Neuartige Authentifizierungstechniken Basierend Auf Eye-Tracking

Neuartige Authentifizierungstechniken basierend auf Eye Tracking

Einsatz von blickbasierter Eingabe

und grafischen Passwörtern an öffentlichen Terminals

Bachelorarbeit

im

Studiengang Angewandte Informatik - Systems Engineering

am Institut für Informatik und Wirtschaftsinformatik

der Universität Duisburg-Essen

Yordan Terziev

2211873

Essen, 23.09.09

Bearbeitungszeitraum: 23.06.09 – 23.09.09

Betreuer: Florian Alt, Alireza Sahami

Erstgutachter: Prof. Dr. Albrecht Schmidt

Seite II Neuartige Authentifizierungstechniken basierend auf Eye-Tracking

Eidesstattliche Erklärung

Hiermit versichere ich, dass ich die vorliegende Arbeit ohne Hilfe Dritter und nur

mit den angegebenen Quellen und Hilfsmitteln angefertigt habe. Ich habe alle

Stellen, die ich aus den Quellen wörtlich oder inhaltlich entnommen habe, als solche

kenntlich gemacht. Diese Arbeit hat in gleicher oder ähnlicher Form noch keiner

Prüfungsbehörde vorgelegen.

Essen, am 23.09.09

Neuartige Authentifizierungstechniken basierend auf Eye-Tracking Seite III

Zusammenfassung

Ziel dieser Arbeit ist die Entwicklung eines Authentifizierungssystems, das blick-

basierte Passworteingabe nutzt und im Rahmen einer Benutzerstudie auf Benutzer-

freundlichkeit und Nutzbarkeit getestet wird. Das entwickelte System soll eine

sichere Authentifizierung an öffentlichen Terminals ermöglichen und zugleich

mittels des Einsatzes von grafischen Passwörter für eine bessere Einprägsamkeit

sorgen.

Es wurden zwei unterschiedliche Authentifizierungsansätze entwickelt. Beim ersten

wählt der Benutzer blickbasiert kreisförmige Bereiche auf einem Bild aus. Beim

zweiten wird ein Bild mit einem Raster aufgeteilt und der Benutzer kann Teile des

Rasters als Passwortpunkte auswählen. Nachdem das System erfolgreich entwickelt

und getestet wurde, wurde mit einer kleinen Gruppe im Rahmen einer Vorstudie für

beide Ansätze jeweils ein passendes Bild ausgesucht, indem die Teilnehmer die

Authentifizierungsansätze mit unterschiedlichen Bildern getestet haben. Die Haupt-

studie wurde mit insgesamt 13 Teilnehmern an 2 Tagen durchgeführt, wobei jeder

Benutzer sich zunächst ein Passwort auswählen und sich direkt danach einmal ein-

loggen sollte. Ein zweiter Versuch sich ins System einzuloggen wurde nach 2 Tagen

wieder durchgeführt, um zu erfahren wie gut sich die Teilnehmer an das Passwort

erinnern können.

Abstract

The target of the thesis is the development of an authentication system, which uses

gaze-based password entry and graphical passwords. The system should reduce the

possibility for shoulder surfing attack, when using public terminals. It should also

increase the password memorability by replacing the exact password recall(PIN) by

recognition of picture parts. The system provides two different graphical authentica-

tion approaches. The first one uses a normal picture on which the password is

represented by circle areas. In the second one the picture is divided by a grid and the

user can choose grid parts, which are representing his password. After successful

system development a user study was conducted to prove the system usability. In

the pre-study a small group of people was asked to select a password of their own,

using both authentication approaches. The objective of this pre-study was to select

two suitable pictures for graphical passwords. Afterwards 13 persons were invited to

take part in a two-day study. On the first day the participants were asked to enroll in

the system and immediately afterwards to login one time. Two days later the partici-

pants were asked to login again, in order to check how good they were able to recall

their passwords.

Seite IV Neuartige Authentifizierungstechniken basierend auf Eye-Tracking

Abbildungsverzeichnis

Abbildung 1: Passworteingabezeit und Fehlerrate für blickbasierte Passworteingabe [7] ___ 6

Abbildung 2: Vergleich zwischen Dwell Time, Look&Shoot und Eye Gestures [8] _________ 7

Abbildung 3: JBossSX-Komponente und ihre Funktionsweise. [19] _____________________ 12

Abbildung 4: Echtzeit Track Status ________________________________________________ 14

Abbildung 5: Auswählen eines Bereichs im puzzlebasierten Authentifizierungsansatz ___ 16

Abbildung 6: Passwort im bildbasierten Authentifizierungsansatz _____________________ 16

Abbildung 7: Komponentendiagramm für den Server-Teil ____________________________ 19

Abbildung 8: Klassendiagramm für das Package credentials ___________________________ 20

Abbildung 9: Klassendiagramm für das Package entities ______________________________ 21

Abbildung 10: Entity-Relationship-Diagramm der eingesetzten Datenbank _____________ 22

Abbildung 11: Komponentendiagramm für den Client-Teil ___________________________ 23

Abbildung 12: Klassendiagramm für den ETMouseSimulator __________________________ 24

Abbildung 13: Klassendiagramm für die Komponente GazeFixation ____________________ 25

Abbildung 14: Klassendiagramm für das Package graphicalParts _______________________ 26

Abbildung 15: Aktivitätsdiagramm für den Fixierungserkennungsalgorithmus __________ 30

Abbildung 16: Bilderauswahl für den bildbasierten Authentifizierungsansatz ___________ 31

Abbildung 17: Bilderauswahl für den puzzlebasierten Authentifizierungsansatz ________ 32

Abbildung 18: Erfolgreiche Anmeldungen__________________________________________ 33

Abbildung 19: Benötigte Anzahl von Login-Versuchen am 1. Tag (nur erfolgreiche

Anmeldungen) _____________________________________________________________ 34

Abbildung 20: Benötigte Anzahl von Login-Versuchen am 2. Tag (nur erfolgreiche

Anmeldungen) _____________________________________________________________ 34

Abbildung 21: Ursachen für die fehlgeschlagenen Login-Versuche _____________________ 36

Abbildung 22: Beurteilung der Schwierigkeit der blickbasierten Passwortpunkteauswahl _ 37

Abbildung 23: Beurteilung der Schwierigkeit der Passwortauswahl ____________________ 37

Abbildung 24: Einschätzung der benötigten Zeit für die Auswahl eines Passwortes ______ 38

Abbildung 25: Bewertung des visuellen Feedbacks bei der Registrierung _______________ 38

Abbildung 26: Beurteilung der Schwierigkeit bei der Eingabe des Passwortes ___________ 39

Abbildung 27: Einschätzung der benötigten Zeit für die Eingabe des Passwortes ________ 39

Abbildung 28: Bewertung des auditiven Feedbacks beim Login _______________________ 40

Abbildung 29: Beurteilung der Schwierigkeit, sich an das grafische Passwort zu erinnern _ 41

Abbildung 30: Beurteilung der Systemsicherheit ____________________________________ 41

Abbildung 31: Bereitschaft der Teilnehmer, das Authentifizierungssystem am

Geldautomaten zu verwenden _______________________________________________ 42

Abbildung 32: Beurteilung der Schwierigkeit bei der Passwortpunkteauswahl hinsichtlich

des Bildes _________________________________________________________________ 42

Abbildung 33: Einschätzung der Anzahl an Gegenständen auf den verwendeten Bildern _ 43

Abbildung 34: Beurteilung über die Eignung der Bilderkategorien für die grafische

Authentifizierung __________________________________________________________ 43

Neuartige Authentifizierungstechniken basierend auf Eye-Tracking Seite V

Inhaltsverzeichnis

Eidesstattliche Erklärung __________________________________________________ II

Zusammenfassung _______________________________________________________ III

Abstract ________________________________________________________________ III

Abbildungsverzeichnis _____________________________________________________ IV

Inhaltsverzeichnis ________________________________________________________ V

1 Einleitung ____________________________________________________________ 1

1.1 Motivation _______________________________________________________________ 1

1.2 Überblick über die restlichen Kapitel _______________________________________ 2

2 Verwandte Arbeiten ____________________________________________________ 3

2.1 Grafische Passwörter ______________________________________________________ 3

2.2 Blickbasierte Passworteingabe _____________________________________________ 5

2.3 Blickbasierte Passworteingabe mit einem grafischen Passwort _________________ 7

3 Verwendete Technologien _______________________________________________ 9

3.1 Eye Tracker ______________________________________________________________ 9

3.2 Component Object Model (COM) in Java ___________________________________ 10

3.3 Javageom _______________________________________________________________ 11

3.4 Java Authentication and Authorization Service (JAAS) _______________________ 11

3.5 JBoss AS ________________________________________________________________ 12

3.6 JBossSX _________________________________________________________________ 12

3.7 Hibernate _______________________________________________________________ 13

4 Das Authentifizierungssystem EMAI ____________________________________ 14

4.1 Starten des Authentifizierungssystems _____________________________________ 14

4.2 Benutzung ______________________________________________________________ 14

4.2.1 Augensicht-Verifikation _______________________________________________________ 14 4.2.2 Kalibrierung und Verifikation der Kalibrierung ___________________________________ 15 4.2.3 Registrierung _________________________________________________________________ 15 4.2.4 Login ________________________________________________________________________ 16 4.2.5 Passwörter anzeigen __________________________________________________________ 17

5 Systemarchitektur ____________________________________________________ 18

5.1 Der Server-Teil __________________________________________________________ 18

5.1.1 EJB-Komponente _____________________________________________________________ 18 5.1.2 EMServerLoginModule ________________________________________________________ 18 5.1.3 Abgesicherte EJB-Komponente _________________________________________________ 19 5.1.4 Hibernate ____________________________________________________________________ 19 5.1.5 Common Package _____________________________________________________________ 20 5.1.6 Datenbank ___________________________________________________________________ 21 5.1.7 Authentifizierungsschritte _____________________________________________________ 22

5.2 Der Client-Teil __________________________________________________________ 22

5.2.1 TetClient ____________________________________________________________________ 23 5.2.2 ETMouseSimulator ___________________________________________________________ 23 5.2.3 TetEventDispatcher ___________________________________________________________ 24 5.2.4 GazeFixation _________________________________________________________________ 24 5.2.5 EMAIController ______________________________________________________________ 25 5.2.6 EMAIView ___________________________________________________________________ 25

Seite VI Neuartige Authentifizierungstechniken basierend auf Eye-Tracking

5.2.7 GraphicalParts _______________________________________________________________ 25 5.2.8 TetComp _____________________________________________________________________ 26 5.2.9 Konfiguration des Clients ______________________________________________________ 26

6 Fixierungserkennungsalgorithmus _______________________________________ 28

7 Evaluierung __________________________________________________________ 31

7.1 Vorstudie _______________________________________________________________ 31

7.2 Studie __________________________________________________________________ 32

7.2.1 Tag 1 ________________________________________________________________________ 32 7.2.2 Tag 2 ________________________________________________________________________ 33

7.3 Ergebnisse ______________________________________________________________ 33

7.3.1 Login-Versuche _______________________________________________________________ 33 7.3.2 Auswertung der Fragebögen ____________________________________________________ 36

7.4 Zusammenfassung _______________________________________________________ 43

8 Kritische Betrachtung der Arbeit ________________________________________ 45

8.1 Vergleich zu anderen Arbeiten ____________________________________________ 45

9 Künftige Arbeiten _____________________________________________________ 47

10 Fazit ________________________________________________________________ 48

11 Literaturverzeichnis ___________________________________________________ 49

Anhang A: Installation des Systems _________________________________________ 51

Server-Installation ___________________________________________________________________ 51 Client-Installation ___________________________________________________________________ 52

Anhang B: Absicherung von EJB-Komponenten mit Sicherheitsannotationen _____ 53

Einleitung

Neuartige Authentifizierungstechniken basierend auf Eye-Tracking Seite 1/53

1 Einleitung

Öffentliche Terminals sind heutzutage ein „Muss“ für fast jeden Mensch, egal ob

man Geld entnehmen will oder sich mit seiner EC-Karte eine Fahrkarte kaufen

möchte. Die Anwendungsmöglichkeiten für öffentliche Terminals und elektronische

Zahlungen sind vielseitig und werden wegen der komfortablen Benutzung und den

niedrigeren Kosten ständig in neuen Bereichen eingesetzt. Um eine Übersicht über

das Ausmaß ihrer Nutzung zu bekommen wurden aus [1] folgende Daten über die

meistbenutzten öffentlichen Terminals - die Geldautomaten - entnommen:

Es sind weltweit über 1,5 Millionen Geldautomaten in Betrieb und es wird ungefähr

alle 5 Minuten ein neuer installiert. Jährlich werden schätzungsweise 49 Billionen

Transaktionen durchgeführt, wobei der Wert aller Transaktion alleine in Groß-

britannien im letzten Jahrzent eine Trillionen Pfund Sterling betrug. Die Ausmaße

der Benutzung sind enorm und die dabei ablaufenden Vorgänge sind sehr sicher-

heitskritisch. Aus diesem Grund muss das Terminal vor der Ausführung jeglicher

Transaktion die behauptete Identität des Benutzers überprüfen und bestätigen.

Dieser als Authentifizierung bekannte Vorgang existiert in unterschiedlichen

Formen, die aber grundsätzlich in drei Gruppen und Kombinationen daraus auf-

geteilt werden:

Nachweis der Kenntnis einer Information ( z. B. PIN, Passwort)

Nachweis eines Besitzes (z. B. Magnetstreifenkarte, RFID-Karte)

Biometrik (z .B. Fingerabdruck, Iris-Scan)

1.1 Motivation

Zurzeit wird die Authentifizierung an den meisten öffentlichen Terminals über den

Nachweis einer Kenntnis durchgeführt, nämlich über die Eingabe einer PIN. Die

Eingabe der PIN erfolgt meistens über eine Tastatur. Dabei besteht das Risiko, dass

die PIN des Benutzers durch einfaches Hinschauen oder Videoaufnahme während

der Eingabe in die falschen Hände gerät. Diese Betrügertechnik wird in der

professionellen Literatur als Shoulder-surfing bezeichnet und wird ziemlich oft ein-

gesetzt. Eine andere Methode für das Ausspionieren der PIN ist die sog. droplet

method. Sie wird mittels Öltropfen, die auf die Tastatur aufgetragen werden,

realisiert. Wenn der Benutzer seine PIN auf die mit Öl beschichtete Tastatur eingibt,

kann der Verbrecher danach die eingegebenen Zahlen anhand der hinterlassenen

Spuren auslesen [1] .

Ein anderes mit der PIN und allgemein mit der kenntnisbasierten Authentifizierung

verbundenes Problem ist die Einprägsamkeit. Wie in [2] beschrieben haben laut einer

Umfrage von 86 Teilnehmer 55% mindestens einmal ihre PIN vergessen und 74%

würden ihre PIN so ändern, dass sie sie leichter einprägen können. Dadurch ent-

stehen Unsicherheiten im PIN-System, da viele Leute ihre PIN aufschreiben oder ein-

fach ein Geburtsdatum oder Teile einer Telefonnummer als PIN nutzen [3]. Viele

Einleitung

Seite 2/53 Neuartige Authentifizierungstechniken basierend auf Eye-Tracking

Benutzer vergessen außerdem ihren PIN-Code, wodurch zusätzliche Kosten für die

Bank entstehen und angebotene Dienste für den Benutzer gesperrt werden.

