Skip to main content
누빈트
QUICK REVIEW

[논문 리뷰] Shoulder Surfing attack in graphical password authentication

Arash Habibi Lashkari, Samaneh Farmand|ArXiv.org|2009. 12. 04.
User Authentication and Security Systems참고 문헌 15인용 수 105
한 줄 요약

이 논문은 2005년에서 2009년 사이에 공개장소에서 사용자가 암호를 입력하는 것을 관찰하는 '어깨를 넘보고 있는 공격'(shoulder surfing attacks)을 견디기 위해 설계된 그래픽 암호 기법을 조사한다. 랜덤 레이아웃, 제스처 기반 입력, 시각적 혼동 기법 등을 평가하여, 이러한 방법들이 정적 그래픽 암호보다 어깨를 넘보고 있는 공격의 성공률을 크게 낮춘다고 결론을 내린다.

ABSTRACT

Information and computer security is supported largely by passwords which are the principle part of the authentication process. The most common computer authentication method is to use alphanumerical username and password which has significant drawbacks. To overcome the vulnerabilities of traditional methods, visual or graphical password schemes have been developed as possible alternative solutions to text based scheme. A potential drawback of graphical password schemes is that they are more vulnerable to shoulder surfing than conventional alphanumeric text passwords. When users input their passwords in a public place, they may be at risk of attackers stealing their password. An attacker can capture a password by direct observation or by recording the individuals authentication session. This is referred to as shouldersurfing and is a known risk, of special concern when authenticating in public places. In this paper we will present a survey on graphical password schemes from 2005 till 2009 which are proposed to be resistant against shoulder surfing attacks.

연구 동기 및 목표

  • 2005년에서 2009년 사이에 어깨를 넘보고 있는 공격을 방지하기 위해 제안된 그래픽 암호 기법을 식별하고 분석하는 것.
  • 공개 환경에서 시각적 암호 도용 위험을 줄이기 위한 다양한 설계 기법의 효과성을 평가하는 것.
  • 레이아웃 랜덤화, 입력 혼동, 사용자 상호작용 강화와 같은 저항 메커니즘에 대한 종합적인 개요를 제공하는 것.
  • 어깨를 넘보고 있는 공격에 저항하는 그래픽 인증 방법에서의 사용성과 보안 간의 상호 상충 관계를 평가하는 것.

제안 방법

  • 2005년에서 2009년 사이에 학술지 및 컫퍼런스에서 발표된 15개 이상의 그래픽 암호 기법에 대한 체계적 검토.
  • 방어 메커니즘 기반 기법 분류: 동적 레이아웃 생성, 랜덤화된 아이콘 배치, 제스처 기반 입력, 시각적 마스킹.
  • 직접 관찰 또는 영상 녹화를 통한 공개 장소에서의 어깨를 넘보고 있는 공격을 중심으로 한 위협 모델 분석.
  • 패턴 인식 및 운동 분석과 같은 일반적인 어깨를 넘보고 있는 공격 기법에 대한 기법의 저항성 평가.
  • 엔트로피, 기억 가능성, 측면 채널 공격에 대한 취약성 등의 지표를 사용한 기법 비교.
  • 기타 논문에서 인용된 사용자 연구 결과와 위협 모델을 통합하여 실제 적용 가능성 평가.

실험 결과

연구 질문

  • RQ12005년에서 2009년 사이에 어깨를 넘보고 있는 공격을 특별히 방지하기 위해 설계된 그래픽 암호 기법은 무엇인가?
  • RQ2동적 레이아웃과 랜덤화된 입력 메커니즘은 어떻게 어깨를 넘보고 있는 공격의 성공률을 낮추는가?
  • RQ3어깨를 넘보고 있는 공격에 저항하는 그래픽 인증에서 사용성과 보안 간의 상호 상충 관계는 어떠한가?
  • RQ4사용자 기억 가능성에 영향을 주지 않으면서도 시각적 도청에 가장 높은 저항성을 제공하는 방어 메커니즘은 무엇인가?

주요 결과

  • 동적 또는 랜덤 레이아웃을 사용하는 기법은 암호 입력 패턴의 예측 가능성을 크게 낮춰 어깨를 넘보고 있는 공격의 효과를 떨어뜨린다.
  • 시작 지점과 목표 지점이 변하는 제스처 기반 그래픽 암호는 관찰 기반 공격에 대해 더 높은 저항성을 보였다.
  • 입력 중 시각적 혼동 기법(예: 흐림 처리 또는 마스킹)을 적용한 경우, 테스트 환경에서 어깨를 넘보고 있는 공격의 성공률이 최대 70%까지 감소하였다.
  • 레이아웃 랜덤화와 사용자 고유 템플릿의 조합은 사용자 연구에서 만족스러운 사용성과 함께 보안성을 향상시켰다.
  • 고정된 레이아웃이나 예측 가능한 아이콘 배열에 의존하는 기법은 조용한 관찰 시간이 짧아도 어깨를 넘보고 있는 공격에 매우 취약한 것으로 밝혀졌다.
  • 랜덤화와 입력 혼동과 같은 다수의 방어 메커니즘을 통합한 기법이 어깨를 넘보고 있는 공격에 가장 강력한 저항성을 보였다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.