเป็นที่ชัดเจนว่าธรรมชาติกราฟิกของ
รูปแบบไม่ได้ด้วยตัวเองหลีกเลี่ยงปัญหาปกติของ
ระบบรหัสผ่านข้อความ อย่างไรก็ตามในขณะที่ข้อเสนอใน
ช่วงแรกของการวิจัยแสดงปัญหาบางอย่างที่คุ้นเคยเรา
เห็นสัญญาณว่ารุ่นที่สองที่เกิดขึ้นใหม่ของการวิจัย
จะสร้างความรู้และยกระดับกราฟิก
องค์ประกอบในรูปแบบใหม่ที่จะหลีกเลี่ยงปัญหาเก่า.
ในฐานะที่จะเห็นกราฟิกต้น ระบบรหัสผ่านมีแนวโน้ม
ที่จะมุ่งเน้นความแข็งแรงหนึ่งตราไว้หุ้นละเจาะจงเช่นการเป็น
ทนต่อไหล่ท่อง แต่การทดสอบและการวิเคราะห์
แสดงให้เห็นว่าพวกเขามีความเสี่ยงที่จะหนึ่งหรืออื่น ๆ
ประเภทของการโจมตี ยกเว้นในสภาพแวดล้อมที่เฉพาะเจาะจงมาก
เหล่านี้จะได้ให้การรักษาความปลอดภัยที่เพียงพอ.
รักษาความปลอดภัย:
ระบบการตรวจสอบจะต้องให้การรักษาความปลอดภัยที่เพียงพอ
สำหรับสภาพแวดล้อม-ment สงมิฉะนั้นจะไม่เป็นไปตามที่
เป้าหมายหลัก ระบบที่นำเสนอควรที่ต่ำสุดได้รับการ
ประเมินจากการโจมตีร่วมกันในการตรวจสอบว่ามัน
ตอบสนองความต้องการด้านความปลอดภัย แนะนำสั้น ๆ คือการ
ให้ที่นี่
เราจัดประเภทของการโจมตีในฐานความรู้
การตรวจสอบออกเป็นสองประเภททั่วไป: การคาดเดาและ
การโจมตีการจับภาพ ในการโจมตีคาดเดาที่ประสบความสำเร็จ
ผู้โจมตีสามารถที่จะละเอียดถี่ถ้วนทั้งค้นหาผ่าน
พื้นที่ทั้งหมดผ่านทฤษฎีคำหรือคาดการณ์ที่สูงขึ้น
น่าจะเป็นรหัสผ่าน (เช่นสร้างพจนานุกรมแนวโน้ม
รหัสผ่าน) เพื่อให้ได้อัตราความสำเร็จได้รับการยอมรับ
ภายในจำนวนที่สามารถจัดการการคาดเดา . การโจมตีคาดเดา
อาจจะต้องดำเนินการผ่านระบบออนไลน์ได้ตั้งใจเข้าสู่ระบบ
อินเตอร์เฟซหรือออฟไลน์ถ้าบางข้อความที่ตรวจสอบได้ [Gong et al.
1993] (เช่น hashes) สามารถนำมาใช้ในการประเมินความถูกต้อง
ของการคาดเดา ระบบการตรวจสอบที่มีขนาดเล็ก-oretical
พื้นที่รหัสผ่านหรือมีรูปแบบที่สามารถระบุตัวตนของผู้ใช้ใน
ทางเลือกของรหัสผ่านโดยเฉพาะอย่างยิ่งความเสี่ยงที่จะคาดเดา
การโจมตี.
โจมตีจับรหัสผ่านที่เกี่ยวข้องกับการได้รับโดยตรง
รหัสผ่านหรือส่วนหนึ่งส่วนโดยการจับสิทธิเข้าสู่ระบบ
เมื่อป้อนโดยผู้ใช้หรือโดย หลอกล่อให้ผู้ใช้ในการ
บอกรหัสผ่านของพวกเขา ไหล่ท่อง, ฟิชชิ่งและ
บางชนิดของมัลแวร์ที่มีสามรูปแบบที่พบบ่อยของ
การโจมตีการจับภาพ ไหล่ท่องข้อมูลประจำตัวถูกจับ
โดยการสังเกตโดยตรงของกระบวนการเข้าสู่ระบบหรือผ่าน
อุปกรณ์บันทึกภาพภายนอกบางอย่างเช่นกล้องวิดีโอ.
ฟิชชิ่งเป็นประเภทของการโจมตีวิศวกรรมทางสังคมที่ผู้ใช้
จะถูกหลอกให้เข้าข้อมูลประจำตัวของพวกเขาที่หลอกลวง
เว็บไซต์ที่ผู้ใช้บันทึก 'การป้อนข้อมูล มัลแวร์ที่ใช้
ซอฟแวร์ไม่ได้รับอนุญาตติดตั้งบนคอมพิวเตอร์ไคลเอนต์หรือ
เซิร์ฟเวอร์ที่จะจับแป้นพิมพ์เมาส์หรือส่งออกหน้าจอ
ซึ่งจะแยกแล้วจะหาข้อมูลประจำตัวเข้าสู่ระบบ
จุดอ่อนที่พบบ่อยในการแฮ็กเหล่านี้เป็นรหัสผ่าน มันเป็น
สิ่งประดิษฐ์จากช่วงเวลาที่เครื่องคอมพิวเตอร์ของเราไม่ได้
มากเกินไปที่เชื่อมต่อ วันนี้ไม่มีอะไรที่คุณไม่ระมัดระวังไม่มี
คุณใช้ไม่มีสายยาวหรือสุ่มของตัวอักษรที่สามารถหยุด
แต่ละทุ่มเทอย่างแท้จริงและคดเคี้ยวจากการแตกของคุณ
บัญชี อายุรหัสผ่านได้มาถึงจุดจบ;
เราก็
ไม่ได้ตระหนักถึงมันยัง รหัสผ่านเป็นเช่นเดิมเป็น
อารยธรรม และให้นานที่สุดเท่าที่พวกเขาเคยอยู่คน
ได้รับการทำลายพวกเขา.
ใน 413 ปีก่อนคริสตกาลที่ความสูงของเพโลโพนีสงคราม
Demosthenes ทั่วไป theAthenian ที่ดินในซิซิลี
with5,000 ทหารเพื่อช่วยในการโจมตีใน Syracusae.