Die vorliegende Arbeit hat das Ziel die oben genannten Probleme zu lösen, indem

blickbasierte Passworteingabe und grafische Passwörter eingesetzt werden. Die

blickbasierte Passworteingabe soll unbefugte Personen daran hindern, das ein-

gegebene Passwort auf irgendeine Weise zu ermitteln und mittels des Einsatzes von

grafischen Passwörtern soll die Einprägsamkeit gesteigert werden.

1.2 Überblick über die restlichen Kapitel

Zunächst werden in Kapitel 2 verwandte Arbeiten betrachtet, die ähnliche Ziele beim

Authentifizierungsprozess anstreben oder ähnliche Technologien benutzen. In

Kapitel 3 werden die eingesetzten Technologien für die Entwicklung des im Rahmen

der Arbeit erstellten Systems vorgestellt. In Kapitel 4 wird das System mit Fokus auf

die Benutzung und den typischen Ablauf vorgestellt. Kapitel 5 greift tiefer in das

System ein und behandelt die Architektur des Systems sowie einzelne Komponenten.

Kapitel 6 behandelt die Implementierung des Fixierungserkennungsalgorithmus, der

für die blickbasierte Passworteingabe notwendig ist. Kapitel 7 beschäftigt sich mit

dem Ablauf und den Ergebnissen der durchgeführten Studie. In Kapitel 8 werden

das System und die Arbeit einer kritischen Betrachtung unterzogen und in Kapitel 9

wird diskutiert, welche weiterführenden Arbeiten zu dem Thema sinnvoll wären.

Schließlich wird im 10. Kapitel ein Fazit der gesamten Arbeit und der Ergebnisse ge-

zogen.

Verwandte Arbeiten


2 Verwandte Arbeiten

In diesem Kapitel werden Arbeiten vorgestellt, die entweder blickbasierte Passwort-

eingabe oder Grafiken bzw. Bilder als Authentifizierungsgrundlage untersuchen. Es

werden ebenfalls Arbeiten betrachtet, die die Kombination von beidem untersuchen.

2.1 Grafische Passwörter

Grafische Passwörter sind Passwörter, die auf Bildern, Gemälden, Porträts oder

anderen grafischen Darstellungen basieren. Es werden in [4] und [5] drei unter-

schiedliche Arten von Authentifizierungsansätzen vorgestellt, die grafisch basiert

sind:

Locimetric: Dieser Ansatz basiert auf einem Authentifizierungsbild, auf dem

das Passwort als Reihenfolge von Bereichen im Bild definiert wird. Im

Rahmen dieser Arbeit werden solche Bereiche als Passwortpunkte bezeichnet.

Drawmetric: Hierbei wird der Benutzer als erstes aufgefordert, eine

Zeichnung auf ein Gitter zu malen. Der Authentifizierungsprozess besteht

darin, dieselbe Zeichnung nachzumalen. Dabei werden Positionierung,

Reihenfolge und visuelle Ansicht mit dem Original verglichen. In [2] wird so

ein System namens PassShape vorgestellt.

Cognometric: In diesem Ansatz werden dem Benutzer eine Menge von

Bildern dargestellt. Davon muss für eine erfolgreiche Authentifizierung eine

Untermenge in der richtigen Reihenfolge ausgewählt werden.

Das Interesse an grafischen Passwörtern ist groß, da sie zwei Vorteile gegenüber

Passwörtern mit alphanumerischen Zeichenketten haben: Erstens können sich

Menschen an grafische Passwörter besser erinnern und zweitens sind sie sicherer.

Die bessere Einprägsamkeit wird durch folgende zwei Argumente untermauert:

Picture superiority effect: Dieser Effekt ist in mehreren psychologischen

Studien bewiesen worden und zeigt, dass Menschen ein enormes visuelles

Gedächtnis haben und sich besser und länger an Grafiken bzw. Bilder er-

innern können als an Wörter oder Zeichenketten [6].

Wiederkennung statt Wiedergabe: Als zweites ist es für Menschen leichter,

ein bestimmtes grafisches Objekt auf einem Bild wiederzuerkennen als z. B.

eine 4-stellige Zahl wie beim PIN-Code vollständig wiederzugeben [6].

Die bessere Sicherheit von grafischen Passwörtern wird dadurch begründet, dass der

Benutzer das grafische Password nicht so leicht weitersagen oder aufschreiben kann

wie beim PIN-Code [4]. Grafische Passwörter haben aber auch ihre Nachteile wie

z. B., dass bei Passwörtern auf selbst gewählten Bildern die Ratewahrscheinlichkeit

größer wird. Ein Beispiel dafür wäre, dass als Bild ein Klassenfoto genommen wird.

Dabei werden vielleicht einige Benutzer die Gesichter ihrer vier besten Klassen-

kameraden als Passwortpunkte auswählen. Besitzt dann der Betrüger zusätzliche

Information über den Benutzer, lässt sich das Passwort mit viel weniger Aufwand

erraten.

Verwandte Arbeiten


In [6] wird ein locimetric-basierter grafischer Authentifizierungsansatz mit einem

herkömmlichen Passwort verglichen. Dabei werden grundsätzlich folgende zwei

Fragen über die grafischen Passwörter untersucht:

Sind die grafischen Passwörter im Hinblick auf Sicherheit, Passwort-

erzeugung, Einprägsamkeit des Passwortes und Performanz eine brauchbare

Alternative zu herkömmlichen Passwörtern?

Sind die Wahrnehmungen der Benutzer bei grafischen Passwörtern anders als

bei alphanumerischen?

In [6] wurde ein System namens PassPoints entwickelt, das in einer Studie zum Ver-

gleich zwischen grafischen und herkömmlichen Passwörtern eingesetzt wurde.

Hinsichtlich der Sicherheit haben grafische Passwörter einen größeren Passwort-

bereich als herkömmliche. Beispielsweise stehen bei einem Bild mit einer Größe von

451x331 Pixel und einer Größe der auswählbaren Bereiche von 20x20 Pixel 373 mög-

liche Bereiche zur Auswahl. Werden in einem solchen Bild 6 Bereiche für ein gültiges

Passwort ausgewählt, ergeben sich daraus mögliche Passwörter. Dies

übersteigt den Passwortbereich eines alphanumerischen Passwortes ( mit

einer Länge von 8 Zeichen und 64 möglichen Zeichen zur Auswahl. Die Studie hat

ebenfalls gezeigt, dass die meisten Teilnehmer leicht und schnell ein grafisches

Passwort erzeugen können. Die Einprägsamkeit für beide Arten von Passwörtern

wurde in dieser Studie als gleich gut eingestuft. Die Performanz für die Eingabe von

grafischen Passwörtern war niedriger als bei herkömmlichen Passwörter, was aber

damit erklärt wurde, dass der Benutzer sich vor der Passworteingabe zuerst das Bild

anschauen und die Passwortpunkte finden muss. Die Teilnehmer, die den grafischen

Authentifizierungsansatz benutzten, hatten im Hinblick auf Bequemlichkeit und be-

nötigte Zeit für die Passworteingabe sowie auf Benutzerfreundlichkeit des grafischen

Authentifizierungssystems ähnliche Wahrnehmungen wie die Teilnehmer, die den

alphanumerischen Ansatz verwendeten.

Da aber heutzutage die meisten Benutzer nicht nur mit einem Passwort oder einer

PIN zu tun haben, wurde in [5] eine Studie durchgeführt, die einen Vergleich

zwischen der Einprägsamkeit mehrerer grafischer Passwörter und mehrerer PINs

herstellt. Die Studie benutzte ein cognometric-basiertes System und hatte das Ziel,

folgende 3 Hypothesen zu überprüfen.

1. Mehrere grafische Passwörter haben eine bessere Einprägsamkeit als mehrere

PINs.

2. Die Einprägsamkeit von grafischen Passwörtern kann mittels Eselsbrücken

zusätzlich gesteigert werden.

3. Die Darstellung von Passwortbildern für unterschiedliche Passwörter vor ver-

schiedenfarbigen Hintergründen kann die Einprägsamkeit weiterverbessern.

Die Ergebnisse der Studie haben die Hypothesen 1 und 2 bestätigt, wohingegen

Hypothese 3 nicht bestätigt werden konnte.

Verwandte Arbeiten


2.2 Blickbasierte Passworteingabe

Unter blickbasierter Eingabe versteht man, dass der Benutzer mit der Bewegung

seiner Augen eine bestimmte Auswahl auf dem Bildschirm treffen kann. Wird an

öffentlichen Terminals eine blickbasierte Passworteingabe realisiert, gibt es während

der Passworteingabe keinen körperlicher Kontakt zwischen dem Terminal und dem

Benutzer, wodurch Betrügermethoden, die auf körperlichen Kontakt basieren (z. B.

droplet method), verhindert werden. Wird zudem auf der Benutzerschnittstelle kein

visuelles Feedback über die Auswahl des Benutzers gegeben, hindert diese Ein-

gabemethode den Betrüger daran, die Eingabe des Benutzers zu erspähen (Shoulder-

surfing).

In [7] wird ein System namens EyePassword vorgestellt, das blickbasierte Passwort-

eingabe realisiert. Dabei werden 2 unterschiedliche grafische Benutzeroberflächen

getestet – eine visuelle QWERTY-Tastatur und eine visuelle alphabetisch geordnete

Tastatur, auf der der Benutzer sein Passwort blickbasiert auswählen kann. Für die

Auswahl von Symbolen auf der visuellen Tastatur werden zwei unterschiedliche

Trigger-Mechanismen umgesetzt:

Dwell Time: Diese Methode basiert auf einem Zeitmechanismus. Der Be-

nutzer muss hierbei den gewünschten Bereich auf dem Bildschirm für eine be-

stimmte Zeit (Dwell Time) mit den Augen fixieren, um ihn auszuwählen.

Diese Zeit beträgt für gewöhnlich zwischen 400-500 ms. In anderen Arbeiten

werden Werte knapp unter 1000ms genannt [8] . Bei einer niedrigeren Dwell

Time ist die Wahrscheinlichkeit größer, dass nicht gewünschte Objekte aus-

gewählt werden und bei einer zu hohen Dwell Time kann die Benutzung der

Anwendung deutlich verlangsamt werden. Wird diese Methode als Trigger-

mechanismus ausgewählt, so muss ein Algorithmus zur Fixierungserkennung

implementiert werden (s. Kapitel 6).

Look&Shoot(Gaze+Trigger): Look&Shoot bedeutet auf Deutsch wörtlich

übersetzt „Guck&Schieß“. Bei dieser Methode schaut der Benutzer auf einen

bestimmten Bereich auf dem Bildschirm, den er auswählen möchte, und

drückt dann zum Triggern der Auswahl eine Taste. Hierbei ist eine gute

Synchronisierung zwischen dem Drücken des Triggerbuttons und der

Fixierung des Blickes auf die richtige Stelle erforderlich.

Da es bei diesem System um die Auswahl von Bereichen mit absoluten Koordinaten

geht, muss das System vor der Benutzung für jeden einzelnen Benutzer kalibriert

werden. Dies würde bei einem echtem ATM-Authentifizierungssystem zu auf-

wendig sein, weswegen in [7] angenommen wird, dass ein System existiert, welches

die Kalibrierungsdaten für jeden einzelnen Benutzer speichert und beim Einführen

der Bankkarte abruft.

Zur Evaluierung des in [7] vorgestellten Systems ist eine Studie durchgeführt

worden, bei der die jeweiligen durchschnittlichen Passworteingabezeiten mit einer

normalen Tastatur, der Look&Shoot(QWERTY)-Methode, der Dwell-

Time(QWERTY)-Methode und der Dwell-Time(Alpha)-Methode untereinander ver-

Verwandte Arbeiten


glichen wurden. Dabei bezieht sich QWERTY auf eine visuelle, standardmäßige

QWERTY-Tastatur und Alpha auf eine alphabetisch angeordnete visuelle Tastatur.

Das zweite Ziel der Studie war, die Fehlerrate bei der Passworteingabe mit den

jeweiligen Methoden zu ermitteln und zu vergleichen. Abbildung 1 zeigt die Ergeb-

nisse der Studie. Als Passwörter wurden die Zeichenketten „computer“, „security“,

„apple314“, „sillycat“, „Garfield“, „password“, „$dollar$“, „GoogleMap“,

„dinnertime“ und „Chinatown“ benutzt. Aus den Ergebnissen geht hervor, dass die

Look&Shoot(Gaze+Trigger)-Methode ungefähr so schnell wie die Dwell-Time-

Methode ist, jedoch wegen der schwierigen Synchronisierung zwischen dem

Drücken des Triggerbuttons und der Positionierung des Blicks auf die richtige Stelle

eine viel höhere Fehlerrate aufweist.

Abbildung 1: Passworteingabezeit und Fehlerrate für blickbasierte Passworteingabe [7]

In [8] werden ebenfalls die Trigger-Mechanismen – Look&Shoot und Dwell Time -

getestet, wobei die Passworteingabe hier in Verbindung mit einem visuellen PIN-Pad

geschieht. In der Arbeit wird auch eine neue Authentifizierungsmethode vorgestellt,

die auf Blick-Gesten basiert. Blick-Gesten funktionieren ähnlich wie die Maus-Gesten

von Firefox, die in [9] vorgestellt wurden, wobei sie nicht mit der Maus, sondern mit

Augenbewegungen vollzogen werden und dabei mit einem Eye Tracker (s. Kapitel

3.1) aufgenommen werden. Der Vorteil von blickbasierten Gesten ist, dass dafür

keine Kalibrierung des Eye Trackers erforderlich ist, da nur die relativen Ko-

ordinaten der Augenbewegungen benutzt werden. Der zweite Vorteil ist, dass die

Größe der Gesten einige Grad Blickwinkel beträgt und deswegen die Genauigkeit

des Eye Trackers meistens kein Problem darstellt.

Für die in [8] durchgeführte Studie wurden Gesten für die Zahlen von 0 bis 9 vor-

gestellt und den Teilnehmern beigebracht. Für die Dwell-Time-Methode wurde die

Fixierungszeit auf 800 ms festgelegt. Bei allen drei Methoden (Dwell-Time,

Look&Shoot und Eye Gestures) wurde kein visuellen Feedback gegeben. Abbildung

2 zeigt die Ergebnisse des Vergleichs der drei Eingabemethoden.

Verwandte Arbeiten


Abbildung 2: Vergleich zwischen Dwell Time, Look&Shoot und Eye Gestures [8]

Wie zu erkennen ist, ist die Fehlerrate bei der blickbasierten Passworteingabe mittels

Gesten niedriger als bei den Methoden Dwell Time und Look&Shoot, jedoch ist die

für die Passworteingabe benötigte Zeit im Durschnitt 5 mal länger. Im Vergleich zu

[7] ist die Fehlerrate bei der Dwell-Time-Methode deutlich höher.

2.3 Blickbasierte Passworteingabe mit einem grafischen Passwort

In [10] wird ein Authentifizierungsansatz vorgestellt, in dem grafische Passwörter

und blickbasierte Passworteingabe zusammen einsetzt werden. In diesem Ansatz

wird ein mit einem Raster aufgeteiltes Bild benutzt. Die Rastergröße ist dabei auf 3x3

festgelegt . Auf dem mit dem Raster aufgeteilten Bild können dann blickbasiert

einzelne Rasterbereiche ausgewählt werden. In [10] wurde eine Studie durchgeführt,

in der die Teilnehmer sich ein Bild von Prag anschauen mussten und dabei 6 vor-

gegebene Punkte für jeweils ungefähr 1 Sekunde fokussieren mussten. Hierbei

wurde kein Feedback für die Auswahl der einzelnen Passwortpunkte gegeben.

