Secure Recognition-Based Graphical Authentication Scheme Using Captcha and Visual Objects

Abstract

Graphical password is an alternative scheme of alphanumeric password that is very tiresome process to recall the complex password. Psychological studies of human mind argue that recalling of image is easier than alphabets or digits. In this thesis, recognition based authentication built on Captcha technology is proposed. I propose method "Click-on-Captcha-Objects", which contains Captcha based visual objects (letters of any language, digits, and user-defined images); it helps memorability of a strong password. Proposed method was analyzed by two different approaches. One of them is usability and another one is security. For usability, 40 users participated in test to analyze how many users remember the complex password. Accuracy of the proposed scheme (percentage of users remembering the strong password) was 97.25%, in contrast to Captcha + text and Click-Text methods having accuracy of 88.75% and 93%, respectively. On the other hand, security analysis of the proposed system has been done with different types of attacks, popular four Captcha breakers software are used for Captcha images recognition. The proposed system resists in 98.5% cases against four Captcha breakers attacks. In contrary, Click-Text method resists in 95.5% cases. In addition, auto-mouse clicked attack analyzed; the performance against the attack of the proposed method was 97.66%, and Click-Text method performance was 95.41%. The results indicate that for proposed method it is easy to remember the strong password compared to alphanumeric and Click-Text based authentication schemes. Hence, performance of the proposed method is better than alphanumeric and Click-Text method. Traditional schemes of authentication mostly lead to guessable and unreliable password, but "Click-on-Captcha-Objects" provides reasonable security and usability to authenticate a legitimate user. In order to check the time of generation of each image at server, an experiment has been performed at SAMSUNG (Core i5, RAM 4 GB, Processor 2.53 GHz) laptop and the result was approximately 40 milliseconds per "Click-on-Captcha-Objects" image. Keywords: Graphical based authentication, secure password, Captcha based authentication, Click-on-Captcha-Objects

ÖZ: Grafiksel şifreleme; karmaşık şifrelerde yorucu bir işlem olan, alfanumerik şifrelemeye bir alternatiftir. İnsan zihni üzerine yapılan psikolojik çalışmalar, görüntü anımsamanın harf veya rakam anımsamaya kıyasla daha kolay olduğunu savunurlar. Bu çalışmada kimlik doğrulamaya dayalı Captcha teknolojisi geliştirilmiştir. Karmaşık şifreleri hatırlamaya yardımcı olan Captcha tabanlı görsel nesneler (harf, rakam ve kullanıcı tanımlı görseller) içeren “Click-on-Capcha” tekniği önerilmiştir. Önerilen bu teknik, iki farklı yöntem ile analiz edilmiştir. Bu yöntemlerden biri kullanılabilirlik, diğeri ise güvenliğidir. Kullanılabilirlik analizi için, 40 farklı kullanıcı karmaşık şifreleri hatırlayabilmek adına bir teste katılmışlardır. Önerilen sistemin doğruluğu, diğer bir deyişle zor şifreleri hatırlayan kullanıcıların oranı %97.25’ dir. Bu, Captcha + Text (%88.75) ve Click - Text (%93) tekniklerine göre çok daha iyi bir orandır. Diğer yandan, önerilen sistemin güvenilirlik analizi, çeşitli saldırılar ve dört popüler Captcha kırıcı yazılımlar kullanılarak yapılmıştır. Önerilen bu sistem, %98.5 saldırı olayını engellerken, Click-Text tekniği %95.41’ini engelleyebilmiştir. Buna ek olarak, “auto-mouse clicked” saldırısı analizinde, önerilen tekniğin performansı %97.66 iken Clik-Text tekniğinin performansı %95.41’dir. Sonuçlar gösteriyor ki; önerilen teknik kullanılarak yapılan karmaşık bir parolayı hatırlamak, alfanumerik ve Clik-Text tabanlı kimlik doğrulamaya kıyasla daha kolaydır. Bunun sonucu olarak, önerilen bu tekniğin performansı bahsi geçen diğer metotlara nazaran daha iyidir. Geleneksel kimlik tanımlama, çoğunlukla tahmin edilebilir ve güvenli olmayan şifrelemeye sebebiyet verir fakat, “Click-on-Captcha- Object” kullanıcılar için makul bir güvenlik ve kullanılabilirlik sağlar. Her görüntünün oluşturulma süresini kontol etmek için deney, SAMSUNG ( Core i5 4 GB RAM, 2.53 GHz İşlemci) dizüstü bilgisayar kullanılarak yapılmış ve her “Clickon- Captcha-Objects” görseli için sonuç yaklaşık olarak 40 milisaniye olarak gözlemlenmiştir. Anahtarkelimeler: Grafik tabanlı kimlik doğrulaması, güvenli parola, Captcha tabanlı kimlik dogrulaması, Click-on-Captcha-Objects