สิ่งที่กำลังมองหาที่ดี สำหรับชาวกรีก Syracusae,
พันธมิตรที่สำคัญของสปาร์ตาดูเหมือนแน่ใจว่าจะลดลง แต่ในระหว่าง
การสู้รบกลางคืนวุ่นวายที่ Epipole, Demosthenes '
กองกำลังกระจัดกระจายและในขณะที่พยายามที่จะจัดกลุ่มใหม่
พวกเขาก็เริ่มโทรออกหลักสำคัญของพวกเขาจัดแจงไว้ก่อน
คำที่จะระบุว่าเป็นทหารที่เป็นมิตร
ซีราคิวส์หยิบขึ้นมาในรหัสและผ่านมันเงียบ ๆ
ผ่านการจัดอันดับของพวกเขา ในช่วงเวลาที่ชาวกรีกมองเกินไป
น่ากลัวคำขวัญที่ได้รับอนุญาตของฝ่ายตรงข้ามที่จะ
ก่อให้เกิดเป็นพันธมิตร จ้างอุบายนี้ theundermatched
ซีราคิวส์ทำลายผู้บุกรุกและเมื่อดวงอาทิตย์กุหลาบ,
ทหารม้าของพวกเขาเช็ดส่วนที่เหลือ มันเป็นจุดเปลี่ยนใน
คอมพิวเตอร์ war.The แรกที่จะใช้รหัสผ่านที่มีแนวโน้มที่
ผู้ที่อยู่ในเอ็มไอทีที่รองรับการทำงานของระบบเวลาร่วมกัน
พัฒนาขึ้นในปี 1961 เพื่อ จำกัด เวลาของผู้ใช้คนใดคนหนึ่งอาจ
ใช้จ่ายในระบบ CTSS ใช้เข้าสู่ระบบการปันส่วนการเข้าถึง .
มันจนกระทั่ง 1962 เมื่อเอก
นักศึกษาชื่ออัลลัน Scherr ต้องการมากกว่า fourhour เขา
จัดสรรแพ้เข้าสู่ระบบด้วยสับง่าย: เขา
อยู่ไฟล์ที่มีรหัสผ่านและพิมพ์ออกมา
ทั้งหมดของพวกเขา หลังจากนั้นเขาได้มีเวลามากที่สุดเท่าที่เขาต้องการ.
ในช่วงปีของเว็บที่เราทุกคนไป
ออนไลน์รหัสผ่านที่ทำงานสวยดี นี่เป็นเพราะ
ส่วนใหญ่จะว่าข้อมูลเล็ก ๆ น้อย ๆ ที่พวกเขาต้องการจริงเพื่อปกป้อง.
รหัสผ่านของเราถูก จำกัด ให้กำมือของ
การใช้งาน: ISP สำหรับอีเมลและอาจอีคอมเมิร์ซ
เว็บไซต์หรือสอง เพราะแทบจะไม่มีข้อมูลส่วนบุคคลเป็น
ในเมฆเมฆก็แทบจะไม่กำมือที่จุดที่
-there เป็นผลตอบแทนเล็ก ๆ น้อย ๆ สำหรับการบุกเข้าไปใน
บัญชีของแต่ละบุคคล; แฮกเกอร์ร้ายแรงก็ยังคง
ไปหลังจากที่ระบบขององค์กรขนาดใหญ่.
ดังนั้นเราจึงได้รับการวางใจในความพึงพอใจ ที่อยู่อีเมล์
ปรับเปลี่ยนการจัดเรียงของการเข้าสู่ระบบสากลที่ทำหน้าที่เป็นของเรา
ชื่อผู้ใช้เพียงเกี่ยวกับทุก การปฏิบัตินี้ยังคง
แม้ในขณะที่จำนวนบัญชีจำนวนของความล้มเหลว
จุดเพิ่มขึ้นชี้แจง อีเมลบนเว็บเป็น
ประตูสู่ชนวนใหม่ของแอพพลิเคเมฆ เราเริ่มต้นการธนาคาร
ในเมฆติดตามการเงินของเราในเมฆและทำ
ภาษีของเราในเมฆ เรา stashed ภาพถ่ายของเราของเรา
เอกสารข้อมูลของเราในเมฆ.
ในที่สุดเป็นจำนวนของแฮ็กมหากาพย์ที่เพิ่มขึ้นเรา
เริ่มที่จะพึ่งพาทางด้านจิตใจอยากรู้อยากเห็นไม้ยันรักแร้:
ความคิดของรหัสผ่าน "แข็งแกร่ง" มันประนีประนอมว่า
การเจริญเติบโตของ บริษัท เว็บขึ้นมาเพื่อให้คน
ที่ลงทะเบียนและมอบหมายให้ข้อมูลไปยังเว็บไซต์ของตน มัน bandaid
ที่ตอนนี้ถูกล้างออกไปในแม่น้ำเลือด.
หนึ่งในข้อเสนอเพื่อลดปัญหาที่เกี่ยวข้องกับข้อความรหัสผ่าน
คือการใช้รหัสผ่านผู้จัดการ เหล่านี้มักจะกำหนดให้
ผู้ใช้เพียงจำรหัสผ่านหลัก พวกเขาเก็บ (หรืองอกใหม่)
และส่งในนามของผู้ใช้ไปยังเว็บไซต์
hosting บัญชีผู้ใช้รหัสผ่านที่เหมาะสม จะเป็นการดี
หลังถูกสร้างขึ้นโดยผู้จัดการของตัวเองและมีความ
แข็งแกร่งกว่ารหัสผ่านผู้ใช้เลือก อย่างไรก็ตาม
Implemen tations ของผู้จัดการรหัสผ่านของพวกเขาแนะนำ
ปัญหาการใช้งานของตัวเอง [Chiasson et al, 2006] ที่สามารถ
ทำให้รุนแรงปัญหาด้านความปลอดภัยและการรวมศูนย์ของพวกเขา
90 IJCSNS วารสารนานาชาติวิทยาศาสตร์คอมพิวเตอร์และการรักษาความปลอดภัยเครือข่าย Vol.14 8, สิงหาคม 2014
สถาปัตยกรรมใน troduces จุดเดียวของความล้มเหลวและ
เป้าหมายที่น่าสนใจ: การเข้าถึงโจมตีรหัสผ่านหลัก
ให้ควบคุมทั้งหมดของบัญชีที่มีการจัดการของผู้ใช้.
