• 제목/요약/키워드: Shoulder-surfing Attack

검색결과 43건 처리시간 0.019초

Security Analysis of Partially Hidden Password Systems Resistant to Shoulder Surfing Attacks

  • Seong, Jin-Taek
    • 한국정보전자통신기술학회논문지
    • /
    • 제13권1호
    • /
    • pp.17-26
    • /
    • 2020
  • As more users use mobile devices, shoulder surfing attacks have emerged as an important issue in security. According to research report, in fact, the result showed that about 30% of smartphone users are hit by shoulder surfing attacks. To this end, in this paper, we consider a shoulder surfing attack and propose a partially hidden password system to resistant to its attack. In order to help readers understand, we describe the proposed password system in more detail using one simple example. The core idea behind the proposed system is to place the user's password randomly in the specified grid instead of entering a password directly. As a result, even if an attacker makes a shoulder surfing attack to observe the password, the user can hide the preset password and defend against the attack. We also show how the security of the password system proposed in this paper is improved. In addition, even if there are consecutive shoulder surfing attacks, the security of the proposed password system is robust.

비밀번호 훔쳐보기로부터 안전한 기술을 내장시킨 비밀번호 입력기의 설계 및 구현 (Design and Implementation of Pinpad using Secure Technology from Shoulder Surfing Attack)

  • 강문설;김용일
    • 정보처리학회논문지D
    • /
    • 제17D권2호
    • /
    • pp.167-174
    • /
    • 2010
  • 비밀번호를 입력하는 과정에서 가장 큰 보안 위협은 비밀번호를 훔쳐보는 것이다. 비밀번호 훔쳐보기는 비밀번호를 입력하는 과정을 옆에서 지켜보고 비밀번호를 획득하려고 하는 행위로서 비밀번호를 획득하는 가장 전통적인 방법이며 강력한 보안 위협이다. 본 논문에서는 인지심리학에 기초한 비밀번호 훔쳐보기로부터 안전한 기술인 역동 인증 체계(DAS)라 불리는 비밀번호 입력 기술을 제안하였다. 그리고 제안한 역동 인증 체계의 비밀번호 훔쳐보기에 대한 안전성을 직관적인 관점, 훔쳐보기 실험, 이론적인 분석으로 구분하여 검증하였다. 비밀번호 훔쳐보기로부터 안정성이 입증된 역동 인증 체계를 내장시킨 비밀번호 입력기를 설계하여 구현하였다. 구현한 비밀번호 입력기는 일반 패스워드 입력방식 보다 훔쳐보기 공격자의 비밀번호 획득 확률을 현저하게 낮출 수 있으므로 은행에서 운영하는 금융자동화기기에 적용 및 운영되기에 적합한 것으로 평가를 받아 금융기관에서 도입하여 활용되고 있다.

사회 공학적 공격에 대응하는 색 기반 스마트폰 가상 키보드 (Virtual Keyboard against Social Engineering Attacks in Smartphones)

  • 최동민;백철헌;정일용
    • 한국멀티미디어학회논문지
    • /
    • 제18권3호
    • /
    • pp.368-375
    • /
    • 2015
  • Nowaday, financial institutions provide secure mobile keyboard solutions to keep their mobile banking services safe. However, these are still vulnerable to attacks, such as shoulder surfing attack. Especially, in the case of handicapped person such as visual impairment and blindness, they are more vulnerable than ordinary person because of inconvenience of secure information input. Among them, we focused on the color blind. For the color blind, 4-color based secure keyboard method causes more inconvenience to notify exact color. Thus, we propose a secure mobile keyboard solution to provide advanced functionality for the color blind users. Our method is based on 4-color theorem to support color blind users. In addition, our scheme is robust against shoulder surfing attack. According to the evaluation result, our method offers increased security against shoulder surfing attack compare with existing methods.

Secure Human Authentication with Graphical Passwords

  • Zayabaatar Dagvatur;Aziz Mohaisen;Kyunghee Lee;DaeHun Nyang
    • Journal of Internet Technology
    • /
    • 제20권4호
    • /
    • pp.1247-1260
    • /
    • 2019
  • Both alphanumeric and graphical password schemes are vulnerable to the shoulder-surfing attack. Even when authentication schemes are secure against a single shoulder-surfing attack round, they can be easily broken by intersection attacks, using multiple shoulder-surfing attacker records. To this end, in this paper we propose a graphical password-based authentication scheme to provide security against the intersection attack launched by an attacker who may record the user's screen, mouse clicks and keyboard input with the help of video recording devices and key logging software. We analyze our scheme's security under various threat models and show its high security guarantees. Various analysis, usability studies and comparison with the previous work highlight our scheme's practicality and merits.

