bilgiz.org

Kullanılabilir Güvenlik ve Grafik Parolalar Ülkü Arslan Aydın1, 2, Cengiz Acartürk1

  • Anahtar Sözcükler
  • 2. Kimlik Doğrulama Yöntemleri
  • 3. Kullanılabilirlik – Güvenlik İkilemi
  • Şekil 1
  • Şekil 2
  • Şekil 3
  • Şekil 5
  • Şekil 6
  • Grafik Parolaların Güvenlik Açısından Değerlendirilmesi
  • Grafik Parolaların Kullanılabilirlik Açısından Değerlendirilmesi
  • Metrikler Özellikler Grafik Parola Özellikleri Etkinlik
  • Verimlilik Gerçek dünyada kullanım Uygulanabilir Kullanıcı



  • Tarih27.12.2017
    Büyüklüğü71.8 Kb.

    Indir 71.8 Kb.

    Kullanılabilir Güvenlik ve Grafik Parolalar
    Ülkü Arslan Aydın1, 2, Cengiz Acartürk1

    1 Orta Doğu Teknik Üniversitesi, Enformatik Enstitüsü, Bilişsel Bilimler, Ankara

    2 Sermaye Piyasası Kurulu, Bilgi İşlem İstatistik ve Enformasyon Dairesi, Ankara

    ulku.arslan@spk.gov.tr, acarturk@metu.edu.tr


    Özet: Güvenli parolaların genel olarak zor hatırlanabilir olması, kolay ezberlenebilir parolaların ise güvenlik açısından zayıf olması, güvenlik ve kullanılabilirliğin aynı anda sağlanabilmesi konusundaki güçlüklere işaret eder. İnsanların resim hafızasının, kelime ve sayılara göre daha kalıcı olduğunu gösteren çalışmalar ışığında, kullanılabilir güvenliği sağlamak amacıyla, grafik parolalar metin tabanlı parolalara alternatif bir yöntem olarak değerlendirilmektedir. Bu çalışmada, günümüzde kullanılan grafik parola yöntemleri sunulmuş, bu yöntemler güvenlik ve kullanılabilirlikleri yönünden değerlendirilmiştir.
    Anahtar Sözcükler: Kullanılabilir güvenlik, Kimlik doğrulama teknikleri, Grafik parolalar.
    Abstract: The fact that secure passwords are hard to remember and easy-to-remember passwords are less secure points to difficulties in satisfying security and usability simultaneously. Under the framework of the studies showing that retention is stronger in favor of pictures rather than words and numbers in humans, graphical passwords are considered as an alternative method to text based passwords. In this study, recent methods for graphical passwords are presented, and those methods are evaluated with respect to security and usability.



    1. Giriş
    Güvenlik sistemlerinden beklenen iki temel işlev, yetkili kullanıcıların sisteme girişini sağlamak ve yetkisiz kullanıcıları sistemden uzak tutmaktır. Bu işlevlerin yerine getirilmesi için üç aşamalı bir erişim süreci geliştirilmiştir:
    1. Kimlik tanımlama (ing. identification)

    2. Kimlik doğrulama (ing. authentication)

    3. Yetkilendirme (ing. authorization)
    Kimlik tanımlama aşamasında kullanıcı akıllı kart, manyetik kart, hesap numarası gibi erişim araçları ile sisteme kimliğini bildirir. Birinci aşamanın ardından gelen kimlik doğrulama aşamasında kullanıcı parola, sertifika ile veya biyometrik (örn., parmak izi veya göz retina taraması gibi) yöntemlerle bildirilen kimliğin kendisine ait olduğunu ispatlamaya çalışır. Son aşama olan yetkilendirme aşamasında ise kullanıcının sistem üzerinde hangi yetkilere sahip olduğu belirlenir [1]. Bu makalede özellikle ikinci aşama üzerinde durulacak, kimlik doğrulama yöntemleri güvenlik ve kullanılabilirlik açısından ele alınacaktır.
    2. Kimlik Doğrulama Yöntemleri
    Kimlik doğrulama yöntemleri üç temel grup altında incelenebilir [2].
    1. Kullanıcının neye sahip olduğu (Token based authentication)