Danach wurde die Aufnahme der Augenbewegungen mit einem speziellen Spatial-

Clustering-Algorithmus bearbeitet, um die Fixierungen in der Augenbewegungs-

aufnahme zu ermitteln. Als Grenzbereich für die Fixierungszeit wurde in diesem

Algorithmus ein Wert von 0,67 Sekunden festgelegt. Mit diesem Grenzbereich für die

Fixierungszeit entsprachen die erkannten Fixierungen den vorgegebenen Passwort-

punkten. Um die Robustheit des Spatial-Clustering-Algorithmus und des Authenti-

fizierungssystems zu prüfen, wurde ein Test durchgeführt, bei dem die zuvor ge-

machten Aufnahmen der Augenbewegungen nochmal mit dem Spatial-Clustering-

Algorithmus bearbeitet wurden. Hierbei wurden jedoch andere Grenzwerte für die

Fixierungszeit benutzt. Diese betrugen 0,3 s , 1 s und 1,20 s. Die mit diesen Grenz-

werten erkannten Fixierungen entsprachen aber meistens nicht den für das jeweilige

Passwort festgelegten Passwortpunkten. In der Studie wurde ermittelt, dass die

optimale Fixierungszeit für diese Art der Passworteingabe bei ungefähr 0,6

Sekunden liegt.

Verwandte Arbeiten


In [11] werden zwei Arten von Authentifizierungsansätzen vorgestellt, die auf blick-

basierte Eingabe und grafische Passwörter basieren. Die erste Methode benutzt ein

Bild, auf dem der Benutzer Punkte in einer bestimmte Reihenfolge anschauen muss.

Dieser Ansatz ist ähnlich wie der in [10] vorgestellte, wobei hier kein Raster auf das

Bild gesetzt wird, sondern das Passwort von kreisförmigen Bereichen auf dem Bild

gebildet wird. Der zweite Ansatz versucht, einen biometrischen Ansatz zu

realisieren. Dabei muss der Benutzer sich das Bild anschauen, so wie er das

normalerweise tun würde, ohne dabei bestimmte Punkte anzuschauen. Hierbei

wollen die Autoren die Bildbetrachtungsweise als biometrisches Identifizierungs-

merkmal nutzen. Dafür werden vier Metriken vorgestellt, die einerseits die Ähnlich-

keit von zwei Bildbetrachtungsweisen desselben Benutzers auf dasselbe Bild als

gleich und anderseits zwei Bildbetrachtungsweisen von unterschiedlichen Benutzern

auf dasselbe Bild als unterschiedlich beurteilen können. Für diesen Ansatz wurde in

[11] keine Implementierung realisiert.

Verwendete Technologien


3 Verwendete Technologien

Dieses Kapitel gibt einen Überblick über die Technologien, die für die Entwicklung

des Authentifizierungssystems in dieser Arbeit benutzt wurden. In 3.1 werden

unterschiedliche Arten von Hardware für Augenbewegungsverfolgung besprochen.

Von 3.2 bis 3.7 wird die für die Realisierung des Systems eingesetzte Software be-

schrieben. Für die Implementierung des Systems wurde die Programmiersprache

Java ausgewählt.

3.1 Eye Tracker

Ein Eye Tracker ist ein Gerät, mit dem man Blickbewegungen jeglicher Art, also

Fixierungen, Sakkaden und Regressionen aufzeichnen und analysieren kann. Es

werden generell zwei Typen von Augenbewegungsregistrierungen nach der Art der

gelieferten Messungen unterschieden [12]:

Die erste misst die Position der Augen relativ zum Kopf.

Die zweite misst die Orientierung der Augen im Raum (Blickachsenmessung),

auch Point of Regard (POR) genannt.

Die beiden Typen der Augenbewegungsregistrierungen werden grundsätzlich durch

folgende vier Technologien realisiert.

Electro-Oculography (EOG): Bei dieser Technik werden jeweils vier Sensoren

um das Auge gesetzt, die die elektrischen Potenzialdifferenzen der Haut um

die Augen messen und auf diese Weise die Augenbewegungen relativ zum

Kopf registrieren können. [12]

Sklerale Kontaktlinsen: Hierbei beeinflussen Spulen in den eingesetzten

Kontaktlinsen ein den Probanden umfassendes Magnetfeld. Die Ver-

änderungen im Magnetfeld können dann analysiert werden, um so die

Augenbewegungen zu erkennen. [12]

Photo-OculoGraphy (POG) oder Video-OculoGraphy(VOG): Diese Kate-

gorie gruppiert eine breite Vielfalt von Eye-Tracking-Techniken, die auf

unterscheidbare Eigenschaften des Auges bei Blickbewegungen basieren.

Unter anderen sind hier die Form der Pupille und die Positionierung des

Limbus zu nennen. Die in dieser Kategorie eingesetzten Techniken sind ziem-

lich unterschiedlich, werden aber in einer Kategorie zusammengefasst, da sie

alle keinen POR liefern. [12]

Videobasiert mit Kombinierung der Pupillen/Cornea-Reflexion: Die o.g.

Methoden liefern meistens keine POR-Messungen. Um so eine Messung mit

den o.g. Methoden liefern zu können, muss der Kopf des Benutzers befestigt

werden, sodass die zu dem Kopf relative Augenposition mit dem POR

übereinstimmt. Die andere Möglichkeit Kopfbewegungen von Augen-

bewegungen zu unterscheiden ist, dass die Augenbewegungen anhand

zweier Augeneigenschaften gleichzeitig gemessen werden. Zwei solche

Eigenschaften sind das Pupillenzentrum und die Cornea-Reflexion einer



Lichtquelle (meistens infra-rot). Die Distanz zwischen der Cornea-Reflexion

und dem Pupillenzentrum verändert sich zwar bei reinen Augen-

bewegungen, bleibt aber relativ konstant bei kleinen Kopfbewegungen. Mit

der passenden Kalibrierung sind diese Art Eye Tracker dann fähig, POR-

Messungen über die Augenposition des Benutzers auf einer geeignet

positionierten Oberfläche zu liefern. [12]

Für die Realisierung und das Testen des Systems wurde ein „Tobii X120 Eye

Tracker“ eingesetzt. Dabei handelt es sich um einen videobasierten Eye Tracker, der

POR-Mesungen liefern kann und folgende technische Eigenschaften aufweist:

Genauigkeit 0.5° , Abweichung <0.3° und zwei mögliche Datenraten zur Auswahl

(60Hz und 120 Hz) [13].

Für den programmtechnischen Zugriff auf Daten vom Eye Tracker wird von Tobii

eine COM (Component Object Model)-basierte Programmbibliothek namens Tobii

Eye Tracker Components API (TetComp) zur Verfügung gestellt. Diese

Programmierbibliothek bietet die höchste Abstraktionsstufe der Tobii-Bibliotheken

und ermöglicht Zugriff auf alle Hardware-Funktionen des Tobii Eye Trackers. Für

die Nutzung dieser Bibliothek sind die vier Dynamic Link Libraries (DLL) tet.dll,

ttime.dll, tetcomp.dll und tetcompPS2.dll notwendig.

3.2 Component Object Model (COM) in Java

„Das Component Object Model(COM) ist ein Produkt von Microsoft und wird daher

von den aktuellen Versionen der Windows-Betriebssysteme vollkommen unterstützt.

COM stellt Mechanismen für die Entwicklung komponentenbasierter Anwendungen

zur Verfügung. COM führt Komponentenobjekte ein: Objekte, die zusätzlich den

Charakter von Komponenten im Hinblick auf Wiederverwendbarkeit, Verteilung etc.

haben.“ [14]

Wie schon in Kapitel 3.1 erwähnt wird der programmtechnische Zugriff auf Daten

und Funktionen des Eye Trackers über eine COM Programmbibliothek realisiert. Da

Java als Programmiersprache für die Systementwicklung ausgewählt wurde, war der

erste Schritt der Entwicklung, eine Möglichkeit zu finden, mit Java die angebotene

COM Bibliothek zu benutzen.

Zur Realisierung der Integration zwischen Java und COM wurde die sog. Bridging-

Technologie eingesetzt. Diese Technologie basiert auf Java Native Interface (JNI), um

die Interoperabilität mit COM und ActiveX zu ermöglichen. Die „Brücke“ kann auf

zwei verschiedene Arten realisiert werden:

IUnknown und vTable: IUnkown ist eine Schnittstelle, die von allen COM-

Klassen und Schnittstellen implementiert werden muss und mit Hilfe von

vTable Zugriff auf die Methoden und Attribute der COM-Objekte ermöglicht.

vTable ist eine Tabelle mit virtuellen Methoden, die Methodenköpfe auf

konkreten Realisierungen abbildet. Anstatt die Realisierungen direkt aufzu-

rufen, werden sie mit Hilfe der Tabelle indirekt adressiert. [15]



IDispatch: Diese Schnittstelle stellt Objekte, Methoden und Attribute für den

programmtechnischen Zugriff dar und ermöglicht den Aufruf einer Methode

über ihren Namen in Textform. Diese Art Zugriff auf COM-Objekte ist be-

sonders für Skriptsprachen von Bedeutung, da für diese IUnknown und

vTable nicht ausreichend sind [15].

Es existieren zahlreiche Werkzeuge (Jawin, Jacob, J-Interop, Com4J, usw.), die die

Integration zwischen Java und COM realisieren. Für die Arbeit wurde nach einem

lizenzfreien Werkzeug gesucht. Da die meisten Klassen in der TetComp-Bibliothek

die IDispatch-Schnittstelle nicht implementieren, musste das gesuchte Werkzeug die

Interoperabilität über die IUnknown-Schnittstelle und vTable realisieren.

Als geeignete Lösung wurde die Open-Source-Programmbibliothek COM4J aus-

gewählt. Neben einer breiten Unterstützung von COM-Schnittstellen über

IUnknown und vTable bietet die Bibliothek noch ein zusätzliches Tool an, das die

automatische Generierung von Java-Type-Definitionen aus COM-Bibliotheken er-

möglicht. Mehr über die Funktionsweise der Bibliothek und das Generierungs-Tool

kann aus [16] entnommen werden.

3.3 Javageom

Javageom [17] ist eine Programmbibliothek, die Funktionen für das einfachere Aus-

rechnen von geometrischen Rechnungen anbietet. Die Programmbibliothek ist Open

Source zur Verfügung gestellt worden. Die Programmbibliothek wird für das Finden

von konvexen Hüllen aus einer Menge von Blickpunkten im Fixierungserkennungs-

algorithmus eingesetzt (siehe Kapitel 6).

3.4 Java Authentication and Authorization Service (JAAS)

Java Authentication and Authorization Service (JAAS) ist ein API, das zur

Realisierung von Authentifizierungs- und Autorisierungsprozessen in Java-

Programmen eingesetzt werden kann. Die Architektur von JAAS ist größtenteils

durch die bei Unix bekannten Pluggable Authentication Modules (PAM) beeinflusst

worden. Die Grundidee von PAM ist es, die Authentifizierung nicht in der An-

wendung selber zu codieren, sondern in externe Module mit einheitlichen Schnitt-

stellen auszulagern. Der Vorteil dieser Art Realisierung der Authentifizierung liegt

darin, dass diese Module auf diese Weise leicht miteinander ausgetauscht werden

können. Welches Modul dann im Programm eingesetzt wird, wird über eine externe

Datei konfiguriert, ohne dass irgendwelche Änderungen im Programm vor-

genommen werden müssen. Die JAAS-Authentifizierungsmodule funktionieren auf

dieselbe Weise. Somit bietet JAAS folgende Vorteile [18] :

Flexible Authentifizierung über einfach auswechselbare und kaskadierbare

Authentifizierungsmodule [18].

Die Autorisierungskomponente von JAAS bietet eine rollenbasierte

Autorisierung. Die Regeln dafür werden in den sog. Sicherheits-Policies be-



schrieben und an eine bestimmte Identität geknüpft. Sie können auch an-

notationsbasiert direkt im Programmcode beschrieben werden [18].

3.5 JBoss AS

JBoss AS ist ein mit Java Enterprise Edition 5 (Java EE 5) kompatibler Anwendungs-

server. Ein Anwendungsserver definiert Standards, die zur Entwicklung von

Komponenten verwendet werden können, wodurch die Architektur der An-

wendungsentwicklung standardisiert wird. Dazu zählen u.a. Enterprise Java Beans

(EJBs), Java Server Pages (JSP) und Servlets. Für die Komponenten, die auf einem

Anwendungsserver ausgeführt werden, werden zahlreiche Dienste zur Verfügung

gestellt. Zu diesen Diensten gehören u.a. Remoting, Sicherheit, Namens- und Ver-

zeichnisdienste, Persistenz und Nebenläufigkeitskontrolle. [19] Da es sich bei dem in

dieser Arbeit entwickelten System um ein Client-Server-System handelt, wurde für

das Ausführen des Server-Teils der Anwendung JBoss eingesetzt.

3.6 JBossSX

JBossSX ist der Name der Sicherheitsimplementierung im JBoss AS. JBossSX baut auf

JAAS auf, wodurch alle vom Anwendungsserver ausführbaren Java EE-

Technologien gesichert werden können. Die Hauptkomponenten des Sicherheits-

Frameworks JBossSX und die Beziehungen, die diese untereinander haben, sind in

Abbildung 3 dargestellt.

Contatiner

Component

JNDI

JBoss SX

Sicherheits-

domäne

Login-Modul

Login-Modul

Sicherheits-

Datenspeicher

Sicherheits-

Datenspeicher

Hole Sicherheits-

Domäne

An JNDI

binden

Prüfe Authentifizierung und

Autorisierung

Anforderungs-

Komponente

Abbildung 3: JBossSX-Komponente und ihre Funktionsweise. [19]

Wenn JBoss eine Anforderung empfängt, muss die angefragte EJB-Komponente,

Ressource, Anwendungskomponente o.ä. nicht wissen, wo die Sicherheitsdaten sich

befinden oder wie auf sie zugegriffen werden kann. Diese Anforderung wird zu

diesem Zweck an eine JBossSX-Komponente namens Sicherheitsdomäne weiter-

geleitet. Die Sicherheitsdomäne führt dann alle notwendigen Sicherheitsüber-



prüfungen durch und gibt Auskunft darüber, ob der Zugriff auf die gewünschte

Komponente gestattet werden darf oder nicht. Die Sicherheitsdomäne weiß, wie sie

mit einem oder mehreren Authentifizierungsmodulen (Login-Modul) umzugehen

hat und wie die Sicherheitsdaten aus einer Datenquelle geladen werden können.

Sicherheitsdomänen werden auf Serverebene in der Datei login-config.xml

konfiguriert und können somit von jeder Komponente im JBoss Server verwendet

werden. Die Sicherheitsdomänen werden beim Serverstart an JNDI angebunden [19].

In der Arbeit wurde ein spezielles Login-Modul entworfen, das mit grafischen Pass-

wörtern funktionieren kann. Die Komponenten können - wie in Anhang B be-

schrieben - annotationsbasiert gesichert werden. Die Beispielkonfiguration und die

Anbindung der Sicherheitsdomäne für das in der Arbeit entwickelte System ist in

Anhang A zu sehen.

