스머지 공격

Smudge attack
터치스크린이 지문 얼룩으로 뒤덮인 아이들이 사용하는 아이패드

스머지 공격은 휴대전화나 태블릿 컴퓨터와 같은 터치스크린 기기의 비밀번호 입력을 지문 얼룩으로부터 알아내는 정보 추출 공격이다.펜실베니아 대학의 연구팀이 2010년에 이런 유형의 공격을 처음으로 조사했다.[1][2]무허가 사용자가 점유하고 있거나 관심장치에 가까이 있을 때 공격이 발생한다.공격자는 사용자의 손가락에 의해 생성되고 남겨진 기름진 얼룩을 탐지하는 데 의존하여 기기와 그 내용에 접근하는 데 필요한 패턴이나 코드를 찾는다.[2]간단한 카메라, 조명, 지문분말, 이미지 처리 소프트웨어 등을 활용해 사용자가 단말기를 잠금 해제할 때 생성되는 지문 퇴적물을 캡처할 수 있다.적절한 조명 및 카메라 설정 하에서 손가락 얼룩을 쉽게 감지할 수 있으며, 가장 무거운 얼룩을 사용하여 사용자로부터 가장 빈번한 입력 스위프나 탭을 유추할 수 있다.[1]

스머지 공격은 개인 식별 번호(PIN), 텍스트 기반 암호, 패턴 기반 암호를 잠금 옵션으로 제공하는 장치에서 특히 성공적이다.[3]서로 다른 인증 체계인 생체 인식, 타이니락, 스머지세이프 등 공격을 완화하기 위한 다양한 대응책이 제시돼 있다.[4][5][6]이러한 방법들 중 다수는 스트로킹 방법을 사용하여 스머지를 덮거나 이전의 로그인이 현재 입력과 다르도록 무작위화된 변경을 실행할 수 있는 방법을 제공한다.

배경

스마트폰 터치 스크린에 대한 스머지 공격 방법은 우선 펜실베이니아 대학교 연구진이 조사했으며 제4회 USENIX 공격 기술 워크숍에서 보고했다.연구팀은 손가락과 터치스크린 사이의 상호작용에서 측면 채널이 발사되는 물리적인 측면 채널 공격으로 공격을 분류했다.이 연구는 PC Pro, ZDNet,[7] Engadget에 관한 보도를 포함하여 기술 언론에 널리 보도되었다.[8]연구진은 안드로이드 스마트폰 2대에 남겨진 얼룩을 사용해 적절한 조건에서 패스워드를 완전 68%, 부분 92%로 깰 수 있었다.[1]

일단 위협이 인정되자 위스퍼시스템스는 2011년 위험을 완화하기 위해 앱을 도입했다.이 앱은 인증 과정에서 생긴 얼룩을 덮기 위해 사용자가 특정 작업을 완료해야 하는 패턴락과 PIN 인증의 자체 버전을 제공했다.PIN 확인 옵션의 경우, 숫자 옵션은 수직으로 정렬되어 있었고, 사용자는 얼룩진 부분을 아래로 문지르도록 요구되었다.패턴 잠금을 위해, 앱은 홈 스크린에 접속하기 전에 사용자가 문지르고 강조해야 하는 10x10 그리드의 별을 제시했다.[9][10]

위험들

터치스크린에 남아 있는 지문 얼룩이 선명하게 보이는 아이패드

화면의 얼룩을 해석하는 것은 공격자에게 비교적 쉬운 작업이며, 공격의 영향은 피해자에게 부정적인 영향을 미칠 수 있다.스머지 공격 방식은 현금자동입출금기(ATM), 가정용 잠금장치, 편의점 PIN 입력시스템 등 잠금해제 절차가 필요한 휴대전화 외에 다른 터치스크린 기기에도 적용될 수 있다.터치스크린 기기나 개인 정보를 포함하거나 저장하는 기계를 사용하는 사람들은 데이터 침해의 위험에 처해 있다.최소화하고 기억하기 쉬운 PIN과 패턴에 대한 인간의 성향은 또한 약한 암호로 이어지고 약한 암호 하위 영역의 암호는 공격자가 얼룩을 해독할 수 있는 용이성을 높인다.[11]

자켓 슬리브에 지문 자국이 가시지 않은 채 화면을 정확히 6초간 닦은 동일한 아이패드

스머지 공격은 지문 얼룩이 터치스크린에서 제거하기 어려울 수 있고, 이러한 지문의 지속성은 공격의 위협을 증가시키기 때문에 특히 위험하다.공격은 완벽한 스머지 프린트를 찾느냐에 달려 있지 않으며, 여전히 공격자가 옷이나 겹치는 지문으로 화면을 청소한 후에도 비밀번호를 알아내는 것이 가능하다.[2]차씨 은 논문 '스머지 어택으로 안드로이드 잠금 패턴에 대한 추측 공격 성능 향상'에서 스머지 공격과 순수한 추측 공격을 결합한 스머그(smug)라는 공격 방법을 시험했다.[12]기기 잠금 해제를 한 뒤 페이스북 앱을 이용하라는 이용자들의 요청이 들어온 뒤에도 전화기의 31.94%가 금이 가고 접속한 것으로 조사됐다.[12]

스머지 공격의 또 다른 위험은 이 공격을 수행하는 데 필요한 기본 장비인 카메라와 조명을 쉽게 얻을 수 있다는 것이다.지문 키트는 또한 30~200달러에 이르는 접근 가능하고 추가는 필요 없지만 필요한 것은 아니다.이 키트는 공격자가 소지하고 있는 전화기에 성공적으로 침입할 수 있는 용이성을 높인다.[13]

공격자 유형

펜실베이니아 대학의 팀은 두 가지 유형의 공격자를 식별하고 고려했다: 수동적인 공격과 능동적인 공격이다.

