CAST-Vortrag Zu MIBA

Daniel Ritter | 24.11.
2011
Seite 2
MIBA - Bildbasierte Zugriffskontrolle fr Passwortverwaltungssysteme auf mobilen Gerten | Daniel Ritter | 24.11.2011
Problematik
sicheres Textpasswort
Seite 3
Problematik
Seite 4
Problematik
Merkbarkeit
Seite 5
Problematik
Merkbarkeit
Seite 6
Problematik
Merkbarkeit
Seite 7
Problematik
Merkbarkeit
Eingabezeit
Seite 8
Problematik
Merkbarkeit
Eingabezeit
Seite 9
Problematik
Merkbarkeit
Eingabezeit
Eingabeart
Seite 10
Problematik
Merkbarkeit
Eingabezeit
Eingabeart
Seite 11
Problematik
Merkbarkeit
Eingabezeit
Eingabeart
Seite 12
Problematik
Merkbarkeit
Eingabezeit
Eingabeart
Seite 13
Problematik
Merkbarkeit
Eingabezeit
Eingabeart
Seite 14
Problematik
Merkbarkeit
Eingabezeit
Eingabeart
Seite 15
Problematik
Merkbarkeit
Eingabezeit
Eingabeart
Seite 16
Problematik
Merkbarkeit
Eingabezeit
Eingabeart
Seite 17
Motivation
Seite 18
Motivation
Seite 19
Vorstellung des MIBA Schemas Oberflche und Interaktion

-
MIBA steht fr Multitouch Image Based Authentication

Alle untersuchten IBA-Systeme nutzen kein Multitouch
Bildquelle: martlinsoo @ flickr
Seite 20

-

Seite 21

-

Seite 22

-

Seite 23

-

Seite 24

-

Seite 25

-

Seite 26

-

Bis zu 4 Pointer gleichzeitig
Seite 27

-

Seite 28

-

Nchste Runde
Seite 29

-

Seite 30

-

Seite 31

-

Seite 32

-

Anzahl Kombinationen pro Runde:

+ + + =
Seite 33
Vorstellung des MIBA Schemas Shift-Funktion zur Vergrerung des Passwortraumes

1st round
kurzer Klick
2nd round
162 Kombinationen
Seite 34

1st round
kurzer Klick
2nd round
162 Kombinationen
Seite 35

1st round
kurzer Klick
2nd round
162 Kombinationen
langer Klick
Seite 36

1st round
kurzer Klick
2nd round
162 Kombinationen
1st round - shift

langer Klick
Seite 37

1st round
kurzer Klick
2nd round
162 Kombinationen
1st round - shift

langer Klick
kurzer Klick
Seite 38

1st round
kurzer Klick
2nd round
162 Kombinationen
1st round - shift

langer Klick
kurzer Klick
Seite 39

1st round
kurzer Klick
2nd round
162 Kombinationen
1st round - shift

langer Klick
kurzer Klick
Seite 40

1st round
kurzer Klick
2nd round
162 Kombinationen
1st round - shift

langer Klick
kurzer Klick
Seite 41

1st round
kurzer Klick
2nd round
162 Kombinationen
1st round - shift

langer Klick
kurzer Klick
Seite 42

1st round
kurzer Klick
2nd round
162 Kombinationen
1st round - shift

langer Klick
kurzer Klick
Seite 43

1st round
kurzer Klick
2nd round
162 Kombinationen
1st round - shift

langer Klick
kurzer Klick
+
26406
Seite 44
Vorstellung des MIBA Schemas Korrektur der Fingerstellung whrend der Eingabe
Seite 45
Seite 46
Seite 47
Seite 48
I. Ende positionieren
Seite 49
Seite 50
Seite 51
III. Nchste Runde I. Ende positionieren
Seite 52
Seite 53
Seite 54
III. Shift-Runde
Seite 55
Vorstellung des MIBA Schemas Das System der wechselnden Hintergrundbilder

1. Ziel: Jede Eingabe (26406 Stck) soll auf ein anderes Bild fhren
Seite 56

Seite 57

Seite 58

2. Ziel: Jedes Bild soll im Passwort nur einmal erscheinen
Seite 59

Seite 60

Seite 61
Vorstellung des MIBA Schemas Lsung des Bildanzahlproblems
Seite 62
26406 verschiedene Eingabekombinationen
Seite 63
31 Bilder mit vielen Details
Seite 64
Seite 65
Seite 66
Seite 67
Seite 68
Seite 69
Seite 70
Seite 71
Seite 72
Seite 73
Seite 74
Seite 75
Seite 76
Seite 77
Seite 78
Vergleich mit bisherigen bildbasierten Passwortsystemen Einfhrung einer Vergleichsmetrik

Mathematischer Vergleich anhand der Entropie:
Seite 79

Referenzpasswort
siebenstelliges Passwort aus 62 Zeichen 3 Kleinbuchstaben + 3 Grobuchstaben + 1 Ziffer 10 Klicks notwendig in Android
Seite 80