เมื่อผู้ใช้รหัสผ่านข้อความรีสอร์ทเพื่อการเผชิญปัญหาที่ไม่ปลอดภัย
กลยุทธ์เช่นการนำผ่านคำทั่วทั้งบัญชีที่จะ
ช่วยให้มีการ memorability ลดลงในการรักษาความปลอดภัยไม่สามารถ
แก้ไขโดยเพียงแค่การเสริมสร้างความเข้มแข็งในการแยก
ทางเทคนิคพื้นฐาน Secu-ระบบรักษาความ ปัญหาการใช้งาน
มักจะส่งผลกระทบอย่างมีนัยสำคัญการรักษาความปลอดภัยที่แท้จริงของโลกของ ผู้ใช้
ตัดสินใจในการออกแบบอินเตอร์เฟซที่ไม่ได้ตั้งใจอาจแกว่งไปแกว่งมาใช้
พฤติกรรมที่มีต่อพฤติกรรมความปลอดภัยน้อยลง ที่ประสบความสำเร็จ
จะต้องแก้ปัญหาการตรวจสอบจึงยังรวมถึงการปรับปรุง
การออกแบบการใช้งานอยู่บนพื้นฐานของการวิจัยที่เหมาะสม
เข้าบัญชีความสามารถและข้อ จำกัด ของเป้าหมาย
ผู้ใช้ ในรหัสผ่านกราฟิกข่าว-ออร์รี่มนุษย์มองเห็น
ข้อมูลที่จะยกระดับในความหวังของหน่วยความจำลด
ภาระที่จะอำนวยความสะดวกในการเลือกและการใช้มากขึ้น
รหัสผ่านที่ปลอดภัยหรือคาดเดาน้อยกว่าผู้ใช้ยับยั้ง
การเผชิญปัญหาจากการปฏิบัติที่ไม่ปลอดภัย.
สำรวจในช่วงต้นของรหัสผ่านแบบกราฟิกที่มีอยู่
[ Monrose และไรเตอร์ 2005; Suo et al, 2005] เพิ่มเติม
เอกสารสั้น ๆ ที่ผ่านมาสรุปและจัดหมวดหมู่ 12
รูปแบบ [ฮาฟิซอัลเอต 2008] และทบทวนหลาย
ระบบกราฟิกรหัสผ่านการใช้งานในขณะที่เสนอ
แนวทางในการออกแบบของพวกเขา [Renaud 2009a] ในการนี้
กระดาษที่เรามีให้ทานที่ครอบคลุมของแรก
สิบสองปีของการวิจัยที่ตีพิมพ์ในรหัสผ่านกราฟิก
และสะท้อนให้เห็นถึงมัน ตอนนี้มันเป็นที่ชัดเจนว่าธรรมชาติกราฟิกของ
รูปแบบไม่ได้ด้วยตัวเองหลีกเลี่ยงปัญหาปกติของ
ระบบรหัสผ่านข้อความ อย่างไรก็ตามในขณะที่ข้อเสนอใน
ช่วงแรกของการวิจัยแสดงปัญหาบางอย่างที่คุ้นเคยเรา
เห็นสัญญาณว่ารุ่นที่สองที่เกิดขึ้นใหม่ของการวิจัย
จะสร้างความรู้และยกระดับกราฟิก
องค์ประกอบในรูปแบบใหม่ที่จะหลีกเลี่ยงปัญหาเก่า.
ในฐานะที่จะเห็นกราฟิกต้น ระบบรหัสผ่านมีแนวโน้ม
ที่จะมุ่งเน้นความแข็งแรงหนึ่งตราไว้หุ้นละเจาะจงเช่นการเป็น
ทนต่อไหล่ท่อง แต่การทดสอบและการวิเคราะห์
แสดงให้เห็นว่าพวกเขามีความเสี่ยงที่จะหนึ่งหรืออื่น ๆ
ประเภทของการโจมตี ยกเว้นในสภาพแวดล้อมที่เฉพาะเจาะจงมาก
เหล่านี้จะได้ให้การรักษาความปลอดภัยที่เพียงพอ.
รักษาความปลอดภัย:
ระบบการตรวจสอบจะต้องให้การรักษาความปลอดภัยที่เพียงพอ
สำหรับสภาพแวดล้อม-ment สงมิฉะนั้นจะไม่เป็นไปตามที่
เป้าหมายหลัก ระบบที่นำเสนอควรที่ต่ำสุดได้รับการ
ประเมินจากการโจมตีร่วมกันในการตรวจสอบว่ามัน
ตอบสนองความต้องการด้านความปลอดภัย แนะนำสั้น ๆ คือการ
ให้ที่นี่
เราจัดประเภทของการโจมตีในฐานความรู้
การตรวจสอบออกเป็นสองประเภททั่วไป: การคาดเดาและ
การโจมตีการจับภาพ ในการโจมตีคาดเดาที่ประสบความสำเร็จ
ผู้โจมตีสามารถที่จะละเอียดถี่ถ้วนทั้งค้นหาผ่าน
พื้นที่ทั้งหมดผ่านทฤษฎีคำหรือคาดการณ์ที่สูงขึ้น
น่าจะเป็นรหัสผ่าน (เช่นสร้างพจนานุกรมแนวโน้ม
รหัสผ่าน) เพื่อให้ได้อัตราความสำเร็จได้รับการยอมรับ
ภายในจำนวนที่สามารถจัดการการคาดเดา . การโจมตีคาดเดา
อาจจะต้องดำเนินการผ่านระบบออนไลน์ได้ตั้งใจเข้าสู่ระบบ
อินเตอร์เฟซหรือออฟไลน์ถ้าบางข้อความที่ตรวจสอบได้ [Gong et al.
1993] (เช่น hashes) สามารถนำมาใช้ในการประเมินความถูกต้อง
ของการคาดเดา ระบบการตรวจสอบที่มีขนาดเล็ก-oretical
พื้นที่รหัสผ่านหรือมีรูปแบบที่สามารถระบุตัวตนของผู้ใช้ใน
ทางเลือกของรหัสผ่านโดยเฉพาะอย่างยิ่งความเสี่ยงที่จะคาดเดา
การโจมตี.
โจมตีจับรหัสผ่านที่เกี่ยวข้องกับการได้รับโดยตรง
รหัสผ่านหรือส่วนหนึ่งส่วนโดยการจับสิทธิเข้าสู่ระบบ
เมื่อป้อนโดยผู้ใช้หรือโดย หลอกล่อให้ผู้ใช้ในการ
บอกรหัสผ่านของพวกเขา ไหล่ท่อง, ฟิชชิ่งและ
บางชนิดของมัลแวร์ที่มีสามรูปแบบที่พบบ่อยของ
การโจมตีการจับภาพ ไหล่ท่องข้อมูลประจำตัวถูกจับ
โดยการสังเกตโดยตรงของกระบวนการเข้าสู่ระบบหรือผ่าน
อุปกรณ์บันทึกภาพภายนอกบางอย่างเช่นกล้องวิดีโอ.