활동적인

능동형 공격자는 장치를 손에 들고 조명 설정과 각도를 제어하는 사람으로 분류된다.이러한 공격자는 지문 분말을 세척하거나 사용하여 PIN 또는 패턴 코드를 더 잘 식별할 수 있도록 터치스크린을 변경할 수 있다.[2]능동 공격자의 일반적인 설정에는 탑재된 카메라, 표면에 배치된 전화기 및 단일 광원이 포함될 수 있다.설정의 약간의 변화에는 광원의 종류와 크기, 카메라와 전화기 사이의 거리가 포함된다.좀 더 경험이 많은 공격자는 빛이 반사할 때 그림자와 하이라이트를 고려하여 빛과 카메라의 각도, 조명의 원천, 최상의 사진을 얻기 위해 사용되는 카메라와 렌즈의 종류에 더 많은 주의를 기울일 것이다.[1]

수동적

수동적 공격자는 장치를 손에 쥐고 있지 않고 대신 도청식 공격을 수행해야 하는 관찰자를 말한다.[2]이것은 그들이 이 기기를 손에 넣을 수 있을 때까지 지문 이미지를 수집할 수 있는 적절한 기회를 기다리겠다는 것을 의미한다.패시브 공격자는 광원, 각도, 전화의 위치 및 터치스크린의 상태를 제어할 수 없다.그들은 나중에 보안 코드를 해독할 수 있는 좋은 품질의 그림을 얻기 위해 인증된 사용자와 위치에 의존한다.[1]

방법 및 기술

공격자가 지문 얼룩을 분리해 잠금 패턴이나 PIN을 결정하는 단계와 기법이 다르다.공격자는 먼저 정확한 터치 스크린 영역, 해당 영역 내의 관련 얼룩 및 가능한 조합 또는 패턴 세그먼트를 식별해야 한다.[12]

사전 처리

지문이 눈에 잘 보이지 않는 경우 사전 처리를 통해 산등성이 디테일의 수에 따라 결정되는 가장 온전한 지문을 확인한다.능선 디테일이 가장 많은 지문을 선택하면 사용자의 지문과 기기를 공유하는 사람의 지문이 구별된다.[13]터치 스크린 표면에 손가락을 눌러 지문을 만들면 능선 가장자리의 액체가 접촉 부위를 채운다.이 지문 액체는 표피, 분비샘, 먼지 또는 외부 피부 제품 등의 외부 오염물질로 구성되어 있다.손끝이 들면서 액체도 수축해 남은 흔적을 남긴다.[14]공격자들은 지문 분말을 이용해 기름 얼룩 위에 묻은 먼지를 털어내어 눈에 보이는 지문과 그 굴곡을 드러낼 수 있다.이 분말은 거친 표면에서 반사되는 확산 반사를 강화시킬 수 있으며, 먼지 얼룩이 사람의 눈에 더 잘 보이게 한다.터치스크린과 환경이 가장 잘 대비되는 색상에 따라 선택할 수 있는 파우더가 다양하다.분말의 예로는 알루미늄, 청동, 큐브릭 산화물, 철, 이산화티타늄, 흑연, 자석, 형광 분말 등이 있다.이 분진 작용은 또한 범죄 현장 조사에 사용된 과정을 모방한다.[13]

지문 보존

지문을 보존하는 것은 카메라를 이용하여 다른 빛의 변화를 가진 지문 이미지나 키패드의 여러 사진을 캡처한다.일반적으로 고해상도 카메라와 밝은 조명은 얼룩을 식별하는 데 가장 효과적이다.반사를 제한하고 투명한 지문을 분리하는 것이 목표다.[13]

객체의 가시성

지문의 가시성은 광원, 반사, 그림자에 의존한다.스마트 기기의 터치 스크린과 표면은 지문의 이미지를 보는 방법을 바꾸는 다른 반사를 가질 수 있다.[13]

  • 확산반사 : 여러 각도에서 반사되어 거친 표면에서 발생하는 입사광선.빛의 분산반사는 사람의 눈이 볼 수 있는 지문의 이미지를 반영한다.사전 처리와 강한 빛에 사용되는 기술은 더 선명한 사진을 위해 확산 반사를 강화한다.[13]
  • 정반사 : 입사 광선은 한 각도에서 반사되어 매끄러운 표면에서 생성된다.빛의 투영된 반사광은 표면 뒤에서 오는 것처럼 보이는 (빛을 내지 않기 때문에) 가상의 이미지를 반영한다.이것의 예는 거울이다.[15]

키패드에 지문 매핑

지문 매핑은 촬영한 스머지 이미지를 사용하여 스머지 이미지를 키패드 위에 놓거나 이미지를 참조 사진과 비교하여 어떤 키를 사용했는지 파악한다.스머지 위치를 매핑하면 공격자가 인증된 사용자가 어떤 탭된 키를 사용했는지 알아내는 데 도움이 된다.먼저 지문과 키패드 이미지를 크기 조정하고 가공하여 해당 지문과 키가 차지하는 영역을 찾는다.다음으로 라플라스 엣지 감지 알고리즘을 적용해 손가락의 능선 가장자리를 감지하고 전체 지문을 날카롭게 갈고 배경 얼룩을 제거한다.그런 다음 사진은 이진 이미지로 변환되어 흰 지문과 검은 배경 사이에 대비를 이룬다.또한 격자 구획과 함께 이 이미지를 사용하면 사용자가 각 격자 구역에서 가장 많은 수의 흰색 점을 가진 위치를 기준으로 도청한 위치를 명확히 할 수 있다.[13]

여러 지문을 구분

사용자가 여러 명일 경우 지문을 그룹화하면 각 개인에 속하는 지문을 분류하는 데 도움이 될 수 있다.지문은 능선과 계곡을 모두 가지고 있으며, 이를 구분하는 것은 전체와 국부 능선 구조에 의해 결정된다.지문 굴곡의 세 가지 패턴은 아치, 루프, 울(Whorl)으로 전체 구조를 나타내며, 능선 끝이나 분기점은 국소 구조 또는 미니티아 점을 나타낸다.[4]다른 알고리즘은 지문을 분류하고 차이를 식별하기 위해 이러한 지문 특성과 구조를 포함한다.사용되는 알고리즘의 예로는 필터뱅크, 인접 방향 벡터(AOV) 시스템, 상관 필터 등이 있다.[13]

  • 필터뱅크는 전체 지문이 필요하며, 로컬과 전체 구조를 모두 사용하기 때문에 손가락 끝만 식별할 수 없다.알고리즘은 관심 영역을 선택해 섹터로 나누는 방식으로 작동한다.각 섹터를 필터링한 후 국소적 특징을 모두 갖춘 피쳐 벡터가 형성되며, 두 개의 지문 이미지 벡터의 유클리드 거리를 비교하여 일치하는 부분이 있는지 확인할 수 있다.[13]
  • 인접 방향 벡터 시스템은 손가락의 전체/전체 구조보다는 미세한 쌍의 수와 손가락 디테일만을 기준으로 지문을 일치시킨다.알고리즘은 미니티아 쌍의 모든 능선에 번호를 매기고 그 숫자와 인접한 미니티아 방향 간의 차이로 구성된 AOV를 생성함으로써 작동한다.AOV 점수나 두 지문의 거리는 정밀 매칭 후 임계값과 비교하여 지문이 동일한지 확인한다.[13]
  • 상관 필터는 손가락 전체와 손가락 끝 모두에 사용할 수 있다.이 알고리즘은 지문의 트레이닝 이미지나 상관 필터로 영상에 대한 지문을 사용하여 로컬 및 전체 능선 패턴과 능선 주파수를 찾아낸다.지문을 확인할 때 테스트 영상에 변환을 적용하고 관심 있는 사람에게 상관 필터를 적용한 결과를 곱한다.시험 과목과 템플릿이 일치하면 큰 결과가 나와야 한다.[13]