    2. Kullanıcının kim olduğu (Biometric authentication)



    3. Kullanıcının ne bildiği (Knowledge based authentication)
    Kullanıcının neye sahip olduğunu temel alan yöntemlerde kullanıcı akıllı kart ya da program kilidi (ing. dongle) gibi kendine özel fiziksel bir nesne ile kimliğini doğrular. Kullanıcının kim olduğunu temel alan yöntemler ise kullanıcı kimliğini kendisinin ayrılmaz bir parçası olan biyometriği (parmak izi, irisi retina, DNA gibi) ile doğrular [3]. Son olarak, kullanıcının bilgisini temel alan yöntemler, kullanıcı kimliğini sadece kullanıcı tarafından bilindiği varsayılan kullanıcı parolası veya PIN gibi erişim yolları ile denetleyerek doğrular. Bazı güvenlik sistemleri birden fazla kimlik doğrulama yöntemini bir arada kullanır. Örneğin ATM sistemleri erişim amacıyla kullanıcıdan hem banka kartını (birinci yöntem) hem PIN numarasını (üçüncü yöntem) kullanmasını talep etmektedir.
    Günümüzde en sık kullanılan kimlik doğrulama yöntemi kullanıcı bilgisine dayalı olan üçüncü yöntemdir (kısaca parola yöntemi). Kullanıcının kim olduğu bilgisine dayalı biyometrik kimlik doğrulama sistemleri de, donanımsal maliyetlerin düşmesine bağlı olarak kullanım yaygınlığını artırmaktadır. Biyometrik yöntemlerin avantajları temel olarak kişiye özel ve biricik olması, kullanıcıyı parola bilgisini hatırlamak ya da akıllı kart benzeri bir fiziksel nesneyi taşımak zorunda bırakmamasıdır. Bununla birlikte kişiye özel biyometrik verilerin bazılarının kopyalanabilir olması, mahremiyeti ortadan kaldırması ve fiziksel engelli/ayrıcaklı kullanıcılarda bulunmuyor olması hem güvenlik açısından hem de sosyal faktörler göz önüne alındığında önemli birer sorun olarak ortaya çıkmaktadır [4]. Özetle biyometrik sistemler, kullanım amaçlarına ve alanlarına bağlı olarak kısıtlı düzeyde kullanıcı memnuniyeti sağlama potansiyeline sahiptir [5]. Sonuç olarak parola yönteminin uzun süre daha yaygınlığını koruması beklenmektedir [6].
    3. Kullanılabilirlik – Güvenlik İkilemi
    Kullanılabilirlik açısından bakıldığında kimlik doğrulama yöntemi olarak parola yöntemi için belirleyici faktör, sistemin kolay kullanılabilirliği yanında kullanılan parolaların kolay hatırlanabilir olması gerektiğidir. Diğer yandan, güvenlik açısından parolaların kolay tahmin edilemiyor olması gerekmektedir [7] [8]. Bu durum, parola yönteminde kullanılabilirlik ve güvenlik arasında bir ikilem (ing. dilemma) olduğunu ifade etmektedir. Diğer bir deyişle, güvenli parolalar aynı zamanda zor hatırlanabilir parolalar olmakta, kolay ezberlenebilir parolalar ise güvenlik açısından zayıf parolalar olmaktadır [9].
    Bunun yanında, güvenlik sistemlerinde kullanıcı ve sistem arasında çift yönlü bir ilişki vardır. Sistem tasarımı, kullanıcının sistemi kullanımını etkilerken, kullanıcının davranışları da sistemin güven(ilir)liğini etkiler [10]. Örneğin kullanılabilirlik – güvenlik ikileminin kullanılabilirlik ucunda kullanıcılar alfabenin ilk harflerini, sırasıyla rakamları ya da ad, soyad, doğum tarihi gibi kişisel bilgileri parola olarak seçerek, diğer uçta ise ezberlenemeyecek zorlukta parolaları yazılı olarak saklayarak erişim güvenliğini tehlikeye atmaktadırlar [6][10]. Sonuç olarak, nihai bir hedef olarak belirlenebilecek olan kullanılabilir güvenlik, kullanılabilirlik ve güvenlik kavramlarının birbirleriyle çelişen yapısı nedeniyle erişilmesi güç bir hedeftir.
    Kullanılabilir güvenlik hedefine erişebilmek amacıyla gerçekleştirilen çalışmaların bir bölümü kimlik doğrulama aşamasının geliştirilmesini hedef almaktadır [11]. Kimlik doğrulama aşamasının hem kullanılabilirlik hem güvenlik açısından geliştirmenin yollarından, diğer bir deyişle parola yönteminde karşılaşılan kullanılabilirlik - güvenlik ikileminin çözüm yollarından birisi sisteme erişim için metin tabanlı (alfanümerik) parolalar yerine grafik tabanlı parolaların kullanılmasını sağlamaktır. Aşağıda metin tabanlı parolalara alternatif olarak geliştirilen grafik tabanlı parolalarla ilgili güncel durum tanıtılmakta, grafik tabanlı parolaların kullanılabilirlik ve güvenlik açısından değerlendirilmesi için kullanılan yöntemler sunulmaktadır.
    4. Grafik Parolalar
    Son yıllarda resim tabanlı grafik parolalar üzerinde yapılan çalışmalar artmasının temel nedeni grafik işlemcilerle ilgili teknolojik gelişmelerin yanında insanların resim hafızasının kelime ve sayı hafızasına oranla daha kalıcı olduğunu gösteren çalışmaların varlığıdır (örn. [12]).
    Günümüzde metin tabanlı parolalar daha sık kullanılmakla birlikte [13] bilişsel bilimler ve psikoloji alanında gerçekleştirilen çalışmalar insanların resimleri, hafızada kodlama, depolama ve geri çağıma işlemleri açısından metinlere kıyasla daha kolay işlediklerini göstermektedir (picture superiority effect). Bu nedenle insanların resimleri kelimelere oranla daha uzun süre hatırlama eğilimleri vardır [12][14]. Bunun yanında görsel hafıza, anlamsal (ing. semantic) veya söz dizimsel (ing. syntactic) hafızaya oranla yaşlanmadan daha az etkilenir [15]. Bu bulgular ışığında grafik parolalar hem kullanılabilirlik hem de güvenlik açısından metin tabanlı parolalara alternatif olarak değerlendirilmektedir [7].
    Grafik parolalar, mevcut literatürde, kullanıcının önceden bildiği bir grafik parola ile sisteme erişim sağlarken gerçekleştirdiği zihinsel aktivite türüne göre üç tür altında incelenebilmektedir [9][16][17].
    Geri Çağırma (ing. Recall)