ฟิชชิ่งเป็นประเภทของการโจมตีวิศวกรรมทางสังคมที่ผู้ใช้
จะถูกหลอกให้เข้าข้อมูลประจำตัวของพวกเขาที่หลอกลวง
เว็บไซต์ที่ผู้ใช้บันทึก 'การป้อนข้อมูล มัลแวร์ที่ใช้
ซอฟแวร์ไม่ได้รับอนุญาตติดตั้งบนคอมพิวเตอร์ไคลเอนต์หรือ
เซิร์ฟเวอร์ที่จะจับแป้นพิมพ์เมาส์หรือส่งออกหน้าจอ
ซึ่งจะแยกแล้วจะหาข้อมูลประจำตัวเข้าสู่ระบบ
การแปล กรุณารอสักครู่..
บทนำ :
จุดอ่อนที่พบบ่อยใน hacks เหล่านี้เป็นรหัสผ่าน มันเป็นสิ่งประดิษฐ์จาก
เวลาเมื่อคอมพิวเตอร์ของเราไม่ได้
ไฮเปอร์ เชื่อมต่อ วันนี้ไม่มีอะไรทำ ไม่มีการป้องกัน
คุณใช้เวลาไม่นาน หรือ สุ่มสตริงของอักขระที่สามารถหยุด
ทุ่มเทอย่างแท้จริงและหลอกลวงบุคคลจากการแตกตัวของบัญชี
อายุของรหัสผ่านได้สิ้นสุด ;
เราก็ไม่เคยตระหนักถึงมันรหัสผ่านที่เป็นเช่นเดิมเป็น
อารยธรรม และตราบใดที่พวกเขาได้มีตัวตนคน
ได้ทำลายพวกเขา .
ในพ.ศ. 413 , ที่ความสูงของสงครามเพโลพอนเนเชียน
เดโมสทีนิส , ทั่วไป theathenian ที่ดินทหารซิซิลี
with5000 ในเพื่อช่วยในการโจมตี syracusae .
เป็นสิ่งที่ดูดีสำหรับชาวกรีก syracusae ,
พันธมิตรสำคัญของสปาร์ตา ดูว่าตก แต่ในระหว่าง
การต่อสู้กลางคืนที่วุ่นวาย epipole เดโมสทีนิส '
, กองทัพแตกกระจายไป และในขณะที่พยายามที่จะจัดกลุ่มใหม่
พวกเขาเริ่มเรียกรหัสผ่านของ prearranged
ในระยะที่จะระบุทหารเป็นมิตร
syracusans หยิบรหัสและผ่านมันเงียบๆ
ผ่านการจัดอันดับของพวกเขา ในบางครั้งเมื่อกรีกดูเหมือน
น่ากลัว , รหัสผ่านได้รับอนุญาตฝ่ายตรงข้ามของพวกเขา
ในฐานะพันธมิตรการใช้อุบายนี้ theundermatched
syracusans ทำลายผู้รุกราน และเมื่อดวงอาทิตย์ขึ้น
ทหารม้าของเขาถูขึ้นพัก มันเป็นจุดเปลี่ยนใน
สงคราม คอมพิวเตอร์เครื่องแรกที่ใช้รหัสผ่านมีแนวโน้ม
ใน MIT ที่รองรับระบบเวลาร่วมกัน
การพัฒนาในปี 1961 . จำกัดเวลาของผู้ใช้คนใดคนหนึ่งสามารถ
ใช้จ่ายในระบบ ctss ใช้ล็อกอินปัน
Accessมันเอาจนกระทั่ง 2505 เมื่อนักศึกษาปริญญาเอก
ชื่อแลน แชร์ ต้องการมากกว่าของเขา fourhour
ส่วนพ่ายแพ้เข้าสู่ระบบด้วยสับง่าย : เขา
อยู่ไฟล์ที่มีรหัสผ่านและพิมพ์ออก
ทั้งหมดของพวกเขา หลังจากนั้น เขามีเวลามากเท่าที่เขาต้องการ
ในระหว่างปีย่อยของเว็บที่เราเข้าไป
ออนไลน์ , รหัสผ่านทำงานค่อนข้างดี นี้คือเนื่องจาก
ส่วนใหญ่วิธีการเล็ก ๆน้อย ๆข้อมูลที่พวกเขาจริงต้องปกป้อง รหัสผ่านของเราถูก จำกัด ให้
งานหยิบของ ISP สำหรับอีเมลและบางทีอีคอมเมิร์ซ
เว็บไซต์หรือสอง เพราะเกือบจะไม่มีข้อมูลส่วนบุคคลในเมฆเมฆเป็น
แทบขมวดที่จุด
- ไม่มีผลตอบแทนสำหรับเจาะเข้าไปในบัญชีเป็นพยาบาลบุคคล แฮกเกอร์ร้ายแรงยัง
ไปตามระบบขององค์กรขนาดใหญ่ .
