Graphical password is an alternative scheme of alphanumeric password that is very
tiresome process to recall the complex password. Psychological studies of human
mind argue that recalling of image is easier than alphabets or digits. In this thesis,
recognition based authentication built on Captcha technology is proposed. I propose
method "Click-on-Captcha-Objects", which contains Captcha based visual objects
(letters of any language, digits, and user-defined images); it helps memorability of a
strong password. Proposed method was analyzed by two different approaches. One of them is usability and another one is security. For usability, 40 users participated in test to
analyze how many users remember the complex password. Accuracy of the proposed
scheme (percentage of users remembering the strong password) was 97.25%, in
contrast to Captcha + text and Click-Text methods having accuracy of 88.75% and
93%, respectively. On the other hand, security analysis of the proposed system has
been done with different types of attacks, popular four Captcha breakers software are
used for Captcha images recognition. The proposed system resists in 98.5% cases
against four Captcha breakers attacks. In contrary, Click-Text method resists in
95.5% cases. In addition, auto-mouse clicked attack analyzed; the performance
against the attack of the proposed method was 97.66%, and Click-Text method
performance was 95.41%. The results indicate that for proposed method it is easy to
remember the strong password compared to alphanumeric and Click-Text based
authentication schemes. Hence, performance of the proposed method is better than
alphanumeric and Click-Text method. Traditional schemes of authentication mostly
lead to guessable and unreliable password, but "Click-on-Captcha-Objects" provides
reasonable security and usability to authenticate a legitimate user. In order to check
the time of generation of each image at server, an experiment has been performed at
SAMSUNG (Core i5, RAM 4 GB, Processor 2.53 GHz) laptop and the result was
approximately 40 milliseconds per "Click-on-Captcha-Objects" image.
Keywords: Graphical based authentication, secure password, Captcha based
authentication, Click-on-Captcha-Objects
ÖZ:
Grafiksel şifreleme; karmaşık şifrelerde yorucu bir işlem olan, alfanumerik
şifrelemeye bir alternatiftir. İnsan zihni üzerine yapılan psikolojik çalışmalar,
görüntü anımsamanın harf veya rakam anımsamaya kıyasla daha kolay olduğunu
savunurlar. Bu çalışmada kimlik doğrulamaya dayalı Captcha teknolojisi
geliştirilmiştir. Karmaşık şifreleri hatırlamaya yardımcı olan Captcha tabanlı görsel
nesneler (harf, rakam ve kullanıcı tanımlı görseller) içeren “Click-on-Capcha”
tekniği önerilmiştir.
Önerilen bu teknik, iki farklı yöntem ile analiz edilmiştir. Bu yöntemlerden biri
kullanılabilirlik, diğeri ise güvenliğidir. Kullanılabilirlik analizi için, 40 farklı
kullanıcı karmaşık şifreleri hatırlayabilmek adına bir teste katılmışlardır. Önerilen
sistemin doğruluğu, diğer bir deyişle zor şifreleri hatırlayan kullanıcıların oranı
%97.25’ dir. Bu, Captcha + Text (%88.75) ve Click - Text (%93) tekniklerine göre
çok daha iyi bir orandır. Diğer yandan, önerilen sistemin güvenilirlik analizi, çeşitli
saldırılar ve dört popüler Captcha kırıcı yazılımlar kullanılarak yapılmıştır. Önerilen
bu sistem, %98.5 saldırı olayını engellerken, Click-Text tekniği %95.41’ini
engelleyebilmiştir. Buna ek olarak, “auto-mouse clicked” saldırısı analizinde,
önerilen tekniğin performansı %97.66 iken Clik-Text tekniğinin performansı
%95.41’dir. Sonuçlar gösteriyor ki; önerilen teknik kullanılarak yapılan karmaşık bir
parolayı hatırlamak, alfanumerik ve Clik-Text tabanlı kimlik doğrulamaya kıyasla
daha kolaydır. Bunun sonucu olarak, önerilen bu tekniğin performansı bahsi geçen
diğer metotlara nazaran daha iyidir. Geleneksel kimlik tanımlama, çoğunlukla tahmin
edilebilir ve güvenli olmayan şifrelemeye sebebiyet verir fakat, “Click-on-Captcha-
Object” kullanıcılar için makul bir güvenlik ve kullanılabilirlik sağlar. Her görüntünün oluşturulma süresini kontol etmek için deney, SAMSUNG ( Core i5 4
GB RAM, 2.53 GHz İşlemci) dizüstü bilgisayar kullanılarak yapılmış ve her “Clickon-
Captcha-Objects” görseli için sonuç yaklaşık olarak 40 milisaniye olarak
gözlemlenmiştir.
Anahtarkelimeler: Grafik tabanlı kimlik doğrulaması, güvenli parola, Captcha
tabanlı kimlik dogrulaması, Click-on-Captcha-Objects