Bildbasierte Zugriffskontrolle für Passwortverwaltungssysteme auf mobilen Geräten Bachelorarbeit an der Universität Ulm

Universität Ulm | 89069 Ulm | Germany

Fakultät fürIngenieurwissenschaften

und InformatikInstitut für Medieninformatik

Bildbasierte Zugriffskontrollefür Passwortverwaltungssystemeauf mobilen GerätenBachelorarbeit an der Universität Ulm

Vorgelegt von:Daniel [email protected]

Gutachter:Prof. Dr.-Ing. Michael Weber

Betreuer:Florian Schaub

2011

Fassung vom 27. Juli 2011

Diese Arbeit ist lizensiert unter der Creative Commons Namensnennung-Keinekommerzielle Nutzung-Weitergabe unter gleichen Bedingungen 3.0 DeutschlandLizenz. Nähere Informationen finden Sie unterhttp://creativecommons.org/licenses/by-nc-sa/3.0/de/.

Satz: PDF-LATEX 2ε

Inhaltsverzeichnis

1 Einleitung 11.1 Motivation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.2 Problemstellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21.3 Aufbau der Arbeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

2 Vergleich bildbasierter Passwortsysteme 52.1 Kategorisierung graphischer Passwörter . . . . . . . . . . . . . . . . . . . 52.2 Einführung einer Vergleichsmetrik . . . . . . . . . . . . . . . . . . . . . . 62.3 TAPI – Touchscreen Authentication using Partitioned Images . . . . . . 82.4 Passfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92.5 Déjà Vu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102.6 VIP – Visual Identification Protocol . . . . . . . . . . . . . . . . . . . . . 112.7 Passpoints . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122.8 CCP – Cued Click Points . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142.9 Loci Schema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162.10 Picture Password . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162.11 DAS – Draw A Secret . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182.12 Pass-Go . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212.13 Diskussion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

3 Konzeptvorstellung eines MIBA Schemas 273.1 Verwendung des CCP Hintergrundbildsystems . . . . . . . . . . . . . . 273.2 Verwendung der Shift-Methode . . . . . . . . . . . . . . . . . . . . . . . . 29

4 Implementierung des MIBA Konzepts für Android 314.1 Umsetzung des CCP Hintergrundsystems . . . . . . . . . . . . . . . . . . 334.2 Umsetzung der Shift-Funktion . . . . . . . . . . . . . . . . . . . . . . . . 344.3 Korrektur der Fingerstellung während der Eingabe . . . . . . . . . . . . 34

5 Untersuchung des MIBA Passwortraumes 375.1 Einführung der Formeln . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375.2 Berechnung des theoretischen Passwortraumes . . . . . . . . . . . . . . . 38

INHALTSVERZEICHNIS

6 Implementierung eines Passwortverwaltungssystems für Android 396.1 Beschreibung von Picpass . . . . . . . . . . . . . . . . . . . . . . . . . . . 396.2 Möglichkeiten der Browserintegration . . . . . . . . . . . . . . . . . . . . 44

7 Diskussion und Ausblick 47

iv

1 Einleitung

1.1 Motivation

Das Handy wird mittlerweile nicht mehr nur zum Telefonieren verwendet. Es istzu einem echten Multifunktionsgerät geworden, das uns ständig begleitet. Von derFahrplanauskunft, über Navigation, Webbrowsing bis hin zur Kamerafunktion istmit Smartphones fast alles möglich. Aufgrund der vielseitigen Verwendungsmöglich-keiten erfreuen sich Smartphones steigender Beliebtheit. Bei 17% aller weltweitenHandyverkäufe handelte es sich im ersten Quartal 2010 bereits um Smartphones [13].Besonders in Nordamerika steigerte sich im ersten Quartal 2010 die Verkaufsrate vonAndroid Smartphones um 707% [13]. Die steigende Verbreitung spiegelt sich auch immobilen Datenverkehr wider. Der mobile Traffic hat sich 2009 gegenüber dem Vorjahrauf nahezu 40 Millionen Gigabyte vervierfacht [1]. Mit einem internetfähigen Handywerden natürlich auch Webseiten abgerufen, doch gerade die Passworteingabe ist aufmobilen Geräten umständlich und langwierig. Viele Benutzer würden es bevorzugen,ihre Passwörter auf den Geräten zu speichern. Jedoch werden Passwörter vom Browseri.d.R. in unverschlüsselter Form gespeichert.

Für Schadsoftware ist es somit theoretisch einfach möglich alle Passwörter auszu-lesen und an Dritte zu schicken. Bei Android muss für den Zugriff auf die Browser-passwortdatenbank das OS gerootet werden [27]. Da bisherige Android Root-Exploitseine vorhandene PC-Verbindung voraussetzen, ist es für Android-Schadsoftware zurZeit nicht möglich, Root-Rechte ohne Zutun des Benutzers zu erschleichen. Bei iPhoneGeräten genügte bis Firmwareversion 4.0.1 der Besuch einer präparierten Website, umRoot-Rechte zu erlangen [34]. Da Smartphones als Angriffsziel wegen der steigendenVerbreitung stets lukrativer werden, ist besondere Vorsicht geboten.

Die unverschlüsselte Speicherung ist auch kritisch im Falle eines Verlusts oderDiebstahls. Dass ein Diebstahl nicht abwegig ist, bestätigt die Londoner Kriminalitäts-statistik [14]. Hier stieg die Zahl der gestohlenen Smartphones zwischen Dezember2009 und November 2010 um 22% auf 13400 Geräte an. Das entspricht ungefähr derHälfte aller gemeldeten Raubüberfälle in dieser Zeit. Ein Dieb kann ein OS in Sekundenrooten und die gespeicherten Passwörter auslesen, bevor er es weiterverkauft.

Ziel dieser Bachelorarbeit ist es, die Sicherheit und den Komfort im Umgang mitPasswörtern auf mobilen Geräten zu erhöhen. Dazu sollen Passwörter auf einem

1 EINLEITUNG

Smartphone in verschlüsselter Form gespeichert werden. Der Schlüssel für die Ver-schlüsselung wird durch ein graphisches Passworteingabesystem (GPS)1 erzeugt.

1.2 Problemstellung

Passwörter sind entweder unsicher und merkbar oder sicher und schwer merkbar[38]. Dies wird als Passwortproblem bezeichnet und entsteht durch zwei konträreAnforderungen an Passwörter. Ein Passwort sollte einfach zu merken sein und dieAuthentifizierung sollte einfach und schnell vonstatten gehen. Allerdings sollten Pass-wörter auch sicher sein, d.h. sie sollten schwer zu erraten sein und häufig geändertwerden. Für jeden Account sollte der Benutzer ein eigenes Kennwort erstellen und esnirgendwo niederschreiben oder es in lesbarer Form speichern. Dass viele Benutzerdiese Kriterien nicht beachten und eher schwache Passwörter auswählen, zeigt eineStudie von Klein [22]. Klein konnte mit einem relativ kleinen Wörterbuch mit lediglich62.727 Einträgen 25% von 14.000 Unix-Passwörtern knacken. Ein Lösungsansatz für dasPasswortproblem sind graphische Passwörter, da es allgemein anerkannt ist, dass sichMenschen visuelle Informationen besser merken können als reinen Text [16, 26]. Wennsich Nutzer graphische Passwörter besser merken können und dadurch komplexerePasswörter bilden oder der Passwortraum von graphischen Passwortsystemen sehrviel größer ist, müsste ein Angreifer ein größeres Wörterbuch erstellen, wodurch ent-weder mehr Zeit oder mehr Rechenleistung für einen Angriff benötigt werden würde.Komplexere Textpasswörter lassen sich auf mobilen Geräten zudem nur relativ schwereingeben. Die Eingabezeit könnte durch graphische Passwörter ebenfalls verbessertwerden.

Graphische Passwörter sind eher schwer niederzuschreiben, was normalerweiseals Sicherheitspluspunkt anzusehen ist. Je schwerer ein Passwort aufschreibbar ist,desto unwahrscheinlicher sind erfolgreiche „Social-Engineering-Angriffe“. Damit istnicht gemeint, dass ein graphisches Passwort überhaupt nicht aufschreibbar ist undverschickt werden könnte. Jedoch macht es dieser Sicherheitspluspunkt fast unmöglichdem Benutzer leicht interpretierbare systemgenerierte Passwörter zu übermitteln, fallsdieser sein Passwort zurücksetzen möchte.

Da man aus Erfahrung sagen kann, dass die meisten Passwörter auf Smartphones imBrowser eingegeben werden und die dortige Speicherung sehr unsicher implementiertist, wird sich das Anwendungsgebiet der App nur auf diesen Bereich konzentrieren.Durch die Verwendung eines GPS sollte sich bestenfalls die Authentifizierungsdauerverkürzen. Es gibt in der Tat schon einige kommerzielle graphische Passwortsystemewie V-GO [30] oder Passfaces (siehe Abschnitt 2.4). Doch diese sind aufgrund ihresInstallationsaufwands und der Extrakosten i.d.R. nicht in der alltäglichen IT-Landschaft

1Nicht zu verwechseln mit dem Global Positioning System

2

1.3 AUFBAU DER ARBEIT

anzutreffen. Dagegen gibt es bereits sehr viele Passwortsafes auf dem Markt. Allerdingsgibt es bisher keine bekannte Kombination aus Beidem. Eine Symbiose aus Beidemwürde die Sicherheit erhöhen und die Usability verbessern.

1.3 Aufbau der Arbeit

Im nachfolgenden Kapitel 2 werden einige bekannte Image Based Authentication Sche-mata (kurz IBA) miteinander anhand einer Metrik verglichen. Am Ende des zweitenKapitels werden die Ergebnisse des Vergleichs zusammengefasst. Kapitel 3 stellt dasKonzept eines Multitouch IBA Systems (kurz MIBA) vor. Das anschließende Kapitel 4geht näher auf die konkrete Umsetzung dieses Konzepts für die Android Platformein. Der Passwortraum von MIBA wird in Kapitel 5 untersucht. Als Einsatzgebiet vonMIBA wird ein Passwortsafe vorgeschlagen, der in Kapitel 6 näher beschrieben wird.Das Kapitel „Diskussion und Ausblick“ liefert eine abschließende Zusammenfassung,führt die Ergebnisse der Arbeit auf und gewährt einen Ausblick auf weiterführendeArbeiten.

3

2 Vergleich bildbasierterPasswortsysteme

Im Bereich der IBA existieren bereits einige Ansätze (siehe Tabelle 2.2), die in diesemKapitel vorgestellt und im Hinblick auf ihre Eignung für mobile Geräte untersuchtwerden. Des Weiteren wird der theoretische Passwortraum der einzelnen Systeme un-tersucht, um deren Sicherheit einzuschätzen. Die verschiedenen Kategorien graphischerPasswortsysteme werden erläutert und die nachfolgenden Systeme dementsprechendeingeordnet. Das Kapitel schließt mit einer zusammenfassenden Bewertung der Syste-me ab.

2.1 Kategorisierung graphischer Passwörter

Authentifizierungsmechanismen können in vier Oberkategorien unterteilt werden –Token, Knowledge, Location und Biometric basierte Authentifizierung. Es sei angemerkt,dass sich aus diesen Oberkategorien weitere hybride Verfahren kombinieren lassen –zum Beispiel ein Fingerabdruck kombiniert mit einem Passwort. Sowohl die textuellenals auch die bildbasierten Methoden gehören zur Knowledge Gruppe. Hierbei teilendas System und der Benutzer ein Geheimnis und nur derjenige, der das Geheimniskennt, erlangt Zugriff zum System.

Graphische Passwortsysteme unterstützen das Gedächtnis des Anwenders durchvisuelle Informationen und können weiter unterteilt werden in Recall, Cued-Recall,Recognition und Association. Bei Recognition-Modellen muss der Anwender entscheiden,ob er ein Objekt schon einmal gesehen hat oder nicht. Zum Beipiel können sogenannteDecoy-Bilder eingesetzt werden, um dem Benutzer durch die falschen Bilder Hinweisezu geben, welches das richtige Bild sein könnte.

Hingegen gibt es bei der Recall-Kategorie keinerlei Gedächtnisstützen, die demBenutzer helfen sich zu erinnern. Das klassische Textpasswort gehört beispielswei-se zu dieser Gruppe. Zu den bildbasierten Recall-Ansätzen zählt zum Beispiel dasDraw A Secret (DAS) Verfahren (siehe Abschnitt 2.11). Jakob Nielsen [29] hat gezeigt,dass Recall-Ansätze gegenüber Recognition-Methoden unterlegen sind, da man sichmit Hinweisen besser erinnern kann, als ohne Hilfestellungen.

2 VERGLEICH BILDBASIERTER PASSWORTSYSTEME

Cued-Recall ist eine Mischform aus Recognition und Recall. Ein Anwender musssich das Passwort zwar merken, aber er erhält visuelle Hinweise, die dies erleichtern.Background Draw A Secret (BDAS) nutzt solch eine Mischform. Das Hintergrundbildin BDAS gibt dem Nutzer Hinweise auf den Startpunkt und den ungefähren Verlaufder Zeichnung. Die genaue Zeichnung zu reproduzieren stellt dabei weiterhin denRecall-Anteil dar.

Beim assoziativen Modell werden Zusammenhänge zwischen Objekten hergestellt.Da unser Gehirn auch auf eine assoziative Weise funktioniert, wird diesem Verfahreneine sehr hohe Merkbarkeit zugesprochen. Die Loci-Methode ist eine Gedächtnisstra-tegie, die sich die Assoziationsfähigkeit des Gehirns zu Nutze macht. Kot et al. [23]haben die Loci-Methode so angepasst (siehe Abschnitt 2.9), dass sie sich für eineAuthentifizierung eignet. Leider gibt es zur Arbeit von Kot et al. keine Studien, wel-che die Usability evaluieren. Die Tabelle 2.2 gibt einen Überblick über den zeitlichenEntwicklungsverlauf der graphischen Authentifizierungsmechanismen und ordnet dieSysteme in die angesprochenen Kategorien ein.