เราวางใจในความพึงพอใจ ที่อยู่อีเมล
morphed เป็นเข้าสู่ระบบสากล ที่ให้บริการเป็น username ของเรา
เพียงเกี่ยวกับทุก การปฏิบัตินี้หาย
ถึงแม้จะเป็นหมายเลขบัญชี หมายเลขของจุดล้มเหลว
เติบโตชี้แจง อีเมล์ตามเว็บคือ
เกตเวย์กระดานชนวนใหม่ปพลิเคชันเมฆ เราเริ่มธนาคาร
ในเมฆการติดตามสถานะทางการเงินของเราในเมฆและทำ
ภาษีของเราในเมฆ เราซ่อนภาพถ่ายของเรา เอกสารของเรา
, ข้อมูลในเมฆ
ในที่สุด เป็นหมายเลขของมหากาพย์ hacks เพิ่มขึ้นเรา
เริ่มพึ่งพาอยากรู้อยากเห็นจิตไม้ยันรักแร้ :
ความคิดของรหัสผ่าน " แข็งแกร่ง " มันเป็นข้อตกลงที่ บริษัท ที่เติบโตมากับเว็บ
เพื่อให้ผู้ลงทะเบียนและให้ข้อมูลกับเว็บไซต์ของพวกเขามันคือพลาสเตอร์
ที่ตอนนี้ถูกพัดหายไปในแม่น้ำเลือด
หนึ่งข้อเสนอเพื่อลดปัญหาที่เกี่ยวข้องกับข้อความรหัสผ่าน
คือการใช้ผู้จัดการรหัสผ่าน เหล่านี้มักจะต้องการ
ผู้ใช้จำเพียงรหัสผ่านหลัก พวกเขาเก็บ ( หรือใหม่ )
และส่งในนามของผู้ใช้ไปยังเว็บไซต์
hosting บัญชีผู้ใช้รหัสผ่านที่เหมาะสม
จุดหลังถูกสร้างขึ้นโดยผู้จัดการตัวเองและ
แข็งแกร่งกว่าที่ผู้ใช้เลือกรหัสผ่าน อย่างไรก็ตาม tations
implemen ผู้จัดการรหัสผ่านของพวกเขาเองปัญหาการใช้งานแนะนำ
[ Chiasson et al . 2006 ที่สามารถ
exacerbate ปัญหาความปลอดภัย และส่วนกลาง
90 ijcsns วารสารวิทยาศาสตร์คอมพิวเตอร์และการรักษาความปลอดภัยเครือข่าย vol.14 8 สิงหาคม 2014
สถาปัตยกรรมใน troduces จุดของความล้มเหลวและ
: โจมตีเป้าหมายที่น่าสนใจเข้าถึงรหัสผ่าน
ให้การควบคุมทั้งหมดของผู้ใช้บัญชีที่จัดการ .
เมื่อผู้ใช้รหัสผ่านข้อความรีสอร์ทไม่ปลอดภัยเผชิญ
กลยุทธ์ เช่น การนำคำข้ามผ่านบัญชี
ช่วยในการจดจำลดลง ไม่สามารถรักษาความปลอดภัย , เป็น
ระบุ โดยเพียงแค่การสร้างความเข้มแข็งในการแยก ,
เทคนิคพื้นฐาน secu บความเหมือนของระบบ ปัญหาการใช้งานมักจะส่งผลกระทบต่อความมั่นคงจริง
. ส่วนติดต่อผู้ใช้
การตัดสินใจการออกแบบอาจไม่ได้ตั้งใจทำให้พฤติกรรมของผู้ใช้มีความปลอดภัยน้อย
ที่มีต่อพฤติกรรม โซลูชั่นตรวจสอบประสบความสำเร็จ
ต้องจึงยังรวมถึงการออกแบบการใช้งานดีขึ้น
ตามการวิจัยที่เหมาะสมจะพิจารณาความสามารถและข้อจำกัดของเป้าหมาย
ผู้ใช้ รหัสผ่านกราฟิกเกี่ยวข้องกับแหม่ม มนุษย์ สำหรับข้อมูล
เป็น leveraged ในความหวังของการลดหน่วยความจำ
ภาระที่จะอำนวยความสะดวกในการเลือกใช้มากขึ้น
ความปลอดภัยหรือรหัสผ่านที่คาดเดาได้น้อยลง dissuading ผู้ใช้
เร็วไม่ปลอดภัยปัญหาจากการปฏิบัติ การสำรวจของกราฟิกรหัสผ่านที่มีอยู่
[ monrose แล้วไรเตอร์ 2005 ; suo et al . 2548 ]
เพิ่มเติมล่าสุดเอกสารสั้นสรุปและจัดโครงการ 12
[ ฮาฟิซ et al . 2008 ] และทบทวนระบบรหัสผ่านในขณะที่เสนอแนวทางการใช้งานกราฟิกมากมาย
สำหรับการออกแบบของพวกเขา เรโนด์ 2009a [ ] ในกระดาษนี้เราให้ตรวจสอบที่ครอบคลุมของ
12 ปีแรกของการเผยแพร่งานวิจัยเกี่ยวกับรหัสผ่านกราฟิก
และสะท้อนมัน คือตอนนี้ชัดเจนว่าธรรมชาติกราฟิกของ
รูปแบบไม่ได้โดยตัวเองหลีกเลี่ยงปัญหาทั่วไปของ
ระบบรหัสผ่านข้อความ อย่างไรก็ตาม ในขณะที่ข้อเสนอในช่วงเวลานี้
ครั้งแรกของการวิจัยมีบางปัญหาที่คุ้นเคย เราเห็นป้ายที่เกิดขึ้นใหม่
รุ่นที่สองของงานวิจัยนี้จะสร้างความรู้และการใช้ประโยชน์จากกราฟิก
องค์ประกอบในรูปแบบใหม่ เพื่อหลีกเลี่ยงปัญหาเก่า
เท่าที่จะเห็น ระบบรหัสผ่านแบบเร็ว )
ที่จะมุ่งเน้นหนึ่งพาร์ ticular ความแข็งแรง เช่น ถูก
ป้องกันไหล่ท่อง แต่การทดสอบและการวิเคราะห์พบว่าพวกเขาเสี่ยง
หนึ่งหรือมากกว่าหนึ่งชนิดอื่น ๆของการโจมตี ยกเว้นในสภาพแวดล้อมที่เฉพาะเจาะจงมาก
เหล่านี้จะไม่ได้ให้ความปลอดภัยเพียงพอ การตรวจสอบระบบความปลอดภัย :
ต้องให้ความปลอดภัยเพียงพอสำหรับวัตถุประสงค์ environ ment มิฉะนั้นมันล้มเหลวเพื่อให้ตรงกับ
เป้าหมายหลัก การนำเสนอระบบควรอย่างน้อยต้อง
ประเมินการโจมตีทั่วไปเพื่อตรวจสอบว่ามัน
satisfies ความต้องการความปลอดภัย แนะนำย่อๆ
ไว้ที่นี่เราจำแนกชนิดของการโจมตีบนฐานความรู้
ตรวจสอบออกเป็นสองประเภททั่วไป : เดา
โจมตีและจับกุม ในความคาดเดาการโจมตี , โจมตีสามารถให้ทำ
ค้นหาผ่านทั้งทฤษฎี ส่งคำพื้นที่หรือทำนายสูงกว่า
ความน่าจะเป็นรหัสผ่าน ( เช่นสร้างพจนานุกรมรหัสผ่านแนวโน้ม
) เพื่อที่จะได้รับอัตราความสำเร็จเป็นที่ยอมรับ
ภายในจัดการเลขของการคาดเดา การคาดเดาการโจมตี
อาจจะดำเนินการผ่านระบบออนไลน์หรือออฟไลน์มีอินเตอร์เฟซเข้าสู่ระบบ
ถ้าได้ข้อความ [ กง et al .
