Analysis on Vulnerability of Password Entry Using Virtual Onscreen Keyboard

It is a well-known fact that password based authentication system has been threatened for crucial data leakage through monitoring key log. Recently, to prevent this type of attack using keystroke logging, virtual onscreen keyboards are widely used as one of the solutions. The virtual keyboards, however, also have some crucial vulnerabilities and the major weak point is that important information, such as password, can be exposed by tracking the trajectory of the mouse cursor. Thus, in this paper, we discuss the vulnerabilities of the onscreen keyboard, and present hypothetical attack scenario and a method to crack passwords. Finally to evaluate the performance of the proposed scheme, we demonstrate an example experiment which includes attacking and cracking by utilizing password dictionary and analyze the result.

가상 온스크린 키보드를 이용한 비밀번호 입력의 취약점 분석

패스워드 기반 인증 시스템은 키 로그 모니터링을 통한 정보 유출 사고에 위협받아 왔다. 최근, 이를 예방하기 위한 한 방안으로 화면 상 가상 키보드를 이용한 키 로깅 방지 방법이 널리 사용되고 있다. 그러나 이러한 가상 키보드 또한 중대한 취약점을 내포하고 있으며, 그 중 대표적인 약점은 마우스 커서의 자취 추적을 통해 쉽게 비밀번호와 같은 주요 정보가 드러날 수 있다는 점이다. 이에 본 논문에서는 가상 키보드의 취약점을 확인하고, 이를 공격할 수 있는 가상의 공격 시나리오와 패스워드를 도출하는 방법을 제시했다. 이 논문에서 제안하는 기법의 성능 입증을 위한 예시로, 한 가상 키보드에 대한 공격과 패스워드 딕셔너리를 이용한 크래킹 실험을 진행하였고, 그 결과를 분석하였다.