2.2 Einführung einer Vergleichsmetrik

Als Basis für die nachfolgend vorgestellte Metrik dient der theoretische Passwortraumeines GPS und die damit zusammenhängende Entropie eines Passwortes. Der theoreti-sche Passwortraum ist nichts anderes, als die Anzahl aller möglichen Kombinationenein Passwort mit bestimmter Länge zu bilden. Der Passwortraum ist kein absolutesMaß für die Sicherheit eines Systems, d.h. Systeme mit gleichem theoretischen Pass-wortraum müssen nicht zwangsweise die gleiche Sicherheit haben. In der Praxis hängtdie Sicherheit nicht lediglich von der puren Größe des gesamten Passwortraums ab(genannt theoretischer Passwortraum), sondern eher von der Größe des merkbarenPasswortraums (genannt effektiver Passwortraum). Beim effektiven Passwortraum wirdberücksichtigt, dass viele Benutzer leicht merkbare Passwörter wählen. Da die Mengeder leicht merkbaren Passwörter nur eine Teilmenge des gesamtes Passwortraumesdarstellen, ist der effektive Passwortraum ein genaueres Maß für die Sicherheit. DerPasswortraum eines achtstelligen Textpasswortes, das aus allen druckbaren Zeichenbestehen kann, beträgt Beispielsweise 958 ≈ 6, 6 ∗ 1015. Der effektive Passwortraumvon Textpasswörtern ist jedoch viel kleiner, da bestimmte Kombinationen sehr vielunwahrscheinlicher von Benutzern ausgewählt werden. Beispielsweise Zeichenfolgen,die sehr zufällig aussehen, wie „o!5L*c“. Zur besseren Vorstellung sei angemerkt, dassdie englische Sprache aus lediglich einer Millionen (106) Wörtern besteht. Der effek-tive Passwortraum von Textpasswörtern ist also ungefähr um den Faktor 109 kleiner.Authentifizierungsmechanismen sollten daher den effektiven Passwortraum möglichstmaximieren. Da sich der effektive Passwortraum nur ungefähr schätzen lässt, eröffnet

6

2.2 EINFÜHRUNG EINER VERGLEICHSMETRIK

der theoretische Passwortraum eine gute Möglichkeit Passwortsysteme mathematischzu vergleichen. Wendet man den Zweierlogarithmus auf den Passwortraum an, soerhält man die Entropie. Die Entropie ist ein Maß für die Zufälligkeit bzw. den Infor-mationsgehalt von Daten. Je höher die Entropie ist, desto längere zufällige Bit-Stringskönnen erzeugt werden und desto sicherer ist ein Verfahren.

Um die unterschiedlichen Ansätze mit einer Metrik zu vergleichen, wird errechnet,wie viele Klicks nötig wären, um die Entropie eines Referenzpasswortes zu erreichen.Dabei stellt die Klickanzahl ein Maß für die Eingabezeit dar, was wiederum ein Maßfür den Komfort ist. Die Statistik Distribution of passwords between men and women [33]hat gezeigt, dass unter 873.000 Passwörtern die durchschnittliche Passwortlänge bei6,94 liegt. Als Referenzpasswort dient daher ein siebenstelliges Passwort aus dreiKlein- und drei Großbuchstaben inklusive einer Ziffer. Das stellt einen angemessenenKompromiss aus Sicherheit und Komfort dar und dürfte repräsentativ für die meistenBenutzerpasswörter sein. Für besagtes Passwort lässt sich eine Entropie von 42 Bitbestimmen (7 ∗ log2 (26 + 26 + 10) ≈ 42). Wie bereits erwähnt lässt sich anhand derEntropie eine Aussage über Sicherheit treffen. Nun kann man für Touch-Verfahren diebenötigten Touchklicks messen, die nötig sind, um mindestens eine Entropie von 42 Bitzu erreichen. Außerdem wird berücksichtigt, dass für das Referenzpasswort auf einemmobilen Gerät meistens mehr als sieben Klicks notwendig sind, da für Großbuchstabenund Ziffern mehr als ein Klick benötigt wird. Für das Referenzpasswort sind aufeinem Android-System beispielsweise 10 Klicks notwendig. Deswegen werden für dienachfolgenden Vergleiche 10 Klicks als Referenzklickanzahl angenommen.

Zudem werden alle Verfahren für eine bessere Vergleichbarkeit auf eine beschränkteDisplaygröße parameterisiert. Zum Beispiel wird die Zahl der sinnvoll gleichzeitig an-gezeigten Bilder für jedes Verfahren individuell berücksichtigt. Dabei ist die Auflösungdes Displays nicht der ausschlaggebende Punkt. Wichtiger bei mobilen Touchauthenti-fizierungsmechanismen ist die Bildschirmdiagonale. Auch wenn die Displayauflösungin den nächsten Jahren weiter ansteigen sollte, ließen sich dennoch nicht mehr Itemsgleichzeitig auf einem Bildschirm anzeigen. Der limitierende Faktor ist, dass die Itemsstets groß genug sein müssen, um sie mit den Fingern komfortabel und präzise aus-wählen zu können. Somit muss die Anzahl der gleichzeitig angezeigten Items immerkonstant bleiben. Daher hängt die Anzahl der gleichzeitig angezeigten Items nurvon der Bildschirmdiagonale ab. Als Referenzdisplay wird daher eine Bildschirm-diagonale von 4 Zoll angenommen. Da sich der Trend hochwertiger Smartphonesin Richtung 4 Zoll und mehr bewegt, stellt dies eine zukunftssichere Minimalbasisfür einen Vergleich dar. Als Auflösung für ein 4 Zoll Display wird 800× 480 Pixelangenommen.

7


2.3 TAPI – Touchscreen Authentication usingPartitioned Images

Abbildung 2.1: Das TAPI Eingabesystem. Der Benutzer hat bereits drei von vier Bildbe-reichen ausgewählt. Quelle: [7]

TAPI – Touchscreen Authentication using Partitioned Images [7] ist ein Ansatz, umdie Sicherheit von klassischen PIN-Systemen zu erhöhen. Hierbei wird anstelle einesZiffernblocks ein 4× 4 Gitter aus Icons benutzt und jedes Icon wird in vier Bereiche(oben, links, rechts, unten) unterteilt (siehe Abbildung 2.1). Dadurch wird die Wahr-scheinlichkeit mit der ersten Ziffer richtig zu liegen von 1

10 auf 164 gesenkt. Das führt

gegenüber einer klassischen, vierstelligen PIN zu einer Entropiesteigerung von 81Prozent.

Das Layout von TAPI wurde für mobile Geräte konzipiert und muss daher nichtweiter angepasst werden. Um die gleiche Entropie, wie das Referenzpasswort zuerreichen, wären bei TAPI 7 Klicks notwendig (7 ∗ log2 (64) = 42 Bit). ZwischenTAPI und dem Referenzpasswort ist die Entropie direkt proportional im Bezug aufdie Passwortlänge (wegen 64 TAPI Möglichkeiten gegenüber 62 Buchstaben) undes werden sogar noch weniger Klicks benötigt (Referenzklickanzahl beträgt 10). Diereduzierte Klickanzahl wird allerdings durch einen erhöhten Lernaufwand und einegeringere Merkbarkeit erkauft. Der Benutzer kann zwar die Icons wiedererkennen,muss sich aber explizit merken, welchen der vier Bereiche eines Icons er auswählenmuss. Falls das gleiche Icon im Passwort mehr als einmal vorkommt, so könnten diegebildeten visuellen/assoziativen Zusammenhänge zwischen einem Bereich und einem

8

2.4 PASSFACES

Icon verwischt werden, was zu erhöhten Fehleingaberaten führen kann. Nach einerWoche Nichtbenutzung wird sich der Benutzer nur schwer erinnern können, ob erzuerst die linke und danach die rechte Ankerspitze auswählen muss oder umgekehrt.Durch dieses explizite Merken der Bereiche (entspricht einem hohem Recall-Anteil)erhöht sich die Gefahr, das Passwort nach längerem Nichtgebrauch zu vergessen,weshalb dieses Verfahren für unseren Ansatz nicht geeignet ist.

2.4 Passfaces

Abbildung 2.2: Beim Passfaces Schema muss der Benutzer in jeder Runde ein Gesichtwiedererkennen. Quelle: [8]

Passfaces [32] ist ein komerzielles GPS der Passfaces CorporationTM und zählt zurKategorie der Recognition-basierten Methoden. Auch dieses System ist eher dafürausgelegt ein PIN-System zu ersetzen. Passfaces macht sich die Fähigkeit des mensch-lichen Gehirns zu Nutze, sich Gesichter besser merken zu können als Passwörter [3].In der Passworterstellungsphase muss der Benutzer aus einem Bilderset eine beliebigeAnzahl an Gesichtern auswählen. Um sich zu authentifizieren muss der Benutzer injeder Runde aus 9 Gesichtern eines der zuvor ausgewählten Gesichter erkennen (sieheAbbildung 2.2). Diese Challenge wird für jedes der zuvor ausgewählten Gesichterdurchgeführt. Es können auch mehr als acht Decoy-Bilder und mehr als ein Passfacepro Runde angezeigt werden. Es hat sich jedoch herausgestellt, dass dies den Benutzereher verwirrt und die Auswahl erschwert.

Brostoff und Sasse [3] haben belegt, dass sich von 56 Testpersonen, mit einer durch-schnittlichen Benutzungspause von 5,4 Monaten, 72% beim Ersten und 84% beimDritten Versuch erfoglreich mit Passfaces anmelden konnten.

9


Darren Davis et al. haben Passfaces evaluiert [8] und als unsicher eingestuft. ZumBeispiel wählten männliche und weibliche Testpersonen meistens weibliche Gesichteraus (über 68% der Frauen und über 75% der Männer). Wenn Männer weiblicheGesichter auswählten, wählten sie fast immer die Gutaussehensten (ungefähr 80% derweiblichen Gesichter). Außerdem präferierten die Testpersonen signifikant Gesichteraus ihrer eigenen Rasse.

Um Passfaces für mobile Geräte zu adaptieren, wird angenommen, dass sich neunGesichter auf dem Referenzdisplay benutzerfreundlich darstellen lassen. Die iPhoneApplikation von Passfaces stellt ebenfalls neun Gesichter gleichzeitig dar. Passfaceshat eine relativ geringe Entropie, da die Wahrscheinlichkeit pro Runde zufällig dasrichtige Bild zu erraten, relativ hoch ist ( 1

9 ). Um die Entropie des Referenzpassworteszu erreichen wären 14 Klicks notwendig (14 ∗ log2(9) ≈ 44 Bit). Da Benutzer es lästigfinden könnten, so viele Runden durchführen zu müssen, ist dieses System für unserenZweck ungeeignet.

2.5 Déjà Vu

Abbildung 2.3: Bei Déjà Vu werden Fraktale anstatt Gesichter eingesetzt. Quelle: [10]

Déjà Vu [10] von Dhamija und Perrig verfolgt einen ähnlichen Ansatz wie Passfaces,jedoch werden hier anstatt Gesichter zufällige Fraktale erzeugt. Dies soll jeglicheVorlieben von Benutzern ausschließen, wodurch Rückschlüsse auf dessen möglichepräferierte Auswahl vermieden werden. Zur Fraktalerzeugung ist einmalig ein Seednotwendig, von dem aus ein Portfolio an Bildern generiert wird. Aus diesem Portfoliomuss der Benutzer fünf Authentifizierungsbilder für sich aussuchen. Um seine Identitätzu beweisen, muss der Benutzer die fünf Passbilder unter 20 zufälligen Decoybildererkennen. Der Seed muss allerdings im Klartext auf dem Server/System gespeichert

10

2.6 VIP – VISUAL IDENTIFICATION PROTOCOL

werden, um dem Benutzer seine selektierten Bilder wieder anzeigen zu können. Jedochist das Speichern von Seeds bedenklich, da damit die Passbilder von Angreifernzurückgerechnet werden könnten.

Dhamija und Perrig stellten in Benutzerstudien fest, dass nach einer Woche Benut-zungspause sich noch 90% der Testpersonen mit Déjà Vu authentifizieren konnten,wohingegen die Quote bei den Textpasswörtern bei 70% lag. Für Déjà Vu sprichthierbei, dass die Textpasswörter lediglich die Auflage einer Mindestlänge von sechsBuchstaben hatten. Außerdem wurde von Dhamija und Perrig evaluiert, dass sichFraktale schlechter merken lassen und mehr Zeit zum Wiedererkennen benötigen alsnormale Fotografien. Mit Hilfe von Fotografien konnten sich 95% der Probanden nochnach einer Woche erfolgreich anmelden.

Der vorgeschlagene Ansatz von Dhamija und Perrig fünf aus 25 Bildern zu selektie-ren ist für mobile Geräte mit kleiner Displayauflösung nicht geeignet. Deshalb wirddie Anzahl der gleichzeitig angezeigten Fraktale angepasst. Die Anzahl an Bildern proRunde wird auf neun festgelegt (3× 3 Gitter) und die Zahl der Passbilder pro Rundewird auf zwei beschränkt. Um die Sicherheit des Referenzpasswortes zu erreichen,wären somit 8 Runden nötig, was zu 16 Klicks und 16 Passbildern führt und daher zunutzerunfreundlich ist (8 ∗ log2 (

92) ≈ 41 Bit). Die Rechnung mit acht Runden ergibt

allerdings eine um 0, 32 Bit kleinere Entropie als die des Referenzpasswortes. Dies sollvernachlässigt werden, da bei neun Runden die Entropie bereits um 4 Bit höher ist alsdie Referenzentropie.

2.6 VIP – Visual Identification Protocol

De Angeli et al. konzipierten und evaluierten drei VIP Systeme [9] – VIP1, VIP2 undVIP3. Alle Systeme beruhen auf der Idee die Ziffern eines Tastenfeldes durch Bilderzu ersetzten. Der Benutzer muss, analog zu Ziffern bei PIN-basierten Systemen, vierrichtige Bilder (nachfolgend auch Authbilder genannt) in der korrekten Reihenfolgeaus zehn Bildern auswählen. Jedes Bild stammt dabei aus einer in Gruppen (Tiere,Blumen, Gebirge, Landschaften etc.) eingeteilten Bilddatenbank. Jedes der vier Bilder,welches zum Authentifizierungscode gehört, muss dabei aus einer anderen Gruppesein. Die Decoy-Bilder werden zufällig aus den übrig gebliebenen Gruppen ausgewählt,um mnemonische Interferenzen zu minimieren.

Visual Identification Protocol (VIP) wurde in drei verschiedenen Ausprägungen(VIP1, VIP2, VIP3) evaluiert. Bei VIP1 wird der Benutzer dazu aufgefordert vier auszehn Bildern in der richtigen Reihenfolge auszuwählen. VIP2 unterscheiet sich vonVIP1 dadurch, dass die vier Authbilder bei jedem Anmeldungsversuch an unterschied-lichen Stellen angezeigt werden. Bei VIP3 stand im Vordergrund, die Grenzen dervisuellen Wiedererkennungsleistung zu untersuchen. Im VIP3 Konzept wählte der

11


Benutzer acht Bilder als Passwort. Zur Authentifizierung musste der Benutzer ausden acht Authbildern vier zufällige Bilder, in beliebiger Reihenfolge, unter zwölfDecoy-Bildern erkennen. Die vier Authbilder wurden hier, wie bei VIP2, auch beijedem Anmeldungsversuch an einer anderen Stelle angezeigt. Bei der Evaluierung vonVIP2 wurden ca. 1,9% mehr Eingabefehler gemessen als bei VIP1, was bezeugt, dassdas motorische Gedächtnis und das Positionsgedächtnis die Merkbarkeit geringfügigverbessern. Allerdings wurden bei PIN-Systemen lediglich 1,1% mehr Eingabefehlergemessen als bei VIP1, woraus ersichtlich ist, dass dieses IBA System nicht zu einererhöhten Merkbarkeit führt. Aus diesem Grund ist dieses System als Basis für unserenAnsatz nicht geeignet.