스머지 지원 패턴 추측(스머지)

스머그는 이미지 처리와 정렬 패턴을 결합해 패턴 기반 암호를 알아내는 구체적인 공격 방식이다.먼저 공격자는 적절한 카메라와 조명을 이용해 스머지 부위를 촬영한다.그런 다음 이미지 매칭 알고리즘을 사용하여 캡처된 이미지를 동일한 장치의 참조 사진과 비교하여 얼룩에 초점을 맞춘 잘라낸 사진을 적절하게 추출한다.다음으로 스머지 객체를 바이너리, 캐니 에지 검출, 허우 변환 등을 이용해 식별해 지문 위치의 가시성을 높인다.스위프와 포인트 사이의 가능한 세그먼트는 대상 패턴을 형성하는 알고리즘으로 감지된다.그런 다음 세그먼트를 필터링하여 세그먼트 방향을 따르는 가장자리만 유지하기 위해 원치 않는 격리된 가장자리를 제거한다.이러한 세그먼트는 설정된 임계값과 스머지 객체 수를 비교한 후 두 격자점 사이의 스머지가 패턴의 일부인지 파악하여 식별한다.마지막으로, 이러한 세그먼트는 잠재적인 암호를 찾기 위해 암호 모델에 사용된다(예: n-그램 마르코프 모델).실험 결과 이 방법은 스머지 공격의 도움을 받은 시간의 74.17%로 순수 추측 공격의 13.33%보다 개선된 360개 패턴 코드의 잠금 해제에 성공한 것으로 나타났다.[12][16]

취약한 보안 방법 유형

스머지 공격은 안드로이드 패턴, PIN, 문자 기반 암호 등 다양한 스마트 기기 잠금 방법으로 할 수 있다.이 모든 인증 방법은 사용자가 화면을 두드려 정확한 조합을 입력해야 하므로 이러한 얼룩을 찾는 공격을 스머징하기 쉽다.[17]

개인 식별 번호(PIN)

주요 기사:개인 식별 번호

PIN은 개인 고유의 4~6개 번호코드로, 이 기능을 활용하는 휴대전화 사용자의 78%에서 가장 널리 사용되는 휴대전화 인증방식 중 하나이다.[18]4자리 PIN은 주로 영국 사용자가, 6자리 PIN은 아시아에서 사용자가 사용한다.[17]선택할 수 있는 숫자 옵션은 10개뿐이며, 네 자리 PIN은 숫자 조합이 1만개, 여섯 자리 PIN은 100만개다.[19]PIN은 스머지 공격뿐만 아니라 어깨 서핑 공격과 같은 직접적인 관찰을 통해 가능한 다른 공격이나 짐승 같은 순수한 추측에 취약하다.그것들은 또한 전자거래현금 자동 인출기 및 기타 은행 상황에도 많이 사용된다.PIN을 공유하거나 도난당한 경우 기기나 기계는 정확한 번호를 입력하는 경우에만 의존하기 때문에 사용자가 올바른 소유자인지 여부를 감지할 수 없다.스머지 공격과 관련해서는 공격자가 실제 사용자를 인증할 수 있는 다른 방법이 없기 때문에 쉽게 정보를 도용할 수 있다.[20]

텍스트 기반 암호

기본 문서: 암호

문자 기반 암호는 사람들이 영숫자 방식으로 휴대폰을 잠글 때 사용하는 인기 있는 보안 수단이다.사용자는 숫자, 대문자와 소문자, 구두점, 특수문자의 조합으로 비밀번호를 만들 수 있다.[21]텍스트 기반 암호를 사용하는 터치스크린 장치에는 영숫자 키패드의 해당 숫자 또는 문자 위치에 지문 얼룩이 포함된다.공격자는 이것을 이용하여 스머지 공격을 수행할 수 있다.문자 기반 암호의 몰락은 스머지 공격에 취약할 뿐만 아니라 사용자가 암호를 잊어버리는 경향도 있다.이것은 많은 사용자들이 기억하기 쉬운 것을 사용하거나 다른 플랫폼에 걸쳐 여러 개의 비밀번호를 재사용하도록 한다.이러한 암호는 전체 암호 공간 내에서 약한 암호 하위 공간이라고 불리는 영역에 속하며 공격자가 무차별적인 사전 공격을 쉽게 침입할 수 있게 한다.[11]초기 연구에서는 3289개의 비밀번호를 검토했으며, 86%의 비밀번호가 사전 단어를 포함하거나 짧다는 등의 구조적 유사성을 보였다.[22]

DAS(Draw-a-Secret)

주요 기사: 드로어 시크릿

Draw-a-Secret은 사용자가 2차원 그리드에 선이나 포인트를 그려야 하는 그래픽 인증 방식이다.성공적인 인증은 사용자가 그린 경로를 정확히 복제할 수 있는지에 따라 달라진다.Android Pattern Password는 DAS의 개념을 따르는 Pass-Go의 버전이다.[23][24]

패스고

Pass-Go는 그리드를 사용하여 그래픽 데이터베이스를 저장할 필요가 없으며 사용자가 원하는 만큼 암호를 그릴 수 있다.DAS와 달리 화면상 셀 대신 격자상 교차로 선정에 의존하는 구조로 사용자도 대각선을 그릴 수 있다.이 방법을 제안한 Tao와 Adam은 3개월 동안 많은 사람들이 최소의 기억과 쉬운 비밀번호를 선택하려는 경향과 반대로 더 긴 패턴의 비밀번호를 그렸다는 것을 발견했다.[25]

Android Pattern 암호

안드로이드 패턴락은 구글이 2008년 도입한 그래픽 비밀번호 방식으로 사용자가 회선연결 3x3 그리드에 패턴을 만드는 방식이다.[16]안드로이드 사용자의 약 40%가 휴대폰을 보호하기 위해 패턴락 장치를 사용한다.[16]사용자가 그릴 수 있는 패턴은 38만9,112개다.[26]각 패턴은 그리드에 최소 4개의 지점을 포함해야 하며, 각 접점을 한 번 사용해야 하며, 이전에 사용하지 않는 한 중간 지점을 건너뛸 수 없다.[24]안드로이드 패턴락을 사용하는 터치스크린 기기는 공격자가 허가받지 않은 사용자로 전화기의 잠금을 해제하는 데 필요한 올바른 위치와 조합을 제공하는 스위프를 남겨둔다.스머지 공격에 대한 안드로이드 패턴록의 보안성은 펜실베이니아 대학의 연구원들이 테스트한 것으로, 그린 패턴에서 남겨진 스윗프로부터 적절한 조건 하에서 코드의 완전한 68%, 부분적으로는 92%를 식별할 수 있었다.[1]

대응책

안드로이드 페이스 잠금 해제, 아이폰 터치 ID, 페이스 ID, 트러스트드 보이스 등 생리학적 생체 인식은 최근 모바일 기기에서 검증의 주요 또는 대체 방법으로 구현되고 있다.미래의 보안 계획이 될 잠재력이 있지만 아직 주류 사용법으로는 구현되지 않은 다른 새로운 방법들도 있다.[27]이러한 방법 중 일부는 손가락으로 어떤 것이든 입력해야 하는 요구사항을 피하며 따라서 공격자가 암호 잠금을 결정하기 위해 스머지를 사용할 수 있는 능력을 제거한다.