    Bu yöntemde kullanıcı parolasını tam olarak hatırlamalı ve aynısını üretmelidir. Bu yönüyle geri çağırma tabanlı parolalar metin tabanlı parolalara en çok benzeyen yaklaşım olarak kabul edilir [9]. Bilinen en yaygın iki yöntem DAS ve Passdoodle olarak adlandırılan yöntemlerdir.


    DAS (Draw a Secret): Bu yöntemde kullanıcı fare yardımıyla 2D ızgara (ing. grid) üzerinden parola oluşturur ve sisteme giriş yapabilmek için ızgara üzerinde aynı yolu çizmelidir [18].


    Şekil 1: DAS (Draw a Secret) yöntemi [18].
    Passdoodle: Bu yöntemde kullanıcılar dokunmatik ekranlar üzerinde kendi el yazılarıyla parolalarını oluştururlar [19].


    Şekil 2: Passdoodle yöntemi [19].

    Her iki yöntemde de kullanıcıların oluşturulan parolaları tam olarak ezberlemesi beklenmektedir.


    Hatırlama (ing. Recognition)

    Hatırlama yöntemi, insanların çok kısa süreli görmüş olsalar dahi resimleri hatırlama yeteneğine dayanır [20]. Hatırlama yöntemini kullanan en yaygın iki yöntem Déjà vu ve Pass Faces olarak adlandırılan yöntemlerdir.


    Déjà vu: Bu yöntemde kullanıcı kendisine sunulan çok sayıdaki resimden istediklerini seçerek parolasını oluşturur ve sisteme erişim sağlayabilmek için ilgisiz resimlerle birlikte sunulan resim kümesinden önceden seçtiği resimleri hatırlaması gerekir [21].