Da VIP1 in der Evaluation die besten Ergebnisse lieferte, wird dieser Ansatz mitder Metrik geprüft. Für die nachfolgende Berechnung wird vorausgesetzt, dass sich10 Icons in angemessener Größe auf dem Referenzdisplay benutzerfreundlich darstellenlassen. Die Anzahl der Bilder wird nicht auf neun reduziert, da die Form eines PIN-Ziffernblocks beibehalten werden soll. Die Metrik ergibt, dass 13 Runden notwendigsind, um die Entropie des Referenzpasswortes zu erreichen (13 ∗ log2 (10) ≈ 43 Bit).Da in jeder Runde ein Klick ausgeführt wird, sind 13 Klicks notwendig.

2.7 Passpoints

Abbildung 2.4: Die Eingabeoberfläche einer Passpoints Implementierung. Die schwar-zen Quadrate auf dem Hintergrundbild stellen die einzelnen Toleranz-bereiche um einen Clickpoint dar. Die Nummerierungen neben denQuadraten kennzeichnen die Reihenfolge der jeweiligen Clickpoints.Quelle: [38]

12

2.7 PASSPOINTS

Susan Wiedenbeck et al. beschreiben in [38] ein GPS bei dem der Benutzer einegewisse Anzahl von Positionen (Clickpoints) in der richtigen Reihenfolge in einembeliebigen Bild klicken muss, um sich zu authentifizieren. Durch das frei wählbareHintergrundbild erhält der Benutzer zwar Anhaltspunkte, wo er klicken muss, jedochmuss sich der Benutzer die Klick-Reihenfolge explizit merken. Daher handelt es sichbei diesem Ansatz um eine Mischung aus Recognition- und Recall-GPS. Passpointsgehört demnach zur Gruppe der Cued-Recall-Systeme.

Der erste Ansatz auf einem Bild gewisse Bereiche auszuwählen, stammt vonGreg Blonder [2], welcher auch als Gründer von IBA Systemen gilt. Sein Ansatzwar allerdings auf ein vordefiniertes Hintergrundbild mit vordefinierten Clickpointsbeschränkt. Bei Passpoints hingegen sind die Clickpoints frei wählbar. Für diese Frei-heit müssen jedoch Toleranzen erlaubt werden, weil vom Benutzer nicht abverlangtwerden kann, eine Serie von Clickpoints pixelgenau zu wiederholen. Die schwarzenQuadrate in Abbildung 2.4 zeigen die Größe der Toleranzbereiche.

Um solche Toleranzen zu schaffen, wird bei Passpoints ein unsichtbares Gitterüber das Hintergrundbild gelegt, welches das Bild in potentielle Clickpoints separiert(Diskretisierung). Jedoch kann dies zu erhöhten Fehlerraten beim Login führen, fallssich der Benutzer in der Passworterstellungsphase einen Punkt aussucht, der nichtmittig in einer Gitterzelle liegt. Dieses Kantenproblem kann durch das gleichzeitigeVerwenden von drei überlappenden Gittern gelöst werden (Robuste Diskretisierung).Anstatt der robusten Diskretisierung wurde in der Evaluationsphase von Passpointsein naiverer Algorithmus mit gleichem Verhalten verwendet. Durch die Diskretisierungkann ein deterministischer Wert erzeugt werden, der zwingend für den nachfolgendenHashvorgang erforderlich ist. Die Information, welches Grid zum Abspeichern desClickpoints benutzt wurde, kann jedoch nicht gehashed werden, was ein ausnutzbarerSchwachpunkt für einen Angreifer sein könnte. Ein Angreifer könnte anhand dieserInformation evtl. einige Kombinationen ausschließen.

Die Evaluationsstudie [38] von Susan Wiedenbeck et al. vergleicht Passpoint mittextuellen Passwörtern und es stellte sich heraus, dass die Eingabezeit bei Passpointslänger ist und die Probanden bei längerer Nichtbenutzung auch ähnlich viele Fehlermachten wie die Benutzer mit Textpasswörtern. Die meisten Anmeldungsfehlversucheentstanden durch eine falsche Reihenfolge der Clickpoints.

Um die Anzahl der Klickpunkte pro angezeigtem Bild für ein Mobilgerät abzuschät-zen, wird angenommen, dass der Toleranzbereich quadratisch ist und eine Seitenlängevon 0, 7cm hat. Bei einem 4 Zoll Display im 16 : 10 Format sind somit theoretisch94 potentielle Klickpunkte möglich( 8,6cm∗5,4cm

(0,7cm)2 ). Jedoch tendieren Benutzer dazu, nurmarkante Stellen auf einem Bild auszuwählen, so dass sich Hotspots bilden und sichdie potentiellen Klickpunkte reduzieren. Spätere Analysen [37, 17, 11] zeigten, dassauch Passpoints unter einem Hotspotproblem leidet. Daher werden die 94 potenti-

13


ellen Clickpoints auf 30 realistische Clickpoints herabgesetzt. Wenn das PasspointsSchema so verwendet werden würde, wie von Susan Wiedenbeck et al. vorgeschlagen,wären somit auf einem Bild nur 30!

(30−5)! = 17100720 Kombinationen möglich. Diesführt lediglich zu einer Passwortentropie von 24 Bit. Daher muss der Ansatz vonSusan Wiedenbeck et al. entsprechend für Mobilgeräte angepasst werden. Es werdenmehrere Runden eingeführt, um die Entropie des Referenzpasswortes zu erreichen.Mit drei Runden mit je drei Clickpoints erreicht Passpoints eine Entropie von 43 Bit(3 ∗ log2 (

30!(30−3)! ) ≈ 43). Da die Merkbarkeit von Passpoint Passwörtern nur gering-

fügig besser gegenüber Textpasswörtern ist, eignet sich diese Methode nicht für eineSteigerung der Usability.

2.8 CCP – Cued Click Points

Abbildung 2.5: Ein CCP Passwort kann als ein auswahlabhängiger Pfad von Bildernangesehen werden. Quelle: [6]

Bei Cued Click Points [6] von Sonia Chiasson et al. besteht ein Passwort aus einer Se-quenz von Bildern, wobei auf jedem Bild nur ein Clickpoint definiert wird. Das nächsteangezeigte Bild hängt jeweils vom vorherigen Clickpoint ab. Für die Zuordnung vonClickpoints zu Bildern wird eine deterministische Abbildungsfunktion verwendet.Erkennt der Benutzer das Hintergrundbild nicht wieder, so war die letzte Auswahl ver-mutlich falsch und er kann die Eingabe von vorne beginnen. Der Benutzer erhält somiteinen impliziten Hinweis, ob die letzte Auswahl korrekt war. Eine explizite Meldung,dass der Login fehlgeschlagen ist, erscheint erst am Ende des Authentifizierungspro-zesses. Benutzer können bei CCP nicht Ihre eigenen Hintergundbilder auswählen,was bei Passpoints theoretisch möglich wäre. Da jeder Clickpoint deterministisch dasnächste Bild bestimmt, kann der Benutzer das Hintergrundbild nur durch die Auswahl

14

2.8 CCP – CUED CLICK POINTS

eines anderen Clickpoints beeinflussen. Das erste Bild wird beim Ansatz von SoniaChiasson et al. durch den Benutzernamen bestimmt.

Wenn man vermeiden möchte, dass zwei unterschiedliche Clickpoints zum gleichenNachfolgebild führen können, so muss das System mindestens genau so viele Bilderwie Gitterelemente aufweisen. Dadurch wird verhindert, dass ein Benutzer das richtigeNachfolgebild sieht, obwohl die Eingabe inkorrekt war. Das Bilderset kann dann injeder Runde wiederverwendet werden. Bevor in einer nachfolgenden Runde ein bereitszuvor erschienenes Bild erneut angezeigt wird, wird deterministisch ein anderes Bildangezeigt. Um die Anzahl der Bilder pro Runde zu minimieren, kann ein Algorithmusverwendet werden, der bei unterschiedlicher Eingabe ab und zu auf das gleicheNachfolgebild führt (injektive Abbildungsfunktion).

In einer Evaluation [4] die CCP mit Passpoints vergleicht, sagten 70% Testperso-nen aus, dass sie CCP gegenüber Passpoints bevorzugen würden. Schließlich ist dieBenutzerfreundlichkeit von CCP besser, denn es ist leichter sich fünf Clickpoints auffünf Bildern zu merken, als fünf Clickpoints in der richtigen Reihenfolge auf einemBild. Die Evaluation ergab, dass der Median der Eingabezeit bei Passpoints 7,0 undbei CCP 6,0 Sekunden beträgt. Hier ist anzumerken, dass bei CCP der größte Teil derÜberlegungszeit in diesen sechs Sekunden behinhaltet ist, wohingegen die meistenPasspoints Anwender vor dem ersten Klick lange überlegen. Dies sollte berücksichtigtwerden, da die Zeit erst ab dem ersten Klick gemessen wird. In der Benutzerstudiewurde außerdem herausgefunden, dass bei CCP geometrische Muster weniger häufigerverwendet werden als bei Passpoints und dass 92% der Klicks in einen Toleranzbereichvon 9× 9 Pixeln gefallen sind.

Sicherheitstechnisch stellt dieses Verfahren auch ein Vorteil gegenüber Passpointsdar. Um ein Hotspots-Wörterbuch zu erstellen, müsste ein Angreifer erstmal alle Bilderdes Zielsystems akquirieren und jedes davon analysieren. Da jedes CCP System andereBildersets benutzen könnte, wäre dies nochmals ein erhöhter Aufwand. Um die Sicher-heit gegen Wörterbuchangriffe weiter zu erhöhen, schlagen Sonia Chiasson et al. vor,in die Abbildungsfunktion, die das nächste Bild bestimmt, zusätzlich den Usernamenals Salt aufzunehmen. Die Bildung eines Wörterbuches kann weiter erschwert werden,indem man den einzelnen Benutzern nur Teilmengen eines großen Bildersets zuordnet.

Beschränkt man das CCP Schema wieder auf 30 realistische Klickpunkte (siehe Ab-schnitt 2.7), so wird die Entropie des Referenzpasswortes nach neun Runden erreicht(9 ∗ log2 (30) ≈ 44 Bit). Da in jeder Runde nur ein Klick ausgeführt werden muss, sindhierfür neun Klicks erforderlich. Mit der in der Metrik definierten Referenzdisplay-größe und Klickpunkten mit einer Toleranz von 0, 49cm2 ergeben sich 94 potientielleKlickpunkte pro Bild, somit wären also 94 Bilder notwendig. Wird eine injektive Abbil-dungsfunktion verwendet, welche 25% des Bilderportfolios wiederverwendet, wären71 Bilder notwendig.

15


2.9 Loci Schema

Abbildung 2.6: Die Abbildung zeigt, die einzelnen Phasen einer Loci-GPS-Runde. Zu-erst muss ein Ort auf einem Bild ausgewählt werden. Danach welcherGegenstand mit dem Ort assoziiert wird. Gefolgt von der Farbe desGegenstandes. Quelle: [23]

Die Loci-Methode ist eine mnemotechnische Assoziationstechnik und wird vonKot et al. [23] als Grundlage für ein IBA Schema benutzt. Bei diesem Ansatz mussder Benutzer in mehreren Runden einem Punkt auf einem beliebigen Bild einenGegenstand inklusive Farbe zuordnen (siehe Abbildung 2.6).

Theoretisch wären bei der angenommenen Referenzdisplaygröße wieder bis zu 94potentielle Klickpunkte möglich. Um jedoch die Hotspotsproblematik zu berücksich-tigen, wird die Entropieberechnung nur mit 30 Klickpunkten durchgeführt. Nimmtman an, dass 9 Farben und 9 Gegenstände zur Auswahl stehen und dass auf einemSmartphonedisplay 30 Klickpunkte realistisch sind, erhält man bei der Durchführungvon vier Runden die Entropie des Referenzpasswortes (4 ∗ log2 (30 ∗ 9 ∗ 9) ≈ 44 Bit).Um diese Passwortstärke zu erreichen sind allerdings zwölf Klicks notwendig, da injeder Runde eine Position, ein Gegenstand und eine Farbe ausgewählt werden müssen.

2.10 Picture Password

Bei Picture Password [20] muss der Benutzer, wie bei Passpoints, bestimmte Bildberei-che in der korrekten Reihenfolge auswählen, um sich zu authentifizieren. Jedoch ist dasSystem von Jansen et al. im Gegensatz zu Passpoints auf fixe Bildbereiche/Thumbnails(30 Stück) eingeschränkt. Abbildung 2.7 zeigt die Benutzeroberfläche von Picture Pass-word mit fixen Eingabebereichen. Um den Passwortraum zu vergrößern haben Jansenet al. das Konzept einer „Shift-Taste“ eingeführt. Dabei kann jedes Thumbnail durchGedrückthalten als „Shift-Taste“ eingerastet werden und der nachfolgende Klick auf

16

2.10 PICTURE PASSWORD

Abbildung 2.7: Die Eingabeoberfläche eines Picture Password Systems. Picture Pass-word verfolgt ein ähnliches Konzept wie Passpoints jedoch ohne To-leranzbereiche. Um den Passwortraum dennoch ausreichend groß zuhalten, haben Jansen et al. das Konzept einer „Shift-Taste“ eingeführt.Quelle: [20]

ein zweites Thumbnail bestimmt den „Großbuchstaben“. Mit diesem Schema kann dieAnzahl der Auswahlmöglichkeiten auf 30 + 30 ∗ 30, also 930, vergrößert werden.

Der Wert 930 kommt folgendermaßen Zustande. In jeder Runde hat man die Wahl,ob man die Shift-Funktion nutzen möchte oder nicht. Wird sie nicht verwendet hatman ganz normal 30 Thumbnails zur Auswahl. Wird sie jedoch verwendet hat man30 ∗ 30 Möglichkeiten. Also stehen in jeder Runde insgesamt 30+ 30 ∗ 30 Möglichkeitenzur Verfügung. Der Wert 30 ∗ 30 kommt dadurch Zustande, dass die Shift-Funktion auszwei Phasen besteht. In der ersten Phase hat man 30 Auswahlmöglichkeiten, welchesThumbnail man als „Shift-Taste“ einrasten möchte. Ist die „Shift-Taste“ eingerastet, hatman anschließend in der zweiten Phase wieder 30 (sofern Selbstauswahl erlaubt istd.h. das eingerastete Thumbnail kann selbst wieder angeklickt werden) Möglichkeitenzur Auswahl, welches Thumbnail man „großschreiben“ möchte.

Auch wenn sich dieses Konzept auf den ersten Blick vielversprechend anhört, könnteman argumentieren, dass lediglich die Ausführung von zwei Runden anders verpacktwird. Würde man zwei Runden hintereinander ausführen, wären ebenfalls zwei Klicksnotwendig und man hätte 30 ∗ 30 Auswahlmöglichkeiten geschaffen. Der Passwortraumwürde also effektiv nur um 30 Möglichkeiten erweitert werden, was die Entropie nichtsehr viel vergrößert. Anhand der Gleichung

2 ∗ log(30) = log(302) = log(30 ∗ 30) ≈ log (30 + 30 ∗ 30)

17


ist ersichtlich, dass ein Picture Password Passwort der halben Länge mit Shift-Funktionannähernd genauso sicher ist, wie ein Passwort der doppelten Länge ohne Shift-Funktion1. Man könnte also meinen, dass die Ausführung von zwei Runden nuranders verpackt ist. Die reine Entropiebetrachtung reicht in diesem Fall allerdingsnicht aus, denn mit Shift-Funktion können unter Umständen für die selbe Entropiesehr viel weniger Klicks nötig sein (wird im nächsten Absatz gezeigt). Alleine deshalbweil ein Angreifer nie wüsste, ob in einer Runde groß- oder kleingeschrieben wurde,müsste er aber alle 930 Möglichkeiten in Betracht ziehen, auch wenn der Anwender dasMeiste kleinschreibt. Deshalb ist diese Anschauung fehlerhaft und die Shift-Funktionvergrößert den Passwortraum, weil unter Umständen weniger Klicks nötig sind.

