ACM通信
谷歌Android操作系统身份验证
我最近看到一个谷歌安卓手机在HotMobile 2009他对内置的基于绘图的身份验证机制很感兴趣。
基本上,这是一个3 * x3的点网格,要登录,你只需用你的手指在这些点上画一个图案,每个点最多使用一次。
这是一个YouTube视频很好地展示了Android认证技术.
密码是可用隐私和安全研究的热门话题,因为人们记住的密码太多了。当我们只有一两个密码的时候,密码工作得很好,但现在我们有了几十个密码,就不太好了。基于文本的密码在文本输入速度较慢的情况下也不能很好地工作,就像大多数手机的情况一样。
绘制密码的想法已经存在了一段时间。
例如,Draw-A-Secret让您在网格上绘制图像,并使用它作为身份验证。它的一个变体是PassPoints(链接到PDF),这让
人们选择背景图像上的点进行登录。很高兴看到研究中的想法开始转化为产品,这是我对学术研究的长期哀叹之一。
Android认证方案的一个非常好的特性是它利用了肌肉记忆,让人们更容易记住自己的密码。还有空间记忆方面,人们可以创建一个视觉模式,这可能比基于文本的密码更容易记忆。
然而,Android实现的一个独特之处是在玻璃屏幕上使用手指。除非人们在登录后擦屏幕,否则很容易就能看到一个人的图案,只要把手机倾斜,让光线以正确的方式反射,就能看到用户手指留下的油迹。
另一个值得关注的问题是肩窥。你的图案在你画的时候就会显示出来,这样坐在你旁边的人就很容易看到你的图案,就像我第一次看到有人使用它一样。我还敢打赌,右撇子和左撇子创建的基于图形的密码也存在偏见。
不过,最大的问题是,一旦我们有了很多这些基于绘画的密码,它们的工作效果如何。我使用一个密码管理器来存储我所有的文本密码(我有超过100个不同的密码),但目前还没有一个通用的基于绘图的密码方案,这使得很难以安全的方式存储它们。
因此,简而言之,虽然我认为基于绘画和基于图形的身份验证方法有很大潜力,但它们可能只出现在小众的情况下,因为尽管基于文本的密码有所有的问题,但基于文本的密码对大多数情况已经足够好了。
评论
马蒂赫斯特
杰森,谢谢你提供的这种密码输入技术的最新消息。我确实想知道肩窥的问题;在iPhone上,他们输入密码的方法似乎非常脆弱(每个字母在你输入时都以明文显示,然后转换成一个点,而且很容易被人看到虚拟键盘),而且经常在公共场合使用。
显示1评论