강력한 암호

스머지 공격으로부터 보호하는 데 도움이 되는 많은 대책들이 있지만, 보안 암호를 만드는 것이 장치를 보호하는 첫 번째 단계가 될 수 있다.권장되는 단계 중 일부는 다음과 같다.[28]

  • 암호는 8자 이상이어야 한다.더 긴 암호가 취약한 암호 하위 공간을 벗어나 공격자가 더 많은 지문 얼룩을 해석하기 어렵게 함
  • 사전의 단어가 더 흔하고 암호를 약하게 만들 수 있으므로 사용하지 마십시오.
  • 암호를 자주 변경하십시오.
  • 임의로 생성된 암호를 사용하십시오.임의의 비밀번호는 공격받기 쉬운 공통의 단어와 기억하기 쉬운 단어를 사용자가 선택할 수 없도록 한다.
  • 모든 보안 인증 시스템에 동일한 암호를 사용하지 마십시오.이렇게 하면 공격자가 암호 중 하나를 발견한 경우 다른 정보에 액세스할 수 없게 된다.

더 강력한 암호를 위한 권장 팁이긴 하지만, 사용자들은 기억하게 될 강력한 암호 옵션이 고갈될 수 있고, 자주 변경하면 나중에 암호를 잊어버릴 수 있다.이를 피하기 위해 사용자들은 짧고 약한 암호를 선택하여 암호를 더욱 편리하게 만들고 잠금 해제 시간을 단축하는 경향이 있다.[29]

지문 방지 보호

연구원들은 사람들이 현재 비밀번호 체계를 유지하고 남아 있는 얼룩에 대해 걱정하지 않도록 할 수 있는 지문 방지 특성을 조사했다.손가락의 물과 기름을 밀어낼 수 있는 표면을 앰프공포증이라고 한다.표면 에너지와 표면 투명도가 낮은 표면(조밀도가 낮음)은 접촉각이 높고 분자 끌어당김이 적어 일반적으로 매연방지 효과가 있다.분자 끌어당김이 낮다는 것은 기름과 물 분자가 표면에 결합하여 흔적을 남기기 위한 접착력이 거의 또는 전혀 없다는 것을 의미한다.그러나 낮은 표면 에너지가 터치스크린 자체의 내구성과 기능을 변화시키므로 터치스크린으로 작동하면서 이러한 특성을 달성하는 것은 어렵다.[14]

이번 연구로 테크아머의 글래어 방지 및 핑거프린트 방지 필름 보호대, ZAGG비인기 방지 등 다양한 방독면이 출시됐다.실드 프리미엄 필름 및 글라스 엘리트(성격 유리) 항균 스크린 보호기ZAGG는 보이지 않는 시장을 선점한다.스머지 저항성, 눈부심 저항성 및 긁힘 방지 기능을 갖춘 차폐 기능.[30]이 핸드폰 액세서리는 30달러에서 60달러까지 할 수 있다.[31]

터치스크린을 지문으로부터 보호하기 위해 기름에 저항하는 올레 공포증 코팅으로 시중에 판매되고 있는 다양한 스마트폰도 있다.올레 혐기성 스크린은 오일 잔차를 구슬로 고정시켜 표면에 달라붙는 것을 방지하고 손가락 잔차를 얼룩 없이 쉽게 닦아낸다.[32]블랙베리는 2016년 7월 올레 혐기성 코팅이 적용된 DTEK50 스마트폰을 출시했다.[33][31]애플의 아이폰, [34][35]노키아, 루미아 등 다른 휴대폰 개발업체들도 이 제품을 터치스크린에 사용해 왔다.그리고 HTC Hero.[36]

생체 측정학

주요 기사:생체 측정학

생체 인식은 기억하거나 암기할 수 있는 것이 아니라 키 입력, 걸음걸이, 안면 인식 등 행동이나 신체적 특성에 따라 사용자를 식별하는 일종의 인증이다.[4]생체 인식 시스템은 개인의 고유한 특징을 취하여 생체 인식 템플릿으로 기록하며, 그 정보를 현재의 캡처된 입력과 비교하여 사용자를 인증한다.[37]미국 국립과학기술위원회(NSTC) 생물측정학 분과위원회에서 생물측정학(Biometrics)은 생리적 또는 행동적 요소로 분류된다.[38]이러한 유형의 보안은 암기된 번호나 패턴을 입력하거나 이미지를 불러올 때 의존하지 않기 때문에 자체적으로 스머지 공격에 취약한 기존 암호 방법에 대한 보조 보호 역할을 할 수 있다.생체 인증에 대한 연구를 실시한 결과, 생체 인식과 기존 암호 또는 PIN을 혼합하거나 혼합하면 원래 시스템의 보안과 사용성을 개선할 수 있다는 사실이 밝혀졌다.[39]

생체 인식의 단점 중 하나는 공격자가 사용자를 모방하는 모방 공격이다.공격자가 피해자의 행동을 복사할 수 있는 방법으로 눈을 돌리면 장치의 취약성을 높일 수 있다.공격자가 피해자의 전화기에 들어갈 때 안내하는 리얼리티 기반 앱을 사용하거나 포인터와 오디오 신호로 투명 필름을 사용해 피해자의 행동을 모방하는 방법도 있다.[40]생체인식 템플릿이 해킹 등을 통해 무단 유출되거나 도용될 수 있다는 점도 취약하다.[41][42]도난, 누출 또는 모방 행위에 대한 가능한 해결책은 지문 템플릿 보호 체계로서, 공격자가 암호화 및 추가 기법을 통해 정보에 액세스하는 것을 어렵게 하기 때문이다.[39][41]

생리학

생리적 생체 인식은 인간의 특성에 기초하여 사용자를 인증한다.각 개인에 고유한 특성을 측정하면 이러한 특징이 매우 빠르게 변화하지 않기 때문에 안정적이고 대부분 일관된 메커니즘을 만들어 사람을 인증한다.생리적 생체 인증 방법의 몇 가지 예는 아래와 같다.[38]

행동

행동 생물측정학은 진정한 사용자의 행동, 습관, 경향에 근거하여 사용자를 인증한다.일부 예로는 음성 인식, 걸음걸이, 손놀림, 키 스트로크 역학 등이 있다.[38]스머지 공격으로부터 특별히 보호하기 위해 아래에 열거된 계획들이 제안되었다.

