图形口令认证是移动用户使用最便捷的认证方式:用户选择一个用户名和图形口令在服务器注册,服务器根据用户选择的图形口令生成一个认证凭证保存在数据库中。这种方式虽然简捷,但也面临凭证数据库泄露问题。一方面,由于用户选择的图形口令是低熵的,在窃取服务器的凭证之后,攻击者可以离线穷举所有可能的图形口令,计算其凭证,并与服务器中的凭证进行比对,直到找到用户的图形口令,这种攻击也称为口令猜测攻击。在得到用户口令后,攻击者可以冒充用户访问服务器资源,给企业和用户带来损失。因此,如何抵抗口令猜测攻击是一个需要解决的问题。另一方面,现有的解决凭证泄露问题的技术在较长时间范围内不能给用户的图形口令安全提供百分百保证。攻击者可以窃取用户凭证,在较长的时间内不断地收集重要信息,最终恢复出用户图形口令。因此,如何检测凭证泄露仍然是一个需要解决的问题。针对上述挑战,本文深入研究了凭证泄露导致的安全性问题。具体工作如下。1.针对凭证泄露导致的口令猜测攻击问题,提出了一个抗服务器凭证数据库泄露的图形口令认证方案GADL。具体来说,GADL方案引入了一种密钥服务器协助的哈希加盐法来生成凭证,该方法以分布式门限秘密共享的方式在密钥服务器群组部署一个密钥,用户在认证阶段动态地和密钥服务器群组交互恢复出盐,避免了盐明文存储在服务器内部,解决了盐和凭证泄露导致的离线口令猜测攻击问题。此外,该方法可以解决单点失效问题,即使一些服务器的密钥泄露后,攻击者仍然无法恢复出服务器群组共享的密钥,为用户口令提供了更强的安全性保证。2.针对凭证泄露检测问题,利用蜜罐口令机制提出了一种有效检测凭证泄露的图形口令认证方案DCSE。蜜罐口令是服务器为用户生成的假口令,且蜜罐口令的凭证和用户真实图形口令的凭证存放在一起,攻击者即使从凭证中恢复出口令也难以区分用户的真实图形口令和蜜罐口令。一旦攻击者尝试使用蜜罐口令登录服务器,服务器可以立刻检测到凭证已经泄露。为了协助认证服务器区分用户的真实图形口令和蜜罐口令,DCSE方案采用了一种分布式的索引计算方法,允许认证服务器和蜜罐口令检查服务器群组共同参与计算真实口令存储的索引位置,避免了用户真实图形口令信息存储在单一服务器上带来的安全隐患。