Referenzpasswort
Seite 81

Referenzpasswort
42 Bit
Seite 82

Referenzpasswort
42 Bit
Seite 83
Anzahl der Kombinationen
Seite 84
Seite 85
Rundenanzahl
Seite 86
Rundenanzahl
Seite 87
Rundenanzahl
Seite 88
Rundenanzahl
Seite 89
Rundenanzahl
Klickanzahl
Seite 90
Vergleich mit bisherigen bildbasierten Passwortsystemen Anwendung der Metrik

System Dj Vu Passfaces VIP 1 Loci-Schema Passpoints Cued Click Points Draw A Secret Background Draw A Secret Pass-Go 16 14 13 12 9 9 Zeichnung der Lnge 9 Zeichnung der Lnge 9 Zeichnung der Lnge 9 Klickanzahl fr 42 Bit
Picture Password (mit Shift) 5-10
TAPI
Seite 91
Vergleich mit bisherigen bildbasierten Passwortsystemen Anwendung der Metrik

System Dj Vu Passfaces VIP 1 Loci-Schema Passpoints Cued Click Points Draw A Secret Background Draw A Secret Pass-Go 16 14 13 12 9 9 Zeichnung der Lnge 9 Zeichnung der Lnge 9 Zeichnung der Lnge 9 Klickanzahl fr 42 Bit
Picture Password (mit Shift) 5-10
TAPI
MIBA
7
3-6
Seite 92
MIBA Android Implementation Beispieleingabe eines MIBA Passwortes
Seite 93
Seite 94
Seite 95
Seite 96
Seite 97
Seite 98
Seite 99
Seite 100
Seite 101
Seite 102
Seite 103
Seite 104
Seite 105
Seite 106
Videoaufnahme von der Eingabe des vorherigen Beispielpasswortes
Seite 107
Einsatz von MIBA in der Praxis? Diskrepanz zwischen MIBA und realen Passwrtern
Seite 108
Seite 109
Seite 110
Einsatz von MIBA in der Praxis? Verwendung von MIBA in Kombination mit einem Passwordsafe
Seite 111
Picpass
Seite 112
Picpass
Speicherung von Zugangsdaten fr Webseiten
Seite 113
Picpass
Speicherung von Zugangsdaten fr Webseiten Der Passwortsafe kompensiert einige Nachteile von MIBA: Mit MIBA lassen sich keine Benutzernamen eingeben Mehrere MIBA Passwrter knnten zu erhhten Interferenzen fhren
Seite 114
Passwortverwaltungssystem Screencast
Seite 115
Browserintegration Anpassung der Standard-Android-Tastatur
Seite 116
Seite 117
Vorteile:
Seite 118
Vorteile: Autofill-Funktion
Seite 119
Vorteile: Autofill-Funktion Keine WebView in der App
Seite 120
Vorteile: Autofill-Funktion Keine WebView in der App Stock-Browser
Seite 121
Vorteile: Autofill-Funktion Keine WebView in der App Stock-Browser Kein Bookmarklet
Seite 122
Vorteile: Autofill-Funktion Keine WebView in der App Stock-Browser Kein Bookmarklet Softkeyboard ist ber Market
installierbar (kein Custom-Rom)
Seite 123
Browserintegration Sequenzdiagramm zur Autofill-Funktion

Benutzer Browser Softkeyboard PicpassService MIBA
Seite 124

Benutzer Browser
Klick in Textfeld
Softkeyboard
PicpassService
MIBA
Seite 125

Benutzer Browser
Klick in Textfeld Tastatur wird geffnet
Softkeyboard
PicpassService
MIBA
Seite 126

Benutzer Browser
Softkeyboard
PicpassService
MIBA
Klick Picpass Button
Seite 127

Benutzer Browser
Softkeyboard
PicpassService
MIBA

Passwortanfrage
Seite 128

Benutzer Browser
Softkeyboard
PicpassService
MIBA

Passwortanfrage Authanfrage
Seite 129

Benutzer Browser
Softkeyboard
PicpassService
MIBA

Passwortanfrage Authanfrage Passworteingabe
Seite 130

Benutzer Browser
Softkeyboard
PicpassService
MIBA

Passwortanfrage Authanfrage Passworteingabe Auth=true
Seite 131

Benutzer Browser
Softkeyboard
PicpassService
MIBA

Passwortanfrage Authanfrage Passworteingabe Auth=true Masterkey
Seite 132

Benutzer Browser
Softkeyboard
PicpassService
MIBA

Passwortanfrage Authanfrage Passworteingabe Auth=true Masterkey Historyanfrage
Seite 133

Benutzer Browser
Softkeyboard
PicpassService
MIBA

Passwortanfrage Authanfrage Passworteingabe Auth=true Masterkey Historyanfrage URL
Seite 134

Benutzer Browser
Softkeyboard
PicpassService
MIBA

Passwortanfrage Authanfrage Passworteingabe Auth=true Masterkey Historyanfrage URL Entschlsseln
Seite 135