Der Ansatz von Jansen et al. wird nicht weiter für Smartphones parametrisiert. Aufeinem Smartphone lassen sich 30 Thumbnails in einem 6× 5 Gitter benutzerfreundlichdarstellen. Um die Entropie des Referenzpasswortes zu erreichen, wären mit Shift-Funktion fünf Runden notwendig (5 ∗ log2 (930) ≈ 49 Bit). Wie man aus der Rechnungerkennt, wird das Referenzpasswort sogar um 7 Bit überboten. Nimmt man an, dasdavon zwei Thumbnails mit der Shift-Methode ausgewählt werden, so wären hierfürsieben Klicks notwendig. Genauso gut könnten aber auch nur 5 Klicks oder bis zu 10Klicks nötig gewesen sein, um diese Entropie zu erreichen. Ohne Shift-Funktion wärendefinitiv zehn Runden notwendig um 49Bit zu erreichen (10 ∗ log2 (30) ≈ 49 Bit). Dasbedeutet, dass ohne Shift-Funktion auch definitiv 10 Klicks nötig gewesen wären.

Die Vergrößerung des Passwortraumes geht allerdings zu Lasten einer erschwerterenMerkbarkeit. Zu jedem Thumbnail muss man sich explizit merken, ob man es mit oderohne und wenn ja mit welchem „Shift-Thumbnail“ ausgwählt hat.

2.11 DAS – Draw A Secret

Jermyn et al. führten das System Draw a Secret [21] ein, bei dem der Benutzer eineZeichnung genau wiedergeben muss, um sich auszuweisen. Aufgrund der Wiedergabeaus dem Gedächtnis gehört dieses GPS zu der Recall-Gruppe. Die Zeichnung musshierbei stets in der gleichen Reihenfolge ausgeführt werden. Das System verwendetein Gitter, um die Zeichnungen zu diskretisieren (5× 5 Gitter auf einem Palm Gerät).Die Zeichnung wird mit Hilfe des Gitters in eine Sequenz von Koordinatenpaarenübersetzt, indem die Koordinaten der Zellen aufgezählt werden, durch welche dieZeichnung verläuft (siehe Abbildung 2.8). Die Zeichnung muss dabei nicht zwingendzusammenhängend sein. Ist die Zeichnung zu Ende oder wird sie an anderer Stellefortgesetzt, wird dies mit einem Penup-Koordinatenpaar gekennzeichnet.

1Bei Textpasswörter ist dies nicht der Fall, weil der Logarithmus bei kleineren Zahlen einengrößeren Einfluss hat((26 + 26) << 930). Hier sind doppelt so lange Passwörter aus 26Zeichen stets im Vorteil gegenüber halb so langen Passwörtern aus 52 Zeichen.

18

2.11 DAS – DRAW A SECRET

Abbildung 2.8: Eingabesystem eines Draw A Secret GPS. Ein Key wird erzeugt, indemdie Koordinatenpaare der Zellen, durch welche die Zeichnung verläuft,aneinander gereiht werden. Das Linienende wird mit einem speziellen,sonst nicht vorkommenden, Koordinatenpaar markiert (Penup-Event).Die abgebildete Zeichnung kann zu (2,2), (3,2), (3,3), (2,3), (2,2), (2, 1),(5,5) encodiert werden. Die Zeichnung muss nicht zusammenhängendsein und sollte in jeder Zelle möglichst zentral liegen. Quelle: [21]

Zeichnungen werden anhand ihrer Länge und der Anzahl an Penup-Events klas-sifiziert. Je mehr Zellen von einer Zeichnung durchlaufen werden, desto sicherer istdas Passwort. Da die Länge einer Zeichnung nicht beschränkt ist, ist mit diesemSchema theoretisch ein unendlich großer Passwortraum möglich. Um dennoch einenPasswortraum spezifizieren zu können, wird der Parameter Lmax eingeführt, der denPasswortraum in eine abzählbare und eine abzählbar unendliche Menge aufteilt. Inanderen Worten heißt dies, dass alle Passwörter, die länger als Lmax sind, von derBetrachtung ausgeschlossen werden. Mit einer maximalen Strichlänge von 12 hat einDAS System mit einem 5× 5 Grid einen größeren Kennwortraum als ein achtstelligesUnix-Passwort aus 95 Zeichen (512 ≥ 958). Tabelle 2.1 zeigt den Entropieanstieg inAbhängigkeit von Lmax. Die Entropie des Referenzpasswortes würde bereits ab einerStrichlänge von 9 erreicht werden.

Jermyn el al. zeigten, dass bereits einfach merkbare DAS Passwörter, die nur ausRecktecken bestehen (2, 56 ∗ 106), den Passwortraum von Kleins Wörterbuch[22] ab-decken. Da jedoch mit dem DAS Schema nach Jermyn et al. weitaus mehr merkbareZeichnungen möglich sind, ist der effektive Passwortraum näher am theoretischenPasswortraum als bei Textpasswörtern.

Paul Dunphy und Jeff Yan[12] verbesserten die kognitiven Eigenschaften des DASSchemas durch ein Hintergrundbild unter dem DAS Gitter – genannt BackgroundDraw a Secret (BDAS). BDAS hilft Benutzern sich an den Startpunkt ihrer Zeichnungzu erinnern und führt zu längeren und komplexeren, weniger erratbaren, Zeichnungen.

19


Lmax 1 2 3 4 5 6 7 8 9 10

log2(#passwords) 5 10 14 19 24 29 33 38 43 48

Lmax 11 12 13 14 15 16 17 18 19 20

log2(#passwords) 53 58 63 67 72 77 82 87 91 96

Tabelle 2.1: Vergleich der Passwortentropie mit verschiedenen maximalen Passwortlän-gen auf einem 5× 5 Gitter. Quelle: [21]

Aufgrund des verwendeten Hintergrundes kann BDAS als eine Mischung aus Recall-und Recognition-System angesehen werden (Cued-Recall).

Thorpe und Oorschot [36] untersuchten ebenfalls den merkbaren Passwortraum vonDAS. Hierbei wählten sie im Gegensatz zu Jerymyn et al. keine Rechtecke aus, sondernfassten alle spiegelsymmetrischen Zeichnungen zu einer Klasse zusammen. Dabei sankdie Entropie bei einem 12-stelligen Passwort auf 42,7 Bit (der volle DAS Passwortraummit Lmax = 12 beträgt 57,7 Bit), was Wörterbuchangriffe in angemessener Zeit (6 Tage)ermöglichen würde. Um das Symmetrieproblem zu lösen, kann das symmetrischePasswort um fünf Stellen auf n + 5 verlängert werden, wodurch dies ungefähr derEntropie eines asymmetrischen Passwortes mit n Stellen entspricht. Dass das Symme-trieproblem ernst zu nehmen ist, stellten Nali et al. in einer Benutzerstudie[28] fest.45% der Zeichnungen waren dabei symmetrisch, 80% bestanden aus lediglich dreiLinien und 86% waren auf dem Grid zentriert.

Goldberg et al.[15] benutzte in seiner Evaluation ein ähnliches System wie DAS.Die Probanden konnten hierbei alphanumerische Passwörter nach einer Woche bis zu11% besser wiedergeben als DAS Passwörter. Die Textpasswörter mussten mindestenssechs Zeichen lang sein, entweder Sonderzeichen oder Ziffern enthalten, nicht in einemWörterbuch vorkommen und es durften keine bestehenden Passwörter verwendetwerden. Goldberg et al. stellte fest, dass die genaue Abfolge der Zeichnung zu denmeisten Fehlversuchen führte.

Wie bei Passpoints entstehen bei DAS Systemen ebenfalls Probleme, falls eineZeichnung Striche enthält, die zu dicht an einer Gitterline liegen. Deshalb sind auchdiagonale Linien zur Authentifizierung ungeeignet. Die Zellen müssen daher großgenug für einen ausreichenden Komfort und klein genug für eine zufriedenstellendeSicherheit sein.

20

2.12 PASS-GO

Abbildung 2.9: Graphische Android-Tastensperre.

2.12 Pass-Go

Inspiriert vom chinesischen Brettspiel Go hat Tao ein GPS namens Pass-Go [35] gestaltet.Dieses System ähnelt der Android-Tastensperre, wenn als Bildschirmsperre die Optioneines Entsperrmusters eingestellt ist (siehe Abbildung 2.9). Bei Pass-Go wählt derBenutzer nicht die Zellen eines Gitters aus, sondern die Kreuzungspunkte des Gitters.Ein G × G DAS Gitter entspricht dadurch einem (G + 1) × (G + 1) Pass-Go Gitter.Nimmt man beispielsweise ein 5× 5 Gitter an, so wären bei Pass-Go 36 Auswahlpunktevorhanden und bei DAS nur 25. Die Zeichnung in Abbildung 2.10 kann als (4,8), (4,7),(4,6), (4,5), (0,0), (4,6), (5,6), (5,5), (6,6), (0,0), (7,7), (0,0), (7,6), (7,5), (0,0) encodiertwerden.

In Taos Evaluation [35] mit 167 Probanden wurde ermittelt, dass Pass-Go eineakzeptable Benutzerfreundlichkeit aufweist. Zum Beispiel sind bei Pass-Go auchschräge Linien möglich und der Benutzer hat nicht damit zu kämpfen, dass jeder Strichmittig in einer Zelle liegen sollte. Jeder Kreuzungspunkt wird von einem unsichtbaren,sensitiven Bereich umgeben, damit Benutzer nicht genau auf einen Kreuzungspunktklicken müssen. Tao hat hierfür sensitive Kreise mit einem Radius von 0, 4 ∗ d gewählt,wobei d die Seitenlänge einer Zelle ist.

Für die Umsetzung des Pass-Go Schemas auf mobile Geräte wird angenommen,dass sich ein 5× 5 Grid auf dem Referenzdisplay benutzerfreundlich darstellen lässt.Abbildung 2.11 zeigt, dass sich der Kennwortraum von Pass-Go-5 gegenüber DAS-5nicht wesentlich vergrößert hat (die Ziffer hinter dem Systemnamen bezieht sich aufdie jeweilige Gittergröße). Für die Entropie des Referenzpasswortes wäre bei einemPass-Go-5 System mit Lmax = 12 also auch eine Zeichnung nötig, welche 9 Zellendurchläuft.

21


9

8

7

6

5

4

3

2

1

1 2 3 4 5 6 7 8 9

Sensitive area

Star

Dot indicator

Line indicator

Shaded cell

Abbildung 2.10: Pass-Go Image Based Access Control. Indem nebeneinanderliegende,markierte Punkte durch eine Linie verbunden werden, verstärkt sichder mnemonische Effekt. Schattierte Zellen und Sterne sollen ebenfallsals Hinweise dienen. Quelle: [35]

0

20

40

60

80

100

120

140

160

180

200

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20

L max

Bit-

size

Colored Pass-Go-9Pass-Go-9Pass-Go-5DAS-5

Abbildung 2.11: Vergleich der Kennworträume zwischen DAS und Pass-Go mit unter-

schiedlichen Gittergrößen in Abhängigkeit von Lmax. Tao hat ebenfallsvorgeschlagen Farben (8 Stück) für einzelne Linien zuzulassen, wo-durch sich die Entropie weiter vergrößern lässt. Quelle: [35]

22

2.13 DISKUSSION

2.13 Diskussion

In diesem Abschnitt werden die einzelnen Systeme zusammenfassend bewertet undabgewägt, welche sich als Authentifizierungsmechanismen für ein mobiles Passwort-verwaltungssystem eignen. Hierbei sei angemerkt, dass es bisher keine Studien gibt,welche die Systeme gegeneinander evaluieren. Es stellt bereits eine Ausnahme dar,wenn ein bildbasiertes System mit Textpasswörtern verglichen wird. Daher ist esschwer eine fundierte Rangfolge allein auf Grundlage von Fakten zu ermitteln. Tabelle2.2 listet die angesprochenen Systeme mit den errechneten Metrikwerten nochmals auf.Sollte bei einem System nur eine Runde nötig sein, so bedeutet dies, dass alle Eingabenauf einer unveränderten Benutzeroberfläche stattfinden. Die Klickanzahl bezieht sichdarauf, wie viele Klicks insgesamt nötig sind, um mindestens die Referenzentropievon 42 Bit zu erreichen. Mit Klickanzahl

Rundenanzahl erhält man die Klicks pro Runde.

Das TAPI System hat die gleiche Entropie wie ein Textpasswort aus 62 Zeichen. DerRecall-Anteil bei diesem Verfahren wird allerdings als sehr hoch eingeschätzt. Dadurchist das Passwort nicht leicht zu merken und für den Rahmen der Arbeit die ersteWahl. Der effektive Passwortraum von Passfaces ist zu gering, um eine ausreichendeSicherheit zu gewährleisten. Durch Verhaltensanalysen von Benutzerpräferenzen kannder effektive Passwortraum stark minimiert werden. Aus diesem Grund scheidet diesesVerfahren aus. Déjà Vu stellt ebenfalls keine Option für unser Vorhaben dar, da hierbeizu viele Klicks notwendig wären. Die Evaluation von Déjà Vu bestätigt darüber hinaus,dass sich Bilder besser merken lassen als Textpasswörter. Das VIP1 Schema hat keinemnemonischen Vorteile gegenüber klassischen PIN-Systemen. VIP steht daher nicht inder engeren Auswahl.

Cued Click Points ist im Grunde eine Weiterentwicklung von Passpoints. Bei beidenSystemen sind 9 Klicks für die Referenzentropie notwendig. Susan Wiedenbeck et al.haben ermittelt, dass bei Passpoints Passwörtern ähnlich viele Fehler gemacht wurdenwie bei Textpasswörtern. Außerdem hat eine Befragung [4] in einer anderen Studieergeben, dass die Probanden CCP gegenüber Passpoints bevorzugen würden. Diesberuht allerdings auf einer rein subjektiven Meinung. Die Testkandidaten hatten keinenKontakt zu einem lauffähigen Passpoints System, ihnen wurde Passpoints lediglichnach der CCP Evaluation beschrieben. Dennoch legt diese Tendenz nahe, dass sichCCP besser für unser Vorhaben eignen würde als Passpoints.