    Şekil 3: Déjà vu yöntemi [21].
    Pass Faces: Bu yöntemde kullanıcı dört tur halinde, kendisine sunulan yüz resimlerinden her defasında birisini seçerek parolasını oluşturur [22].


    Şekil 4: Pass faces yöntemi [22].
    Hatırlama yöntemlerinde kullanıcının grafik parolayı tamamen ezberlemesi beklenmez ancak kendisine eşzamanlı olarak ya da sırayla gösterilen resimleri hatırlaması beklenir.
    İpucuyla Geri Çağırma (ing. Cued Recall)

    Bu yöntemde kullanıcı verilen ipucu yardımıyla geri çağırmakta zorlandığı bilgiye ulaşabilir. Bilinen iki türü Blonder ve PassPoint yöntemleridir.


    Blonder: Bu yöntem fare ile tıklama tabanlı bir grafik parola yöntemidir. Kullanıcı verilen resimdeki önceden belirlenmiş seçilebilir bölgelerden istediklerini seçerek parolasını oluşturur [23].


    Şekil 5: Blonder yöntemi [23].
    PassPoint: Bu yöntem temel olarak Blonder yöntemindeki parola uzayını büyüterek kullanan bir grafik parola oluşturma yöntemidir [7].


    Şekil 6: PassPoint yöntemi [7].

    5. Grafik Parola Oluşturma Yöntemlerinin Değerlendirilmesi
    Bilişsel bilimler ve psikoloji yaklaşımları çerçevesinde geri çağırma ve hatırlama aktiviteleri genellikle birbirinden ya zorluk derecesi açısından ya da tamamen farklı zihinsel aktiviteler olarak kabul edilmektedir. Bununla birlikte genel olarak geri çağırmanın hatırlamaktan daha zor bir aktivite olduğu kabul edilmektedir [24]. Bu nedenle hatırlamaya dayalı parolalar geri çağırmaya dayalı olanlara oranla daha çok tercih edilmektedir. Aşağıdaki iki bölümde grafik parolaların güvenlik ve kullanılabilirlik açısından değerlendirilmesi sunulmuştur.
    Grafik Parolaların Güvenlik Açısından Değerlendirilmesi

    Grafik parolalardaki güvenlik testleri daha çok parola uzayının büyüklüğüne bağlı olarak ve olası tehditlerin tanımsal bilgilerine dayanarak yapılmaktadır. Kimi saldırılar bu amaçla hazırlanmış programlar tarafından, kimileri de kötü niyetli kullanıcılar tarafından gerçekleştirilmektedir. Grafik parolalar için güvenlik açısından olası tehditleri şu şekilde özetleyebiliriz [16] [25].