1993 ( เช่น hashes ) สามารถใช้เพื่อประเมินความถูกต้อง
ของการคาดเดา การตรวจสอบระบบที่มีขนาดเล็ก oretical
รหัสผ่านเป็นหรือกับบุคคลในรูปแบบของผู้ใช้เลือกรหัสผ่าน
โดยเฉพาะความเสี่ยงที่จะเดา
จับรหัสผ่านที่เกี่ยวข้องกับการโจมตี การโจมตีโดยตรงได้รับ
รหัสผ่านหรือส่วนหนึ่งของมันโดยจับ
เมื่อเข้าสู่ระบบข้อมูลที่ป้อนโดยผู้ใช้หรือโดยหลอกผู้ใช้ใน
เปิดเผยรหัสผ่านของพวกเขา ไหล่ท่องฟิชชิ่ง และบางชนิดของมัลแวร์
3
แบบฟอร์มทั่วไปของการโจมตีในการจับภาพ ไหล่ท่องในตัวถูกจับ
โดยการสังเกตโดยตรงของกระบวนการเข้าสู่ระบบหรือผ่าน
บางบันทึกอุปกรณ์ภายนอก เช่น กล้องวิดีโอ
ฟิชชิ่งเป็นชนิดของการโจมตีวิศวกรรมสังคมที่ผู้ใช้จะถูกหลอกให้ใส่ข้อมูลประจำตัวของพวกเขา
เว็บไซต์ที่หลอกลวงที่บันทึกข้อมูลผู้ใช้มัลแวร์ใช้
ไม่ได้รับอนุญาตซอฟต์แวร์ที่ติดตั้งบนเครื่องคอมพิวเตอร์ไคลเอ็นต์หรือ
เซิร์ฟเวอร์เพื่อจับเมาส์คีย์บอร์ดหรือหน้าจอออก
ซึ่งเป็นแล้วแจงหาข้อมูลเข้าสู่ระบบ
จุดอ่อนที่พบบ่อยใน hacks เหล่านี้เป็นรหัสผ่าน มันเป็นสิ่งประดิษฐ์จาก
เวลาเมื่อคอมพิวเตอร์ของเราไม่ได้
ไฮเปอร์ เชื่อมต่อ วันนี้ไม่มีอะไรทำ ไม่มีการป้องกัน
คุณใช้เวลาไม่นาน หรือ สุ่มสตริงของอักขระที่สามารถหยุด
ทุ่มเทอย่างแท้จริงและหลอกลวงบุคคลจากการแตกตัวของบัญชี
อายุของรหัสผ่านได้สิ้นสุด ;
เราก็ไม่เคยตระหนักถึงมันรหัสผ่านที่เป็นเช่นเดิมเป็น
อารยธรรม และตราบใดที่พวกเขาได้มีตัวตนคน
ได้ทำลายพวกเขา .
ในพ.ศ. 413 , ที่ความสูงของสงครามเพโลพอนเนเชียน
เดโมสทีนิส , ทั่วไป theathenian ที่ดินทหารซิซิลี
with5000 ในเพื่อช่วยในการโจมตี syracusae .
เป็นสิ่งที่ดูดีสำหรับชาวกรีก syracusae ,
พันธมิตรสำคัญของสปาร์ตา ดูว่าตก แต่ในระหว่าง
การต่อสู้กลางคืนที่วุ่นวาย epipole เดโมสทีนิส '
, กองทัพแตกกระจายไป และในขณะที่พยายามที่จะจัดกลุ่มใหม่
พวกเขาเริ่มเรียกรหัสผ่านของ prearranged
ในระยะที่จะระบุทหารเป็นมิตร
syracusans หยิบรหัสและผ่านมันเงียบๆ
ผ่านการจัดอันดับของพวกเขา ในบางครั้งเมื่อกรีกดูเหมือน
น่ากลัว , รหัสผ่านได้รับอนุญาตฝ่ายตรงข้ามของพวกเขา
ในฐานะพันธมิตรการใช้อุบายนี้ theundermatched
syracusans ทำลายผู้รุกราน และเมื่อดวงอาทิตย์ขึ้น
ทหารม้าของเขาถูขึ้นพัก มันเป็นจุดเปลี่ยนใน
สงคราม คอมพิวเตอร์เครื่องแรกที่ใช้รหัสผ่านมีแนวโน้ม
ใน MIT ที่รองรับระบบเวลาร่วมกัน
การพัฒนาในปี 1961 . จำกัดเวลาของผู้ใช้คนใดคนหนึ่งสามารถ
ใช้จ่ายในระบบ ctss ใช้ล็อกอินปัน
Accessมันเอาจนกระทั่ง 2505 เมื่อนักศึกษาปริญญาเอก
ชื่อแลน แชร์ ต้องการมากกว่าของเขา fourhour
ส่วนพ่ายแพ้เข้าสู่ระบบด้วยสับง่าย : เขา
อยู่ไฟล์ที่มีรหัสผ่านและพิมพ์ออก
ทั้งหมดของพวกเขา หลังจากนั้น เขามีเวลามากเท่าที่เขาต้องการ
ในระหว่างปีย่อยของเว็บที่เราเข้าไป
ออนไลน์ , รหัสผ่านทำงานค่อนข้างดี นี้คือเนื่องจาก
ส่วนใหญ่วิธีการเล็ก ๆน้อย ๆข้อมูลที่พวกเขาจริงต้องปกป้อง รหัสผ่านของเราถูก จำกัด ให้
งานหยิบของ ISP สำหรับอีเมลและบางทีอีคอมเมิร์ซ
เว็บไซต์หรือสอง เพราะเกือบจะไม่มีข้อมูลส่วนบุคคลในเมฆเมฆเป็น
แทบขมวดที่จุด
- ไม่มีผลตอบแทนสำหรับเจาะเข้าไปในบัญชีเป็นพยาบาลบุคคล แฮกเกอร์ร้ายแรงยัง
ไปตามระบบขององค์กรขนาดใหญ่ .