Das Konzept von Picture Password und Passpoints ist sehr ähnlich. Bei beiden Ver-fahren muss der Benutzer in der korrekten Reihenfolge eine Sequenz von Clickpointsbzw. Thumbnails erkennen. Bei Picture Password sind dabei Wiederholungen dergleichen Thumbnails erlaubt, wohingegen bei Passpoints ein Clickpoint nur einmalim Passwort vorkommen darf. Um die Anzahl der möglichen Clickpunkte zu maxi-mieren verfolgen die beiden Systeme jedoch unterschiedliche Ansätze. Bei Picture

23


System Jahr Kategorie Rundenanzahl Gesamtklick-anzahl

TAPI 2010 Cued-Recall 1 7

Passfaces 2000 Recognition 14 14

Déjà Vu 2000 Recognition 8 16

VIP1 2003 Recognition 1 13

Passpoints 2003 Cued-Recall 3 9

Cued Click Points 2007 Recognition 9 9

Loci-Schema 2008 Association 4 12

Picture Password(mit Shift)

2003 Recognition 5 5-10

Draw A Secret 1999 Recall 1 Zeichnung derLänge 9

Background DrawA Secret

2007 Cued-Recall 1 Zeichnung derLänge 9

Pass-Go 2006 Cued-Recall 1 Zeichnung derLänge 9

MIBA 2011 Cued-Recall 3 3-6

Tabelle 2.2: Zusammenfassung der IBA Systeme. Die angegebenen Runden- undKlickanzahlen beziehen sich darauf, wie viele Runden bzw. Klicks not-wendig sind, um die Referenzentropie von 42 Bit zu erreichen. MIBA ist einKonzept eines Multitouch Image Based Authentication Schemas, welchesim nächsten Kapitel vorgestellt wird.

24

2.13 DISKUSSION

Password werden die 30 Grundauswahlmöglichkeiten durch eine Shift-Funktion auf930 Möglichkeiten vergrößert. Der Passpoints Ansatz gewährleistet durch kleinereToleranzbereiche eine möglichst große Anzahl von Grundauswahlmöglichkeiten. Ohneempirische Tests lässt sich jedoch nicht genau sagen, welches der beiden Verfahren imdirekten Vergleich vorteilhafter ist.

Das Loci Authentifizierungsschema kann als eine Kombination aus CCP und VIPangesehen werden. In der ersten Loci-Phase muss der Benutzer einen Ort auf einemBild markieren (entspricht CCP bis auf den impliziten Hinweis) und in der zweiten unddritten Phase jeweils ein Icon (entspricht VIP). Um die Referenzentropie zu erreichensind hierbei mehr Klicks erforderlich als jeweils bei CCP, Passpoints, Picture Password,DAS oder Pass-GO. Für dieses Verfahren spricht eine erhöhte assoziative Merkbarkeit.Allerdings existieren für dieses Schema keine Feldstudien, welche die assoziativenVorteile belegen.

BDAS ist eine Weiterentwicklung von DAS. Beide Systeme funktionieren nach demgleichen Prinzip. Jedoch führt BDAS zu sichereren und besser merkbaren Passwör-tern. Daher ist sicher, dass sich BDAS besser eignen würde als DAS. Pass-Go verfolgtebenfalls einen ähnlichen Ansatz wie DAS/BDAS. Der theoretische Passwortraumder beiden Systeme ist gleichwertig und auf beiden Systemen kann der Benutzer eineArt Zeichnung anfertigen, um sich zu authentifizieren. Allerdings unterscheiden sichdie Arten der Zeichnungen sehr. Bei DAS/BDAS kann der Benutzer eine Freihand-zeichnung anfertigen. Hingegen definiert der Benutzer seine Zeichnung bei Pass-GOdurch Auswahl bestimmter Gitterpunkte. Ohne aussagekräftige Benutzerstudien kannkeine Aussage getroffen werden, welche Art der Zeichnung zu besser merkbarenPasswörtern führen würde.

Alle bisher vorgestellten IBA Systeme verwenden kein Multitouch. Im nachfolgendenKapitel wird ein Schema vorgestellt, das einige der vorgestellten Techniken zu einemneuen bildbasierten Authentifzierungsschema kombiniert und Multitouchfähigkeitenmoderner Smartphones ausnutzt.

25

3 Konzeptvorstellung eines MIBASchemas

In diesem Kapitel wird das Konzept eines neuen IBA Schemas beschrieben, wel-ches einige Ansätze aus dem vorherigen Kapitel mit einer Multitouch-Funktionalitätkombiniert. Das vorgestellte Schema wird im Weiteren mit MIBA abgekürzt. Zu denaufgegriffenen Ansätzen zählen die Shift-Funktion aus Picture Password und das Hin-tergrundbildsystem von Cued Click Points. Die beiden Ansätze werden nachfolgendbeschrieben und im nächsten Kapitel wird genauer darauf eingegangen, wie dieseMethoden für ein Mobilgerät umgesetzt wurden.

Als Eingabeelemente dienen rechteckige Schaltflächen, welche in einem Gitter halb-transparent über einem Hintergrundbild angeordnet sind. Die Schaltflächen sindhalbtransparent, damit das Hintergrundbild nicht verdeckt wird. Wird ein Recht-eck mit einem Finger berührt, so wird es ausgeblendet und gibt den Blick auf dasHintergrundbild komplett frei. Durch die Transparenz kann der Recognition-Effekt auf-recht erhalten werden und dem Benutzer kann gleichzeitig seine Auswahl signalisiertwerden. Die Abblildung 3.1 zeigt das Konzept des MIBA Eingabeschemas.

Die Multitouch-Funktionalität des Schemas besteht darin, dass dem Nutzer erlaubtwird, in jeder Runde mehrere dieser Eingabeelemente gleichzeitig auszuwählen. Wer-den ein oder mehrere Rechtecke mit den Fingern berührt, so zählt dies zur Eingabeeiner Runde hinzu. Wie das Wort „gleichzeitig“ bereits andeutet, wird die Reihenfolgebeim Drücken innerhalb einer Runde nicht berücksichtigt. Die Multitouchfähigkeitdes Schemas erhöht einerseits den theoretischen Passwortraum, andererseits wirderwartet, dass sich durch das gleichzeitige Drücken der Schaltflächen die Eingabezeitnicht signifikant verlangsamt. Durch eine Erweiterung des Passwortraums kann dieAnzahl der Runden, die für ein sicheres Passwort nötig sind, minimiert werden. Durchweniger Runden wird erhofft, dass der Loginprozess subjektiv als weniger langwierigempfunden wird.

3.1 Verwendung des CCP Hintergrundbildsystems

Um sich die jeweilige Eingabe, die mit mehreren Fingern auch komplex werdenkann, merken zu können, ist man dringlich auf einen visuellen Hinweis angewiesen.

3 KONZEPTVORSTELLUNG EINES MIBA SCHEMAS

Abbildung 3.1: Die Eingabeoberfläche des MIBA Konzepts. Die Eingabeschaltflächenwerden gleichverteilt und halbtransparent auf einem wechselnden Hinter-grundbild dargestellt. An der Unterseite befindet sich ein „Back-Button“,der die letzte Eingabe löscht. Die zwei roten Kreise sollen jeweils ei-ne Displayberührung andeuten. Wird ein Reckteck berührt, so wird esausgeblendet.

Hierfür würde sich ein Hintergrundbild eignen, wie es von Passpoints eingesetztwird. Da bei MIBA allerdings mehrere Runden nötig sind, liefert ein konstantesHintergrundbild zu wenig Abwechslung, um Interferenzen zwischen den Runden zuvermeiden. Daher wird für MIBA die Methode der wechselnden Hintergrundbildervon Cued Click Points adaptiert. Die Rechtecke des MIBA Eingabesystems liegen, wiebereits erwähnt, transparent auf einem Hintergrundbild. Das erste Hintergrundbildist hierbei fest definiert und je nach Benutzereingabe, wird in der nächsten Rundeein anderes Hintergrundbild angezeigt. Für die Auswahl der Bilder sollte beachtetwerden, dass diese viele Details enthalten und ein breites Interessensgebiet abdeckensollten. Der Benutzer erhält durch das Hintergrundbild einen impliziten Hinweis, obdie letzte Eingabe korrekt war. Erkennt der Benutzer das angezeigte Bild nicht wieder,so war seine letzte Eingabe vermutlich falsch. Die Eingabe kann bei Bedarf jederzeitmittels eines „Back-Buttons“ an der Bildschirmunterseite rückgängig gemacht werden.Wenn man vermeiden möchte, dass bei unterschiedlichen Eingaben das gleiche Bildangezeigt wird, so muss es für jede Kombination ein separates Bild geben. Da injeder MIBA Runde sehr viele verschiedene Eingabekombinationen möglich sind (sieheAbschnitt 5.2), wären sehr viele Bilder nötig (siehe Abschnitt 2.10).

Um die Anzahl der nötigen Hintergrundbilder zu minimieren, wird die Funktionf (a) = a mod maxBilder verwendet. Aus dem Zustand der Eingabeoberfläche, alsoob ein Rechteck gedrückt ist oder nicht oder lange gedrückt ist, wird eine Binärzahla errechnet. Jede Eingabekombination führt somit zu einer eindeutigen Zahl a. Eswird eine Konstante maxBilder definiert, welche die Anzahl der benötigten Bilder auf

28

3.2 VERWENDUNG DER SHIFT-METHODE

die gewünschte Größe limitiert. Wird a mod maxBilder gerechnet, erhält man denBildindex i. Der Bildindex i verweist auf ein Bild, welches als Hintergrundbild benutztwerden kann und anschließend als verwendet markiert wird, falls i zuvor noch nichtverwendet wurde. Wenn eine andere Eingabekombination a′ auf den selben Bildindexi verweisen sollte, so wird solange linear sondiert bis der nächste freie Bildindex i′

gefunden wird. Die beschriebene Methode stellt sicher, dass bei Passwortlängen kleinermaxBilder kein Bild zweimal erscheint. Wurden bereits alle Bilder verwendet, werdenalle Bilder als frei gekennzeichnet. Wenn das letzte Bild und die Funktion f einemAngreifer bekannt ist, so sollte es für diesen aufgrund der Modulo-Operation und desSondiervorganges nicht möglich sein, den gesamten Pfad und damit das Passwortzurück zurechnen.

Falls sich der Benutzer durch Drücken des „Back-Buttons“ entscheidet die letzteEingabe zu löschen und deshalb von Runde n in Runde n− 1 zurückspringt, gibt eseinen Sonderfall zu berücksichtigen. Wählt der Benutzer in Runde n− 1 die gleicheEingabekombination, wie beim ersten Mal als er sich in Runde n− 1 befand, so solltedies wieder zum gleichen Bild führen. Dazu muss bei Durchführung einer Eigabe-korrektur lediglich der zuletzt verwendete Bildindex wieder als frei gekennzeichnetwerden, damit die Sondierfunktion erneut den erwarteten Bildindex errechnet.

3.2 Verwendung der Shift-Methode

Um den Passwortraum zu vergrößern wird eine ähnliche Shift-Methode wie bei PicturePassword eingesetzt. Dass die Shift-Methode den Passwortraum effektiv vergrößert,wurde im Abschnitt 2.10 bereits diskutiert. Die MIBA Shift-Methode besteht wie inPicture Password ebenfalls aus zwei Phasen. Für die beiden Phasen gelten in MIBAfolgende Regeln: In der ersten Phase können bei MIBA ein oder mehrere Rechteckegleichzeitig durch Gedrückthalten ausgewählt werden, welche dann als Shift-Tastefungieren. In der zweiten Phase ist Selbstauswahl erlaubt und es können wiederumein oder mehrere Rechtecke gleichzeitig gedrückt werden, worauf die Shift-Operationabgeschlossen ist und die nächste Runde eingeleitet wird. Sowohl nach der erstenPhase als auch nach der zweiten Phase wird das Hintergrundbild gewechselt, umsicherzustellen, dass für jede Eingabe ein anderes Hintergrundbild dargestellt wird.Die Shift-Funktion lässt sich prinzipiell auf zwei Arten aktivieren. Entweder durch„Gedrückthalten“ der Schaltflächen oder per „Doppelklick“ auf die Schaltflächen.Im nächsten Kapitel wird darauf eingegangen, warum die Doppelklickaktivierungproblematisch ist und wie dem Benutzer die Aktivierung der Shift-Funktion signalisiertwird.

29

4 Implementierung des MIBAKonzepts für Android

Das im vorherigen Kapitel vorgestellte MIBA Konzept wurde für die Android Ver-sion 2.2 auf einem Samsung Galaxy S implementiert. Zuerst sollte das System ein3 × 4 Gitter verwenden - also 12 Schaltflächen. Bei ersten Tests stellte sich jedochheraus, dass dies zu sehr komplexen Fingerstellungen führen würde und dadurch dasAuftreten bestimmter Kombinationen bereits eher Unwahrscheinlich wäre. Daher wirdein 2 × 4 Gitter eingesetzt. Der Passwortraum ist dennoch sehr hoch, wie in Kapitel 5gezeigt werden wird. Die MIBA Oberfläche wurde mit relativen Positions- und Grö-ßenangaben implementiert, damit die Schaltflächen stets den gesamten zur Verfügungstehenden Platz ausnutzen bzw. das System auch auf kleineren Displays einsetzbar ist.Die Abbildung 4.1 zeigt die Umsetzung der MIBA Oberfläche für Android.

Für den Multitouch Aspekt muss berücksichtigt werden, dass die Anzahl dergleichzeitig erkennbaren Finger geräteabhängig ist. Das Galaxy S ist in der Lage bis zufünf Pointer (Finger welche den Bildschirm berühren) gleichzeitig zu erfassen. Jedochführt die Steigerung von vier auf fünf Finger zu einem geringeren Entropieanstieg alsdie Steigerung von drei auf vier Finger. Das kann dadurch begründet werden, dassbei acht Rechtecken die Anzahl der Möglichkeiten pro Runde ab fünf Fingern wiederabnimmt, siehe nachfolgende Gleichung:

(81) < (8

2) < (83) < (8

4) > (85) > (8

6) > (87) > (8

8)

Außerdem ist es vom anatomischen Standpunkt sehr viel schwieriger auf einem2 × 4 Gitter Eingabekombinationen mit fünf Fingern als mit vier Fingern zu bewerk-stelligen. Um diese These besser zu verstehen, stelle man sich vor mit vier Fingerneine komplette Spalte zu markieren und mit dem übrigen Finger der Hand noch einRechteck aus der anderen Spalte auswählen zu müssen (siehe Abbildung 4.2). Daherist das System auf vier gleichzeitig gedrückte Eingabeelemete pro Runde limitiert. EinSmartphone sollte folglich mindestens vier Pointer gleichzeitig erfassen können, umden theoretischen Passwortraum der Applikation nicht zu begrenzen.

4 IMPLEMENTIERUNG DES MIBA KONZEPTS FÜR ANDROID

(a) (b)

Abbildung 4.1: Die MIBA Oberfläche besteht aus acht halbtransparenten Rechtecken,welche in einem 2× 4 Gitter über einem Hintergrundbild angeordnet sind.Die Abbildung (a) zeigt die MIBA Oberfläche beim Passworterstellungs-vorgang und die Abbildung (b) zeigt die Oberfläche beim Login-Versuchnach einem Shift-Vorgang. Beim Login-Vorgang kann auf einen Login-Button verzichtet werden, da nach jeder Eingabe überprüft wird, obdas eingegebene Passwort korrekt ist. Hingegen ist in der Passworter-stellungsphase ein zweiter Button erforderlich, welcher dazu dient denAbschluss des Passworts zu bestätigen. An der GUI-Oberseite befindetsich ein Rundenzähler, der Aufschluss über die momentane Eingabe-länge gibt. Bei einem Shift-Vorgang vibriert das Gerät und neben demRundenzähler wird zusätzlich der Schriftzug „-Shift-“ eingeblendet. Der„Back-Button“ löscht die letzte Eingabe und wechselt zum Vorgängerbild.