  • 터치-인터액션:터치 상호 작용은 탭핑이나 슬라이딩과 같은 터치 스크린과의 상호작용을 기반으로 사용자를 인증하는 제안 방법이다.사용자를 한 번 확인하는 정적인 것과 여러 번 확인하는 연속적인 두 종류가 있다.별도의 센서가 필요 없고 사용자의 도움이나 관심 없이 백그라운드에서 사용자를 확인하고 모니터링할 수 있는 것이 편리하다.차오 외는 손가락의 위치, 스와이프의 길이, 각도, 걸리는 시간, 속도, 가속도, 손가락 압력의 측면에서 위, 아래, 오른쪽, 왼쪽의 움직임을 확인하는 과정을 설명한다.수행한 실험에서, 그들은 터치 기반 방법이 얼마나 유용하고 신뢰할 수 있는지를 시험했고, 모든 터치 조작이 안정적이고 예상 오류율이 1.8%인 무허가 사용자를 차단했다는 것을 발견했다.그러나 스마트폰의 종류, 소프트웨어, 환경, 전화기의 친숙성, 사용자의 물리적 상태와 같은 다른 요소들이 여전히 존재하며, 따라서 더 높은 오류율을 야기할 수 있다.[43]
  • BEAT : 이 특정한 잠금 해제 방법을 BEAT라고 하는데, 이것은 사용자의 행동이나 제스처나 서명을 하는 방법을 인증한다.제스처는 터치 스크린을 문지르거나 꼬집는 것이며, 서명 체계는 사용자가 자신의 이름을 서명해야 한다.이 방법은 스머지 공격으로부터 안전하며 추가 하드웨어가 필요하지 않다.BEAT는 우선 인증에 사용할 수 있는 액션을 어떻게 수행했는지에 따라 모델을 만들기 위해 사용자에게 15~20회 액션을 수행하도록 요청하는 방식으로 작동한다.식별된 특징은 속도 크기, 장치 가속도, 스트로크 시간, 스트로크 간 시간, 스트로크 변위 크기, 스트로크 변위 방향 및 속도 방향이다.그런 다음 머신러닝 기법을 적용하여 사용자의 합법성 여부를 결정한다.삼성 스마트폰과 태블릿에서 비트(BEAT) 방식으로 실험을 한 결과 제스처 샘플 1만5009개와 시그니처 샘플 1만054개를 수집한 결과, 1개의 시그니처에 대해 3개의 제스처 오류율이 0.5%, 약 0.52%인 것으로 나타났다.[44]

스머지세이프

SmuggeSafe는 로그인 화면 페이지에서 이미지를 회전, 뒤집기 또는 축척하기 위해 2차원 이미지 변환을 사용하는 스머지 공격으로부터 보호하는 또 다른 인증 방법이다.사용자는 평소와 같이 이미지 상의 포인트에서 생성된 그래픽 암호 셰이퍼를 그리지만 사용자가 로그인할 때마다 이미지가 다르게 나타난다.이미지에 대해 수행된 변경사항은 임의로 변경되므로 이전 로그인 스머지는 공격자에게 입력이 무엇인지에 대한 힌트를 주지 않는다.적용된 변환이 암호 지점의 위치를 크게 변경하도록 하기 위해 이미지에서 이러한 특정 위치의 영역을 제한한다.SmuggeSafe의 그래픽 인증 방식을 패턴 잠금과 PIN 잠금에 비교한 연구에서 SmuggeSafe는 참가자당 추측한 평균 0.51개의 비밀번호로 가장 좋은 성과를 거뒀다.패턴락은 평균 3.50, PIN은 참가자당 정확히 추측된 1.10개의 비밀번호를 가지고 있었다.[6]

타이니락

TinyLock은 [5]권씨 등이 제안한 것으로 2개의 그리드를 사용하며, 위는 확인 프로세스를 위한 프레스 셀, 아래는 인증 프로세스를 위한 도면 패드다.[5]상단 그리드는 사용자가 그리기 시작하기 전에 정확한 초기 도트에 있을 경우 깜박임과 진동으로 사용자에게 통지하는 데 사용된다.화면 하단 절반에는 비밀 암호를 그리는 데 사용되는 아주 작은 3 x 3 그리드가 들어 있다.격자는 기존의 패턴 잠금장치에 비해 크기가 훨씬 작아 좁은 공간에 사용자가 그림을 그려 작은 면적의 얼룩을 모두 쥐어짜야 한다.이 방법은 스머지가 모두 뭉쳐져 있기 때문에 스머지 공격을 완화시키고, 사용자는 패턴 비밀번호를 그린 후 어느 방향으로든 원형 가상 바퀴를 그려야 한다.그러나 이 방법은 어깨 서핑 공격에서 완전히 자유로운 것은 아니다.[23]또 다른 단점은 격자점이 크기가 작아 시야 확보가 어려워 복잡한 무늬를 그리기 어렵고 오류 없이 잠금해제를 한다는 점이다.[16]

클릭패턴

클릭패턴은 1부터 9까지 라벨이 붙어 있는 3 x 3 그리드를 사용하며, 사용자는 화면의 스위핑을 방지하기 위해 그려진 선의 끝과 상관관계가 있는 노드를 클릭해야 한다.이렇게 하면 일반적인 화면 사용과 구별하기 어려운 얼룩이 생긴다.만약 어떤 것이든, 만들어진 스머지는 사용된 노드가 드러나지만 패턴은 드러나지 않을 것이고, 따라서 안드로이드 패턴 잠금보다 스머지 공격으로부터 더 보호될 것이다.잠금 화면에서 ClickPattern은 다음 세 가지 구성 요소로 구성된다.[45]

  • 그리드 3 x 3
  • 1-9번 테이블
  • 확인 및 실행 취소 버튼

입력된 패턴이 원래 패턴과 동일하고 정확한 순서와 방향일 때 사용자가 인증된다.유효한 패턴을 생성하려면 패턴에 최소 4개 이상의 포인트가 있어야 하며, 한 번 이상 사용할 수 있는 포인트가 없어야 한다.또한 반드시 클릭할 필요는 없지만 패턴은 항상 시퀀스 사이에 점을 포함한다.사용자들은 또한 사용하지 않는 노드에 접근하기 위해 이전에 사용한 점들을 통과할 수 있다.[45]

