Перейти к содержанию
View in the app

A better way to browse. Learn more.

IT2B - Технологии разведки для бизнеса

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

ГРАФИЧЕСКИЙ ПАРОЛЬ

Featured Replies

Опубликовано

ГРАФИЧЕСКИЙ ПАРОЛЬ НЕ ДАЁТ СМОТРЯЩЕМУ УКРАСТЬ СЕБЯ

Американские компьютерщики изобрели очередную вариацию защитной системы для аутентификации пользователя. Самое поразительное в ней то, что запомнить и воспроизвести пароль не сможет даже человек, стоящий рядом с монитором.

 

Профессор компьютерных наук Жан-Камиль Бирже (Jean-Camille Birget) из университета Ратжерса в Камдене (Rutgers University, Camden) и его коллеги разработали ряд новых систем паролей для компьютеров в рамках проекта Graphical Password.

 

Работа американцев призвана совместить несовместимое: лёгкость запоминания пароля (большинство пользователей выбирает несложные комбинации или слова, и потому их сравнительно легко подобрать) и надёжность защиты данных (доступа к компьютеру).

 

При новых способах ввода пароля хакерам не поможет даже сравнительно "свежий" приём – так называемое воровство щелчков клавиатуры.

 

Как явствует из названия, пароль в новых системах — это не набор цифр или букв, а некая графика. Систем же, собственно, было придумано две.

 

В первом случае пользователь должен щёлкнуть мышкой в четырёх точках (в пределах примерно десятка пикселей) на большой фотографии пейзажа. Владелец компьютера может загрузить в программу любую понравившуюся ему фотографию. Главное, она должна обладать следующей особенностью: это должен быть достаточно разнообразный по виду пейзаж с множеством потенциальных "интересных", запоминающихся мест.

 

Когда пользователь создаёт пароль, он щёлкает на четырёх точках, которые ему лично легко запомнить (конкретное дерево, здание, кусочек тени, просто — складка местности).

http://daily.sec.ru/pimg/00014588/img14588_13946.jpg

Пример графического пароля на основе пейзажа (иллюстрация с сайта rutgersscholar.rutgers.edu)

 

Таким образом, пароль, хранящийся в голове человека, и описать-то одним простым словом невозможно. Это зрительное впечатление, воспоминания и ассоциации. Но воспоминания надёжные. Тем более, что снимок может показывать знакомую человеку местность. Подобрать же такой пароль крайне сложно. Сколько может быть в кадре комбинаций из набора в четыре точки?

 

Второе изобретение специалистов из Нью-Джерси обладает ещё более удивительными свойствами. Так, даже если при наборе этого пароля у вас за спиной будет стоять человек и запоминать все ваши действия и клики — он никогда не сможет зайти на вашу машину вместо вас. Аналогично — если вас снимает камера системы безопасности. Просмотрев видео, никто не сможет восстановить ваш пароль. Как так получается?

 

При создании пароля пользователю предлагается выбрать и запомнить десять иконок примерно из 200-400 возможных. Иконки достаточно интересные и яркие, заметим.

 

Представьте: при необходимости ввода пароля система выдаёт на экран сразу огромное панно из иконок, перемешанных случайным образом. Среди них обязательно будут три или четыре "ваши".

 

http://daily.sec.ru/pimg/00014588/img14588_13947.jpg

Постороннему наблюдателю этот набор не скажет ничего… (иллюстрация с сайта clam.rutgers.edu)

 

Думаете, нужно найти их и указать курсором? Как бы не так. Их следует мысленно соединить линиями (получится треугольник или квадрат) и щёлкнуть мышкой в любой точке внутри этой фигуры.

 

Тут же иконки перестраиваются, перемешиваются. Одни при этом исчезают, другие — добавляются. И опять среди всего этого хаоса вы видите и какие-либо свои значки из той самой десятки (не обязательно те, что были на экране только что). Снова вы мысленно соединяете их в геометрическую фигуру и щёлкаете в любом месте, но опять-таки в её границах. И так происходит 10 раз.

