Currently, password-based remote authentication mechanism has become an essential procedure to ensure users access the resources of the cloud server securely. Dozens of password-based multi-factor authentication schemes have been successively proposed recently. Unfortunately, most of them are vulnerable to various known attacks. The key to designing a secure and privacy-preserving authentication scheme is drawing some lessons from the security failures of existing schemes. In this work, we investigate three anonymous multi-factor authentication schemes based on passwords for cloud environments (i.e., Karuppiah et al.’s scheme at MONET’19, Lin’s scheme at IEEE Syst J’19, Rajamanickam et al.’s scheme at IEEE Syst J’20), and demonstrate that these three schemes all suffer from off-line guessing attacks and are short of an important property (i.e., forward secrecy). We also propose several effective countermeasures to remedy these weaknesses. Our analysis shows that none of these three protocols can achieve their security goals. Furthermore, we make a summary of the causes of the flaws, and reveal that the vulnerabilities of these schemes are caused by violating the basic design principles for a secure protocol (e.g., Ma et al.’s principles at IJCS’14). In addition, we investigate whether dozens of recently proposed schemes follow the design principles of Ma et al..

目前，基于密码的远程认证机制已成为保证用户安全访问云服务器资源的必要流程。最近陆续提出了数十种基于密码的多因素认证方案。不幸的是，它们中的大多数都容易受到各种已知的攻击。设计一个安全和隐私保护的认证方案的关键是从现有方案的安全失败中吸取一些教训。在这项工作中，我们研究了三种基于云环境密码的匿名多因素身份验证方案（即 MONET'19 的 Karuppiah 等人的方案、IEEE Syst J'19 的 Lin 的方案、Rajamanickam 等人的方案）在 IEEE Syst J'20），并证明这三种方案都遭受离线猜测攻击并且缺乏一个重要的属性（即，前向保密）。我们还提出了一些有效的对策来弥补这些弱点。我们的分析表明，这三种协议都不能实现其安全目标。此外，我们总结了缺陷的原因，并揭示了这些方案的漏洞是由于违反安全协议的基本设计原则（例如，Ma等人在 IJCS'14 上的原则）引起的。此外，我们调查了最近提出的数十个方案是否遵循 Ma 等人的设计原则。并揭示这些方案的漏洞是由违反安全协议的基本设计原则引起的（例如，Ma等人在 IJCS'14 上的原则）。此外，我们调查了最近提出的数十个方案是否遵循 Ma 等人的设计原则。并揭示这些方案的漏洞是由违反安全协议的基本设计原则引起的（例如，Ma等人在 IJCS'14 上的原则）。此外，我们调查了最近提出的数十个方案是否遵循 Ma 等人的设计原则。