    Sözlük Saldırısı (ing. Dictionary Attack): Sözlük saldırısı yönteminde saldırgan program deneme yanılma yoluyla kullanıcının parolasını bulmaya çalışır. Denemeler ise önceden tanımlanmış, olası parolalardan oluşan sözlükler üzerinden yapılır. Yapılan çalışmalar, simetrik resimlerin asimetrik resimlerden daha iyi hatırlanması ve DAS yöntemi ile oluşturulan parolaların genellikle simetrik olması nedeniyle, DAS yönteminin sözlük saldırısına karşı savunmasız olabileceğini göstermiştir [26]. Öte yandan hatırlamaya ve ipucuyla hatırlamaya dayalı yöntemlerde (örn., Déjà vu, Blonder) parola, fare ile tıklanarak seçildiğinden, sözlük saldırısı oluşturmak göreceli olarak daha zordur. Ancak düşük başarı oranlarında olsa da istisnaları da mevcuttur. Örneğin PassFaces yönteminde kişilerin kendileriyle benzer görünüşe sahip yüzleri tercih etme eğilimleri ve PassPoint yönteminde göze çarpan, parlak, merkezde ve anlamlandırılabilir bölgelerin daha sık seçilmesi, bu yöntemleri sözlük saldırısına açık hale getirmektedir [26] [27]. Bununla birlikte genel olarak, grafik parolaların metin tabanlı parolalara oranla bu saldırı türüne daha dayanıklı olduğu savunulur [16] [25].
    Kaba Kuvvet Saldırısı (ing. Brute Force): Saldırgan program gerçek bir kullanıcı gibi davranır ve verilen grafikte doğru parolayı oluşturmak için gerekli seçim işlemlerini yaparak sisteme giriş yapmaya çalışır. Sözlük saldırısından farkı, bu yöntemde olası parolalardan oluşan bir sözlük kullanılmamasıdır; bunun yerine tüm parola uzayı denenir. Geri çağırma yöntemlerinin parola uzayı, hatırlama ve ipucuyla geri çağırma yöntemlerinden daha büyüktür. Bu nedenle bu saldırı tipine en dayanıklı yöntem geri çağırmaya dayalı olanlardır[2]. Diğer yandan, grafik parolalardaki parola uzayının genellikle metin tabanlı parolalara göre daha büyük olması nedeniyle de grafik parolaların metin tabanlı parolalara oranla bu saldırı türüne daha dayanıklı olduğu savunulmaktadır [16] [25].
    Tahmin etme (ing. Guessing): Bu saldırı tipinde saldırgan parolanın kullanıcı tarafından kolayca hatırlanabilecek parçalardan oluştuğunu varsayarak denemeler yapar. Metin tabanlı parolalarda daha çok ad, soyad doğum tarihi gibi kişisel bilgiler tahmin edilmeye çalışılır. Grafik parolalarda ise kullanıcıların daha kolay hatırlayabilmek için W veya S şekillerini oluşturacak şekilde örüntülü seçimler yapmış olma olasılığı değerlendirilir [16] [9] [25]. Grafik parolalar da, metin tabanlı parolalar gibi tahmine dayalı saldırı türüne açıktır [28] [29].
    Casus Yazılım (ing. Spyware): Casus yazılımlar kullanıcının izni ve bilgisi olmadan bilgisayara yüklenir ve arka planda çalışarak kullanıcının kişisel ve özel bilgilerini toplar. Grafik parolalar genel olarak resimdeki belirli bölgelerin belirli bir sırada seçilmesiyle oluşturulduğundan, arka planda casus yazılımlar çalışsa dahi kullanıcın parolasıyla oturum açarken seçtiği bölgeler ekran çözünürlüğüne bağlı olarak değişeceği için, grafik parolaların metin tabanlı parolalara oranla bu saldırı tipine karşı daha dayanıklı olduğu savunulur [16] [25].
    Yandan/Kenardan Bakma (ing. Shoulder Surfing): Bu saldırı tipinde saldırgan, kullanıcının sisteme giriş yaptığı sırada kullanıcıyı izleyerek parolasını elde etmeye çalışır. Özellikle kalabalık ortamlarda saldırgan kullanıcıya ve ekrana daha yakın durarak kullanıcının sisteme giriş sırasında yaptıklarını gözleyebilmektedir. Hem metin tabanlı parola sistemleri hem grafik tabanlı parola sistemleri bu yönteme karşı savunmasızdır [16] [25]. Hatırlamaya dayalı ve ipucuyla geri çağırmaya dayalı bazı yöntemleri bu saldırı tipine karşı dayanıklı hale getirmek mümkündür. Geri çağırma yöntemleri ise bu saldırıya tamamen açıktır [2].
    Sosyal Mühendislik (ing. Social Engineering): Güvenlik sistemlerindeki en zayıf halkanın insan olduğu varsayımına dayanır. Saldırgan, insanların eğilimlerinden ve kişisel ilişkilerden faydalanarak gizli bilgilere erişmeye çalışır [16] [25]. Grafik parolaları sözsel olarak anlatmak metin tabanlı parolalara göre daha zor olduğu için, grafik parolalar bu saldırı tipine daha dayanıklıdırlar [2].
    Sonuç olarak, güvenlik boyutunda, grafik parolalar, özellikle hatırlamaya ve ipucuyla geri çağırmaya dayalı parola yöntemleri, sosyal mühendislik, casus yazılım, kaba kuvvet ve sözlük saldırısı gibi klasik güvenlik saldırı yöntemlerine karşı metin tabanlı parolalara göre daha dayanıklıdırlar [2][16][25][26][27]. Olası diğer saldırıları araştırmak için, bu alanda çalışmalar yapılmasına ihtiyaç vardır.
    Grafik Parolaların Kullanılabilirlik Açısından Değerlendirilmesi