어깨너머공격 모델링 및 보안 키패드 취약점 분석 (Shoulder Surfing Attack Modeling and Security Analysis on Commercial Keypad Schemes)

  • 김성환;박민수;김승주
    • 정보보호학회논문지
    • /
    • 제24권6호
    • /
    • pp.1159-1174
    • /
    • 2014
  • 스마트폰, 태블릿 PC와 같은 스마트 기기들의 사용이 증가하면서 애플리케이션을 이용한 금융 업무 등 중요 업무를 해당 스마트 기기를 이용하여 처리하는 경우가 많아지고 있으며, 이러한 정보를 획득 할 수 있는 여러 공격들이 존재하고 있다. 그 중 사회공학기법인 어깨너머공격은 해킹 기술과 같은 특정 컴퓨터 기술 없이도 직접적으로 정보를 획득할 수 있어 강력한 공격 방법으로 꼽힐 수 있다. 그러나 지금까지의 어깨너머공격은 사용자 모르게 정보를 엿보는 행위라는 단순한 정의밖에 존재하지 않았다. 또한, 국제표준인 공통평가기준(CC)의 공통평가방법론(CEM)에서 제공하는 attack potential 방법론은 어깨너머공격에 대한 내성을 정량적으로 나타내지 못하는 한계를 가지고 있다. 이에 본 연구에서는 어깨너머공격에 필요한 공격조건들을 나열하고 공통평가기준에서 제공하는 공격 성공 가능성(attack potential)의 방법론을 차용하여 어깨너머공격까지 공격 성공 가능성을 계산할 수 있도록 이를 포함할 수 있는 공격성공 가능성을 제안한다. 더불어, 현재 스마트 기기들에 제공되고 있는 모바일뱅킹 애플리케이션의 보안 키패드인 쿼티키패드와 숫자 키패드의 안전성을 분석하고 공격 시나리오를 기반으로 하여 현재 제공되고 있는 모바일뱅킹 애플리케이션들의 어깨너머공격에 대한 공격 성공 가능성을 알아본다.

Shoulder Surfing 공격을 고려한 패스워드 입력 시스템 구현 및 통계적 검증 (Designing Password Input System Resistant on Shoulder Surfing Attack with Statistical Analysis)

  • 임수민;김형중;김성기
    • 전자공학회논문지
    • /
    • 제49권9호
    • /
    • pp.215-224
    • /
    • 2012
  • 사용자 인증을 위해 패스워드를 사용하는 것은 구성이 간단하고 인증 과정에서 걸리는 시간이 비교적 짧기 때문에 사용성이 높은 암호시스템이다. PC, 스마트 폰, 태블릿 PC등 다양한 입력 디바이스에서의 활용성이 높은 반면 패스워드를 입력하는 과정에서 공격자에게 패스워드가 노출될 물리적인 위험이 존재하는데 이것을 일컬어 Shoulder Surfing 공격이라 한다. 패스워드의 형태는 과거보다 조금 더 복잡해진 문자형 패스워드를 비롯해 최근에는 이미지를 이용하거나 시나리오를 활용하는 등 사용자의 의도가 반영된 패스워드가 개발되고 있다. 다양한 패스워드가 개발되면서 사용자 중심으로의 사용가능성과 보편성에 대한 평가 기준에 대한 연구가 부진 하다. 본 논문 에서는 간단한 이미지를 이용한 패스워드 시스템과 자판 변환이 가미된 입력 시스템을 구현한 후 해당 입력 시스템의 사용가능성을 통계적인 방법을 이용하여 검증해보고자 하였다.