3.7 Hibernate

Hibernate ist eine Open-Source Persistenz und ORM (Object-Relational Mapping)

Framework für Java. Hibernate bietet die Möglichkeit, die sog. Entity Beans direkt in

einer relationalen Datenbank zu speichern. Darüber hinaus bietet Hibernate eine

Abstraktionsstufe über die eingesetzte Datenbank, indem Datenbankanfragen in die

verschiedenen SQL-Dialekte umgewandelt werden. Somit macht es Hibernate mög-

lich, eine Java-Anwendung zu realisieren, die unabhängig von der eingesetzten

Datenbank ist. Hibernate wurde in der Arbeit eingesetzt, um die Authentifizierungs-

bilder und -daten der Benutzer persistent in der Datenbank zu speichern.

Das Authentifizierungssystem EMAI


4 Das Authentifizierungssystem EMAI

Das Authentifizierungssystem, das während der Arbeit entwickelt wurde,

kombiniert blickbasierte Passworteingabe mit locimetric-basierten grafischen Pass-

wörtern. Es wurden zwei unterschiedliche locimetric-basierte Ansätze entwickelt.

Der erste Ansatz teilt das Bild mittels eines Rasters in Stücke auf (puzzlebasiert) und

der Benutzer kann dabei Bilderstücke fixieren, die dann als Passwortpunkte dienen.

Im zweiten Ansatz werden im Bild kreisförmige Bereiche bestimmter Größe aus-

gewählt (bildbasiert), die das Passwort repräsentieren. Als Triggermechanismus für

die blickbasierte Passworteingabe wurde die Dwell-Time-Methode eingesetzt, da sie

- wie in Kapitel 2.2 dargestellt - eine deutlich niedrigere Fehlerrate als die

Look&Shoot-Methode aufweist und die Passworteingabezeit etwas kürzer ist.

Dem System wurde der Name EMAI als Abkürzung für „Eye Movements

Authentication Interface“ zugewiesen.

4.1 Starten des Authentifizierungssystems

Auf dem Desktop und im Startmenu wird während der Installation (s. Anhang A)

eine Verknüpfung erzeugt, mit dem man den Client starten kann. Nach erfolg-

reichem Starten des Clients wird man aufgefordert, die Adresse des Eye Trackers

anzugeben. Falls ein Eye Tracker unter der angegebenen Adresse gefunden wird,

muss man die in Abbildung 4 gezeigte Anwendung sehen.

Abbildung 4: Echtzeit Track Status

4.2 Benutzung

Hier werden die Benutzung des Clients und die möglichen Funktionen, die das

System anbietet, besprochen.

4.2.1 Augensicht-Verifikation

Beim erfolgreichen Starten des Systems zeigt das erste Fenster Echtzeitinformationen

über die Position der Augen des Benutzers. Hierbei kann der Benutzer überprüfen,



ob seine Augen in Sicht der Kamera des Eye Trackers sind. In diesem Schritt werden

die Benutzer des Systems aufgefordert, sich so hinzustellen, dass die zwei grünen

Punkte, die die Augen repräsentieren, sich möglichst in der Mitte des Fensters be-

finden (s. Abbildung 4).

4.2.2 Kalibrierung und Verifikation der Kalibrierung

Nachdem die Augen des Benutzers in Sicht des Eye Trackers sind, muss ein

Kalibrierungsprozess durchgeführt werden. Zum Starten des Prozesses wird der

Button „Calibrate“ gedrückt. Beim Kalibrierungsprozess werden neun Punkte auf

dem Bildschirm angezeigt, die vom Benutzer mit den Augen verfolgt werden

müssen. Der Kalibrierungsprozess ist beendet, wenn alle 9 Punkte angezeigt werden.

Zum Testen der Kalibrierung des Systems ist ein Tool vorhanden, das Punkte auf

dem Bildschirm angezeigt, und der Benutzer muss sie für bestimmte Zeit (die

konfigurierte Dwell Time) anschauen bis sie verschwinden. Der Testprozess wird

durch Betätigen des Buttons „Test Callibration“ gestartet. Dieser Prozess wird mit

der ESC-Taste unterbrochen.

4.2.3 Registrierung

Wenn sich ein neuer Benutzer im System anmelden will, kann er dies über den

Register-Button tun. Dabei wird zunächst ein Fenster angezeigt, in dem der Benutzer

seine Daten angibt, ein Bild und eine der beiden Authentifizierungsmöglichkeiten

auswählt.

Beim puzzlebasierten Ansatz wird das ausgewählte Bild anhand eines Rasters in

Stücke unterteilt. Die Rastergröße kann im Register-Fenster ausgewählt werden, in

das man eingibt, wie viele Teile horizontal und vertikal vorhanden sein sollen. Das

mit dem Raster aufgeteilte Bild wird dann am Bildschirm angezeigt und der Be-

nutzer kann über einfaches Hinschauen einen bestimmten Teil des Bildes auswählen.

Im unteren Bereich des Bildschirms wird der aktuelle Track-Status angezeigt. Wird

ein Bildteil ausgewählt, so wird gleichzeitig ein visuelles sowie auditives Feedback

gegeben. Dabei wird der ausgewählte Teil für 1 Sekunde rot, wie in Abbildung 5 zu

sehen ist. Es wird angenommen, dass der Registrierungsprozess im nicht öffentlichen

Bereich stattfindet und außer dem Benutzer kein anderer die Möglichkeit hat, das

visuelle Feedback zu sehen. Die Registrierung könnte z. B. durchgeführt werden,

wenn der Kunde seine neue Bankkarte bei der Filiale abholt. Der Vorteil dabei ist die

Sicherstellung der Richtigkeit der gewünschten Passworteingabe mittels des

visuellen Feedbacks.



Abbildung 5: Auswählen eines Bereichs im puzzlebasierten Authentifizierungsansatz

Nachdem der Benutzer die Passwortpunkte ausgewählt hat, muss er den Register-

Button drücken, damit das Passwortverifizierungsfenster angezeigt wird. In diesem

Fenster wählt der Benutzer dasselbe Passwort nochmal aus und drückt erneut

Register, um den Registrierungsprozess abzuschließen.

Beim bildbasierten Ansatz wird das ausgewählte Bild in seiner ursprünglichen Form

angezeigt. Dabei wird das Passwort aus kreisförmigen Bereichen (gelb gekenn-

zeichnet) im Bild gebildet (s. Abbildung 6).

Abbildung 6: Passwort im bildbasierten Authentifizierungsansatz

Hierbei wird das Bild auch nochmal angezeigt und es müssen wieder dieselben

Passwortpunkte ausgewählt werden, um das Passwort zu verifizieren.

4.2.4 Login

Der Login-Prozess beginnt mit dem Betätigen des Login-Buttons. Es wird ein Fenster

mit allen im System registrierten Nutzern angezeigt. Nachdem der Benutzer seinen

Benutzernamen auswählt, wird das Bild angezeigt, das beim Registrierungsprozess



ausgewählt wurde. Der Benutzer muss nun sein Passwort eingeben. Das Auswählen

eines Passwortpunktes wird lediglich durch ein auditives Signal bestätigt. In der

oberen rechten Ecke des Bildschirm befindet sich ein Zähler, der die aktuelle Anzahl

ausgewählter Punkte anzeigt. Wenn alle Passwortpunkte ausgewählt sind, klickt

man auf Login, um sich im System einzuloggen. Damit die Authentifizierung erfolg-

reich ist, müssen folgende Bedingungen erfüllt werden:

Bildbasiert: Für die Gleichheit zweier Passwörter im bildbasierten Ansatz

müssen drei Bedingungen erfüllt sein. Erstens muss die Anzahl der Passwort-

punkte (Passwortlänge) in beiden Passwörtern gleich sein. Zweitens müssen

die Passwortpunkte in derselben Reihenfolge ausgewählt werden und drittens

dürfen die Passwortpunkte des ersten Passwortes nicht zu weit von den

Passwortpunkten des zweiten entfernt sein. Dieser Abstand wird vom

Zentrum des Passwortpunktes im ersten Passwort zum Zentrum des ent-

sprechenden Passwortpunktes im zweiten gemessen und darf nicht den

Radius des kreisförmigen Bereiches, den der Passwortpunkt repräsentiert,

überschreiten.

Puzzlebasiert: Für die Gleichheit zweier Passwörter im puzzlebasierten An-

satz müssen zwei Bedingungen erfüllt sein. Erstens muss die Passwortlänge

gleich sein und zweitens müssen die Passwortpunkte (hier: Puzzleteile) in

derselben Reihenfolge ausgewählt werden.

4.2.5 Passwörter anzeigen

Für die Auswertung der Ergebnisse der Benutzerstudie wurde eine zusätzliche

Funktion im System implementiert, mit der Screenshots des grafischen Passworts

des Benutzers und seiner Login-Versuche erstellt werden können. Dazu klickt man

auf den „Show Passwords“-Button und wählt den gewünschten Benutzer aus, für

den das Passwort angezeigt werden soll. Nun wird das Authentifizierungsbild des

Benutzers einschließlich seines Passworts mit gelben Kreisen dargestellt. Die Reihen-

folge der Passwortpunkte ist durch Nummerierung der Kreise zu erkennen. Oben

links wird eine Liste mit dem Status aller Login-Versuche angezeigt. Mit der linken

und rechten Pfeiltaste kann man durch diese Liste steuern und jeden einzelnen Log-

in-Versuch anzeigen lassen. Diese werden mit roten Kreisen dargestellt, die in der

Form X:Y nummeriert sind. Mit X wird die Nummer des Login-Versuches

repräsentiert und durch Y ist die Reihenfolge der Passwortpunkte des im Login-

Versuch benutzten Passwortes markiert.

Systemarchitektur


5 Systemarchitektur

Das System ist wie bereits in Kapitel 4 erwähnt in zwei Teile unterteilt – Client-Teil

und Server-Teil. Der Client-Teil sorgt dafür, Passwort und Benutzernamen vom Be-

nutzer zu erhalten und dann an den Server zu schicken, wo sie mit den in der Daten-

bank gespeicherten Authentifizierungsdaten verglichen werden. Von den Klassen-

diagrammen in diesem Kapitel sind manche Attribute, Methoden und Konstruktoren

aus Übersichtsgründen weggelassen worden. Die vollständige Beschreibung der

Klassen und Packages kann aus der mitgelieferten Javadoc-Dokumentation ent-

nommen werden.

5.1 Der Server-Teil

Der Server-Teil des Systems übernimmt die Aufgaben der Registrierung, Authenti-

fizierung und Autorisierung der Benutzer. Der Server-Teil wurde für den JBoss

5.0.0.GA-Anwendungsserver entwickelt. Für die Entwicklung der Enterprise Java

Beans (EJB) -Komponenten wurde EJB 3 eingesetzt. Die Authentifizierung wurde mit

einem Login-Modul realisiert. Die Autorisierung ist rollenbasiert und benutzt wieder

JAAS. Die Sicherheitsregeln können anhand von Annotationen in den EJB-

Komponenten definiert werden (s. Anhang B). Abbildung 7 zeigt das Gesamtsystem

mit Fokus auf den Server-Teil.

5.1.1 EJB-Komponente

Für die Realisierung des Systems wurden drei EJB-Komponenten entwickelt, die auf

dem Diagramm blau gekennzeichnet sind. Die Komponente RegisterUser übernimmt

Aufgaben, die mit der Registrierung neuer Benutzer im System zu tun haben.

UserDataRequester ist verantwortlich für das Abfragen von Benutzerinformationen,

die für den Authentifizierungsprozess notwendig sind. Eine solche Information ist

z. B. das Bild, das als Authentifizierungsgrundlage dient. Diese beiden Komponenten

können - wie in Abbildung 7 dargestellt - über die entsprechenden Remote-

Schnittstellen RegisterUserRemote und UserDataRequesterRemote benutzt werden. Die

dritte EJB-Komponente namens ServiceBean wird vom EMServerLoginModule für den

Zugriff auf Authentifizierungsdaten in der Datenbank genutzt.

5.1.2 EMServerLoginModule

Dieses Login-Modul entspricht dem in Kapitel 3.6 vorgestellten JBoss-Login-Module.

Die Konfiguration und die Anbindung des Login-Modules an den JBoss Server

werden in Anhang A dargestellt. Dieses Login-Modul ist so entwickelt worden, dass

es mit den grafischen Passwörtern (Credentials) für das EMAI-System funktioniert.

Systemarchitektur


Abbildung 7: Komponentendiagramm für den Server-Teil

5.1.3 Abgesicherte EJB-Komponente

Die abgesicherten EJB-Komponenten (rot gekennzeichnet) sind Geschäftslogik-

Komponenten einer Anwendung, die das EMAI-Authentifizierungssystem für ihre

Authentifizierungs- und Autorisierungsprozesse nutzen. EJB-Komponenten und ihre

einzelnen Methoden können annotationsbasiert abgesichert werden (s. Anhang B).

5.1.4 Hibernate

Das Hibernate Framework ist so konfiguriert worden, dass es auf eine Datasource

mit dem Namen „EmaiDS“ zugreift. Wenn im angegebenen Schema die nötigen

Tabellen für das EMAI-System nicht vorhanden sind, werden sie von Hibernate

automatisch erzeugt. Dabei wird die Datenstruktur, die in Abbildung 10 dargestellt

ist, in der Datenbank erzeugt. (zum Konfigurieren der Datasource s. Anhang A)

Systemarchitektur


5.1.5 Common Package

Das Package common enthält zwei Sub-Packages – entities und credentials. Das

Package credentials (Abbildung 8) enthält die Klassen, die das Passwort der Benutzer

repräsentieren. IEMAICredential ist die Schnittstelle, die von allen im System be-

nutzten Credentials implementiert werden muss. Die wichtigste Methode dieser

Schnittstelle ist die Methode isEqual(IEMAICredential target):boolean, die prüft, ob

zwei Credentials gleich sind.

Abbildung 8: Klassendiagramm für das Package credentials

Entities (Abbildung 9) enthält Klassen, die den Benutzer und mit der Authenti-

fizierung verbundene Klassen repräsentieren. Die Klassen werden benutzt, um

einerseits Daten zwischen dem Server und dem Client auszutauschen und anderseits

diese als persistente Objekte mittels Hibernate in der Datenbank zu speichern. Die

Klassen User, LoginAttempt und Role sind die Persistence Entities und werden im

nächsten Kapitel näher erläutert. Die Klassen Picture und Puzzle sind Klassen, die nur

zur Kommunikation zwischen dem Server- und dem Client-Teil eingesetzt werden.

Sie werden auch Data-Transfer-Objekte (DTO) genannt. Die Klasse Picture

repräsentiert die Modellobjekte für den bildbasierten Ansatz und die Klasse Puzzle

die für den puzzlebasierten.

Systemarchitektur


Abbildung 9: Klassendiagramm für das Package entities

5.1.6 Datenbank

Abbildung 10 stellt das Entity-Relationship-Diagramm der eingesetzten Datenbank

dar. Die Entität User repräsentiert einen realen Benutzer des Systems. Unter anderem

sind bei dieser Entität folgende Attribute von Bedeutung:

authType: Dieses Attribut enthält Informationen darüber, ob der bildbasierte

oder der puzzlebasierte Authentifizierungsansatz vom Benutzer ausgewählt

worden ist.

picture: Dieses Attribut repräsentiert das Authentifizierungsbild des Be-

nutzers.

pictureVerticalParts: Dieses Attribut sagt aus, in wie viele vertikale Teile das

Bild aufgeteilt werden soll, falls der authType den Wert Puzzle hat.

pictureHorizontalParts: Dieses Attribut sagt aus, in wie viele horizontale Teile

das Bild aufgeteilt werden soll, falls der authType den Wert Puzzle hat.

credentials: Dieses Attribut enthält den Berechtigungsnachweis des Benutzers.