    Günümüzde grafik parolaların kullanılabilirlik açısından değerlendirilmesi için genel geçer olarak kabul edilen bir yöntem bulunmamaktadır. Bu bölümde mevcut yöntemler değerlendirilecek ve mevcut yöntemlerin değerlendirilmesi sonucunda belirlenen metrikler sunulacaktır. Grafik parolaların kullanılabilirlik açısından değerlendirilmesi konusundaki yaklaşımlardan birisi, metriklerin ISO standartlarına dayanarak belirlenmesidir [26]. Bu metrikler, yazılım kalitesiyle ilgili ISO 9126, insan bilgisayar etkileşiminin ergonomisiyle ilgili ISO 9241 ve insan merkezli yaklaşımlardaki yaşam döngüsüyle ilgili ISO 13407 standartlarının birleştirilmesiyle elde edilmiştir. Buna göre kullanılabilirlik metrikleri etkinlik (ing. effectiveness), verimlilik (ing. efficiency) ve kullanıcı memnuniyeti (ing. satisfaction) olmak üzere üç temel grupta incelenebilmektedir [30]. Etkinlik, sistemi kullanarak hedefi gerçekleştirme oranını; verimlilik, hedefi gerçekleştirmek için gereken kaynak miktarını, kullanıcı memnuniyeti ise kullanıcının sistemi kullanırken oluşan izlenimlerini yansıtır. Değerlendirmede etkinlik, parola ile gerçekleştirilen doğru giriş sayısı ve hatalı girişlerde de yapılan hata tipine göre (seçim hatası, sıralama hatası ve her ikisi) ölçülmektedir. Verimlilik ölçümünde belirleyici olan faktör ise işlemler sırasında geçen süredir. Son olarak kullanıcı memnuniyeti sistem kullanımından sonra yapılan anketlerle ölçülmektedir [6]. Aşağıdaki tablo kullanılabilecek metriklerin bir listesini sunmaktadır [16] [25].




    Metrikler

    Özellikler

    Grafik Parola Özellikleri

    Etkinlik

    Güvenilirlik ve Doğruluk

    Güvenilirlik ve Doğruluk

    Verimlilik

    Gerçek dünyada kullanım

    Uygulanabilir

    Kullanıcı

    Memnuniyeti

    Kolay kullanma

    Giriş aygıtını kolay kullanma(örn., fare, göz izleme sistemi)

    Kolay oluşturma

    Parola oluşturmayı kolaylaştırma

    Kolay hatırlama

    Anlamlı

    Kullanıcının resim atayabilmesi

    Seçim özgürlüğü

    Kolay çalıştırma

    Basit adımlar

    Güzel görünüm

    Güzel arayüz

    Kolay anlama

    Basit eğitim oturumu

    Eğlencili/keyifli

    Hoş resimler

    Mevcut grafik parola yöntemlerinin kullanılabilirlik açısından değerlendirilmesine yönelik çalışmalar, etkinlik boyutunda özellikle geri çağırmaya yönelik yaklaşımların, belirlenen hata tolerans (ing. error tolerance) değerine bağlı olarak doğru ve güvenilir sonuçlar üretemeyebileceği göstermiştir. Verimlilik açısından ise her turda farklı resim seçimini gerektiren hatırlamaya dayalı yaklaşımlarda, veri tabanlarında onbinlerce resmin tutulması ve ağ transfer hızlarının yüksek olması gerekliliği, uygulanabilirliği olumsuz yönde etkiler. Son olarak, kullanıcı memnuniyeti açısından değerlendirildiğinde, parola oluşturma ve oturum açma işlemlerinin uzun zaman aldığı hatırlamaya dayalı grafik parolaların kolay oluşturulamadığı ve kullanılamadığı gözlenmiştir [13] [26].