32

4.1 UMSETZUNG DES CCP HINTERGRUNDSYSTEMS

Abbildung 4.2: Die Abbildung zeigt ein Beispiel für eine anatomisch schwer durchführ-bare Eingabe mit fünf Fingern.

Beim verwendeten MIBA System wird auf einen Login-Button, der normalerweisezur Eingabebestätigung dient, verzichtet. Einerseits um die Eingabezeit zu verkürzenund andererseits um dem „Back-Button“ mehr Geltung zu verschaffen. Der Loginfunktioniert automatisch, indem nach jeder Runde geprüft wird, ob die Eingabe korrektwar. Dies hat auch den Vorteil, dass der Benutzer nach Ausführung der letzten Rundedes Passwortes kein weiteres Bild angezeigt bekommt, auf dem er nichts auswählenmüsste, sondern den Login-Button drücken müsste. Der Benutzer erhält keine expliziteMeldung, ob die Authentifizierung fehlgeschlagen ist und das System bietet auch nachÜberschreitung der erwarteten Passwortlänge immer neue Eingabemöglichkeiten an.Der Benutzer erkennt eine Fehleingabe anhand einem unbekannten Hintergrundbild.

4.1 Umsetzung des CCP Hintergrundsystems

Für die Konstante maxBilder wurde in der Implemetierung 31 gewählt. Auch kleinereWerte wären theoretisch möglich, da ein Passwort i.d.R. nicht aus 31 Stellen besteht.Eine höhere Bilderanzahl als die durchschnittliche Passwortlänge ist jedoch sinnvoll,damit ein Benutzer bei einem Passwortwechsel möglichst andere Bilder sieht als beimvorherigen Passwort. Dies vermeidet Interferenzen zwischen den Bildern/Passwörtern.Es sollten allerdings auch nicht zu viele Bilder verwendet werden, da ansonsten dieGröße der Applikation unnötig anwachsen würde und sich somit der AppMarket-Download verlängert. Die verwendeten 32 Hintergrundbilder (31 eingabeabhängigeinklusive einem konstanten Starthintergrund) haben bereits eine Größe von 6,57 MB.Durch eine erhöhte Kompression könnte die Zahl der Bilder noch gesteigert werden.Das Hintergrundbild muss an die vertikale Displayauflösung angepasst werden, denndie BitmapFactory beansprucht für das Skalieren von großen Bildern sehr viel Zeit.

33

4 IMPLEMENTIERUNG DES MIBA KONZEPTS FÜR ANDROID

4.2 Umsetzung der Shift-Funktion

Die Shift-Funktion wird durch Gedrückthalten eines oder mehrerer Rechtecke aktiviert.Für die Implementierung der vorgeschlagenen Shift-Methode aus Kapitel 3, mussaußerdem beachtet werden, dass keine Aktion ausgelöst wird, durch ein weiteres Ge-drückthalten in der zweiten Shift-Phase. Da das Gedrückthalten einiges an Eingabezeitkostet, war die ursprüngliche Idee, die Shift-Funktion durch einen Doppelklick auf einoder mehrere Rechtecke zu aktivieren. Da es in Android keinen OnDoubleClickListenerfür die verwendete View gibt, musste zunächst eine Doppelklickerkennung mittelseines OnClickListeners, r Threads und r Boolean Werten bewerkstelligt werden. BeiTests stellte sich allerdings heraus, dass ein Doppelklick mit mehreren Fingern zuhäufigen Fehleingaben führt. Eine häufige Ursache davon war, dass die Finger beimzweiten Klick des Doppelklicks nicht auf dem gleichen Rechteck platziert wurden.Eine andere Ursache war, dass mit mehreren Fingern der letzte Doppelklick zeitlichsoweit von den ersten Doppelklicks entfernt war, dass dieser bereits als Eingabe fürdie nächste Runde gewertet wurde. Außerdem hätte sich durch den Doppelklickan-satz auch die Programmreaktionszeit für normale Eingaben verlängert, da immer einkleines Zeitfenster gewartet werden müsste, um einen Doppelklick zu erkennen.

Die Aktivierung der Shift-Funktion, wird dem Benutzer durch die Einblendung desSchriftzuges „-Shift-“ neben dem Rundenzähler (siehe Abbildung 4.1 (b)) und einergleichzeitigen Vibration signalisiert. Der Rundenzähler befindet sich an der Display-oberseite und zeigt an, in welcher Runde sich der Benutzer momentan befindet undgibt somit Aufschluss über die Passwortlänge. Der Rundenzähler wird durch die erstePhase einer Shift-Eingabe nicht erhöht. Das Hintergrundbild wechselt jedoch in derersten Phase, um für die zweite Phase ebenfalls einen Recognition-Effekt zu gewähr-leisten. Nach der zweiten Phase schließt die Shift-Eingabe ab, das Hintergrundbildwird gewechselt und der Rundenzähler wird erhöht. Ein weiteres Kennzeichen, dassdie Eingabe als Shift erkannt wurde, ist der Wechsel des Hintergrundbildes, obwohlnoch alle Finger auf dem Display sind. Das ist ein Gegensatz zur normalen Eingabe.Bei einer normalen Eingabe wechselt das Hintergrundbild erst, sobald alle Finger dasDisplay verlassen haben. Warum eine normale Eingabe erst nach Abheben der Fingerbeendet ist, wird im nächsten Abschnitt erläutert.

4.3 Korrektur der Fingerstellung während der Eingabe

Mit einem Finger sollte jeder Nutzer in der Lage sein präzise Klicks auszuführen. Daes mit mehreren Fingern sehr schwierig ist bei der ersten Displayberührung alle Fingerauf den korrekten Eingaberechtecken zu platzieren, musste ein Konzept erarbeitetwerden, das es gestattet, die Fingerstellung während einer Eingabe zu korrigieren.

34

4.3 KORREKTUR DER FINGERSTELLUNG WÄHREND DER EINGABE

Um dem Benutzer solch eine Korrektur zu erlauben, wird die Eingabe erst akzeptiertund die nächste Runde gestartet, sobald alle Finger das Display verlassen haben. Dashat den Vorteil, dass dem Benutzer Korrekturen erlaubt sind, sobald mehr als einFinger in einer Runde verwendet wird. Besteht das Passwort in einer Runde zumBeispiel aus zwei Eingabeelementen, so kann der Benutzer seine Finger nacheinander(muss also nicht genau gleichzeitig sein) auf den Rechtecken platzieren. Sollte er dabeiversehentlich ein falsches Rechteck berühren, so kann er den jeweiligen Finger ganzeinfach auf das korrekte Rechteck verschieben, bevor er dann mit beiden Fingern dasDisplay verlässt und die Eingabe akzeptiert wird. In anderen Worten heißt dies, dasals Eingabe nur die zuletzt ausgeblendeten Rechtecke zählen. Ein weiterer Vorteil beidiesem Ansatz ist, dass dem Benutzer kein festes Zeitfenster eingeräumt wird, indemer eine Korrekutr durchführen könnte, bevor die nächste Runde nach Ablauf desZeitfensters automatisch gestartet werden würde. Besteht das Passwort in einer Rundelediglich aus einem Rechteck, genügt ein kurzes Antippen des Rechtecks, um sofortdie nächste Runde zu starten. Dies kommt der Eingabezeit zugute, weil ansonstengewartet werden müsste, bis ein gewisses Zeitfenster abgelaufen ist.

Um die Shift-Funktion gegen die gleiche Art von Fehleingaben abzusichern, wirdein Thread gestartet, der kontrolliert, ob der Zustand der Eingabeoberfläche für eineSekunde konstant war. Somit ist es möglich mehrere Finger unkontrolliert auf demDisplay abzusetzen. Anschließend können die Finger über beliebige Rechtecke gleiten,um sich in einer Endhaltung zu positionieren. In der Endhaltung kann sich der Benut-zer entscheiden, ob er die Fingerstellung lange gedrückt hält und einen Shift auslöstoder seine Finger abhebt und somit die nächste Runde startet. Wird die Zeitspannelänger gewählt, ist das System robuster gegen Fehleingaben, da der Benutzer seineFinger länger auf den gleichen Stellen belassen kann, ohne einen Shift auszulösen. EineZeitspanne von einer Sekunde stellte in Einzeltests einen guten Kompromiss zwischenEingabezeit und Robustheit dar.

35

5 Untersuchung des MIBAPasswortraumes

In diesem Kapitel wird der theoretische Passwortraum von MIBA Systemen erschlos-sen. Der Abschnitt 5.1 führt zunächst allgemeine Formeln zur Berechnung von MIBAPassworträumen ein. Die Formeln belegen, dass die Multitouch-Funktionalität denPasswortraum noch weiter vergrößert. In Abschnitt 5.2 werden diese allgemeinen For-meln auf die konkrete MIBA Implementation aus dem vorherigen Kapitel angewendet.

5.1 Einführung der Formeln

Sei r die Anzahl der Rechtecke auf der Eingabeoberfläche, so wären ohne Multitouchgenau r Kombinationen in einer Runde möglich (ähnlich wie beispielsweise bei VIP).Bei MIBA werden aber zu r noch die Kombinationen addiert, welche mit zwei bis nFingern möglich sind. Da die Reihenfolge innerhalb einer Runde nicht berücksichtigtwird, ergeben sich beispielsweise mit zwei Fingern (r

2) Kombinationen. Die Anzahlaller möglichen Eingabekombinationen einer Runde ohne Shift-Funktionalität ergibtsich folglich zu:

g(n, r) =n∑

i=1(r

i)

(5.1)

Wird das Schema mit Shift-Funktion umgesetzt, kann der theoretische Passwortraummit der Funktion f wie folgt bestimmt werden:

f (n, r) = g(n, r) + (g(n, r))2

(5.2)

5 UNTERSUCHUNG DES MIBA PASSWORTRAUMES

Im nächsten Abschnitt wird die Entropie eines für Mobilgeräte umgesetzten MIBASystems konkret berechnet.

5.2 Berechnung des theoretischen Passwortraumes

Bei der vorgestellten Android Implementation aus Kapitel 4 ist r = 8 (Anzahl derRechtecke) und n = 4 (maximale Fingeranzahl). Mit der Formel 5.1 ergeben sich 162Möglichkeiten pro Runde ohne Shift. Mit Shift sind nach Formel 5.2 in jeder Runde

162 + 1622 = 26406

Kombinationen möglich. Um die Entropie des Referenzpasswortes zu erreichen,sind mit Shift-Funktionalität drei Runden erforderlich (3 ∗ log2 (26406) ≈ 44 Bit).Man beachte hierbei, dass mit Shift-Funktion jede Runde aus bis zu zwei Klicksbestehen kann. Für die Referenzentropie sind demnach 3-6 Klicks erforderlich. Um dasMasterpasswort von Picpass (wird in Kapitel 6 vorgestellt) noch sicherer zu machen,wurde die minimale Passwortlänge auf 4 Runden gesetzt. Dies ergibt eine Entropievon 58 Bit und entspricht ungefähr einem neunstelligen Textpasswort aus 95 Zeichen.

38

6 Implementierung einesPasswortverwaltungssystems fürAndroid

Ein mögliches Einsatzgebiet von MIBA Systemen auf mobilen Geräten sind Passwort-verwaltungssysteme. Weil man zur Anmeldung auf Webseiten stets einen Benutzer-namen und ein Passwort benötigt und mit graphischen Passwortsystemen nur diePassworteingabe sinnvoll umsetzbar ist, wird das MIBA System mit einem Passwortsa-fe vereint. Dies eröffnet dem Benutzer mehrere Vorteile. Der Nutzer muss sich nur anein graphisches Passwort erinnern, was bestenfalls einfach zu merken ist. Der Benutzermuss keinerlei seiner bestehenden Textpasswörter ändern und kann sich dadurchauch ohne die App mit seinen bestehenden Passwörtern auf Webseiten anmelden. DenAnsatz jedes Textpasswort durch ein eigenes graphisches Passwort zu ersetzen, wurdeaus Bedenken, dass zu viele graphische Passwörter zu erhöhten Interferenzen [5]führen würden, wieder verworfen. Daher war die Entscheidung naheliegend eine 1 zuN Abbildung zwischen einem graphischen MIBA-Passwort und N Textpasswörternmit Hilfe eines Passwortsafes zu realisieren.

6.1 Beschreibung von Picpass

Die Implementierung des MIBA Schemas wird nun mit einem Passwortsafe verknüpft,um ein mögliches Einsatzgebiet auf mobilen Geräten zu demonstrieren. Das MIBASystem und der Passwortsafe bilden gemeinsam die Picpass Applikation (siehe Abbil-dung 6.1). Beim ersten Start der Applikation wird der Benutzer aufgefordert ein MIBAPasswort zu erstellen und anschließend zur Bestätigung zu wiederholen. Analog zubekannten Passworterstellungsdialogen werden hierfür zwei „Textfelder“ verwendetanstatt einem Assistenten, Buttons oder Ähnlichem (siehe Abbildung 6.1 (a)). Tatsäch-lich handelt es sich jedoch nicht um Textfelder, sondern um zwei Labels mit demgleichen Hintergrund wie ein Textfeld. Das hat den Vorteil, dass das Aufklappen derSoft-Tastatur nicht unterdrückt werden muss und dass kein Cursor im fokusierten„Textfeld“ blinkt. Es werden „Textfelder“ benutzt, weil Benutzer mit dieser Ansichtbereits vertraut sind und die nächsten Schritte intuitiv durchführen können. Klickt der

6 IMPLEMENTIERUNG EINES PASSWORTVERWALTUNGSSYSTEMS FÜR ANDROID

(a) (b)

(c) (d)

Abbildung 6.1: Die Abbildungen (a)-(d) zeigen das Passwortverwaltungssystem Picpass.Picpass nutzt das im vorherigen Kapitel vorgestellte Authentifizierungs-verfahren. Wird Picpass zum ersten Mal gestartet, wird der Benutzeraufgefordert einen Masterkey mit dem MIBA Schema zu erstellen (a).In Abbildung (b) ist die Hauptoberfläche von Picpass mit ausgeklapp-tem OptionsMenu zu sehen. Die Hauptoberfläche dient zum Navigierendurch die einzelnen Einträge von Picpass. Wird eine Website angeklickt,startet eine neue Activity, welche den kompletten Eintrag anzeigt (d).Abbildung (c) zeigt den Passwortänderndialog.

