基于识别的图形口令系统要求用户在许多分散注意力的图像中选择目标图像，这个方法基于纯视觉记忆，利用识别先前看到的可视客体的能力。

基于识别的系统要求用户注册的时候预先选定一些特定图片，在验证阶段系统从图案库中随机产生一组图片，让用户从中间选择预先设定的图片，从而实现身份验证。这是一种基于系统提示和用户记忆的图形口令。

Passfaces是由Real User公司开发的一个身份认证系统，目前主要应用于PDA上。它基于人类识别人脸比识别其他图形都更容易的理论，利用人脸图片作为认证媒介。用户在设定口令阶段，从人脸数据库挑选出4幅图像作为口令。验证阶段，用户看到一个九个人脸组成的3×3网格，包括一个口令图像和8个迷惑图像。认证时，用户在屏幕上单击自己事先指定的人脸图片，该过程重复四次，用户全部选对预先设定的人脸图像就可以通过验证。因为人们对人脸记忆更容易，识别更迅速，因而缩短了验证时间。Passfaces使用方便，但是口令空间小，安全性不高。另外，一些学者指出，这个系统并不适用于患有面孔不可识别症的人，因为他们不能识别不同的人脸。由于人有人种、性别、年龄等的区分，用户选择人脸时有一定倾向性，更加降低了Passfaces的安全性。

Passfaces存在交叉分析攻击。在认证的每一轮中都会出现用户口令图片，而非口令图片出现的概率特别小，根据图片出现概率的差异能够分析出用户的口令信息。交叉分析攻击不用获取用户在登录系统时的输入信息，只是通过分析认证界面上出现的信息并通过计算概率来推理出用户的身份认证信息。另外，Passfaces直接对口令图标进行操作，不能够有效地防止肩窥攻击。

在使用传统文本口令的情况下，用户只能依靠身体遮挡工作区来避免肩窥。在采用图形口令方法后，防止肩窥攻击要求即使偷窥者看到用户输入过程，但仍然无法确定用户设定的图形。(www.daowen.com)

防止肩窥攻击的一种实现方式是由用户预先选择一些图形物体，在验证的时候系统显示出一个由许多图形组成的阵列，用户需要识别出这些物体，并且移动一个固定的框架使阵列中预先定义的物体全部落在框架中，通过多次重复此过程来防止随机选中的可能。

Sobrado等人（如图4.58（a）所示）提出的系统模型由用户目测出事先指定图形构成的三角形，在该虚构三角形当中，用鼠标单击以通过认证。之后，他们又提出了两个类似模型。一个通过旋转外框使指定图形和另外两个内框当中存在的指定图形成直线进行认证（如图4.58（b）所示），另一个则由用户单击四个指定图形构成的两条虚拟直线的交叉点以通过身份认证，即问号上边的图像就是用户本次要输入的口令（如图4.58（c）所示）。为了增强安全性，这些方法需要一个数量巨大的图像库或者附带一个图像生成程序，临时生成图片。

图4.58　防止“肩窥”的图形口令