Die Entität Role repräsentiert die Rollen, die der Benutzer im System annehmen kann.

Diese Entität hat folgende Attributen:

roleName: Der Name der Rolle.

roleGroup: Die Gruppe, zu der diese Rolle gehört.

Die Entität LoginAttempt stellt einen Login-Versuch in das System dar und hat

folgende Attribute:

timestamp: Die aktuelle Server-Zeit, zu der der Login-Versuch durchgeführt

wurde.

successful: Sagt aus, ob der Login-Versuch erfolgreich war

credentials: Der Berechtigungsnachweis, mit dem der Benutzer versucht hat,

sich in das System einzuloggen.

Systemarchitektur


User

idusername

firstname

lastname

age

authType

picture image-

Horizontal-

Parts

image-

Vertical-

Parts

credentials

Role

id

roleName

roleGroup

LoginAttempt

id

timestamp

successful

credentials

Abbildung 10: Entity-Relationship-Diagramm der eingesetzten Datenbank

5.1.7 Authentifizierungsschritte

Hier werden die Schritte (s. Abbildung 7) beschrieben, wie ein Client unter Ver-

wendung des EMAI-Authentifizierungssystems auf eine abgesicherte Komponente

auf dem Server zugreift.

Schritt 1: Im ersten Schritt wird anhand des angegebenen Benutzernamens

das zugehörige Authentifizierungsbild vom Server geladen und vom Client

dargestellt. Danach gibt der Benutzer seine Credentials ein, welche zunächst

lokal auf dem Client gespeichert werden.

Schritt 2: In diesem Schritt versucht der Client auf eine abgesicherte EJB-

Komponente zuzugreifen. Hierbei wird die Information über die Methode, auf

die zugegriffen werden soll, zusammen mit den in Schritt eins gespeicherten

Credentials und dem Principal an den Server geschickt.

Schritt 3: Da es sich um eine abgesicherte EJB-Komponente handelt, werden

Principal und Credentials an das konfigurierte Login-Modul weitergeleitet,

das dann entscheidet, ob dem Client Zugriff auf die Methode gestattet werden

soll oder nicht (s. Abbildung 3) .

5.2 Der Client-Teil

Abbildung 11 stellt wieder das Komponentendiagramm für das Gesamtsystem dar,

wobei hier der Fokus auf dem Client-Teil liegt. Der Client ist im System für die An-

nahme vom Passwort des Benutzers zuständig. Für die Darstellung der Authenti-

fizierungsbilder wird eine Swing-basierte Benutzeroberfläche eingesetzt. Für die

Systemarchitektur


blickbasierte Passworteingabe wird der in Kapitel 6 vorgestellte Fixierungs-

erkennungsalgorithmus eingesetzt.

Abbildung 11: Komponentendiagramm für den Client-Teil

5.2.1 TetClient

Diese Komponente empfängt die vom Eye Tracker geschickten Daten und kann sie

dann an Klassen weiterleiten, die die abstrakte Klasse DTetClientEvents vererben.

Außerdem kann der TetClient benutzt werden, um Funktionen des Eye Trakers wie

das Starten und Stoppen der Augenverfolgung zu triggern.

5.2.2 ETMouseSimulator

Die Komponente ETMouseSimulator wurde entwickelt, um die Augenverfolgung mit

Hilfe der Maus zu simulieren. Dazu erzeugt die Komponente aus der Position des

Mauszeigers auf dem Bildschirm zwei relative X- und Y-Koordinaten jeweils für das

rechte und das linke Auge. Die Komponente kann simulierte Augenbewegungen an

Klassen senden, die die Schnittstelle EyeTrackerListener implementieren. Abbildung

12 stellt das Klassendiagramm für die Komponente ETMouseSimulator dar.

Systemarchitektur


Abbildung 12: Klassendiagramm für den ETMouseSimulator

5.2.3 TetEventDispatcher

Wie schon in 5.2.1 erwähnt kann der TetClient die vom Eye Tracker erhaltenen

Augenverfolgungsdaten an Objekte von Klassen, die die abstrakte Klasse

DTetClientEvents vererben, weitersenden. Da manche Klassen, die Daten vom Eye

Tracker erhalten sollen, schon eine andere Klasse vererben, wurde diese zusätzliche

Komponente entwickelt. Sie erhält Daten direkt vom TetClient und kann sie an

Klassen weitersenden, die die Schnittstelle EyeTrackerListener implementieren.

5.2.4 GazeFixation

Diese Komponente implementiert die Schnittstelle EyeTrackerListener und sorgt für

die Blickfixierungserkennung. Wird eine Blickfixierung erkannt, so wird der der

Komponente zugeordnete IGazeFixationListener benachrichtigt. Der für die

Fixierungserkennung benutzte Algorithmus, der in der Klasse GazeFixation

implementiert ist, verwendet eine Liste mit potenziellen Fixierungsbereichen

(PotentialFixationArea), die wiederum aus Blickpunkten (GazePoint) gebildet werden

(s. Abbildung 13). Die detaillierte Beschreibung des in der Komponente eingesetzten

Fixierungserkennungsalgorithmus kann aus Kapitel 6 entnommen werden.

Systemarchitektur


Abbildung 13: Klassendiagramm für die Komponente GazeFixation

5.2.5 EMAIController

Der Controller hat das Ziel, eine Verbindung zum Server herzustellen und somit

zwischen dem EMAIView und dem durch die EJB-Komponenten realisierten Modell

zu vermitteln. Der Controller hat einerseits ein Exemplar vom TetEventDispatscher,

um Daten vom Eye Tracker an die View-Elemente weiterzuleiten und anderseits

über die Verbindung zum Server die nötigen Bilder für den Authentifizierungs-

prozess anzufordern. Der EMAIController übernimmt die Aufgabe, die vom Benutzer

angegebenen Credentials an den Server zu übermitteln.

5.2.6 EMAIView

Diese Komponente realisiert die Benutzeroberfläche für das EMAI-

Authentifizierungssystem. Dafür wurde die Grafikbibliothek Swing benutzt. Es

wurden die Klassen von dem Package graphicalParts eingesetzt.

5.2.7 GraphicalParts

GraphicalParts ist ein Package, das Klassen enthält, die puzzlebasierte und bild-

basierte Bilder repräsentieren. Diese Klassen implementieren die Schnittstelle

IGazeFixationListener und können somit direkt an die Komponente GazeFixation an-

gebunden werden. Klassen, die bei einer Passwortpunktauswahl benachrichtigt

werden sollen, müssen die Schnittstelle ISelectionListener implementieren. Die Klasse

TrackStatus realisiert die Augensicht-Verifikation, die beim Starten des Clients an-

gezeigt wird. Abbildung 14 stellt die Hierarchie und die Beziehungen zwischen den

einzelnen Klassen, die für die Implementierung der grafischen Benutzeroberfläche

verwendet werden, in einem Klassediagramm dar.

Systemarchitektur


Abbildung 14: Klassendiagramm für das Package graphicalParts

5.2.8 TetComp

TetComp ist ein Package, das mit dem COM4J-Werkzeug „tlbimp“ generierte Java

Stubs enthält, die für den Zugriff auf COM-Objekte genutzt werden. Die Be-

schreibung der Klassen kann aus dem Tobii SDK Developers Guide entnommen

werden.

5.2.9 Konfiguration des Clients

Der Client hat eine Kofigurationsdatei, die der Anpassung der Funktionsweise dient.

Die Datei trägt den Namen application.properties und befindet sich im Installations-

ordner. In der Konfigurationsdatei sind folgende Parameter zu definieren:

datarate : Diese muss der Datenrate des Eye Trackers entsprechen.

dwelltime: Die Dwell Time für den Fixierungserkennungsalgorithmus

fixation_circle_diameter: Die Größe des Bereichs, in dem nach einer Fixierung

gesucht wird.

fixation_points_percent: Diese Prozentangabe definiert, welcher Anteil der

erfassten Blickpunkte in der konfigurierten Dwell Time in einem potenziellen

Fixierungsbereich vorhanden sein müssen, damit dieser als eine Fixierung er-

kannt wird. Zur Verdeutlichung dient das folgende Beispiel:

Systemarchitektur


Bei einer Datenrate von 120 Hz und einer Dwell Time von 1500000 ms (1,5 sec)

müssen im Idealen Fall (fixation_points_percent: 100) 180 Blickpunkte im

potenziellen Fixierungsbereich enthalten sein, damit diese Folge von Blick-

punkten als Fixierung erkannt wird. Bei einem fixation_points_percent-Wert

von 50 müssten somit nur 90 Blickpunkte im potenziellen Fixierungsbereich

enthalten sein.

event_generator: Hiermit wird festgelegt, ob der Eye Tracker oder der Maus-

simulator benutzt werden soll.

image_max_width/ image_max_height: Die Maximale Größe der eingesetzten

Bilder.

screen_min_width/ screen_min_height: Die minimale Auflösung des Bild-

schirmes.

password_length: Die Länge des grafischen Passwortes.

java.naming.provider.url: Die Adresse des Servers.

Fixierungserkennungsalgorithmus


6 Fixierungserkennungsalgorithmus

Die Verfolgung der Augenbewegungen liefert viele Daten, die zunächst ausgewertet

werden müssen, bevor sie benutzt werden können. Unter anderem werden zwei

wichtige Arten von Augenbewegungen unterschieden: Sakkaden und Fixierungen.

Sakkaden sind schnelle Augenbewegungen, die reflexartig oder bewusst sein

können. Sie werden auch ballistische Augenbewegungen genannt und dienen haupt-

sächlich dazu, die Sehgrube (den Bereich des schärfsten Sehens auf der Retina) in

eine neue Position zu bewegen. Ihre Geschwindigkeit beträgt in der Regel über

300°/sec. Durch die große Geschwindigkeit dieser Art Augenbewegung bleibt dem

Gehirn keine Zeit, die währenddessen aufgenommenen Informationen auszuwerten,

weswegen Sakkaden meist als irrelevant für weitere Analysen der Augen-

bewegungen eingestuft werden. [20]

Fixierungen hingegen sind Augenbewegungen, die die Sehgrube auf ein Objekt

stabilisieren. Während einer Fixierung treten 3 Arten von Augenbewegungen auf,

die die Namen Drift, Tremor und Mikrosakkaden tragen. Diese minimalen Augen-

bewegungen haben auch eine deutlich niedrigere Geschwindigkeit, die in der Regel

weniger als 100°/sec beträgt. [20]

Für die Realisierung eines Programms mit blickbasierter Eingabe ist es sehr wichtig,

einen gut funktionierenden Algorithmus zu haben, der zwischen den beiden Arten

der Augenbewegung unterscheiden kann. Ein Beispiel für die Nutzung eines solchen

Algorithmus wäre, dass Fixierungen über ein bestimmtes Zeitintervall als Maus-

klicks und die Sakkaden als Mausbewegungen interpretiert werden.

In [20] werden die möglichen Algorithmen zur Fixierungserkennung nach ihrer

Funktionsweise in Gruppen unterteilt. Dabei werden 5 Kriterien vorgestellt, nach

denen die Algorithmen klassifiziert werden können. Diese Kriterien sind in zwei

Gruppen unterteilt: räumliche und zeitliche. In der Gruppe der räumlichen sind die

geschwindigkeitsbasierten, zerstreuungsbasierte und die bereichsbasierten Kriterien.

In der Gruppe der zeitlichen sind die dauerabhängigen und die sog. Locally-

Adaptive-Kriterien. Die Dauerabhängigkeit bezieht sich darauf, dass der Algorith-

mus einen Zeitmechanismus für die Findung von Fixierungen einsetzt. Das Locally-

Adaptive-Kriterium bezieht sich darauf, dass der Algorithmus eine bestimmte Aus-

sage über einen Blickpunkt aufgrund von zeitlich nah stehenden Blickpunkten trifft.

Die geschwindigkeitsbasierten Algorithmen benutzen als Grundlage den oben be-

schriebenen Geschwindigkeitsunterschied von Fixierungen und Sakkaden. Der in

[20] vorgestellte Algorithmus „Velocity-Threshold Identification (I-VT)“ ist am

leichtesten zu implementieren und sehr performant, liefert aber nur mittelmäßige

Genauigkeit und ist nicht sehr robust.

Die zerstreuungsbasierten Algorithmen nutzen die Eigenschaft der Fixierungen, bei

denen die auftretenden Augenbewegungen in einem bestimmten Bereich bleiben.

Der in [20] vorgestellte Algorithmus „Dispersion-Threshold Identification (I-DT)“ ist

gleichzeitig dauerabhängig und Locally-Adaptive. Er liefert eine sehr gute Genauig-



keit und Robustheit ist aber lediglich mit einem mittleren Wert für Performanz aus-

gezeichnet worden.

Die bereichsbasierten Algorithmen wie „Area-of-Interest Identification“ (I-AOI)

sind Algorithmen, die im Gegensatz zu den oben genannten nur in vorher be-

stimmten Bereichen eines visuellen Umfeldes nach Fixierungen suchen können. Um

in diesen Bereichen Fixierungen von durchgehenden Sakkaden unterscheiden zu

können, ist ein zusätzliches Zeitintervall notwendig. Somit sind diese Art von

Algorithmen auch dauerabhängig. Algorithmen dieser Art liefern keine so gute

Genauigkeit, haben aber eine sehr gute Performanz.

Der in Abbildung 15 vorgestellte Fixierungserkennungsalgorithmus gehört zur

Gruppe der zerstreuungsbasierten Algorithmen und ist gleichzeitig dauerabhängig

und Locally-Adaptive. Er ist eine Variante von dem in [20] vorgestellten I-DT und

wurde im Rahmen der Arbeit für das EMAI-System entwickelt.

In dem Algorithmus wird eine Liste mit potenziellen Fixierungsbereichen eingesetzt.

Potenzielle Fixierungsbereiche sind kreisförmige Bereiche mit vorherdefinierter

Größe. Sie werden erzeugt, wann immer sich ein Blickpunkt außerhalb der be-

stehenden potenziellen Fixierungsbereiche befindet, und werden zu der Liste hinzu-

gefügt. Dieser Blickpunkt dient dann als Zentrum des neuen Fixierungsbereiches

und wird benutzt, um die Erzeugungszeit des Fixierungsbereiches zu ermitteln.

Befindet sich der Blickpunkt in einem oder mehreren bestehenden potenziellen

Fixierungsbereichen, so wird er zu allen von ihnen hinzugefügt. Mit jedem neuen

Blickpunkt werden die potenziellen Fixierungsbereiche in der Liste auf folgende vier

Kriterien geprüft. Erfüllt einer davon die drei Kriterien so wird daraus eine

Fixierung.

1. Zeitliches Kriterium: Hierbei muss die Zeitspanne zwischen der aktuellen

Zeit des ankommenden Blickpunktes und der Erzeugungszeit des

potenziellen Fixierungsbereiches größer sein als eine vordefinierte Dwell Time

(DT).