 

Вообще система предусматривает при создании пароля выбор настроек: числа иконок, скорость их перемещения, числа кликов по фигурам и некоторых других параметров.

 

Лишь после 10 таких проходов машина однозначно идентифицирует иконки, которые вы мысленно держали в голове, выбирая место для щелчка. Но любой, кто будет за вами наблюдать, ни за что не угадает ваш пароль.

 

http://daily.sec.ru/pimg/00014588/img14588_13948.jpg

…Но и после того, как вы кликните внутри мысленно выделенного треугольника (здесь он закрашен намеренно), злоумышленник ничего не узнает (иллюстрация с сайта clam.rutgers.edu)

 

"Главная идея — позволить пользователю доказать знание им пароля, не показывая сам пароль в процессе его "набора", — говорит Леонардо Собрадо (Leonardo Sobrado), соавтор проекта. — Вопрос изменяется каждый раз и ответ — так же. Но "секретное знание" остаётся тем же самым".

 

При этом уровень секретности обеспечивается высочайший: "Если вы имеете достаточно многого изображений, и если вы должны пройти тест достаточно много раз, возможные комбинации иконок исчисляются миллиардами", — добавляет Бирже.

 

Недостаток у этой системы, пожалуй, один: для входа в систему требуется значительно больше времени, чем на традиционный набор пяти-шести букв в окошке пароля. Зато ввод пароля таким способом превращается в некую игру. Во всяком случае, детям авторов проекта новая программа понравилась именно в таком качестве.

 

Источник: Мембрана

 

Опубликовано
  • Автор

Нет ответов на эту новость. Ходит народ, читает, а мнений не высказывает. А хотелось бы узнать, что думают по данному вопросу специалисты по информзащите, т.е. перспективы, стойкость и т.д.

Опубликовано

Сейчас смотрел картинки с описанием принципа действия защиты: подход весьма интересный. Однако, что мешает посторонним, особенно при видеозаписи проанализировать принцип и выделить необходимые иконки, точно также как это делает машина?

По-моему мнению, любой хороший математик способен это сделать.

Опубликовано

Насчет "криптостойкости" при наличии видеосьемки не уверен, но даже если это все "крепко" - очень не удобно.

намного проще применять известную технологию электронного ключа, многие такие СЗИ от НСД позволяют также проводить разграничение доступа. Что сейчас применяется в обязательном порядке для некоторого вида информации с огр. доступом. (Аккорд, I-key, Соболь и т,д и т.п.)

Или идентификацию и аутентификацию по биометрическим параметрам.

Все это дороже, конечно, будет.

Опубликовано

Новая система доступа, насколько я понимаю, предъявляет требования не только к машине, но и к человеку - как минимум, память и видео (зрение). По сравнению с "электронным ключом", где требуется исключительно его наличие, это слишком высокие требования :) Другими словами, система не позволяет работать с компьютером людям с плохим зрением или памятью.

 

Кроме того, как по-вашему можно передать такой "пароль" другому пользователю? Очень неудобно. Это и плюс, и минус.

 

Плюсом, конечно, является временное отсутствие программ сканирования такого "пароля". Но это, понятно, временно. Использование средств перехвата вводимой информации - невозможно, поскольку это не клавиатура, а мышь. Зато прекрасно сработает банальный шпион, настроенный на отправку изображения в районе кликов мышкой.

 

Вобщем, система мало чем отличается от стандартной, и берет только новизной. Исключая клавиатуру в качестве устройства ввода информации, она вынуждена визуализировать процесс. Значит, предметом воздействия становится монитор... который можно как продублировать, так и попросту перехватить изображение програмными или аппаратными средствами.

 

Альтернативными вариациями подобного доступа являются системы, дополнительно учитывающие количество нажатий, время (периодичность, ритмику), за которое необходимо осуществить ввод, и т.п. Если не принимать во внимание ключ, то объединение перечисленных выше систем доступа к машине являлось бы идеальным решением в этой области.

Для публикации сообщений создайте учётную запись или авторизуйтесь

Account

Navigation

Поиск

Поиск

Configure browser push notifications

Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.