TSFT(Touch with Fingers Straight and Together) 터치 방식의 멀티 터치 인증

이 멀티 터치 인증은 기하학적, 행동적 특성을 이용해 터치 스크린 기기에서 사용자를 검증한다.송씨 에 따르면 이 TFST 동작은 잠금 해제까지 평균 0.75초가 걸리고, 사용이 매우 간편하며, 따라하기 간단하다.[46]사용자는 두 개에서 네 개의 손가락을 일직선으로 모아 다른 멀티 터치 방식에 비해 표면의 양을 줄인다.이 고정된 손 자세에서 손가락을 사용하여 사용자는 단순하거나 복잡한 패턴을 추적할 수 있으며, 화면은 손가락의 위치를 집어서 터치 이벤트의 형태로 각각의 추적 움직임을 기록할 것이다.이러한 터치 이벤트는 X 및 Y 좌표, 적용된 압력의 양, 손가락 크기, 타임스탬프 및 터치된 영역의 크기를 설명하며, 등록 과정에서 생성된 템플릿과 비교된다.[22]생리적 특징이나 손 기하학에는 수행된 동작에서 가능한 스트로크 사이의 측정이 포함된다.수평 획은 손가락 길이 차이를, 수직 획은 손가락 너비를 추적한다.사용자가 항상 손가락을 곧은 위치에 놓기 때문에 손가락의 측정값은 그대로 유지되며 일관된 검증을 제공한다.마지막으로 추적되는 행동적 특징들, 특히 뇌졸중의 길이, 걸리는 시간, 뇌졸중의 속도, 손가락 크기와 관련된 각 접촉점의 공구 또는 면적, 접촉 면적 크기, 적용된 압력, 뇌졸중의 각도 등이 있다.1타에 대해서는 13가지 행동 특징이 있으며, 이것은 최대 4타까지 26, 39, 52로 증가한다.[46]

암호 굽기

스마트폰 기기용 플렉시블 디스플레이를 만드는 데 맞춰진 신기술로 새로운 인증 방식을 만들 기회가 많아졌다.벤드 암호는 유연한 화면에 사용되는 암호 인증의 원래 유형이다.사용자가 디스플레이 표면을 비틀거나 형상화 해 수행하는 다양한 굽힘 동작이 포함되며 현재 총 20개의 동작이 가능하다.휨은 표시장치의 네 모서리 중 하나를 개별적으로 벤딩하여 하나의 제스처의 일부가 될 수 있고, 동시에 코너 쌍을 벤딩하여 멀티벤드 제스처의 일부가 될 수 있다.[18]

프랙탈 기반 인증 기법(FBAT)

프랙탈 기반 인증 기법(FBAT)이라는 새로운 제안 인증 방법은 시에르핀스키의 삼각형을 사용하여 사용자를 인증한다.이 과정은 사용자가 삼각형 레벨이 증가함에 따라 미리 선택한 개인별 컬러 삼각형을 인식하고 클릭해야 하는 인식 기반과 계량형 리콜 기반 인증을 결합한다.스마트폰의 경우 터치스크린 크기가 제한돼 삼각형 수준이 3으로 설정되어 있지만 대형 태블릿의 경우 늘릴 수 있다.레벨 3에서 공격자가 암호를 추측할 확률은 0.13%이다.인식 기반은 사용자가 사전 선택된 이미지를 인식하도록 요구하고, 누적된 리콜 기반 그래픽은 사용자가 이미지의 사전 선택된 포인트를 클릭하도록 요구한다.시에르핀스키 삼각형에서는 등록 중에 선택된 컬러 패턴이 생성되어 장치에 숨겨진다.자신을 인증하려면 삼각형이 임의로 섞이는 동안 사용자는 각 레벨에서 올바른 패턴을 선택해야 한다.컬러 삼각형은 무작위로 생성되기 때문에 인증 때마다 다른 위치에서 찾을 수 있어 잠재적인 공격자에게 어떤 실마리도 주지 않는 얼룩을 남긴다.이 기법은 안드로이드 기기, ATM 기기, 랩톱 또는 인증을 사용하여 잠금을 해제하는 모든 기기에서 사용할 수 있다.[28]

2 x 2 및 1 x 2 노크 코드

노크코드LG전자가 도입한 인증방법으로 사용자가 올바른 순서대로 정확한 영역을 눌러 폰의 전원을 켜지 않고도 잠금해제를 할 수 있다.화면은 4개의 섹션으로 나뉘는데, 수직선과 수평선이 바뀐다.[47]제안된 노크 코드의 두 가지 변형인 2 x 2와 1 x 2 노크 코드가 있다.이러한 변화는 탭 입력 후 끝의 노크 부분을 지우는 슬라이딩 작업으로 인해 스머지 공격으로부터 보호할 수 있다.원래의 노크 코드와 안드로이드 패턴 록을 비교한 사용자 연구에서, 이러한 변형 체계는 스머지 공격에 대한 저항성이 더 높았다.[23]

  • 2 x 2 노크 코드:2 x 2 노크 코드는 원래의 노크 코드보다 약 45억 가지 방법 또는 5만 3천 배 더 큰 비밀번호 조합의 양을 증가시키는 슬라이딩 제스처를 추가했다.이 계획은 그리드의 네 부분을 사용하며 높은 수준의 보안을 유지하면서 수행하는 제스처의 양을 줄이는 것을 목표로 한다.[23]
  • 1 x 2 노크 코드:1 x 2 계통도 슬라이딩 연산을 사용하지만 면적이 측면인 2개로 줄어든다.사용하는 알고리즘인 플렉시블 영역 인식은 편의상 같은 영역에서 슬라이딩 작업을 할 수 없고, 사용자는 엄지손가락만 사용해 전화기의 잠금을 해제하면 된다.서브스페이스에 있는 암호의 양은 원래 노크 코드와 정확히 같다.[23]

미래

지문, 안면인식 등 기존 스마트폰 보안에서 PIN과 영숫자 암호를 교체할 수 있는 생리학적 생체 인증으로 전환하려는 움직임이 일고 있다.[4]하지만 새롭고 고급 인증 방식이라도 사용자가 활용할 수 있는 흠과 약점이 있다.예를 들어, 터치 인증의 검사에서 연구자들은 다수의 전화 사용자에서 유사한 스와핑 행동과 손가락 압력을 관찰했으며, 이러한 일반적인 정보는 공격자가 성공적인 공격을 수행하는 데 도움을 줄 수 있다.[42]새로운 트렌드와 신기술이 개발됨에 따라 기존 비밀번호에 대한 공격과 새로운 계획의 취약성을 제거하기 위해 생체 인식과 다중 위치 인증 방법에 대한 연구가 계속되고 있다.[20]