2. Zerstreuungskriterium: Um dieses Kriterium zu erfüllen, müssen sich eine

bestimmte Anzahl von Blickpunkten (BPA) in einem potenziellen Fixierungs-

bereich befinden. Im Aktivitätsdiagramm wird die notwendige Anzahl von

Blickpunkten mit der Variable BPA-GB definiert. Die Anzahl dieser Punkte

wird anhand folgender Formel ausgerechnet.

Dabei repräsentiert die Variable datarate die Anzahl der Blickpunkte, die vom

Eye Tracker pro Zeitmessungseinheit der dwelltime (z.B. Blickpunkte pro ms,

falls die Dwell Time in ms angegeben wird) gesendet werden. Die Variablen

fixation_points_percent, datarate und dwelltime wurden bereits im Kapitel 5.2.9

erläutert.

3. Aktueller-Blickpunkt-Kriterium: Dieses Kriterium prüft, ob der aktuelle

Blick des Benutzers sich auf einen potenziellen Fixierungsbereich richtet, bei

dem die ersten beiden Kriterien erfüllt sind. So wird sichergestellt, dass die



Position einer erkannten Fixierung immer mit der aktuellen Position des vom

Benutzer fokussierten Bereiches übereinstimmt.

Neuer BP

Nächster PFB

[PFB-Liste

noch nicht

durchgelaufen]

[BPZeit - PFBZeit > DT ][BPZeit - PFBZeit <= DT ]

[BPA im PFB >

BPA-GB]

Ausrechnen der

konvexen Hülle für die

BP im PFB

Schicke

Benachrichtigung über

erkannte Fixierung

Entferne alle PFB

aus der Liste

Entferne PFB

aus der Liste

[BPA im PFB <=

BPA-GB]

[PFB-Liste

durchgelaufen]

[PFB Liste leer]

Erzeuge neuen PFB

mit Zentrum BP

und füge zur Liste

hinzu

[PFB enthält BP] füge BP zu PFB

hinzu[ELSE]

[ELSE]

[PB wurde

zu keinem PFB

hinzugefügt ]

BP: Blickpunkt

PFB: Potenzieller Fixierungsbereich

BPA: Blickpunkte-Anzahl

BPZeit: Zeitpunkt der Erzeugung des Blickpunktes

PFBZeit: Zeitpunkt der Erzeugung des poteziellen Fixierungsbereiches

1

2

DT: Dwell Time

BPA-GB: Blickpunkten-Anzahl Grenzbereich

[ELSE] [PFB enthält BP] 3

Abbildung 15: Aktivitätsdiagramm für den Fixierungserkennungsalgorithmus

Evaluierung


7 Evaluierung

Für die Evaluierung der Ergebnisse der Arbeit wurde eine Studie durchgeführt, die

in drei Teile unterteilt ist. Die Studie wurde in drei Teile unterteilt und an drei Tagen

am Lehrstuhl für Pervasive Computing und User Interface Engineering durch-

geführt. Ziele der Studie waren einerseits, die Funktionsfähigkeit des Systems zu

überprüfen und die Meinung der Teilnehmer über das System zu erfahren.

Anderseits wurde ein Vergleich zwischen dem bildbasierten und dem puzzle-

basierten Authentifizierungsansatz gezogen.

7.1 Vorstudie

Im erstem Teil ging es darum, passende Bilder für den bildbasierten und puzzle-

basierten Authentifizierungsansatz auszuwählen. Es wurden 5 Teilnehmern ein-

geladen, die sich mit den beiden Ansätzen jeweils mit drei unterschiedlichen Bildern

im System registrieren und sofort danach einmal einloggen sollten. Die Bilder

wurden so ausgesucht, dass sie unterschiedlich viele Objekte darstellen und ver-

schiedenartige Kulissen repräsentieren.

Für den bildbasierten Ansatz wurde ein Landschaftsfoto, ein Bürofoto und ein Bild

aus dem Spiel „Hidden Objects“ zur Auswahl gestellt (s. Abbildung 16).

Abbildung 16: Bilderauswahl für den bildbasierten Authentifizierungsansatz

Bei der Analyse der ausgewählten Passwörter während der Vorstudie stellten sich 7

markante Auswahlobjekte auf dem Landschaftsfoto heraus. Daraus ergibt sich bei

einem vierstelligen Passwort und drei möglichen Versuchen eine Wahrscheinlichkeit

von 1/ 800, das richtige Passwort zu erraten. Bei dem Bürofoto wurden insgesamt 10

markanten Objekte identifiziert, was bei einem vierstelligem Passwort und 3 Ver-

suchen zu einer Ratewahrscheinlichkeit von 1/3333 führt. Diese Ratewahrscheinlich-

keit entspricht der eines normalen PIN-Codes. Auf dem dritten Foto ergaben sich 11

verschiedene markante Objekte, was zu einer Ratewahrscheinlichkeit von 1/4880

führt. Hier muss beachtet werden, dass die Wahrscheinlichkeiten in Wirklichkeit

eher niedriger sind als oben beschrieben, da es möglich ist, auch außerhalb der

markanten Objekte sich befindende Bereiche als Passwortpunkte auszuwählen. Da

auf dem dritten Foto die meisten markanten Objekte sind und es zudem von den

Teilnehmer vorgezogen wurde, wurde es als Passwortbild für den zweiten und den

dritten Teil der Studie ausgewählt.

Evaluierung


Für den puzzlebasierten Authentifizierungsansatz wurden den Teilnehmern auch

drei Bilder präsentiert - wieder ein Landschaftsfoto, ein Architekturfoto und wieder

ein Foto aus dem Spiel „Hidden Objects”. Abbildung 17 zeigt die präsentierten

Bilder. Da die Rastergröße auf 3x3 Teile festgelegt wurde, beträgt die Ratewahr-

scheinlichkeit bei einem vierstelligen Passwörtern und drei möglichen Versuchen

1/2187. Hier lag die Entscheidung über die Auswahl des Bildes vollständig bei den

Teilnehmern, da alle Bilder dieselbe Rastergröße hatten und auch gleich groß waren .

Von den meisten Teilnehmern wurde das Bild aus dem Spiel „Hidden Objects” aus-

gewählt. Begründet wurde diese Auswahl damit, dass es die meisten unterschied-

lichen Objekte hat und somit die Unterscheidung der einzelnen Bereiche leichter

fällt.

Abbildung 17: Bilderauswahl für den puzzlebasierten Authentifizierungsansatz

7.2 Studie

Für die Studie wurden 14 Personen eingeladen, wobei eine Person nur am ersten

Tag teilnahm. Dadurch wurden seine Ergebnisse ungültig und nicht ausgewertet. An

der Studie nahmen insgesamt 7 Männer und 6 Frauen mit einem durchschnittlichen

Alter von 25 Jahren teil. Sieben davon tragen Sehhilfen - einer Kontaktlinsen und die

restlichen sechs Brillen. Für die Studie wurde ein Bildschirm mit der Auflösung

1280x1024 benutzt. Die Größe der beiden Bilder betrug 1024x768 Pixel. Der

Fixierungserkennungsalgorithmus wurde mit einer Dwell Time von 1500 ms und

einem Durchmesser des potenziellen Fixierungsbereiches von 150 Pixel

konfiguriert. Die Dwell Time wurde absichtlich höher als normal (500-1000ms) ge-

stellt, damit es zu wenigen Fehleigaben kommt. Der Eye Tracker wurde mit einer

Datenrate von 120 Hz konfiguriert. Für eine erfolgreiche Fixierung müssen 75 % der

Blickpunkte im Fixierungsbereich enthalten sein (s. Kapitel 6).

7.2.1 Tag 1

Am ersten Tag wurde jedem Teilnehmer einzeln erklärt, wie das System funktioniert

und wie die Studie ablaufen wird. Nachdem der Eye Tracker für den Benutzer

kalibriert wurde, wurde er aufgefordert, sich jeweils mit dem puzzlebasierten und

dem bildbasierten Ansatz im System zu registrieren. Den Teilnehmern wurde eine

Evaluierung


freie Auswahl der Passwortlänge erlaubt. 10 der Passwörter im puzzlebasierten und

11 im bildbasierten Ansatz waren vierstellig. Drei Passwörter beim puzzlebasierten

und zwei beim bildbasierten Ansatz waren fünfstellig. Nach erfolgreicher

Registrierung im System sollte sich der Benutzer mit beiden Ansätzen einloggen,

wobei jeder Teilnehmer maximal 3 Versuche für ein erfolgreiches Login hatte.

7.2.2 Tag 2

Am zweiten Tag wurde der Eye Tracker für jeden einzelnen Teilnehmer erneut

kalibriert. Im Folgenden musste sich jeder Teilnehmer jeweils mit dem bildbasierten

und dem puzzlebasierten Ansatz einloggen, wobei jeder Teilnehmer wieder wie am

ersten Tag nur 3 Versuche für ein erfolgreiches Login hatte. Am Ende wurde jeder

Teilnehmer gebeten, einen Fragebogen über seine Eindrücke vom System auszu-

füllen.

7.3 Ergebnisse

Die Auswertung der Ergebnisse bestand aus den zwei Teilen - Auswertung der in

der Datenbank gespeicherten Login-Versuche und Auswertung der Fragebögen.

7.3.1 Login-Versuche

Durch die Auswertung der gespeicherten Login-Versuche konnten folgende Daten

ermittelt werden: Abbildung 18 stellt dar, wie viel Prozent von den Teilnehmern sich

an den 2 Tagen mit den verschiedenen Ansätzen erfolgreich ins System eingeloggt

haben. Als erfolgreiche Anmeldung wurde jeder Teilnehmer gezählt, der sich mit

maximal 3 Login-Versuchen erfolgreich im System angemeldet hat.

Abbildung 18: Erfolgreiche Anmeldungen

In den folgenden zwei Abbildungen werden die einzelnen Tage separat betrachtet.

Abbildung 19 stellt die Ergebnisse vom ersten Tag über die benötigte Anzahl an Log-

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

Tag 1 Tag 2

bildbasiert

puzzlebasiert

Evaluierung


in-Versuchen prozentual dar. Hierbei ist zu beachten, dass nur die Login-Versuche

von den Teilnehmer betrachtet werden, die sich erfolgreich ins System eingeloggt

haben.

Abbildung 19: Benötigte Anzahl von Login-Versuchen am 1. Tag (nur erfolgreiche Anmeldungen)

Abbildung 20 stellt dieselben Informationen dar wie Abbildung 19, jedoch für den

zweiten Tag der Studie.

Abbildung 20: Benötigte Anzahl von Login-Versuchen am 2. Tag (nur erfolgreiche Anmeldungen)

Es wurden insgesamt 75 Login-Versuche durchgeführt - 36 im puzzlebasierten und

39 im bildbasierten Ansatz. Davon waren 28 nicht erfolgreich - 11 beim puzzle-

basierten und 17 beim bildbasierten Ansatz. Prozentual ausgedrückt sind das 30,5 %

fehlgeschlagene Versuche im puzzlebasierten Ansatz, 43,5 % im bildbasierten und

37,3 % insgesamt.

Um die Probleme, die zu den fehlgeschlagenen Login-Versuchen geführt haben, zu

untersuchen, wurde für jeden einzelnen Teilnehmer ein Screenshot mit seinem

0%10%20%30%40%50%60%70%80%90%

100%

1 Log-in-Versuch 2 Log-in-Versuche

3 Log-in-Versuche

bildbasiert

puzzlebasiert

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

1 Log-in Versuch

2 Log-in-Versuche

3 Log-in-Versuche

bildbasiert

puzzlebasiert

Evaluierung


grafischen Passwort und den Login-Versuchen erstellt, auf dem der Grund für die

fehlgeschlagene Anmeldung zu erkennen war. Die dabei ermittelten Probleme

konnten grundsätzlich in zwei Gruppen unterteilt werden.

Fixierungserkennungsalgorithmus-Problem: Diese Art von Problem bezieht

sich auf die Funktionsweise der blickbasierten Passworteingabe und die Be-

sonderheiten des Fixierungserkennungsalgorithmus.

o Ungenaue Auswahl: Dieses Problem tritt auf, wenn einer der ein-

gegebenen Passwortpunkte sich zu weit entfernt vom entsprechenden

Punkt im bei der Registrierung gespeicherten Passwort befindet (s.

Kriterien für Gleichheit von zwei Passwörtern im Kapitel 4.2.4). Dieses

Problem tritt meistens aufgrund von Ungenauigkeiten bei der Blickver-

folgung auf

o Doppelte Auswahl: Nach der Studie wurde ein Implementierungs-

problem im Fixierungserkennungsalgorithmus erkannt, das während

der Studie zu Problemen beim Login führte. Das Problem bestand

darin, dass manchmal derselbe Passwortpunkt doppelt ausgewählt

wurde, obwohl der Benutzer es nicht beabsichtigte. Das Problem ist aus

folgendem Grund entstanden: Wenn der Benutzer einen bestimmten

Passwortpunkt auswählen möchte, fokussiert er diesen. Dabei können

gleichzeitig mehrere nah beieinander liegende potenzielle Fixierungs-

bereiche erzeugt werden. Wird einer davon als Fixierung erkannt, so

wird ein auditives Feedback gegeben und der Benutzer kann seinen

Blick zum nächsten Passwortpunkt bewegen. Da aber nach der Er-

kennung der Fixierung die sich in der Nähe befindenden potenziellen

Fixierungsbereiche nicht sofort gelöscht wurden, wurden sie weiter auf

die drei Kriterien geprüft. So wurde in manchen Fällen einer davon als

Fixierung erkannt, obwohl der Benutzer seinen Blick bereits auf den

nächsten Passwortpunkt gerichtet hat. Somit hatte der Benutzer die

Rückmeldung bekommen, dass auch der nächste Passwortpunkt aus-

gewählt wurde, weswegen er seinen Blick auf den darauffolgenden

Punkt richtete. Somit sind Passwörter entstanden, bei denen nur

richtige Passwortpunkte eingegeben wurden, wobei einer doppelt und

einer gar nicht ausgewählt wurde. Das Problem wurde später behoben.

Falsches Password: Dieses Problem bezieht sich auf die Einprägsamkeit des

grafischen Passwortes. Dabei wurden falsche Passwörter vom Benutzer ein-

gegeben. Da es nur einen Tag Abstand zwischen der Registrierung und dem

zweiten Login-Versuch gegeben hat, trat dieses Problem nur bei einem Teil-

nehmer auf.

Abbildung 21 zeigt prozentual die Ursachen der fehlgeschlagenen Login-Versuche in

beiden Ansätzen.

Evaluierung


Abbildung 21: Ursachen für die fehlgeschlagenen Login-Versuche

Es gibt zwei mögliche Gründe, warum beim puzzlebasierten Ansatz die ungenaue

Auswahl nicht als Problem aufgetreten ist. Erstens waren die Bilderstücke relativ

groß (341x256 Pixel), weswegen die Ungenauigkeit dabei keine so Große Rolle

spielte. Zweitens waren die zur Auswahl stehenden Teile klar von einander getrennt.

7.3.2 Auswertung der Fragebögen

Wichtig für die Benutzerfreundlichkeit ist ein positiver Eindruck beim Umgang mit

dem System, weswegen in den Fragebögen die Eindrücke der Teilnehmer bezüglich

der grafischen Passwörter und der blickbasierten Passworteingabe abgefragt

wurden.