Benutzer Browser
Softkeyboard
PicpassService
MIBA

Benutzername & Passwort
Seite 136

Benutzer Browser
Softkeyboard
PicpassService
MIBA

Benutzername & Passwort commitText()
Seite 137
Browserintegration Screencast
Seite 138
Zusammenfassung
MIBA erreicht pro Runde eine hhere Entropie als andere IBA Systeme MIBA ist schneller als ein Textpasswort mit gleicher Entropie Bercksichtigung von Multitouch-Bedienproblemen Sehr gute Browserintegration Weitere Features in Planung: Gallerie-Funktion See you in Android Market
Daniel Ritter | 24.11.2011
Seite 140
Shift-Funktion vs. zwei Runden hintereinander ausfhren
1. Runde langer Klick
Shift-Runde kurzer Klick
2. Runde
3. Runde
Seite 141
Shift-Funktion vs. zwei Runden hintereinander ausfhren
1. Runde langer Klick
Shift-Runde kurzer Klick
2. Runde
3. Runde
kann bersprungen werden
Brutefore-Angreifer msste in jeder Runde bercksichtigen, ob Shift aktiviert wurde oder nicht, auch wenn Benutzer meistens kein Shift benutzt und sich so Eingabezeit spart.
Daniel Ritter | 24.11.2011

CAST-Vortrag Zu MIBA

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

CAST-Vortrag Zu MIBA

Uploaded by

Copyright:

Available Formats

Daniel Ritter | 24.11.

Vorstellung des MIBA Schemas Oberflche und Interaktion

MIBA steht fr Multitouch Image Based Authentication

Bildquelle: martlinsoo @ flickr

Vorstellung des MIBA Schemas Oberflche und Interaktion

MIBA steht fr Multitouch Image Based Authentication

Bildquelle: martlinsoo @ flickr

Vorstellung des MIBA Schemas Oberflche und Interaktion

MIBA steht fr Multitouch Image Based Authentication

Bildquelle: martlinsoo @ flickr

Vorstellung des MIBA Schemas Oberflche und Interaktion

MIBA steht fr Multitouch Image Based Authentication

Bildquelle: martlinsoo @ flickr

Vorstellung des MIBA Schemas Oberflche und Interaktion

MIBA steht fr Multitouch Image Based Authentication

Bildquelle: martlinsoo @ flickr

Vorstellung des MIBA Schemas Oberflche und Interaktion

MIBA steht fr Multitouch Image Based Authentication

Bildquelle: martlinsoo @ flickr

Vorstellung des MIBA Schemas Oberflche und Interaktion

MIBA steht fr Multitouch Image Based Authentication

Bildquelle: martlinsoo @ flickr

Vorstellung des MIBA Schemas Oberflche und Interaktion

MIBA steht fr Multitouch Image Based Authentication

Bis zu 4 Pointer gleichzeitig

Bildquelle: martlinsoo @ flickr

Vorstellung des MIBA Schemas Oberflche und Interaktion

MIBA steht fr Multitouch Image Based Authentication

Bildquelle: martlinsoo @ flickr

Vorstellung des MIBA Schemas Oberflche und Interaktion

MIBA steht fr Multitouch Image Based Authentication

Bildquelle: martlinsoo @ flickr

Vorstellung des MIBA Schemas Oberflche und Interaktion

MIBA steht fr Multitouch Image Based Authentication

Bildquelle: martlinsoo @ flickr

Vorstellung des MIBA Schemas Oberflche und Interaktion

MIBA steht fr Multitouch Image Based Authentication

Bildquelle: martlinsoo @ flickr

Vorstellung des MIBA Schemas Oberflche und Interaktion

MIBA steht fr Multitouch Image Based Authentication

Bildquelle: martlinsoo @ flickr

Vorstellung des MIBA Schemas Oberflche und Interaktion

MIBA steht fr Multitouch Image Based Authentication

Anzahl Kombinationen pro Runde:

Bildquelle: martlinsoo @ flickr

Vorstellung des MIBA Schemas Shift-Funktion zur Vergrerung des Passwortraumes

Vorstellung des MIBA Schemas Shift-Funktion zur Vergrerung des Passwortraumes

Vorstellung des MIBA Schemas Shift-Funktion zur Vergrerung des Passwortraumes

Vorstellung des MIBA Schemas Shift-Funktion zur Vergrerung des Passwortraumes

1st round - shift

Vorstellung des MIBA Schemas Shift-Funktion zur Vergrerung des Passwortraumes

1st round - shift

Vorstellung des MIBA Schemas Shift-Funktion zur Vergrerung des Passwortraumes

1st round - shift

Vorstellung des MIBA Schemas Shift-Funktion zur Vergrerung des Passwortraumes

1st round - shift

Vorstellung des MIBA Schemas Shift-Funktion zur Vergrerung des Passwortraumes

1st round - shift

Vorstellung des MIBA Schemas Shift-Funktion zur Vergrerung des Passwortraumes

1st round - shift

Vorstellung des MIBA Schemas Shift-Funktion zur Vergrerung des Passwortraumes

1st round - shift

Vorstellung des MIBA Schemas Shift-Funktion zur Vergrerung des Passwortraumes