เราวางใจในความพึงพอใจ ที่อยู่อีเมล
morphed เป็นเข้าสู่ระบบสากล ที่ให้บริการเป็น username ของเรา
เพียงเกี่ยวกับทุก การปฏิบัตินี้หาย
ถึงแม้จะเป็นหมายเลขบัญชี หมายเลขของจุดล้มเหลว
เติบโตชี้แจง อีเมล์ตามเว็บคือ
เกตเวย์กระดานชนวนใหม่ปพลิเคชันเมฆ เราเริ่มธนาคาร
ในเมฆการติดตามสถานะทางการเงินของเราในเมฆและทำ
ภาษีของเราในเมฆ เราซ่อนภาพถ่ายของเรา เอกสารของเรา
, ข้อมูลในเมฆ
ในที่สุด เป็นหมายเลขของมหากาพย์ hacks เพิ่มขึ้นเรา
เริ่มพึ่งพาอยากรู้อยากเห็นจิตไม้ยันรักแร้ :
ความคิดของรหัสผ่าน " แข็งแกร่ง " มันเป็นข้อตกลงที่ บริษัท ที่เติบโตมากับเว็บ
เพื่อให้ผู้ลงทะเบียนและให้ข้อมูลกับเว็บไซต์ของพวกเขามันคือพลาสเตอร์
ที่ตอนนี้ถูกพัดหายไปในแม่น้ำเลือด
หนึ่งข้อเสนอเพื่อลดปัญหาที่เกี่ยวข้องกับข้อความรหัสผ่าน
คือการใช้ผู้จัดการรหัสผ่าน เหล่านี้มักจะต้องการ
ผู้ใช้จำเพียงรหัสผ่านหลัก พวกเขาเก็บ ( หรือใหม่ )
และส่งในนามของผู้ใช้ไปยังเว็บไซต์
hosting บัญชีผู้ใช้รหัสผ่านที่เหมาะสม
จุดหลังถูกสร้างขึ้นโดยผู้จัดการตัวเองและ
แข็งแกร่งกว่าที่ผู้ใช้เลือกรหัสผ่าน อย่างไรก็ตาม tations
implemen ผู้จัดการรหัสผ่านของพวกเขาเองปัญหาการใช้งานแนะนำ
[ Chiasson et al . 2006 ที่สามารถ
exacerbate ปัญหาความปลอดภัย และส่วนกลาง
90 ijcsns วารสารวิทยาศาสตร์คอมพิวเตอร์และการรักษาความปลอดภัยเครือข่าย vol.14 8 สิงหาคม 2014
สถาปัตยกรรมใน troduces จุดของความล้มเหลวและ
: โจมตีเป้าหมายที่น่าสนใจเข้าถึงรหัสผ่าน
ให้การควบคุมทั้งหมดของผู้ใช้บัญชีที่จัดการ .
เมื่อผู้ใช้รหัสผ่านข้อความรีสอร์ทไม่ปลอดภัยเผชิญ
กลยุทธ์ เช่น การนำคำข้ามผ่านบัญชี
ช่วยในการจดจำลดลง ไม่สามารถรักษาความปลอดภัย , เป็น
ระบุ โดยเพียงแค่การสร้างความเข้มแข็งในการแยก ,
เทคนิคพื้นฐาน secu บความเหมือนของระบบ ปัญหาการใช้งานมักจะส่งผลกระทบต่อความมั่นคงจริง
. ส่วนติดต่อผู้ใช้
การตัดสินใจการออกแบบอาจไม่ได้ตั้งใจทำให้พฤติกรรมของผู้ใช้มีความปลอดภัยน้อย
ที่มีต่อพฤติกรรม โซลูชั่นตรวจสอบประสบความสำเร็จ
ต้องจึงยังรวมถึงการออกแบบการใช้งานดีขึ้น
ตามการวิจัยที่เหมาะสมจะพิจารณาความสามารถและข้อจำกัดของเป้าหมาย
ผู้ใช้ รหัสผ่านกราฟิกเกี่ยวข้องกับแหม่ม มนุษย์ สำหรับข้อมูล
เป็น leveraged ในความหวังของการลดหน่วยความจำ
ภาระที่จะอำนวยความสะดวกในการเลือกใช้มากขึ้น
ความปลอดภัยหรือรหัสผ่านที่คาดเดาได้น้อยลง dissuading ผู้ใช้
เร็วไม่ปลอดภัยปัญหาจากการปฏิบัติ การสำรวจของกราฟิกรหัสผ่านที่มีอยู่
[ monrose แล้วไรเตอร์ 2005 ; suo et al . 2548 ]
เพิ่มเติมล่าสุดเอกสารสั้นสรุปและจัดโครงการ 12
[ ฮาฟิซ et al . 2008 ] และทบทวนระบบรหัสผ่านในขณะที่เสนอแนวทางการใช้งานกราฟิกมากมาย
สำหรับการออกแบบของพวกเขา เรโนด์ 2009a [ ] ในกระดาษนี้เราให้ตรวจสอบที่ครอบคลุมของ
12 ปีแรกของการเผยแพร่งานวิจัยเกี่ยวกับรหัสผ่านกราฟิก
และสะท้อนมัน คือตอนนี้ชัดเจนว่าธรรมชาติกราฟิกของ
รูปแบบไม่ได้โดยตัวเองหลีกเลี่ยงปัญหาทั่วไปของ
ระบบรหัสผ่านข้อความ อย่างไรก็ตาม ในขณะที่ข้อเสนอในช่วงเวลานี้
ครั้งแรกของการวิจัยมีบางปัญหาที่คุ้นเคย เราเห็นป้ายที่เกิดขึ้นใหม่
รุ่นที่สองของงานวิจัยนี้จะสร้างความรู้และการใช้ประโยชน์จากกราฟิก
องค์ประกอบในรูปแบบใหม่ เพื่อหลีกเลี่ยงปัญหาเก่า
เท่าที่จะเห็น ระบบรหัสผ่านแบบเร็ว )
ที่จะมุ่งเน้นหนึ่งพาร์ ticular ความแข็งแรง เช่น ถูก
ป้องกันไหล่ท่อง แต่การทดสอบและการวิเคราะห์พบว่าพวกเขาเสี่ยง
หนึ่งหรือมากกว่าหนึ่งชนิดอื่น ๆของการโจมตี ยกเว้นในสภาพแวดล้อมที่เฉพาะเจาะจงมาก
เหล่านี้จะไม่ได้ให้ความปลอดภัยเพียงพอ การตรวจสอบระบบความปลอดภัย :
ต้องให้ความปลอดภัยเพียงพอสำหรับวัตถุประสงค์ environ ment มิฉะนั้นมันล้มเหลวเพื่อให้ตรงกับ
เป้าหมายหลัก การนำเสนอระบบควรอย่างน้อยต้อง
ประเมินการโจมตีทั่วไปเพื่อตรวจสอบว่ามัน
satisfies ความต้องการความปลอดภัย แนะนำย่อๆ
ไว้ที่นี่เราจำแนกชนิดของการโจมตีบนฐานความรู้
ตรวจสอบออกเป็นสองประเภททั่วไป : เดา
โจมตีและจับกุม ในความคาดเดาการโจมตี , โจมตีสามารถให้ทำ
ค้นหาผ่านทั้งทฤษฎี ส่งคำพื้นที่หรือทำนายสูงกว่า
ความน่าจะเป็นรหัสผ่าน ( เช่นสร้างพจนานุกรมรหัสผ่านแนวโน้ม
) เพื่อที่จะได้รับอัตราความสำเร็จเป็นที่ยอมรับ
ภายในจัดการเลขของการคาดเดา การคาดเดาการโจมตี
อาจจะดำเนินการผ่านระบบออนไลน์หรือออฟไลน์มีอินเตอร์เฟซเข้าสู่ระบบ
ถ้าได้ข้อความ [ กง et al .
