Access management of IoT devices is extremely important, and a secure login authentication scheme can effectively protect users’ privacy. However, traditional authentication schemes are threatened by shoulder-surfing attacks, and biometric-based schemes, such as fingerprint recognition and face recognition, that are commonly used today can also be cracked. Researchers have proposed some schemes for current attacks, but they are limited by usability. For example, the login authentication process requires additional device support. This method solves the problem of attacks, but it is unusable, which limits its application. At present, most authentication schemes for the Internet of Things and mobile platforms either focus on security, thus ignoring availability, or have excellent convenience but insufficient security. This is a symmetry problem worth exploring. Therefore, users need a new type of login authentication scheme that can balance security and usability to protect users’ private data or maintain device security. In this paper, we propose a login authentication scheme named PinWheel, which combines a textual password, a graphical password, and biometrics to prevent both shoulder-surfing attacks and smudge attacks and solves the current schemes’ lack of usability. We implemented PinWheel and evaluated it from the perspective of security and usability. The experiments required 262 days, and 573 subjects participated in our investigation. The evaluation results show that PinWheel can at least effectively resist both mainstream attacks and is superior to most existing schemes in terms of usability.

中文翻译：

---

一种有效的针对移动设备中多种攻击的登录身份验证系统

物联网设备的访问管理非常重要，安全的登录身份验证方案可以有效保护用户的隐私。但是，传统的身份验证方案会受到肩膀冲浪攻击的威胁，并且也可以破解当今普遍使用的基于生物特征的方案，例如指纹识别和面部识别。研究人员提出了一些针对当前攻击的方案，但是它们受到可用性的限制。例如，登录身份验证过程需要其他设备支持。该方法解决了攻击的问题，但无法使用，限制了其应用。目前，大多数用于物联网和移动平台的身份验证方案要么专注于安全性，从而忽略了可用性，要么具有出色的便利性，但安全性不足。这是一个值得探讨的对称问题。因此，用户需要一种新型的登录身份验证方案，该方案可以在安全性和可用性之间取得平衡，以保护用户的私有数据或维护设备的安全性。在本文中，我们提出了一种名为PinWheel的登录身份验证方案，该方案将文本密码，图形密码和生物识别技术结合在一起，以防止肩膀冲浪攻击和污迹攻击，并解决了当前方案的可用性不足。我们实施了PinWheel，并从安全性和可用性的角度对其进行了评估。实验需要262天，有573名受试者参加了我们的调查。评估结果表明，PinWheel至少可以有效地抵抗两种主流攻击，并且在可用性方面优于大多数现有方案。用户需要一种新型的登录身份验证方案，该方案可以在安全性和可用性之间取得平衡，以保护用户的私有数据或维护设备的安全性。在本文中，我们提出了一种名为PinWheel的登录身份验证方案，该方案将文本密码，图形密码和生物识别技术结合在一起，以防止肩膀冲浪攻击和污迹攻击，并解决了当前方案的可用性不足。我们实施了PinWheel，并从安全性和可用性的角度对其进行了评估。实验需要262天，有573名受试者参加了我们的调查。评估结果表明，PinWheel至少可以有效地抵抗两种主流攻击，并且在可用性方面优于大多数现有方案。用户需要一种新型的登录身份验证方案，该方案可以在安全性和可用性之间取得平衡，以保护用户的私有数据或维护设备的安全性。在本文中，我们提出了一种名为PinWheel的登录身份验证方案，该方案将文本密码，图形密码和生物识别技术结合在一起，以防止肩膀冲浪攻击和污迹攻击，并解决了当前方案的可用性不足。我们实施了PinWheel，并从安全性和可用性的角度对其进行了评估。实验需要262天，有573名受试者参加了我们的调查。评估结果表明，PinWheel至少可以有效抵抗两种主流攻击，并且在可用性方面优于大多数现有方案。