Der erste Teil des Fragebogens hatte das Ziel, allgemeine Daten über die Teilnehmer

zu ermitteln. Dabei wurden Alter, Geschlecht und die eventuelle Nutzung von Seh-

hilfen abgefragt. Die Frage nach der Sehhilfe entstand, da bei Teilnehmern mit

Kontaktlinsen die vom Eye Tracker gelieferten Daten leicht verändert werden, was

zu einer Verschlechterung der Funktionsweise des Fixierungserkennungsalgorith-

mus führt. Über die gleichen Probleme mit dem videobasierten Eye Tracker wurde

in [21] berichtet.

Eye Tracker

Das zweite Teil des Fragebogens hatte zum Ziel, Informationen über die Benutzung

des Eye Trackers zu sammeln. Dabei wurde die Frage nach dem Schwierigkeitsgrad

der blickbasierten Auswahl eines Passwortpunktes gestellt. Die Skala ging von „sehr

einfach“ bis „sehr schwer“. Die Frage wurde sowohl für den puzzle- als auch für den

bildbasierten Ansatz gestellt.

Abbildung 22 zeigt die Ergebnisse in beiden Ansätzen. Dabei ist zu erkennen, dass

die blickbasierte Auswahl beim puzzlebasierten Ansatz als einfacher eingestuft

wurde. Da in beiden Ansätzen derselbe Fixierungserkennungsalgorithmus (s. Kapitel

6) eingesetzt wird, sollte auch der Schwierigkeitsgrad bei der Passwortpunkte-

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

Falsches Passwort

Doppel Auswahl

Ungenaue Auswahl

bildbasiert

puzzlebasiert

Evaluierung


Auswahl in beiden Ansätzen gleich sein. Eine mögliche Erklärung für die unter-

schiedliche Bewertung könnte die Rasteraufteilung im puzzlebasierten Ansatz sein,

die als Fixierungshilfe dienen kann.

Abbildung 22: Beurteilung der Schwierigkeit der blickbasierten Passwortpunkteauswahl

Registrierung

Dieser Teil stellt die Ergebnisse der Fragen dar, die sich mit der Registrierung be-

schäftigen.

Abbildung 23 stellt die Beurteilungen des Schwierigkeitsgrades bei der Passwort-

auswahl für beide Ansätze dar. Es ist zu erkennen, dass den Teilnehmern die Aus-

wahl eines Passwortes im puzzlebasierten Ansatz deutlich einfacher als im bild-

basierten fiel.

Abbildung 23: Beurteilung der Schwierigkeit der Passwortauswahl

Abbildung 24 stellt die persönliche Einschätzung der Teilnehmer über die benötigte

Zeit für die Auswahl ihres Passwortes dar. Hierbei ist zu erkennen, dass die für die

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

sehr einfach

einfach mittel schwer sehr schwer

bildbasiert

puzzlebasiert

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

sehr einfach


bildbasiert

puzzlebasiert

Evaluierung


Passwortauswahl geschätzte Zeit beim puzzlebasierten Ansatz kürzer als beim bild-

basierten ist. Dies liegt wahrscheinlich daran, dass den Teilnehmer das Aussuchen

von Passwortpunkten aufgrund der Rasteraufteilung leichter gefallen ist (s. Ab-

bildung 23) und sie daher weniger Zeit für die Passworterzeugung brauchten. Die

Mehrheit der Teilnehmer schätzte die Zeit im Bereich von „sehr kurz“ bis „mittel“

ein, was für die Passworterzeugung akzeptabel ist.

Abbildung 24: Einschätzung der benötigten Zeit für die Auswahl eines Passwortes

Abbildung 25 stellt die Bewertung des visuellen Feedbacks prozentual dar, das die

meisten Teilnehmer sehr hilfreich fanden. Bei der Durchführung des Registrierungs-

teils der Studie haben manche Teilnehmer durch das Feedback erkannt, dass sie

einen nicht gewünschten Passwortpunkt ausgewählt haben, und hatten somit die

Möglichkeit, das Passwort zu korrigieren.

Abbildung 25: Bewertung des visuellen Feedbacks bei der Registrierung

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

sehr kurz kurz mittel lang sehr lang

bildbasiert

puzzlebasiert

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

nicht hilfreich

wenig hilfreich

mittel hilfreich sehr hilfreich

bildbasiert

puzzlebasiert

Evaluierung


Login

Dieser Abschnitt beschäftigt sich mit dem Teil des Fragebogens, in dem Fragen über

den Login-Prozess gestellt wurden.

Abbildung 26 stellt die Beurteilung der Schwierigkeit der Passworteingabe beim

Login dar. Hierbei fanden es die Benutzer leichter, ihr Passwort im puzzlebasierten

Ansatz einzugeben.

Abbildung 26: Beurteilung der Schwierigkeit bei der Eingabe des Passwortes

Die Einschätzung der benötigten Zeit für die Passworteingabe ist in Abbildung 27

dargestellt. Wie bei der Registrierung befindet sich die Mehrheit der Einschätzungen

wieder zwischen „sehr kurz“ und „mittel“, obwohl bei der Studie ein relativ hoher

Wert von 1,5 Sekunden für die Dwell Time benutzt wurde. Da bei der Studie keine

genauen Messungen der Eingabezeit durchgeführt wurden, wäre dies das Ziel einer

weiteren Studie.

Abbildung 27: Einschätzung der benötigten Zeit für die Eingabe des Passwortes

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

sehr einfach


bildbasiert

puzzlebasiert

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

sehr kurz kurz mittel lang sehr lang

bildbasiert

puzzlebasiert

Evaluierung


Abbildung 28 stellt die Bewertung des auditiven Feedbacks prozentual dar. Fast alle

Teilnehmer bewerteten es als „sehr hilfreich“.

Abbildung 28: Bewertung des auditiven Feedbacks beim Login

Als nächstes wurden die Teilnehmer über die Schwierigkeit, sich an das Passwort zu

erinnern, befragt. 85% der Teilnehmer haben es als sehr einfach eingestuft, sich an

ihr bildbasiertes Passwort zu erinnern, 7,5% als einfach und weitere 7,5% als mittel.

77% haben beim puzzlebasierten Ansatz „sehr einfach“ und weitere 23% einfach

angekreuzt. Da es nur einen Tag Abstand zwischen der Registrierung und dem

zweiten Login-Versuch gab, fanden es die Teilnehmer relativ leicht, sich an das

Passwort zu erinnern. Das Problem „Falsches Passwort“ ist auch nur bei einem Teil-

nehmer aufgetreten. Abbildung 29 stellt die Beurteilung der Teilnehmer über die

Schwierigkeit, sich an das Passwort zu erinnern, dar. Beim bildbasierten Ansatz

haben sich die meisten Teilnehmer markante Objekte auf dem Bild gemerkt. Beim

puzzlebasierten Ansatz wurden für das Password einerseits Puzzleteile mit

markanten Objekten ausgewählt. Andererseits wurden Puzzleteile so ausgewählt,

dass sie zusammen innerhalb des gesamten Puzzles eine Form bilden (Bespielweise:

T-Form).

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

nicht hilfreich

wenig hilfreich

mittel hilfreich sehr hilfreich

bildbasiert

puzzlebasiert

Evaluierung


Abbildung 29: Beurteilung der Schwierigkeit, sich an das grafische Passwort zu erinnern

Die Teilnehmer wurden auch nach ihrer persönlichen Meinung über die System-

sicherheit gefragt. Dabei wurde die Sicherheit des bildbasierten Ansatzes besser als

die des puzzlebasierten bewertet, da dieser einen größeren Passwortbereich hat. Die

Ergebnisse sind in Abbildung 30 zu sehen.

Abbildung 30: Beurteilung der Systemsicherheit

Abbildung 31 stellt die Bereitschaft der Teilnehmer, die in der Arbeit vorgestellten

Authentifizierungsansätze an einem Geldautomat zu verwenden, dar.

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

sehr einfach


bildbasiert

puzzlebasiert

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

sehr niedrig

niedrig mittel hoch sehr hoch

bildbasiert

puzzlebasiert

Evaluierung


Abbildung 31: Bereitschaft der Teilnehmer, das Authentifizierungssystem am Geldautomaten zu

verwenden

Bilder:

Der letzte Teil des Fragebogen hatte zum Ziel, Benutzer-Feedback über die Authenti-

fizierungsbilder zu bekommen. Es wurde die Qualität der in der Studie benutzten

Bilder abgefragt, nämlich wie leicht den Benutzern die Auswahl der Objekte bzw.

Puzzleteile in beiden Bildern gefallen ist. Abbildung 32 stellt einen Vergleich

zwischen beiden Authentifizierungsansätzen dar.

Abbildung 32: Beurteilung der Schwierigkeit bei der Passwortpunkteauswahl hinsichtlich des Bildes

Als nächstes wurde eine Frage, die die persönliche Meinung der Benutzern über die

Anzahl der Gegenstände auf den Bilder ermitteln sollte. Abbildung 33 zeigt die er-

mittelten Daten.

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

auf gar keinen

Fall

vieleicht mittel ja auf jeden Fall

bildbasiert

puzzlebasiert

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

sehr einfach


bildbasiert

puzzlebasiert

Evaluierung


Abbildung 33: Einschätzung der Anzahl an Gegenständen auf den verwendeten Bildern

In diesem Teil des Fragebogens wurde auch die Frage gestellt, ob die Benutzer lieber

eigene Bilder für die Authentifizierung benutzen würden und falls ja - welche sinn-

voll wären. Dabei wurden vier Kategorien von Bildern aufgelistet: Klassen-

/Familienfotos, Landschaftsbilder, Weltraumbilder, Architekturbilder. Sechs Teil-

nehmer antworteten, dass sie lieber ein eigenes Bild benutzen würden und sieben

würden lieber ein vorgegebenes Bild nutzen. Sechs der Teilnehmer haben die Bilder-

Kategorien bewertet, die Ergebnisse sind in Abbildung 34 zu sehen.

Abbildung 34: Beurteilung über die Eignung der Bilderkategorien für die grafische Authentifizierung

Die Teilnehmer haben außerdem Bilder von Sportevents, Lieblingsfilmen und all-

gemein Bilder mit vielen Details als geeignet für die Authentifizierung mit grafischen

Passwörtern eingestuft.

7.4 Zusammenfassung

Größtenteils konnten sich die Teilnehmer erfolgreich im System anmelden – an

beiden Tagen jeweils über 80% in beiden Ansätzen. Die meisten davon - über 70% -

haben sich bereits beim ersten Login-Versuch erfolgreich angemeldet. Obwohl dies

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

sehr niedrig

niedrig mittel hoch sehr hoch

bildbasiert

puzzlebasiert

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

Nicht sinnvoll

Wenig sinvoll

Normal sinvoll Sehr sinnvoll

Klassen/Familienfoto

Landschaftsbilder

Weltraumbilder

Architekturbilder

Evaluierung


kein schlechtes Ergebnis zu sein scheint, erkennt man bei der Betrachtung aller Log-

in-Versuche insgesamt, dass knapp über 37% nicht erfolgreich gewesen sind – 30,5%

im puzzlebasierten und 43,5% im bildbasierten. Siebzig Prozent der Fehleingaben im

puzzlebasierten Ansatz entstanden durch das „Doppelte Auswahl“-Problem, das

zur zweimaligen Auswahl desselben Passwortpunktes geführt hat. Das Problem

wurde später behoben. Das hauptsächliche Problem im bildbasierten Ansatz mit

knapp über 60% der Fehleingaben war das „Ungenaue Auswahl“-Problem.

Die Passworterzeugung sowie die blickbasierte Eingabe ist den Teilnehmer in beiden

Ansätzen relativ leicht gefallen, wobei die meisten Teilnehmer diese Aspekte im

puzzlebasierten Ansatz als leichter bewerteten. Die Passworteingabezeit wurde von

den Teilnehmer in beiden Ansätzen im Bereich von „sehr kurz“ bis „mittel“ ein-

gestuft. Beide Arten von Feedback – visuell und auditiv - wurden als sehr hilfreich

beurteilt. Die Systemsicherheit wurde als mittelmäßig eingestuft, wobei hier der

bildbasierte Ansatz aufgrund des größeren Passwortbereichs klare Vorteil gegenüber

dem puzzlebasierten hatte.

Den Teilnehmern fiel es insgesamt leichter, den puzzlebasierten Ansatz zu nutzen.

Beim puzzlebasierten Ansatz gab es auch weniger Fehleigaben, was damit erklärt

werden kann, dass die Auswahlbereiche deutlich größer als beim bildbasierten An-

satz waren und daher das „Ungenaue Auswahl“-Problem beim puzzlebasierten gar

nicht aufgetreten ist. Dafür ist der Passwortbereich beim puzzlebasierten Ansatz mit

der verwendeten Rastergröße (3x3) deutlich kleiner als beim bildbasierten Ansatz.

Durch ein größeres Raster (beispielsweise 5x5) wird der Passwortbereich deutlich

größer, wobei die Hilfseigenschaften des Rasters bei der Passworterzeugung und -

eingabe erhalten bleiben.

Kritische Betrachtung der Arbeit


8 Kritische Betrachtung der Arbeit

Eine der ersten Fragen, die bei der Einführung eines neuen Systems gestellt wird, ist

die Frage nach den Kosten für die Installation des neuen Systems und für die

Integration mit existierenden Lösungen. Für die Einführung einer blickbasierten Ein-

gabe an öffentliche Terminals müssen diese erstmal mit Eye-Tracking-Geräten aus-

gestattet werden. Der Preis dieser Geräte variiert heutzutage zwischen 5.000 und

40.000 US-Dollar. Die dabei benutzte Technologie ist relativ unkompliziert und die

einzige Ursache für den hohen Preis dieser Geräte ist die Deckung der Kosten für

Forschung und Entwicklung. Die Technologietendenzen zeigen, dass die Preise

dieser Art von Technologie in naher Zukunft rasch fallen müssten [7]. Zusätzliche

Kosten würden durch die Anpassung der an heutigen Terminals existierenden Be-

nutzerschnittstellen für grafische Passwörter entstehen. Andere mögliche Kosten

würden für Werbekampagnen und Schulungen für die neue Authentifizierungs-

methode anfallen.

Es wären aber auch neue Entwicklungen in der Eye-Tracking-Technologie not-

wendig, die eine robustere Augenverfolgung hinsichtlich einer größeren Bewegungs-

freiheit der Benutzer bei der Passworteingabe ermöglichen. Diese Anforderung ist

nicht allein durch die Benutzerfreundlichkeit motiviert, sondern auch durch die

physischen Unterschiede der Benutzer (bspw. Körpergröße).

Ein weiteres wichtiges Problem ist die Notwendigkeit, dass das Eye-Tracking-Gerät

für jeden einzelnen Benutzer kalibriert werden muss, bevor er sich im System

authentifizieren kann. Wie schon in Kapitel 2.2 erwähnt wurde besteht eine der

Möglichkeiten darin, dass die Kalibrierungsdaten für jeden Benutzer gespeichert und

dann z. B. beim Einführen der Bankkarte abgerufen werden.

Zusätzlich muss die Eye-Tracker-Technologie im Hinblick auf die Benutzung mit

Sehhilfen verbessert werden.