    Grafik parolaların kullanılabilirlik açısından daha detaylı değerlendirilmesi, etkinlik, verimlilik ve kullanıcı memnuniyeti ölçümü yanında hedef kullanıcıların (örn., engelli kullanıcılar, belirli yaş aralığındaki kullanıcılar, okur yazar olmayan kullanıcılar), kullanıcı tarafından gerçekleştirilen işlerin (örn., parola oluşturma, oturum açma, parola değiştirme) ve kullanım alanın (örn., e-posta işlemleri, bankacılık işlemleri) değerlendirilmesini içermektedir [16]. Bu doğrultuda kullanılabilirlik açısından en uygun grafik parola yöntemi hedef kullanıcının, görme ve motor becerilerine (ilgili resme tıklama gibi) bağlı olarak belirlenmelidir. Bu sayede farklı kullanıcı kitleleri, örneğin engelliler için alternatif grafik parola yöntemlerinin geliştirilmesi ve değerlendirilmesi sağlanabilmektedir. Öte yandan kullanıcıların gerçekleştirdikleri farklı grafik parola işlemleri de kullanılabilirlik açısından değerlendirilmelidir. En sık kullanılan işlemin oturum açma işlemi olması nedeniyle oturum açma işleminin kullanılabilirlik açısından değerlendirilmesi öncelikli öneme sahiptir. Bunun yanında grafik parola oluşturma, parola sıfırlama ve değiştirme işlemleri de kullanılabilirlik açısından incelenmelidir.

    6. Sonuç
    Güvenlik sistemin başarı oranını etkileyeck önemli bir unsur, sistemin en zayıf halkası olarak kabul edilen insandır. Kullanılabilirliği düşük olan güvenlik sistemlerinin, insan faktörüyle güvenliğinin de azalabileceği görülmüştür [10]. Bu nedenle, son yıllarda kullanılabilir güvenlik önem kazanmıştır. Kullanılabilir güvenliği sağlamak amacıyla önerilen yöntemlerden birisi de grafik parolalardır. Bu çalışmada, kimlik denetimi aşamasında kullanılan grafik parolalar, kullanıcın sisteme erişim sağlarken gerçekleştirdiği zihinsel aktivite türüne göre geri çağırma, hatırlama ve hatırlayarak geri çağırma olarak 3 gruba ayrılarak güvenlik ve kullanılabilirlik açısından ele alınmıştır.
    Grafik parolaların kullanılabilirlik ve güvenlik açısından değerlendirilebilmeleri için, ilgili metriklerin sistematik olarak ölçüldüğü deneysel çalışmalara ihtiyaç bulunmaktadır. Bu doğrultuda, grafik parolaların kullanılabilir güvenlik açısından deneysel olarak analizine yönelik çalışmaların ODTÜ Enformatik Enstitüsü bünyesinde gerçekleştirilmesi planlanmaktadır.