참고 항목

참조

  1. ^ a b c d e f Aviv, Adam J.; Gibson, Katherine; Mossop, Evan; Matt, Matt; Jonathan, Smith (2010). "Smudge attacks on smartphone touch screens" (PDF). USENIX Association: 1–7 – via In Proceedings of the 4th USENIX conference on Offensive technologies.
  2. ^ a b c d e Spreitzer, Raphael; Moonsamy, Veelasha; Korak, Thomas; Mangard, Stefan (2018). "Systematic Classification of Side-Channel Attacks: A Case Study for Mobile Devices". IEEE Communications Surveys & Tutorials. 20 (1): 465–488. doi:10.1109/comst.2017.2779824. hdl:2066/187230. ISSN 1553-877X. S2CID 206578562.
  3. ^ von Zezschwitz, Emanuel; Koslow, Anton; De Luca, Alexander; Hussmann, Heinrich (2013). "Making graphic-based authentication secure against smudge attacks". Proceedings of the 2013 International Conference on Intelligent User Interfaces - IUI '13. New York, New York, USA: ACM Press: 277. doi:10.1145/2449396.2449432. ISBN 978-1-4503-1965-2. S2CID 13389690.
  4. ^ a b c d Meng, Weizhi; Wong, Duncan S.; Furnell, Steven; Zhou, Jianying (2015). "Surveying the Development of Biometric User Authentication on Mobile Phones". IEEE Communications Surveys & Tutorials. 17 (3): 1268–1293. doi:10.1109/comst.2014.2386915. ISSN 1553-877X. S2CID 8918672.
  5. ^ a b c Kwon, Taekyoung; Na, Sarang (2014-05-01). "TinyLock: Affordable defense against smudge attacks on smartphone pattern lock systems". Computers & Security. 42: 137–150. doi:10.1016/j.cose.2013.12.001. ISSN 0167-4048.
  6. ^ a b Schneegass, Stefan; Steimle, Frank; Bulling, Andreas; Alt, Florian; Schmidt, Albrecht (2014-09-13). "SmudgeSafe: geometric image transformations for smudge-resistant user authentication". Proceedings of the 2014 ACM International Joint Conference on Pervasive and Ubiquitous Computing. UbiComp '14. Seattle, Washington: Association for Computing Machinery: 775–786. doi:10.1145/2632048.2636090. ISBN 978-1-4503-2968-2. S2CID 15505553.
  7. ^ Danchev, Dancho. "Researchers use smudge attack, identify Android passcodes 68 percent of the time". ZDNet. Retrieved 2020-11-08.
  8. ^ "Shocker: Touchscreen smudge may give away your Android password pattern". Engadget. Retrieved 2020-11-08.
  9. ^ "Android and data loss protection (archived web page)". Whisper Systems. Archived from the original on June 28, 2012. Retrieved 28 June 2012.{{cite web}}: CS1 maint : 부적합한 URL(링크)
  10. ^ "[New App] WhisperCore Prevents Smudge Attacks On Android Phones - With The Sacrifice Of Convenience, That Is". Android Police. 2011-06-02. Retrieved 2020-11-14.
  11. ^ a b Oorschot, P. C. van; Thorpe, Julie (January 2008). "On predictive models and user-drawn graphical passwords". ACM Transactions on Information and System Security. 10 (4): 1–33. doi:10.1145/1284680.1284685. ISSN 1094-9224. S2CID 3849996.
  12. ^ a b c d Cha, Seunghun; Kwag, Sungsu; Kim, Hyoungshick; Huh, Jun Ho (2017-04-02). "Boosting the Guessing Attack Performance on Android Lock Patterns with Smudge Attacks". Proceedings of the 2017 ACM on Asia Conference on Computer and Communications Security. New York, NY, USA: ACM: 313–326. doi:10.1145/3052973.3052989. ISBN 978-1-4503-4944-4. S2CID 2717197.
  13. ^ a b c d e f g h i j k Zhang, Yang; Xia, Peng; Luo, Junzhou; Ling, Zhen; Liu, Benyuan; Fu, Xinwen (2012). "Fingerprint attack against touch-enabled devices". Proceedings of the Second ACM Workshop on Security and Privacy in Smartphones and Mobile Devices - SPSM '12. New York, New York, USA: ACM Press: 57. doi:10.1145/2381934.2381947. ISBN 978-1-4503-1666-8. S2CID 13841585.
  14. ^ a b Belhadjamor, M.; El Mansori, M.; Belghith, S.; Mezlini, S. (2016-12-30). "Anti-fingerprint properties of engineering surfaces: a review". Surface Engineering. 34 (2): 85–120. doi:10.1080/02670844.2016.1258449. ISSN 0267-0844. S2CID 136311346.
  15. ^ "Molecular Expressions Microscopy Primer: Light and Color - Specular and Diffuse Reflection: Interactive Tutorial". micro.magnet.fsu.edu. Retrieved 2020-11-06.
  16. ^ a b c d Li, Qingqing; Dong, Penghui; Zheng, Jun (2020-01-11). "Enhancing the Security of Pattern Unlock with Surface EMG-Based Biometrics". Applied Sciences. 10 (2): 541. doi:10.3390/app10020541. ISSN 2076-3417.
  17. ^ a b Ibrahim, Tahir Musa; Abdulhamid, Shafi'i Muhammad; Alarood, Ala Abdusalam; Chiroma, Haruna; Al-garadi, Mohammed Ali; Rana, Nadim; Muhammad, Amina Nuhu; Abubakar, Adamu; Haruna, Khalid; Gabralla, Lubna A. (August 2019). "Recent advances in mobile touch screen security authentication methods: A systematic literature review". Computers & Security. 85: 1–24. doi:10.1016/j.cose.2019.04.008. ISSN 0167-4048.
  18. ^ a b Maqsood, Sana; Chiasson, Sonia; Girouard, Audrey (2016-08-01). "Bend Passwords: using gestures to authenticate on flexible devices". Personal and Ubiquitous Computing. 20 (4): 573–600. doi:10.1007/s00779-016-0928-6. ISSN 1617-4917. S2CID 15617366.
  19. ^ Spector, Lincoln; Editor, Contributing; Solutions, PCWorld About ; Tips; Problems, Answers for PC (2016-06-15). "When to choose a password, when to choose a PIN". PCWorld. Retrieved 2020-11-05. {{cite web}}: last2=일반 이름 포함(도움말)
  20. ^ a b Ratha, N. K.; Connell, J. H.; Bolle, R. M. (2001). "Enhancing security and privacy in biometrics-based authentication systems". IBM Systems Journal. 40 (3): 614–634. doi:10.1147/sj.403.0614. ISSN 0018-8670.
  21. ^ Editor, CSRC Content. "password - Glossary CSRC". csrc.nist.gov. Retrieved 2020-11-19. {{cite web}}: last=일반 이름 포함(도움말)
