Güvenli ve kullanışlı resim-şifre yöntemlerinin tasarlanması ve gerçekleştirilmesi [Master Thesis]

Abstract

Kullanıcı adı ve şifre kullanarak kimlik kanıtlama güvenli erişim gerektiren uygulamalar için çok yaygın olarak kullanılan bir yöntemdir. Kullanıcıların çok kolay tahmin edilebilen şifreler seçmesi bir sistemin veri transferinde ve altyapısında aldığı diğer güvenlik önlemlerini etkisiz ve anlamsız kılmaktadır. Kullanıcılar için hem güvenli hem kullanışlı kimlik kanıtlama sistemleri gerekmektedir. Bu tezde metin tabanlı şifrelere alternatif olarak sunulan grafik şifre yöntemlerini inceliyoruz. İnsanların grafiksel bilgileri sözel veya metinsel bilgilerden daha kolay hatırlamaları gerçeğinden yola çıkarak, grafik şifre sistemlerinin başarılı olabileceğini düşünüyoruz. Fakat geliştirilen sistemin kullanışlı olması kadar güvenli olması da değişmez bir gereksinimdir. Güvenlik ve kullanışlılığı bir arada temin etmek zordur ve kullanıcıyı yakından ilgilendiren birçok sistem gibi grafik şifre yöntemlerinin de temel problemlerinden bir tanesidir. Grafik şifre çalışmaları farklı bakış açıları ve yeni sistemlerle desteklenerek devam etmektedir ve göreceli olarak başarılı yöntemler geliştirilmiştir. Fakat bu yöntemlerin gerçek hayatta kullanıma geçmesi insanların alışkanlıklarından vazgeçmeleri ile mümkün olabilmektedir. Bu tezde başarılı grafik şifre yöntemlerinin pratikte kullanımına yönelik bir çalışma yaptık ve açık kaynak kodlu bir ağ tarayıcı eklentisi geliştirdik. Bu eklenti ile uygulamaların metin tabanlı şifre yöntemlerini değiştirmelerine gerek duymadan grafik şifrelerin kullanılabilmesini sağladık. Sunulmuş olan grafik şifre tasarılarından başarılı bir yöntem olan PassPoints yöntemini seçtik ve geliştirme ortamına uygunluğunu inceleyerek gerekli uyarlamaları yaptık. GPI, GPIS isimlerinde yeni tasarılar sunduk, güvenlik ve kullanışlılık deneylerini gerekli karşılaştırmaları yaparak gerçekleştirdik. Tüm bu çalışmaların amacı, kullanışlı, hatırlaması kolay şifreler oluşturulabilen güvenli grafik şifre tasarımları sunmak ve bu tasarımları pratik kullanıma elverişli bir uygulama olarak gerçekleştirmektir.

Authentication with a username and password is very common in applications which require secure access. Security precautions on data transmission and on infrastructure are meaningless if users select weak passwords. This means that there is a great demand for both usable and secure authentication methods. In this thesis we investigate graphical password schemes which were proposed as alternatives to text based authentication systems. The fact that people recall images better than verbal or textual knowledge suggests that graphical password systems could be successful. On the other hand, it is very difficult to provide security and usability simultaneously for systems that involve human interaction. The literature on graphical password schemes presents new and improved designs. However, changing habits of people is a challenging process. In this thesis we put forward a new idea to bring graphical passwords into practical usage. We developed an open-source browser extension which facilitates the use of graphical passwords on all web applications without a need to change the traditional text based password scheme implemented on servers. We have chosen one of the successful schemes i.e., PassPoints and investigated appropriateness of its usage in our development environment by conducting experiments. Then we proposed new schemes GPI and GPIS and conducted usability and security experiments. One of the main purposes of our studies is to find a usable and secure graphical password scheme so that users can use in practice and can generate passwords which are easy to remember but hard to guess.