Secure Password-based Authentication Method for Mobile Banking Services

  • Choi, Dongmin;Tak, Dongkil;Chung, Ilyong
    • 한국멀티미디어학회논문지
    • /
    • 제19권1호
    • /
    • pp.41-50
    • /
    • 2016
  • Moblie device based financial services are vulnerable to social engineering attacks because of the display screen of mobile devices. In other words, in the case of shoulder surfing, attackers can easily look over a user's shoulder and expose his/her password. To resolve this problem, a colour-based secure keyboard solution has been proposed. However, it is inconvenient for genuine users to verify their password using this method. Furthermore, password colours can be exposed because of fixed keyboard colours. Therefore, we propose a secure mobile authentication method to provide advanced functionality and strong privacy. Our authentication method is robust to social engineering attacks, especially keylogger and shoulder surfing attacks. According to the evaluation results, our method offers increased security and improved usability compared with existing methods.

개인식별번호 입력 방식들에 대한 사용편의성 비교 (Usability Comparison between PIN entry schemes)

  • 김창순;송정은;이문규
    • 한국HCI학회:학술대회논문집
    • /
    • 한국HCI학회 2009년도 학술대회
    • /
    • pp.34-39
    • /
    • 2009
  • 현금 인출기를 통해 돈을 인출할 때나 핸드폰의 잠금 설정을 할 때 사용하는 네 자리 숫자를 이용한 비밀 번호 또는 개인 식별번호 입력 방법은 일상생활에서 널리 사용되고 있다. 하지만 숫자를 직접 입력하는 현재의 방법은 shoulder surfing attack(SSA)에 안전하지 않다. 본 논문에서는 SSA에 안전하면서도 누구나 쉽게 사용할 수 있는 새로운 PIN(Personal Identification Number) 입력방법들을 제안하고, 이들 방법과 기존 방법의 안전성과 편의성을 비교한다.

  • PDF

입력시간을 측정하는 쓰레드를 활용한 패턴 잠금 보안 강화 구현 (Implement pattern lock security enhancement using thread to measure input time)

  • 안규황;권혁동;김경호;서화정
    • 한국정보통신학회논문지
    • /
    • 제23권4호
    • /
    • pp.470-476
    • /
    • 2019
  • 스마트폰에 적용된 패턴 잠금 기법 같은 경우 많은 사람들이 편리하게 사용하는 잠금 기법이다. 그러나 많은 사람들이 사용하는데 비해 패턴 잠금 기법에 대한 안전성은 정말 낮다. 패턴 잠금 기법은 사용자가 입력하는 드래그 방식을 어깨의 움직임을 보고 유추할 수 있는 shoulder surfing attack에 취약하며, 핸드폰 패드에 남아있는 지문 드래그 자국에 의해 smudge attack 또한 취약하다. 따라서 본 논문에서는 해당 취약점을 보안하기 위해 패턴 잠금 기법에 쓰레드를 활용하여 눌리는 시간을 체크하는 새로운 보안 방식을 추가하고자 한다. 각 점에서의 누른 시간에 따라 short, middle, long click으로 나누어지고, 그 방법을 사용하여 드래그하면 보안 성능이 $3^n$배 향상된다. 따라서 같은 'ㄱ' 방식으로 드래그 하더라도 각 점마다 누르는 시간에 따라 완전히 다른 패턴이 된다.

Hidden Indicator Based PIN-Entry Method Using Audio Signals

  • Seo, Hwajeong;Kim, Howon
    • Journal of information and communication convergence engineering
    • /
    • 제15권2호
    • /
    • pp.91-96
    • /
    • 2017
  • PIN-entry interfaces have high risks to leak secret values if the malicious attackers perform shoulder-surfing attacks with advanced monitoring and observation devices. To make the PIN-entry secure, many studies have considered invisible radio channels as a secure medium to deliver private information. However, the methods are also vulnerable if the malicious adversaries find a hint of secret values from user's $na{\ddot{i}}ve$ gestures. In this paper, we revisit the state-of-art radio channel based bimodal PIN-entry method and analyze the information leakage from the previous method by exploiting the sight tracking attacks. The proposed sight tracking attack technique significantly reduces the original password complexities by 93.8% after post-processing. To keep the security level strong, we introduce the advanced bimodal PIN-entry technique. The new technique delivers the secret indicator information through a secure radio channel and the smartphone screen only displays the multiple indicator options without corresponding numbers. Afterwards, the users select the target value by following the circular layout. The method completely hides the password and is secure against the advanced shoulder-surfing attacks.