  22. ^ a b Liu, Can; Clark, Gradeigh D.; Lindqvist, Janne (2017-03-30). "Guessing Attacks on User-Generated Gesture Passwords". Proceedings of the ACM on Interactive, Mobile, Wearable and Ubiquitous Technologies. 1 (1): 3:1–3:24. doi:10.1145/3053331. S2CID 11303893.
  23. ^ a b c d e "Enhanced Knock Code Authentication with High Security and Improved Convenience". KSII Transactions on Internet and Information Systems. 12 (9). 2018-09-30. doi:10.3837/tiis.2018.09.024. ISSN 1976-7277.
  24. ^ a b Andriotis, Panagiotis; Tryfonas, Theo; Oikonomou, George (2014), "Complexity Metrics and User Strength Perceptions of the Pattern-Lock Graphical Authentication Method", Lecture Notes in Computer Science, Cham: Springer International Publishing, pp. 115–126, doi:10.1007/978-3-319-07620-1_11, ISBN 978-3-319-07619-5, retrieved 2020-11-18
  25. ^ Tao, Hai; Adams, Carlisle (September 2008). "Pass-Go: A Proposal to Improve the Usability of Graphical Passwords". International Journal of Network Security. 7 (2): 273–292. CiteSeerX 10.1.1.154.4313.
  26. ^ Harper, Elizabeth. "Your Android Phone's Pattern Lock Is Easy to Guess". www.techlicious.com. Retrieved 2020-12-01.
  27. ^ "What's the Most Secure Way to Lock Your Smartphone?". Gizmodo. Retrieved 2020-10-29.
  28. ^ a b Ali, Adnan; Rafique, Hamaad; Arshad, Talha; Alqarni, Mohammed A.; Chauhdary, Sajjad Hussain; Bashir, Ali Kashif (2019-02-07). "A Fractal-Based Authentication Technique Using Sierpinski Triangles in Smart Devices". Sensors. 19 (3): 678. doi:10.3390/s19030678. ISSN 1424-8220. PMC 6387263. PMID 30736448.
  29. ^ Yu, Xingjie; Wang, Zhan; Li, Yingjiu; Li, Liang; Zhu, Wen Tao; Song, Li (November 2017). "EvoPass: Evolvable graphical password against shoulder-surfing attacks". Computers & Security. 70: 179–198. doi:10.1016/j.cose.2017.05.006. ISSN 0167-4048.
  30. ^ "InvisibleShield - The #1 Selling Impact & Scratch Protection". www.zagg.com. Retrieved 2021-01-12.
  31. ^ a b blogs.blackberry.com. "Hackers Can Steal Your Password via Your Smartphone's Screen Smudges. The Smudge-Resistant DTEK50 Helps Prevent That". blogs.blackberry.com. Retrieved 2020-12-05.
  32. ^ Brookes, Tim. "How to Protect and Restore Your Smartphone's Oleophobic Coating". How-To Geek. Retrieved 2020-12-07.
  33. ^ "BlackBerry DTEK50 - Full phone specifications". www.gsmarena.com. Retrieved 2020-12-05.
  34. ^ "Giz Bill Nye Explains: The iPhone 3GS's Oleophobic Screen". Gizmodo. Retrieved 2020-12-07.
  35. ^ "Cleaning your iPhone". Apple Support. Retrieved 2020-12-07.
  36. ^ "HTC Hero - Full phone specifications". www.gsmarena.com. Retrieved 2020-12-07.
  37. ^ "How Biometrics Works". HowStuffWorks. 2005-11-11. Retrieved 2020-12-31.
  38. ^ a b c Alzubaidi, Abdulaziz; Kalita, Jugal (2016). "Authentication of Smartphone Users Using Behavioral Biometrics". IEEE Communications Surveys & Tutorials. 18 (3): 1998–2026. arXiv:1911.04104. doi:10.1109/comst.2016.2537748. ISSN 1553-877X. S2CID 8443300.
  39. ^ a b Ferrag, Mohamed Amine; Maglaras, Leandros; Derhab, Abdelouahid; Janicke, Helge (2019-09-13). "Authentication schemes for smart mobile devices: threat models, countermeasures, and open research issues". Telecommunication Systems. 73 (2): 317–348. arXiv:1803.10281. doi:10.1007/s11235-019-00612-5. ISSN 1018-4864. S2CID 4407928.
  40. ^ Khan, Hassan; Hengartner, Urs; Vogel, Daniel (2020-02-12). "Mimicry Attacks on Smartphone Keystroke Authentication". ACM Transactions on Privacy and Security. 23 (1): 1–34. doi:10.1145/3372420. ISSN 2471-2566. S2CID 211041059.
  41. ^ a b Jain, Anil K.; Nandakumar, Karthik; Nagar, Abhishek (2013), "Fingerprint Template Protection: From Theory to Practice", Security and Privacy in Biometrics, London: Springer London, pp. 187–214, doi:10.1007/978-1-4471-5230-9_8, ISBN 978-1-4471-5229-3, retrieved 2020-11-25
  42. ^ a b Serwadda, Abdul; Phoha, Vir V.; Wang, Zibo; Kumar, Rajesh; Shukla, Diksha (2016-05-06). "Toward Robotic Robbery on the Touch Screen". ACM Transactions on Information and System Security. 18 (4): 1–25. doi:10.1145/2898353. ISSN 1094-9224. S2CID 2800266.
  43. ^ Shen, Chao; Zhang, Yong; Guan, Xiaohong; Maxion, Roy A. (March 2016). "Performance Analysis of Touch-Interaction Behavior for Active Smartphone Authentication". IEEE Transactions on Information Forensics and Security. 11 (3): 498–513. doi:10.1109/TIFS.2015.2503258. ISSN 1556-6013. S2CID 10783876.
  44. ^ Shahzad, Muhammad; Liu, Alex X.; Samuel, Arjmand (2017-10-01). "Behavior Based Human Authentication on Touch Screen Devices Using Gestures and Signatures". IEEE Transactions on Mobile Computing. 16 (10): 2726–2741. doi:10.1109/TMC.2016.2635643. ISSN 1536-1233. S2CID 38908203.
  45. ^ a b Meriem Guerar; Alessio Merlo; Mauro Migliardi (2017-06-30). "ClickPattern: A Pattern Lock System Resilient to Smudge and Side-channel Attacks". Journal of Wireless Mobile Networks, Ubiquitous Computing, and Dependable Applications. 8 (2): 64–78. doi:10.22667/JOWUA.2017.06.31.064.
  46. ^ a b Song, Yunpeng; Cai, Zhongmin; Zhang, Zhi-Li (May 2017). "Multi-touch Authentication Using Hand Geometry and Behavioral Information". 2017 IEEE Symposium on Security and Privacy (SP). IEEE: 357–372. doi:10.1109/sp.2017.54. ISBN 978-1-5090-5533-3. S2CID 6334061.
  47. ^ "LG ANDROID KNOCK ON & KNOCK CODE LG USA Support". LG USA. Retrieved 2020-11-07.