8.1 Vergleich zu anderen Arbeiten

Im Hinblick auf die fehlgeschlagenen Login-Versuche kamen bei der in [8] ver-

wendeten Dwell-Time-Methode ähnliche Ergebnisse wie beim puzzlebasierten An-

satz dieser Arbeit zustande. Ein Vergleich mit dem puzzlebasierten Ansatz wurde

gezogen, da der Passwortbereich ähnlich zu dem einer PIN ist. In [8] waren 23,8%

der eingegebenen PINs falsch und im puzzlebasierten Ansatz dieser Arbeit waren es

30,5%. Diese Fehlerrate ist jedoch deutlich höher als die in [7] mit der Dwell-Time-

Methode erzielten Ergebnisse, bei denen nur 3% der Eingaben als Fehleingaben

registriert wurden.

Der Vorteil dieser Art von blickbasierter Eingabe im Vergleich zu der in [10] vor-

gestellten (s. Kapitel 2.3) ist, dass der Benutzer Feedback über die Auswahl jedes

einzelnen Passwortpunktes bekommt und nicht selber die Zeit einschätzen muss, für

die er einzelne Passwortpunkte fokussieren muss. Das auditive Feedback könnte

aber den Nachteil haben, dass durch die minimalen Kopfbewegungen des Nutzers

Kritische Betrachtung der Arbeit


bei der Passworteingabe die Position der Passwortpunkte geschätzt werden könnte.

Dies wäre besonders dann der Fall, wenn sich die Passwortpunkte in den Rand-

bereichen des Bildes befinden.

Künftige Arbeiten


9 Künftige Arbeiten

Für künftige Arbeiten wären u.a. folgende Punkte zu behandeln:

Hashing von grafischen Passwörtern: In der aktuellen Version des ent-

wickelten Systems wird das grafische Passwort in der Datenbank als

serialisiertes Java-Objekt gespeichert, ohne dass es verändert wird. Dies ist

nicht wirklich zur Aufbewahrung von sicherheitskritischen Informationen ge-

eignet. Passwörter werden normalerweise nicht in ihrer ursprünglichen Form

in einer Datenbank gespeichert, sondern es wird ein Hashwert vom Passwort

ermittelt, der gespeichert wird. Will sich jemand dann einloggen, so wird ein

Hashwert vom Login Passwort mit demselben Hash-Algorithmus ermittelt

und wird mit dem in der Datenbank gespeicherten verglichen. Sind die beiden

Hashwerte identisch, so wird der Benutzer erfolgreich authentifiziert. Das

Problem bei grafischen Passwörtern und besonders beim bildbasierten Ansatz

besteht darin, dass beim Login-Passwort eine bestimmte Abweichung erlaubt

ist. Diese Abweichung kann zu einer großen Veränderung des Hashwertes

und trotz gültigen Passwortes zur Unmöglichkeit der Authentifizierung des

Benutzers führen. Deswegen ist für die bildbasierte Authentifizierung ein

spezieller Ansatz zur Ermittlung von Hashwerten für grafische Passwörter

notwendig. Solche Ansätze werden in [6] und [22] vorgestellt.

Sicherung von Web-Systemen: Der in dieser Arbeit vorgestellte Authenti-

fizierungsansatz könnte auch zur Sicherung von Websystemen eingesetzt

werden. Dafür müsste ein Java Applet Client realisiert werden, der die Auf-

gaben des Anwendungsclients übernimmt.

Fazit


10 Fazit

Das Ziel dieser Arbeit war es, ein Authentifizierungssystem zu entwickeln, das eine

blickbasierte Passworteingabe einsetzt, um Shoulder-surfing an öffentlichen

Terminals zu verhindern. Zur Realisierung der blickbasierten Passworteingabe

wurde ein videobasierter Eye Tracker mit kombinierter Pupille/Cornea-Reflexion

benutzt, der POR-Messungen liefert. Als Trigger-Mechanismus wurde die Dwell-

Time-Methode eingesetzt. Im System wurden grafische Passwörter eingesetzt, weil

sie leichter einzuprägen sind als alphanumerische. Es wurden zwei unterschiedliche

Arten von grafischen Passwörtern zur Auswahl gestellt – das bildbasierte und das

puzzlebasierte.

Eine Benutzerstudie wurde durchgeführt, um erstens die Benutzbarkeit des System

zu überprüfen, zweitens die Eindrücke der Teilnehmer bezüglich des Umgangs mit

dem System zu ermitteln und drittens einen Vergleich zwischen den beiden

Authentifizierungsansätzen zu ziehen.

Die durchgeführte Studie lieferte positive Ergebnisse bezogen auf den Einsatz von

blickbasierter Passworteingabe sowie von grafischen Passwörtern. Beim puzzle-

basierten Ansatz haben sich am ersten Tag alle Teilnehmer erfolgreich im System

angemeldet und am zweiten Tag waren es über 90 %. Beim bildbasierten Ansatz

haben sich an beiden Tagen, an denen die Studie durchgeführt wurde, jeweils 85 %

erfolgreich angemeldet. Während der Studie wurde ein Implementierungsproblem

im Fixierungserkennungsalgorithmus erkannt, das zu Fehleingaben geführt hat, aber

später behoben wurde.

Die Auswertung der Fragebogen hat gezeigt, dass die Teilnehmer insgesamt eher

positive Eindrücke bezüglich des Umgangs mit dem System hatten. Den meisten

Teilnehmern ist die blickbasierte Passworteingabe und die Einprägung des

grafischen Passwortes leicht gefallen.

Die Ergebnisse der Studie deuten darauf hin, dass das System eine brauchbare Alter-

native zu Systemen mit normaler Passworteingabe und herkömmlichen alpha-

nummerischen Passwörtern darstellen kann. Die Forschung auf diesem Gebiet be-

findet sich zurzeit aber noch in der Anfangsphase. Es bedarf weiterer intensiver

Forschungsarbeit bis ein Authentifizierungssystem, das blickbasierte Passwortein-

gabe nutzt, in sicherheitskritischen Bereichen eingesetzt werden kann.

Literaturverzeichnis


11 Literaturverzeichnis

[1] GASA Security. [Online]. http://www.globalasa.com/talkingpoints.html

[2] Alexander De Luca, Roman Weiss, and Heinrich Hussmann, "PassShape – Stroke

based Shape Passwords," in Proceedings of the 19th Australasian conference on

Computer-Human Interaction: Entertaining User Interfaces, Adelaide, Australia,

2007, pp. 239 - 240.

[3] Anne Adams and Martina Angela Sasse, "Users are not the enemy,"

Communications of the ACM, vol. 42, no. 12, pp. 40 - 46, 1999.

[4] Antonella De Angeli, Lynne Coventrz, Graham Johnson, and Karen Renaud, "Is

a picture really worth a thousand words? Exploring the feasibility of graphical

authentication systems," International Journal of Human-Computer Studies, vol. 63,

no. 1-2, pp. 128 - 152, July 2005.

[5] Wendy Moncur and Gregory Leplatre, "Pictures at the ATM: Exploring the

usability of multiple graphical passwords," in Proceedings of the SIGCHI conference

on Human factors in computing systems, San Jose, California, USA, 2007, pp. 887 -

894.

[6] Susan Wiedenbeck, Jim Waters, Jean-Camille Birget, Alex Brodskiy, and Nasir

Memon, "PassPoints: Design and longitudinal evaluation of a graphical

password system," International Journal of Human-Computer Studies, vol. 63, no. 1-

2, pp. 102 - 127, 2005.

[7] Manu Kumar, Tal Garfinkel, Dan Boneh, and Terry Winograd, "Reducing

Shoulder-surfing by Using Gaze-based Password Entry," in Proceedings of the 3rd

symposium on Usable privacy and security, Pittsburgh, Pennsylvania, 2007, pp. 13 -

19.

[8] Alexander De Luca, Roman Weiss, and Heiko Drewes, "Evaluation of Eye-Gaze

Interaction Methods for Security Enhanced PIN-Entry," in Proceedings of the 19th

Australasian conference on Computer-Human Interaction: Entertaining User Interfaces,

Adelaide, Australia, 2007, pp. 199 - 202.

[9] Mouse Gestures. [Online]. http://optimoz.mozdev.org/gestures/

[10] Anthony Maeder, Clinton Fookes, and Sridha Sridharan, "Gaze Based User

Authentication for Personal Computer Applications," in International Symposium

on Intelligent Multimedia, Video and Speech Processing, Hong Kong, 2004.

[11] Anthony Maeder and Clinton Fookes, "A Visual Attention Approach to Personal

Identification," in Eighth Australian and New Zealand Intelligent Information Systems

Conference, Sydney, 2003.

[12] Andrew T. Duchowski, Eye Tracking Methodology, 2nd ed. London: Springer-

Verlag London, 2007.

http://www.globalasa.com/talkingpoints.html

http://optimoz.mozdev.org/gestures/

Literaturverzeichnis


[13] Tobii X60 & X120 Eye Trackers. [Online].

http://www.tobii.com/corporate/products/tobii_x120_eye_tracker.aspx

[14] Oliver Kretzschmar and Roland Dreyer, Medien-Datenbank- und Medien-Logistik-

Systeme.

[15] Holger Schwichtenberg, COM-Komponenten-Handbuch, 1st ed. Germany:

Addison-Wesley Verlag, 2001.

[16] Com4j. [Online]. https://com4j.dev.java.net/

[17] (2009, September) Javageom: geometric computations with Java. [Online].

http://geom-java.sourceforge.net/

[18] JavaTM Programmierhandbuch und Referenz. [Online].

http://www.dpunkt.de/Java/Programmieren_mit_Java/Sicherheit/14.html

[19] Javid Jamae and Peter Johnson, JBoss im Einsatz, 1st ed. Germany: Hanser

Fachbuch, 2009.

[20] Dario D. Salvucci and Joseph H. Goldberg, "Identifying Fixations and Saccades

in Eye-Tracking Protocols," in Proceedings of the 2000 symposium on Eye tracking

research & applications, Palm Beach Gardens, Florida, United States , 2000, pp. 71 -

78.

[21] Manu Kumar, "GAZE-ENHANCED USER INTERFACE DESIGN,".

[22] Jean-Camille Birget, Dawei Hong, and Memon Nasir. Robust discretization, with

an application to graphical passwords. [Online]. http://eprint.iacr.org/2003/168

http://www.tobii.com/corporate/products/tobii_x120_eye_tracker.aspx

https://com4j.dev.java.net/

http://geom-java.sourceforge.net/

http://www.dpunkt.de/Java/Programmieren_mit_Java/Sicherheit/14.html

http://eprint.iacr.org/2003/168

Anhang A


Anhang A: Installation des Systems

Da es sich bei dem System um eine Client-Server-Anwendung handelt, ist die

Installation in zwei Schritte unterteilt: die Installation des Servers und die Installation

des Clients.

Server-Installation

Für die Installation des Servers wird JBoss AS 5 (Jboss-5.0.0.GA) und eine beliebige

Datenbank benötigt.

Nachdem der JBoss-Server erfolgreich installiert ist, müssen die beiden Dateien

EmaiServer.jar und SampleSecuredEJB.jar in den Deploy-Ordner des JBoss-Servers

kopiert werden. EmaiServer.jar enthält den Serverteil des Authentifizierungssystems.

SampleSecuredEJB.jar enthält beispielhafte EJBs, die mittels des EMAI-Systems ab-

gesichert wurden.

Als nächstes muss eine Verbindung zur Datenbank konfiguriert werden, in welcher

die Benutzerdaten gespeichert werden. In JBoss wird dies über die sogenannten

Datasources realisiert. Die Datasources werden mit einem bestimmten Namen an

JNDI angebunden und können so von Diensten und Anwendungen im JBoss-Server

genutzt werden. Die Datasource für das EMAI-Authentifizierungssystem muss den

Namen „EmaiDS“ tragen. Die Datei Emai-ds.xml zeigt eine beispielhafte Datasource

für die MySQL-Datenbank. Beispielhafte Datasources für andere Datenbanken sind

im jca-Ordner des JBoss-Examples-Ordners zu finden. Die für die Anwendung be-

nötigten Tabellen werden automatisch beim Systemstart in der Datenbank erzeugt,

sofern sie im angegebenen Schema nicht existieren.

Im Folgenden wird erläutert, wie das Login-Modul an den JBoss-Server angebunden

wird. Dies kann im config-Ordner des Servers erledigt werden. Dort muss die Datei

login-config.xml entsprechend der in Listing 1 gezeigten Weise geändert werden. Die

Seucirty-Domain trägt den Namen „Emai“, da dieser Name in den geschützten Bei-

spiel-EJBs benutzt wurde. Wird das Login-Modul für eine andere Anwendung be-

nutzt, so kann auch ein anderer Name angegeben werden.

Listing 1: Anbinden des EMServerLoginModule an den JBoss-Server

…..

<application-policy name="Emai">

<authentication>

<login-module code="de.uni_due.pervasive.emai.server.loginmodule.EMServerLoginModule" flag="required">

</login-module>

</authentication>

</application-policy>

.....

Anhang A


Client-Installation

Für die Client-Installation muss der Emai.msi Installer gestartet und die folgenden

Anweisungen befolgt werden. Für die Ausführung des Clients wird mindestens JRE

1.6.0 benötigt. Falls während des Installationsprozesses die Fehlermeldung auftritt,

dass TetCompPS2 nicht registriert werden kann, muss das auf der CD enthaltene

.NET Framework 3.5 installiert werden, bevor die Installation der Client-

Anwendung fortgesetzt werden kann. Nachdem die Installation abgeschlossen ist,

muss die Adresse des Servers, mit dem sich der Client in Verbindung setzen soll,

konfiguriert werden. Dazu muss im Installationsverzeichnis die Datei

application.properties verändert werden. Das vorgegebene Installationsverzeichnis be-

findet sich unter

„C:\Program Files\Lehrstuhl für Pervasive Computing und User Interface

Engineering\Gaze-Based Authentication Interface“

Unter java.naming.provider.url muss die IP-Adresse und der Port des Servers im

folgenden Format eingegeben werden: jnp\://localhost\:1099. Anstatt localhost muss

die Adresse des JBoss-Servers und anstatt 1099 muss der JNDI Port des installierten

JBoss-Servers eingetragen werden.

Anhang B


Anhang B: Absicherung von EJB-Komponenten mit Sicherheitsannotationen

In diesem Teil wird gezeigt, wie EJB-Komponenten mit dem EMAI-System ab-

gesichert werden können. Dazu wird in Listing 2 eine beispielhafte EJB-Komponente

vorgestellt, die mit Hilfe der Sicherheitsannotationen abgesichert wurde. Über die

@SecurityDomain(„Emai“)-Annotation wird definiert, welche von den in JBoss

registrierten Sicherheitsdomänen eingesetzt werden sollen. Hierbei wird die Sicher-

heitsdomäne „Emai“ benutzt. Die Annotation @RolesAllowed definiert eine Liste mit

Rollen, denen ein Zugriff auf die Methoden gestattet wird. @PermitAll erlaubt für

alle Rollen den Zugriff auf die mit dieser Annotation versehenen Methoden.

Listing 2: Abgesicherte EJB-Komponente

@Stateless

@SecurityDomain("Emai")

public class SecurityEjb implements SecurityEjbRemote {

public SecurityEjb() {

}

@Override

@RolesAllowed("ApplicationUser")

public String getApplicationUserText() {

return "ApplicationUser";

}

@Override

@PermitAll

public String getText() {

return "All Users";

}

@Override

@RolesAllowed("WebUser")

public String getWebUserText() {

return "WebUser";

}

}

Documents

Neuartige Authentifizierungstechniken Basierend Auf Eye-Tracking