    Kaynaklar
    [1] Jacko, J.A. & Sears, A., (2003). The human-computer interaction handbook: Fundamentals, evolving technologies and emerging applications. Mahwah, NJ: Lawrence Erlbaum, pp. 248
    [2] Suo, X., Zhu, Y., Owen, G. S., (2005). Graphical Passwords: A Survey, Proceedings of the 21st Annual Computer Security Applications Conference, p.463-472
    [3] Juels, A. , Sudan, M., (2002). Fuzzy Vault Scheme, IEEE International Symposium on Information Theory
    [4] Matyá˘s, V., Ríha, Z., (2002). Biometric Authentication Security and Usability. Advanced Comm. and MultimediaSecurity, Kluwer Academic pp. 227–239.
    [5] Heckle, R., Patrick, A., Ozok, A. (2007). Perception and Acceptance of Fingerprint Biometric Technology. Paper presented at the Symposium on Usable Privacy and Security (SOUPS), Pittsburgh
    [6] De Angeli, A., Coventry, L., Johnson, G.,Renaud, K., (2005). Is a picture really worth a thousand words? Exploring the feasibility of graphical authentication systems. International Journal of Human-Computer Studies, 128-152.
    [7] Wiedenbeck, S., Waters, J., Birget, J., Brodskiy, A., Memon, N., (2005). PassPoints: Design and longitudinal evaluation of a graphical password system. International Journal of Human-Computer Studies, 63(1-2):102–127
    [8] Luca, A. D. ,Denzel, M., Hussmann, H. 2009. Look into my eyes!: can you guess my password?. In Proceedings of the 5th Symposium on Usable Privacy and Security (SOUPS '09). ACM, New York, NY, USA, Article 7 , 12 
    [9] Chiasson, S., (2008). Usable authentication and click-based graphical passwords. Ph.D. thesis, School of Computer Science, Carleton University.
    [10] Adams, A. and Sasse, M. A., (1999). Users are not the enemy: Why users compromise computer security mechanisms and how to take remedial measures. Communications of the ACM, 42(12):40 - 46.
    [11] Kainda R., Flechais I., and Roscoe A. (2010) Security and usability: Analysis and evaluation. In Availability, Reliability and Security ARES 10. Fifth International Conference
    [12] Madigan, S., (1983). Picture memory. In J. C. Yuille (Ed.), Imagery, memory, and cognition: Essays in honor of Allan Paivio (pp. 65-89). Hillsdale, NJ: Lawrence Erlbaum Associates.
    [13] Bicakci, K., Atalay, N.B., Yuceel, M., Gurbaslar, H., Erdeniz. B., (2009). Towards Usable Solutions to Graphical Password Hotspot Problem. 33rd Annual IEEE Int. Computer Software and Applications Conference
    [14] Paivio, A., (1971). Imagery and Verbal Processes. Holt, Rinheart & Winston, New York.
    [15] Park, D.C., Puglisi, J.T., Smith, A.D., (1986). Memory for pictures: does an age related decline exist? Journal of Psychology and Aging 1, 11–17.
    [16] Biddle R., Chiasson S., Oorschot, P.C., (2010). Graphical Passwords: Learning from the first twelve years. ACM Computing Surveys (to appear). School of Computer Science, Carleton University.
    [17] Raaijmakers, J. G. W., & Shiffrin, R. M., (1992). Models for recall and recognition. Annual Review of Psychology, 43, 205–234.
    [18] Jermyn, I., Mayer, A., Monrose, F., Reiter, M.K., Rubin, A.D., (1999). The design and analysis of graphical passwords. Proceedings of the 8th USENIX Security Symposium, pp. 1–14.
    [19] Goldberg, J., Hangman, J., Sazawal, V., (2002). Doodling our way to better authentication. CHI 2002 Extended Abstracts, pp. 868–869.
    [20] Nelson, D., Reed, V., Walling. J., (1976) Pictorial Superiority Effect. Journal of Experimental Psychology: Human Learning and Memory, 2(5):523–52
    [21] Dhamija, R., Tygar, J., and Hearst, M., (2006). Why phishing works. In ACM Conference on Human Factors in Computing Systems (CHI).
    [22] Valentine, T., (1999). An evaluation of the Passface personal authentication system. Tech. rep., Goldsmiths College Univ. of London
    [23] Blonder, G., (1996). United states patent, United States Patent 5559961.
    [24] Kintsch, W., (1970). Models for free recall and recognition. In D. Norman, editor, Models of

    human memory, chapter Models for free recall and recognition. Academic Press: New York


    [25] Lashkari A.H, Zakaria O., Salleh R., Farmand S., (2009). A wide-range survey on Recall-Based Graphical User Authentications algorithms based on ISO and Attack Patterns. International Journal of Computer Science and Information Security (IJCSIS), Vol. 6, No. 3
    [26] Thorpe, J., Oorschot P. C., (2004). Graphical

    Dictionaries and the Memorable Space of Graphical Passwords, in Proceedings of the 13th USENIX Security Symposium. San Deigo, USA


    [27] Dirik, A.E., Menon, N., Birget, J.C., (2007). Modeling user choice in the PassPoints graphical password scheme. ACM SOUPS
    [28] Davis, D., Monrose, F., Reiter, M. K., (2004) On user choice in graphical password schemes, in Proceedings of the 13th Usenix Security Symposium. San Diego, CA
    [29] Nali, D., Thorpe, J., (2004). Analyzing User Choice in Graphical Passwords, Technical Report, School of Information Technology and Engineering, University of Ottawa, Canada
    [30] Çagıltay, K., (2011). İnsan Bilgisayar Etkileşimi ve Kullanilabilirlik Mühendisligi: Teoriden Pratige. ODTÜ Geliştirme Vakfı Yayıncılık








        Ana sayfa


    Kullanılabilir Güvenlik ve Grafik Parolalar Ülkü Arslan Aydın1, 2, Cengiz Acartürk1

    Indir 71.8 Kb.