Författare/Authors:
Gustav Hedin, Alexander Samuelsson
Vi har utvecklat två bildbaserade autentiseringssystem, där ett skyddar mot traditionella keyloggers. Systemen består av en matris av bilder med tillhörande tecken, och en användare autentiserar sig mot systemet genom att ange en teckensekvens som motsvarar en tidigare vald bildsekvens. Det ena systemet slumpar bildernas position inför varje inloggningsförsök så att en teckensekvens bara går att autentisera sig med en gång. Det andra systemet har fasta bildpositioner.
Vi har låtit användare testa systemen och därefter låtit dem svara på en anonym enkät på Internet, där de fått svara på frågor om systemens användbarhet och jämföra dem mot engångslösenord. Vi har också utvärderat våra system mot textbaserade autentiseringssystem och engångslösenord ur säkerhetssynpunkt.
Data från enkäten visade att de flesta användare tyckte att det var svårt att autentisera sig mot systemet med slumpmässiga bildpositioner, men att de föredrog det systemet över det med fasta bildpositioner för att komma åt känslig data. I slutet av rapporten diskuterar vi hur systemen kan förbättras både ur användbarhets- och säkerhetssynpunkt.
We have implemented two picture based authentication schemes of which one is resistant to traditional key logging software. The systems consists of a matrix of pictures with corresponding characters, where a user authenticates by entering a character sequence that corresponds to a sequence of pictures previously defined. In one of the implementations, the picture order in the matrix is randomly generated before each login attempt, so that the character sequence that a user authenticate with will be useless for future authentications. In the other system the picture positions are fixed.
The systems have been tested by users which have then answered an online survey where the usability of the systems have been rated and compared to that of one time passwords. We have also compared our implementations against text based authentication and one time passwords in a safety point of view.
Data from our survey showed that most people find it hard to authenticate using random image positions, but that they prefered that system over that with fixed image positions for accessing sensitive information. In the end of the report we discuss how to increase both security and usability of the authentication systems.