40

6.1 BESCHREIBUNG VON PICPASS

Benutzer auf ein „Textfeld“, so startet die MIBA Activity. Hat der Benutzer sein MIBAPasswort mit n Runden abgeschlossen, werden im „Textfeld“ n Passwortsternchenangezeigt. Die Passwortbestätigung dient beim MIBA System nicht nur dem alleini-gen Schutz vor unabsichtlichen Fehleingaben, sondern bewirkt zugleich eine bessereEinprägung. Nur wenn das erste MIBA Passwort mit der Bestätigung übereinstimmt,wird der Masterkey erstellt und man gelangt zur Hauptoberfläche des Passwortsafes(siehe Abbildung 6.1 (b)). Hat der Benutzer seinen Masterkey angelegt, so wird er beiweiteren Starts der Applikation zur Eingabe seines MIBA Passwortes aufgefordert.

Die Hauptoberfläche des Systems (siehe Abbildung 6.1 (b)) ist eine scrollbare Listemit allen gespeicherten Einträgen des Safes. Ein Listeneintrag besteht dabei aus einerKurz-URL (URL ohne „http://“ oder „www“) und einem Favicon der betreffendenSeite. Zur Anzeige der Listenansicht werden nur die mit 256 Bit verschlüsselten Kurz-URLs entschlüsselt. Dies beschleunigt den Aufbau der Listenansicht. Die Faviconswerden nach dem Anlegen eines neuen Eintrages im Hintergrund durch einen zusätz-lich Thread heruntergeladen. Dadurch wird vermieden, dass die Liste nicht auf eineScrollbewegung während des Downloadvorganges reagiert. Da der Download bei lang-samen Internetverbindungen bis zu ca. 10 Sekunden dauern kann, werden die Faviconsim Interal Storage der Applikation dauerhaft gecached. Dadurch können die Favicionsbeim nächsten Programmstart ohne Verzögerung angezeigt werden. Für einen tatsäch-lichen Einsatz des Systems sollten die Favicons jedoch noch in verschlüsselter Formgespeichert werden. Die Abbildung 6.2 zeigt die beschriebene Dialogstruktur.

In den Einstellungen der Applikation befindet sich eine Option zum Wechseln desMIBA Kennwortes (siehe Abbildung 6.1 (c)). Diese Funktion ist besonders relevantfür Demonstrationszwecke oder spätere Evaluationen des MIBA-Systems. Wurde derMasterkey geändert, wird dem Benutzer eine Progressbar angezeigt, während alleEinträge des Passwortsafes mit dem neuen Masterkey verschlüsselt werden.

Sobald ein Listeneintrag ausgewählt wird, wird der komplette Datensatz entschlüs-selt und angezeigt (siehe Abbildung 6.1 (d)). Wird der GO-Button betätigt, so wirddas Passwort in die Zwischenablage kopiert und der Android Browser öffnet dieURL des Eintrages. Hält man das Passworteingabefeld auf der Webseite gedrückt, sokann das Passwort aus der Zwischenablage eingefügt werden (siehe Abbildung 6.3).Diese „Copy&Paste“-Methode ist allerdings noch nicht komfortabel genug und zudemunsicher, da jede Applikation Zugriff auf die Zwischenablage hat. Die vorgestellteLösung soll lediglich einen praktischen Anwendungsfall des MIBA Konzepts aufmobilen Geräten veranschaulichen. Trotzdem soll im Abschnitt 6.2 genauer daraufeingegangen werden, wie sich die Browserintegration für ein tatsächliches Systemverbessern ließe. Der Picpass Sourcecode befindet sich auf einer eingeklebten CD dieserArbeit. Der nächste Abschnitt beschäftigt sich näher mit der in Picpass verwendetenVerschlüsselungstechnik.

41


Start

Masterkey existiert?

LoginActivity(MIBA-Schema)


(2.1) Klick auf Textfeld

(2) Nein

(2.3) Passwort wiederholen

(2.2) Textfeld ausfüllen

(2.4) Textfeld ausfüllen

OverviewListActivityEditEntryActivityBrowser Klick auf GO Klick auf Eintrag

Passwörter identisch?

(2.5)


Ja

JaNein

StartsceenActivity Ja

PasswortKorrekt?

Nein

Abbildung 6.2: Dialogstruktur von Picpass nach Applikationsstart. Von der Overview-ListActivity gelangt man noch zu weiteren Dialogen (Suchdialog, Eintra-gerstellungsdialog, Löschdialog, Einstellungsdialog). Aus Gründen derÜbersichtlichkeit wird dies hier nicht aufgeführt.

Abbildung 6.3: Nach einem Klick auf den GO-Button wird der Browser mit der entspre-chenden URL gestartet. Das Passwort kann aus der Zwischenablageeingefügt werden.

42

6.1 BESCHREIBUNG VON PICPASS

Verschlüsselung in Picpass

generateKeyphrase()

Keyphrase

generateRandomHash()

Random Hash

Encrypted Hash

encrypt() storeMasterKey()

LoginActivity (MIBA Schema)

CryptoHelper

encrypted Entries

decrypt()

UserInput

decrypted Entries

Abbildung 6.4: Die Abbildung veranschaulicht die Erzeugung des Picpass Masterkeysund die Entschlüsselung der Einträge des Passwortsafes. Die gestrichel-ten Linien symbolisieren den Datenfluss und die durchgezogenen Linienden Kontrollfluss

Picpass verwendet AES-256 zur Verschlüsselung. Das MIBA System erzeugt anhandder Benutzereingabe einen Keyphrase. Der Keyphrase dient zur Verschlüssung eineszufällig generierten 256 Bit Hashes. Der unverschlüsselte Hash wird wiederum alsKeyphrase verwendet, um die einzelnen Einträge im Safe zu chiffrieren/dechiffrieren.Der beschriebene Vorgang wird in Abbildung 6.4 veranschaulicht. Ein Eintrag bestehthierbei aus einer URL, einem Benutzernamen und einem Passwort. Die verschlüsseltenEinträge und der verschlüsselte Hash werden in der SQLite Datenbank der Applikationgespeichert. Zur Verschlüsselung wurde die CryptoHelper.java Klasse von Steven Osborngenutzt [31].

43


6.2 Möglichkeiten der Browserintegration

Die verschiedenen Möglichkeiten, wie eine Applikation mit dem Browser interagierenkönnte, werden in diesem Kapitel noch etwas näher erläutert. Vorab sei gesagt, dass sichdieses Thema nur durch unschöne Umwege realisieren lässt, da der Android Browsereigentlich kein „richtiges“ Pluginkonzept unterstüzt. Mit „richtig“ ist gemeint, dass derAndroid Browser kein offenes Plugin-Konzept hat mit dessen Hilfe sich der Browserbeliebig erweitern oder anpassen ließe. Spezielle Programmerweiterungen, wie Flash,werden zwar unterstützt, aber nur weil der Android Browser hiefür extra angepasstwurde. Seit Android 2.3 (Gingerbread) unterstützt der Android Browser eine festeAnzahl an „Plugins“1, die über spezielle Object-Tags in eine HTML-Seite eingebettetwerden müssen. Mit diesen Object-Tags ist u.A. auch ein Zugriff auf den DOM-Baumeiner HTML-Seite möglich, wodurch sich Formularfelder ausfüllen ließen. Da sichjedoch das nachträgliche Hinzufügen dieser Object-Tags zu einer abgerufenen Webseiteals schwierig erweist, ist diese Methode nicht für Picpass relevant. Nachfolgend werdendie einzelnen Methoden erläutert, die sich für Picpass eignen würden.

Eine Möglichkeit wäre die Anpassung des Android Browsers. Der Android Browserist Opensource und könnte speziell für die Kommunikation mit externen Program-men, wie Picpass erweitert werden. Der Browser ist allerdings eine native Applikationund der Sourcecode lässt sich daher nicht mit dem Eclipse Android SDK kompilieren.Das komplette Entwicklungsenvironemnt nachzubilden, könnte sich aufgrund vonPacketabhängigkeit weiter erschweren. Außerdem bleibt noch die Frage der Kom-patibilität bei verschiedenen Android Versionen und einige Benutzer würden einemCustom-Browser nicht vertrauen.

Man könnte aber auch einen Browser verwenden, der ein offenes Plugin-Systemunterstützt. Der einzige Browser für Android, der beliebige Plugins unterstützt, istMozilla Firefox Mobile. Firefox Mobile unterstützt zwar Plugins auf Basis von XUL,CSS, JavaScript und XPCOM, diese können jedoch nicht mit anderen Activities Datenaustauschen.

Eine andere Notlösung, die viele Passwortsafes benutzen, ist die Android WebViewKlasse. Die Klasse dient eigentlich nur zum Anzeigen von HTML-Seiten. Die WebViewwird in die eigene Applikation aufgenommen und bildet einen Browser innerhalb dereigenen Applikation nach. Die WebView hat jedoch keinerlei Browserfunktionalitäten,wie beispielsweise eine Adressleiste, Lesezeichen oder Ähnlichem. Mittels eines „Javas-cript to Java Interfaces“ von Android lassen sich die Formularfelder in der Webviewausfüllen.

1Ein Demonstrationsprojekt namens BrowserPlugin gibt es im Android Source Code Verzeichnis(http://android.git.kernel.org) im development.git der Gingerbread Version.

44

6.2 MÖGLICHKEITEN DER BROWSERINTEGRATION

Das Problem der Browserintegration hat im Grunde jeder Passwortsafe. Deshalbwerden einige etablierte Methoden aus anderen Passwortsafes vorgestellt und mit Ver-besserungsvorschlägen angereichert. Der Android Passwortsafe LastPass [25] benutztJavascript Lesezeichen, um HTML Forms auszufüllen. Mann muss sich allerdingsvorher auf lastpass.com anmelden, bevor das Bookmarklet2 funktioniert. Das LastPassBookmarklet System kann allerdings in dieser Weise nicht für Picpass verwendetwerden. Wir wollen uns nicht auf einem Webserver mit einem Textpasswort anmelden,sondern das Multitouch Image Based Authentication System benutzen. Der Book-marklet Ansatz ließe sich jedoch wie folgt für Picpass anpassen. In Android ist esmöglich eigene URI-Schemen für Applikationen zu registrieren (z.B. picpass://) [19].Diese Technik wird zum Beispiel auch verwendet, um den Android Market über einenWebseitenlink zu starten. Wird solch eine registrierte URI angesprochen, wird dieentsprechende Applikation gestartet. Ein Bookmarklet könnte so genutzt werden, umPicpass mit der Information der momentan geöffneten Website zu starten. In Picpasskann die Webseite dann mittels einer WebView angezeigt werden und das Formularausgefüllt werden. Aber der Umweg über das Lesezeichen bleibt bestehen.

LastPass bietet jedoch noch eine andere Alternative an, um Zugriff auf Formular-felder zu erlangen. LastPass installiert im Android System eine eigene Soft-Tastatur.Bei jedem Klick in ein Eingabefeld öffnet sich dadurch eine von LastPass angepass-te Tastatur. Die proprietäre Tastatur hat einen Extrabutton, welcher Befehle an dieLastPass Activity schicken kann. Bei LastPass funktioniert jedoch das Ausfüllen vonBrowser-Formularen nicht, da LastPass nicht in der Lage ist, die geöffnete URL zuermitteln [24]. Weil Soft-Tastaturen keine nativen Android Anwendungen sind, son-dern lediglich Activities, lassen sie sich wie normale Applikationen programmierenund installieren (siehe Artikel [18]). Mit einer eigenen Soft-Tastatur Activity ließe sichdann eine Kommunikation mit der Picpass Activity bewerkstelligen (siehe Abbildung6.5). Auf die Soft-Tastatur wird ein zusätzlicher „Picpass-Button“ hinzugefügt. Wirdder Button gedrückt, so wird eine Anfrage nach einem Passwort und einem Benut-zernamen an die Picpass Activity gesendet. Die Antwort füllt die Tastatur Activityin das Formularfeld ein. Für welche Webseite Picpass die Zugangsdaten liefern soll,kann aus der BrowserHistory ausgelesen werden. Falls man in der Praxis vor hat denPasswortsafe für ein bestimmtes Zeitfenster von mehreren Minuten offen zu halten,sollten allerdings noch weiterführende Überlegungen/Recherchen angestrebt werden,damit nicht jede beliebige Applikation eine Passwortanfrage an Picpass stellen kann.

2Lesezeichen mit Javascript-Code

45


BrowserActivity TastaturActivityBenutzer PicpassActivity

Klick in Textfeld

Tastatur wird geöffnet

Klick Picpass Button

Benutzer und Passwort

History abfragen

URL

Passwort entschlüsseln

sendKeyEvent()

Passwortanfrage

Abbildung 6.5: Die Abbildung zeigt das Zusammenspiel zwischen Softtastatur, Browserund Picpass

46

7 Diskussion und Ausblick

Der ausführliche Vergleich mit bestehenden Passwortsystemen lieferte die Inspirati-on für ein neuartiges IBA System, das die Multitouch-Funktionalität von modernenSmartphones ausnutzt. Die Konzepte der bisherigen IBA Systeme wurden analysiertund teilweise in das MIBA Konzept aufgenommen. Die Umsetzung der aufgegriffenenKonzepte auf die Android Platform wurde beschrieben. Bei einer reinen Entropiebe-trachtung ist das MIBA System allen betrachteten bisherigen Systemen überlegen. DasMIBA Konzept hat bei gleicher Rundenanzahl eine höhere Entropie, als die vorge-stellten IBA Systeme ohne Multitouch. Wie die Tabelle 2.2 zeigt, sind bei MIBA amwenigsten Klicks notwendig, um die Entropie des Referenzpasswortes zu erreichen.Werden alle drei Runden ohne Shift ausgeführt, so sind drei „Klicks“ notwendig.Mit Shiftaktivierung in jeder Runde wären sechs „Klicks“ erforderlich. Zu beachtenist hierbei, dass jeder „Klick“ mit mehreren Fingern ausgeführt werden könnte. DieEingabeerkennung des vorgestellten MIBA Konzepts funktioniert zuverlässig. DasSystem ist robust gegen Fehleingaben und lässt eine Korrektur der Fingerstellungwährend der Eingabe zu. Das MIBA System wurde in ein Passwortverwaltungssystemintegriert. Zusammen bilden die zwei Komponenten die Applikation Picpass. DieGesamtapplikation reagiert ohne Verzögerungen auf Benutzereingaben.

In initialen Benutzertests auf Android Geräten wurde ermittelt, dass sich ein neun-stelliges Textpasswort mit Groß- und Kleinschreibung inkl. Sonderzeichen in durch-schnittlich 14 Sekunden eingeben lässt. Ein Picpass Passwort mit der gleichen Entropiehat vier Runden. Werden in den vier Runden, drei Runden mit Shift ausgeführt, sosind sieben Klicks notwendig. Für eine solche Eingabe sind 11 Sekunden mit MIBAerforderlich. Man beachte jedoch, dass eigentlich zu den 14 Sekunden noch die Zeit fürdas Tippen des Benutzernamens dazu gezählt werden müsste. Diese Zeitmessungensind jedoch nicht repräsentativ, bieten aber einen ersten Einblick in die Benutzbarkeitdes Verfahrens. Der Passwortsafe könnte auch für eine einstellbare Dauer geöffnetgehalten werden, damit sich der Benutzer in dieser Zeitspanne, auf mehreren Seiteneinloggen kann, ohne bei jedem Loginwunsch sein Picpass Passwort wiederholen zumüssen. Da bei manchen Fingerstellungen teilweise die komplette Hand über demDisplay ist, wird vermutet, dass das Verfahren gegen Shouldsurfing relativ resistentist.