1993 ( เช่น hashes ) สามารถใช้เพื่อประเมินความถูกต้อง
ของการคาดเดา การตรวจสอบระบบที่มีขนาดเล็ก oretical
รหัสผ่านเป็นหรือกับบุคคลในรูปแบบของผู้ใช้เลือกรหัสผ่าน
โดยเฉพาะความเสี่ยงที่จะเดา
จับรหัสผ่านที่เกี่ยวข้องกับการโจมตี การโจมตีโดยตรงได้รับ
รหัสผ่านหรือส่วนหนึ่งของมันโดยจับ
เมื่อเข้าสู่ระบบข้อมูลที่ป้อนโดยผู้ใช้หรือโดยหลอกผู้ใช้ใน
เปิดเผยรหัสผ่านของพวกเขา ไหล่ท่องฟิชชิ่ง และบางชนิดของมัลแวร์
3
แบบฟอร์มทั่วไปของการโจมตีในการจับภาพ ไหล่ท่องในตัวถูกจับ
โดยการสังเกตโดยตรงของกระบวนการเข้าสู่ระบบหรือผ่าน
บางบันทึกอุปกรณ์ภายนอก เช่น กล้องวิดีโอ
ฟิชชิ่งเป็นชนิดของการโจมตีวิศวกรรมสังคมที่ผู้ใช้จะถูกหลอกให้ใส่ข้อมูลประจำตัวของพวกเขา
เว็บไซต์ที่หลอกลวงที่บันทึกข้อมูลผู้ใช้มัลแวร์ใช้
ไม่ได้รับอนุญาตซอฟต์แวร์ที่ติดตั้งบนเครื่องคอมพิวเตอร์ไคลเอ็นต์หรือ
เซิร์ฟเวอร์เพื่อจับเมาส์คีย์บอร์ดหรือหน้าจอออก
ซึ่งเป็นแล้วแจงหาข้อมูลเข้าสู่ระบบ
การแปล กรุณารอสักครู่..
ภาษาอื่น ๆ
การสนับสนุนเครื่องมือแปลภาษา: กรีก, กันนาดา, กาลิเชียน, คลิงออน, คอร์สิกา, คาซัค, คาตาลัน, คินยารวันดา, คีร์กิซ, คุชราต, จอร์เจีย, จีน, จีนดั้งเดิม, ชวา, ชิเชวา, ซามัว, ซีบัวโน, ซุนดา, ซูลู, ญี่ปุ่น, ดัตช์, ตรวจหาภาษา, ตุรกี, ทมิฬ, ทาจิก, ทาทาร์, นอร์เวย์, บอสเนีย, บัลแกเรีย, บาสก์, ปัญจาป, ฝรั่งเศส, พาชตู, ฟริเชียน, ฟินแลนด์, ฟิลิปปินส์, ภาษาอินโดนีเซี, มองโกเลีย, มัลทีส, มาซีโดเนีย, มาราฐี, มาลากาซี, มาลายาลัม, มาเลย์, ม้ง, ยิดดิช, ยูเครน, รัสเซีย, ละติน, ลักเซมเบิร์ก, ลัตเวีย, ลาว, ลิทัวเนีย, สวาฮิลี, สวีเดน, สิงหล, สินธี, สเปน, สโลวัก, สโลวีเนีย, อังกฤษ, อัมฮาริก, อาร์เซอร์ไบจัน, อาร์เมเนีย, อาหรับ, อิกโบ, อิตาลี, อุยกูร์, อุสเบกิสถาน, อูรดู, ฮังการี, ฮัวซา, ฮาวาย, ฮินดี, ฮีบรู, เกลิกสกอต, เกาหลี, เขมร, เคิร์ด, เช็ก, เซอร์เบียน, เซโซโท, เดนมาร์ก, เตลูกู, เติร์กเมน, เนปาล, เบงกอล, เบลารุส, เปอร์เซีย, เมารี, เมียนมา (พม่า), เยอรมัน, เวลส์, เวียดนาม, เอสเปอแรนโต, เอสโทเนีย, เฮติครีโอล, แอฟริกา, แอลเบเนีย, โคซา, โครเอเชีย, โชนา, โซมาลี, โปรตุเกส, โปแลนด์, โยรูบา, โรมาเนีย, โอเดีย (โอริยา), ไทย, ไอซ์แลนด์, ไอร์แลนด์, การแปลภาษา.
- think of the sea
- je encore attendre pour vous
- and 14-acetylandrographolide are tumorsu
- แผ่นเหล็ก
- Using the resources to the extent to whi
- And they have mosttach
- วันนี้วันอาทิตย์
- Garbage is one of the important problems
- The removal of heavy metals in these sys
- but the rules......
- เช้าวันรุ่งขึ้นแบมแบมลืมตาขึ้นมาพบกับชาย
- her
- operation
- อดีตที่ไม่มีค่าไม่คู่ควรแก่การถ่วงตน
- เขาผ้ชาย
- I love him too much to allow that
- The Chaser, by John Collier Alan A
- i go outside house now. more coffee haha
- Very cute, my daughter yesterday what I
- Garbage is one of the important problems
- And not feeling well
- Table 1: Types of adsorbents, adsorbates
- Phenolic compounds are non-essential sec
- Emotional releaseWishful thinkingAdvice
