對網絡計算機系統的威脅與日俱增，不斷挑戰人們的安全“神經”。安全專家已經在系統保護領域取得了長足進步。但是一直以來，安全問題只被當作技術問題處理，而系統的使用者卻未被納入考慮范圍。安全問題實際是一個人機交互的問題，在計算機系統安全中，人為因素是最為薄弱的環節。

身份驗證是系統決定一個使用者是否有權限登陸本系統并使用特定資源的過程，是安全領域的重要研究課題。傳統的身份驗證方法是依據用戶提交的用戶名和相應文本密碼。這些文本密碼由字母和數字組成。人們也提出過利用生物技術和智能卡技術來進行身份驗證，但生物技術涉及個人隱私，而智能卡仍然需要一個Pin口令以防止遺失。因此密碼在未來一段時間內將繼續作為身份驗證的一項重要手段使用，但是傳統的字符式口令存在諸多缺點，這些缺點極易演變為安全問題。例如：安全的密碼必須具有很強的隨機性，并經常更換，但是這樣的密碼不利于用戶記憶，在實際生活中用戶傾向于寫下文本密碼或者在多個系統中使用相同的密碼，這都給系統安全造成隱患。

圖形密碼是利用人們對圖形記憶要優于對文本記憶的特點設計的一種新型密碼。用戶不用記憶冗長的字符串，而是通過識別或記住圖形來進行身份驗證。并且，圖形密碼能夠提供比文本密碼更強的安全性。從技術上，圖形密碼可以分為兩類：基于識別型和基于回憶型的圖形密碼。

基于識別型的圖形密碼身份驗證要求用戶記憶預先選定的一些特定圖片，在驗證階段系統從圖案庫中隨機產生一組圖片，讓用戶從中間選擇預先設定的圖片，從而實現身份驗證的過程。實驗結果顯示90%的參與者成功地完成了驗證。而相比之下，只有70%的完成了使用文本口令和Pins口令的驗證，這是由于記憶誤差造成的。這表明圖片是非常有效的記憶方法。

從基于識別型的圖形密碼思想發展的驗證系統有若干種。其中一種是利用人臉圖像識別來實現的。用戶在設定密碼階段，從人臉數據庫挑選出4幅圖像作為口令。驗證階段，用戶看到一個九個人臉組成的3x3網格。包括一個口令圖像和8個迷惑圖像。這個過程持續多次，用戶全部選對預先設定的人臉圖像就可以通過驗證。因為人們對人臉記憶更容易，識別更迅速，因而縮短了驗證時間。

另外一種實現方式是由用戶預先選擇一些圖形物體，在驗證的時候系統顯示出一個有許多圖形組成的陣列，用戶需要識別出這些物體，并且移動一個固定的框架使陣列中預先定義的物體全部落在框架中，通過多次重復此過程來防止隨機選中的可能。這種方法可以有效地防止“肩窺”。肩窺指使用直接的觀察技術來獲取信息，就如從某人的肩膀上方來查看。在擁擠的公共場所，肩窺是竊取信息的一種有效方法，當別人填表、在ATM機輸入PIN碼、或者在公共付費電話使用電話卡時，其私密信息容易被他人獲取。肩窺也可以使用雙眼望遠鏡或者其它視覺增強設備來遠距離實現。在使用傳統文本密碼的情況下，用戶只能依靠身體遮擋工作區來避免肩窺。在采用這種圖形密碼方法后，即使偷窺者看到用戶輸入過程，但仍然無法確定用戶設定的圖形，并且在每次驗證時展現的圖像陣列都不相同，所以能夠有效防止肩窺。

基于回憶型的圖形密碼身份驗證則是要求用戶重復以前設定的一個過程。例如，在一種基于回憶型的圖形密碼身份驗證方法中，設定密碼時候系統要求用戶在2d柵格上畫出口令。在驗證階段，系統顯示同樣的柵格要求用戶重復原來的設定過程，如果用戶畫出的圖形按照以前設定的順序經過相同的方格則通過驗證。另一種身份驗證方法要求在用戶一個圖形上預先按順序點擊一些位置，在身份驗證階段重復此過程。

圖形密碼與傳統文本密碼相比較在安全性上具有很大優勢。我們可以通過增大圖案庫的容量來擴大口令空間，提高系統的安全性，而傳統的字符只有94個（包括空格），其口令空間受到限制。從攻擊者的角度看，攻擊者必須了解并精確復制系統圖庫，難度加大。圖形密碼采用鼠標輸入，比傳統密碼的鍵盤輸入更加難以猜測。攻擊者使用間諜軟件來跟蹤鍵盤輸入容易，但是跟蹤鼠標輸入困難，并且由于用戶輸入圖形操作和用戶當前所使用的圖形窗口位置、大小以及時間信息都有關，盜取密碼更加困難。從保管口令的角度看，圖形更不容易泄露給其他人。