7 DISKUSSION UND AUSBLICK

Die Usability und Merkbarkeit von MIBA Passwörtern sollte jedoch in einer Be-nutzerstudie genauer evaluiert werden. Als Indikator für die Merkbarkeit sollte derTest mit den gleichen Probanden zwei Wochen später erneut durchgeführt werden.Die Evaluation sollte sich zur besseren Vergleichbarkeit entweder an bereits durchge-führten Studien orientieren oder mehrere IBA Systeme mit der gleichen Metrik unter-suchen. Klassische Textpasswörter sollten ebenfalls in den Vergleich aufgenommenwerden. Als Indikatoren für die Usability können die Eingabezeit und die LoginrateAnzahl er f olgreicher Logins

Anzahl aller Logins herangezogen werden.

48

Danksagung

Vielen Dank an meinen Betreuer Florian Schaub für das aufmerksame Korrekturlesendieser Arbeit und die hilfreichen Verbesserungsvorschläge. Ohne Ihn wäre die Arbeitnicht so geworden, wie sie jetzt ist. Mein Dank gebührt auch Klaus Kammerer für dasDesign des Picpass Launcher Icons.

Literaturverzeichnis

[1] BITKOM: Smartphones erobern den Massenmarkt (Presseinfo TK- und Medi-enpolitik) - BITKOM. http://www.bitkom.org/de/presse/64255_62420.aspx.Version: 2010. – [Online: accessed 10-June-2011]

[2] Blonder, Greg: Graphical password. In: US Patent 5559961 04(1996), 1–8. http://www.google.com/patents?hl=en&lr=&vid=

USPAT5559961&id=x9sjAAAAEBAJ&oi=fnd&dq=Graphical+

passwords&printsec=abstract

[3] Brostoff, Sacha ; Sasse, M A.: Are Passfaces More Usable Than Passwords ? AField Trial Investigation. In: In McDonald S., et al. (Eds.), People and Computers XIV- Usability or Else, Proceedings of HCI 2000 (2000), S. 405–424

[4] Chiasson, Sonia: Usable Authentication and Click-Based Graphical Passwords, Carle-ton University (Canada), Ph.D. Thesis, 2009

[5] Chiasson, Sonia ; Forget, Alain ; Stobert, Elizabeth ; Oorschot, P. C. ; Bidd-le, Robert: Multiple password interference in text passwords and click-basedgraphical passwords. In: Proceedings of the 16th ACM conference on Computerand communications security - CCS ’09 (2009), 500. http://dx.doi.org/10.1145/1653662.1653722. – DOI 10.1145/1653662.1653722. ISBN 9781605588940

[6] Chiasson, Sonia ; Van Oorschot, P ; Biddle, Robert ; Biskup, Joachim(Hrsg.) ; López, Javier (Hrsg.): Graphical Password Authentication Using CuedClick Points. Springer Berlin / Heidelberg, 2007 (4734). – 359–374 S. http:

//dx.doi.org/10.1007/978-3-540-74835-9_24. http://dx.doi.org/10.1007/978-3-540-74835-9_24

[7] Citty, Jonathan ; Hutchings, Dugald R.: TAPI : Touch-screen Authenticationusing Partitioned Images / ELON UNIVERSITY. 2010. – Forschungsbericht

[8] Davis, D ; Monrose, F ; Reiter, Michael K.: On User Choice in GraphicalPassword Schemes. In: Proceedings of the 13th conference on USENIX SecuritySymposiumVolume 13 Bd. 21 USENIX, USENIX Association, 2004 (SSYM’04), 11Pages

http://www.bitkom.org/de/presse/64255_62420.aspx

http://www.google.com/patents?hl=en&lr=&vid=USPAT5559961&id=x9sjAAAAEBAJ&oi=fnd&dq=Graphical+passwords&printsec=abstract



http://dx.doi.org/10.1145/1653662.1653722

http://dx.doi.org/10.1145/1653662.1653722

http://dx.doi.org/10.1007/978-3-540-74835-9_24

http://dx.doi.org/10.1007/978-3-540-74835-9_24

http://dx.doi.org/10.1007/978-3-540-74835-9_24

http://dx.doi.org/10.1007/978-3-540-74835-9_24

LITERATURVERZEICHNIS

[9] De Angeli, Antonella ; Coutts, Mike ; Coventry, Lynne ; Johnson, Graham I.; Cameron, David ; Fischer, Martin H.: VIP. In: Proceedings of the WorkingConference on Advanced Visual Interfaces - AVI ’02. New York, New York, USA :ACM Press, 2002. – ISBN 1581135378, 316

[10] Dhamija, by R.: Deja Vu: A user study using images for authentication. In: Pro-ceedings of the 18th annual conference on Computer graphics and interactive techniques- SIGGRAPH ’91. New York, New York, USA : ACM Press, 1991 ( 102590), S. S.319–328

[11] Dirik, Ahmet E. ; Memon, Nasir ; Birget, Jean-Camille: Modeling user choice inthe PassPoints graphical password scheme. In: Proceedings of the 3rd symposiumon Usable privacy and security SOUPS 07 (2007). http://dx.doi.org/10.1145/

1280680.1280684. – DOI 10.1145/1280680.1280684. ISBN 9781595938015

[12] Dunphy, Paul ; Yan, Jeff: Do background images improve “draw a se-cret“graphical passwords? In: Proceedings of the 14th ACM conference on Computerand communications security CCS 07 (2007), 36. http://dx.doi.org/10.1145/

1315245.1315252. – DOI 10.1145/1315245.1315252. ISBN 9781595937032

[13] Gartner: Gartner Says Worldwide Mobile Phone Sales Grew 17 Per Cent in First Quar-ter 2010. http://www.gartner.com/it/page.jsp?id=1372013. Version: 2010. –[Online: accessed 10-June-2011]

[14] Gill, Charlotte: iPhone muggers cash in on craze as street thefts of smartphonesrise | Mail Online. http://www.dailymail.co.uk/news/article-1345904/

iPhone-muggers-cash-craze-street-thefts-smartphones-rise.html.Version: 2011. – [Online: accessed 10-June-2011]

[15] Goldberg, Joseph ; Hagman, Jennifer ; Sazawal, Vibha: Doodling our way tobetter authentication. In: CHI 02 extended abstracts on Human factors in computingsystems CHI 02 (2002). http://dx.doi.org/10.1145/506443.506639. – DOI10.1145/506443.506639. ISBN 1581134541

[16] Goldstein, A G. ; Chance, J E.: Visual recognition memory for complexconfigurations. In: Perception Psychophysics 9 (1970), Nr. 2, 237–241. http:

//dx.doi.org/10.3758/BF03212641. – ISSN 19433921

[17] Golofit, Krzysztof: Click Passwords Under Investigation. In: Compu-ter Security ESORICS 2007 (2007), 343–358. http://dx.doi.org/10.1007/

978-3-540-74835-9_23. – DOI 10.1007/978–3–540–74835–9_23

52

http://dx.doi.org/10.1145/1280680.1280684

http://dx.doi.org/10.1145/1280680.1280684

http://dx.doi.org/10.1145/1315245.1315252

http://dx.doi.org/10.1145/1315245.1315252

http://www.gartner.com/it/page.jsp?id=1372013

http://www.dailymail.co.uk/news/article-1345904/iPhone-muggers-cash-craze-street-thefts-smartphones-rise.html

http://www.dailymail.co.uk/news/article-1345904/iPhone-muggers-cash-craze-street-thefts-smartphones-rise.html

http://dx.doi.org/10.1145/506443.506639

http://dx.doi.org/10.3758/BF03212641

http://dx.doi.org/10.3758/BF03212641

http://dx.doi.org/10.1007/978-3-540-74835-9_23

http://dx.doi.org/10.1007/978-3-540-74835-9_23


[18] Google: Creating an Input Method. http://developer.android.com/resources/articles/creating-input-method.html. Version: 2011. – [Online: accessed 10-June-2011]

[19] Google: Intents and Intent Filters | Android Developers. http://developer.

android.com/guide/topics/intents/intents-filters.html. Version: 2011. –[Online: accessed 10-June-2011]

[20] Jansen, W A.: Picture password: a visual login technique for mobile devices.(2003). http://scholar.google.com/scholar?hl=en&btnG=Search&q=intitle:

Picture+Password+:#0

[21] Jermyn, Ian ; Mayer, Alain ; Monrose, Fabian ; Reiter, Michael K. ; Rubin,Aviel D.: The Design and Analysis of Graphical Passwords. In: Proceedingsof the 8th conference on USENIX Security SymposiumVolume 8 (1999), 1. http:

//dx.doi.org/10.1109/ICCIIS.2010.35. – DOI 10.1109/ICCIIS.2010.35

[22] Klein, Daniel V.: Foiling the Cracker: A Survey of , and Improvements to, Password Security. In: Proceedings of the 2nd USENIX Security Workshop(1990), 5–14. http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.

129.5012&rep=rep1&type=pdf

[23] Kot, Alex: An interactive and secure user authentication scheme for mobiledevices. In: 2008 IEEE International Symposium on Circuits and Systems (2008), Mai,Nr. 062, 2973–2976. http://dx.doi.org/10.1109/ISCAS.2008.4542082. – DOI10.1109/ISCAS.2008.4542082. ISBN 978–1–4244–1683–7

[24] LastPass: LastPass - Hilfe. http://lastpass.com/support.php?cmd=

showfaq&id=1176. Version: 2011. – [Online: accessed 10-June-2011]

[25] LastPass: LastPass - Password Manager, Formular ausfüller, Password Management.http://lastpass.com/. Version: 2011. – [Online: accessed 10-June-2011]

[26] Melcher, D: Persistence of visual memory for scenes - A medium-term memorymay help us to keep track of objects during visual tasks. In: Nature 412 (2001), Nr.6845, S. 401. – ISSN 00280836

[27] Mobbeel: Your passwords are not safe in Android. http://www.mobbeel.com/

your-passwords-are-not-safe-in-android/. Version: 2010. – [Online: acces-sed 10-June-2011]

[28] Nali, Deholo ; Thorpe, Julie: Analyzing user choice in graphical passwords /Carleton University, University of Ottawa. Version: 2004. http://dx.doi.org/10.1.1.85.998. Citeseer, 2004. – Forschungsbericht. – 1–6 S.

53

http://developer.android.com/resources/articles/creating-input-method.html

http://developer.android.com/resources/articles/creating-input-method.html

http://developer.android.com/guide/topics/intents/intents-filters.html

http://developer.android.com/guide/topics/intents/intents-filters.html

http://scholar.google.com/scholar?hl=en&btnG=Search&q=intitle:Picture+Password+:#0

http://scholar.google.com/scholar?hl=en&btnG=Search&q=intitle:Picture+Password+:#0

http://dx.doi.org/10.1109/ICCIIS.2010.35

http://dx.doi.org/10.1109/ICCIIS.2010.35

http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.129.5012&rep=rep1&type=pdf

http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.129.5012&rep=rep1&type=pdf

http://dx.doi.org/10.1109/ISCAS.2008.4542082

http://lastpass.com/support.php?cmd=showfaq&id=1176

http://lastpass.com/support.php?cmd=showfaq&id=1176

http://lastpass.com/

http://www.mobbeel.com/your-passwords-are-not-safe-in-android/

http://www.mobbeel.com/your-passwords-are-not-safe-in-android/

http://dx.doi.org/10.1.1.85.998

http://dx.doi.org/10.1.1.85.998


[29] Nielsen, Jakob: Usability Engineering. Morgan Kaufmann, 1993 http://www.

useit.com/jakob/useengbook.html. – ISBN 0125184050

[30] Oracle: Oracle and Passlogix. http://www.oracle.com/us/corporate/

Acquisitions/passlogix/index.html. Version: 2011. – [Online: accessed 10-June-2011]

[31] Osborn, Steven ; McEoin, Randy: Android Password Safe - Google Project Hosting.http://code.google.com/p/android-passwordsafe/. Version: 2009. – [Online:accessed 10-June-2011]

[32] Passfaces: Two Factor Authentication, Graphical Passwords - Passfaces. http://www.realuser.com/. Version: 2011. – [Online: accessed 10-June-2011]

[33] Ruef, Marc: Geschlechtsspezifische Passwortunsicherheiten. http://www.scip.ch/

?labs.20091120. Version: 2009. – [Online: accessed 10-June-2011]

[34] Spiegel: Jailbreakme.com: Web-Seite knackt iPhone-Sperre - SPIEGEL ONLINE - Nach-richten - Netzwelt. http://www.spiegel.de/netzwelt/gadgets/0,1518,709681,00.html. Version: 2010. – [Online: accessed 10-June-2011]

[35] Tao, Hai: Pass-Go , a New Graphical Password Scheme, University of Ottawa, Masterof Applied Science degree in Electrical and Computer Engineering, 2006

[36] Thorpe, Julie ; Oorschot, P C V.: Graphical dictionaries and the memorable spaceof graphical passwords. In: Proceedings of the 13th USENIX Security SymposiumUSENIX, USENIX Association, 2004 (SSYM’04)

[37] Thorpe, Julie ; Oorschot, P C V.: Human-seeded attacks and exploiting hot-spotsin graphical passwords. In: Proceedings of 16th USENIX Security (2007), 103–118.http://portal.acm.org/citation.cfm?id=1362911. ISBN 1113335555779

[38] Wiedenbeck, S ; Waters, J ; Birget, J ; Brodskiy, a ; Memon, N: PassPoints: Designand longitudinal evaluation of a graphical password system. In: InternationalJournal of Human-Computer Studies 63 (2005), Juli, Nr. 1-2, 102–127. http://dx.doi.org/10.1016/j.ijhcs.2005.04.010. – DOI 10.1016/j.ijhcs.2005.04.010. – ISSN10715819

54

http://www.useit.com/jakob/useengbook.html

http://www.useit.com/jakob/useengbook.html

http://www.oracle.com/us/corporate/Acquisitions/passlogix/index.html

http://www.oracle.com/us/corporate/Acquisitions/passlogix/index.html

http://code.google.com/p/android-passwordsafe/

http://www.realuser.com/

http://www.realuser.com/

http://www.scip.ch/?labs.20091120

http://www.scip.ch/?labs.20091120

http://www.spiegel.de/netzwelt/gadgets/0,1518,709681,00.html

http://www.spiegel.de/netzwelt/gadgets/0,1518,709681,00.html

http://portal.acm.org/citation.cfm?id=1362911

http://dx.doi.org/10.1016/j.ijhcs.2005.04.010

http://dx.doi.org/10.1016/j.ijhcs.2005.04.010

NAME: DANIEL RITTER MATRIKELNUMMER: 656147

Erklärung

Ich, Daniel Ritter, Matrikelnummer 656147, erkläre, dass ich die Arbeit selbständigverfasst und keine anderen als die angegebenen Quellen und Hilfsmittel verwendethabe.

Ulm, den . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Daniel Ritter

55

Documents

Bildbasierte Zugriffskontrolle für Passwortverwaltungssysteme auf mobilen Geräten Bachelorarbeit an der Universität Ulm