Перейти к содержанию

ГРАФИЧЕСКИЙ ПАРОЛЬ


Sprinter

Рекомендуемые сообщения

ГРАФИЧЕСКИЙ ПАРОЛЬ НЕ ДАЁТ СМОТРЯЩЕМУ УКРАСТЬ СЕБЯ

Американские компьютерщики изобрели очередную вариацию защитной системы для аутентификации пользователя. Самое поразительное в ней то, что запомнить и воспроизвести пароль не сможет даже человек, стоящий рядом с монитором.

 

Профессор компьютерных наук Жан-Камиль Бирже (Jean-Camille Birget) из университета Ратжерса в Камдене (Rutgers University, Camden) и его коллеги разработали ряд новых систем паролей для компьютеров в рамках проекта Graphical Password.

 

Работа американцев призвана совместить несовместимое: лёгкость запоминания пароля (большинство пользователей выбирает несложные комбинации или слова, и потому их сравнительно легко подобрать) и надёжность защиты данных (доступа к компьютеру).

 

При новых способах ввода пароля хакерам не поможет даже сравнительно "свежий" приём – так называемое воровство щелчков клавиатуры.

 

Как явствует из названия, пароль в новых системах — это не набор цифр или букв, а некая графика. Систем же, собственно, было придумано две.

 

В первом случае пользователь должен щёлкнуть мышкой в четырёх точках (в пределах примерно десятка пикселей) на большой фотографии пейзажа. Владелец компьютера может загрузить в программу любую понравившуюся ему фотографию. Главное, она должна обладать следующей особенностью: это должен быть достаточно разнообразный по виду пейзаж с множеством потенциальных "интересных", запоминающихся мест.

 

Когда пользователь создаёт пароль, он щёлкает на четырёх точках, которые ему лично легко запомнить (конкретное дерево, здание, кусочек тени, просто — складка местности).

http://daily.sec.ru/pimg/00014588/img14588_13946.jpg

Пример графического пароля на основе пейзажа (иллюстрация с сайта rutgersscholar.rutgers.edu)

 

Таким образом, пароль, хранящийся в голове человека, и описать-то одним простым словом невозможно. Это зрительное впечатление, воспоминания и ассоциации. Но воспоминания надёжные. Тем более, что снимок может показывать знакомую человеку местность. Подобрать же такой пароль крайне сложно. Сколько может быть в кадре комбинаций из набора в четыре точки?

 

Второе изобретение специалистов из Нью-Джерси обладает ещё более удивительными свойствами. Так, даже если при наборе этого пароля у вас за спиной будет стоять человек и запоминать все ваши действия и клики — он никогда не сможет зайти на вашу машину вместо вас. Аналогично — если вас снимает камера системы безопасности. Просмотрев видео, никто не сможет восстановить ваш пароль. Как так получается?

 

При создании пароля пользователю предлагается выбрать и запомнить десять иконок примерно из 200-400 возможных. Иконки достаточно интересные и яркие, заметим.

 

Представьте: при необходимости ввода пароля система выдаёт на экран сразу огромное панно из иконок, перемешанных случайным образом. Среди них обязательно будут три или четыре "ваши".

 

http://daily.sec.ru/pimg/00014588/img14588_13947.jpg

Постороннему наблюдателю этот набор не скажет ничего… (иллюстрация с сайта clam.rutgers.edu)

 

Думаете, нужно найти их и указать курсором? Как бы не так. Их следует мысленно соединить линиями (получится треугольник или квадрат) и щёлкнуть мышкой в любой точке внутри этой фигуры.

 

Тут же иконки перестраиваются, перемешиваются. Одни при этом исчезают, другие — добавляются. И опять среди всего этого хаоса вы видите и какие-либо свои значки из той самой десятки (не обязательно те, что были на экране только что). Снова вы мысленно соединяете их в геометрическую фигуру и щёлкаете в любом месте, но опять-таки в её границах. И так происходит 10 раз.

 

Вообще система предусматривает при создании пароля выбор настроек: числа иконок, скорость их перемещения, числа кликов по фигурам и некоторых других параметров.

 

Лишь после 10 таких проходов машина однозначно идентифицирует иконки, которые вы мысленно держали в голове, выбирая место для щелчка. Но любой, кто будет за вами наблюдать, ни за что не угадает ваш пароль.

 

http://daily.sec.ru/pimg/00014588/img14588_13948.jpg

…Но и после того, как вы кликните внутри мысленно выделенного треугольника (здесь он закрашен намеренно), злоумышленник ничего не узнает (иллюстрация с сайта clam.rutgers.edu)

 

"Главная идея — позволить пользователю доказать знание им пароля, не показывая сам пароль в процессе его "набора", — говорит Леонардо Собрадо (Leonardo Sobrado), соавтор проекта. — Вопрос изменяется каждый раз и ответ — так же. Но "секретное знание" остаётся тем же самым".

 

При этом уровень секретности обеспечивается высочайший: "Если вы имеете достаточно многого изображений, и если вы должны пройти тест достаточно много раз, возможные комбинации иконок исчисляются миллиардами", — добавляет Бирже.

 

Недостаток у этой системы, пожалуй, один: для входа в систему требуется значительно больше времени, чем на традиционный набор пяти-шести букв в окошке пароля. Зато ввод пароля таким способом превращается в некую игру. Во всяком случае, детям авторов проекта новая программа понравилась именно в таком качестве.

 

Источник: Мембрана

 

Ссылка на комментарий
Поделиться на другие сайты

Нет ответов на эту новость. Ходит народ, читает, а мнений не высказывает. А хотелось бы узнать, что думают по данному вопросу специалисты по информзащите, т.е. перспективы, стойкость и т.д.

Ссылка на комментарий
Поделиться на другие сайты

Сейчас смотрел картинки с описанием принципа действия защиты: подход весьма интересный. Однако, что мешает посторонним, особенно при видеозаписи проанализировать принцип и выделить необходимые иконки, точно также как это делает машина?

По-моему мнению, любой хороший математик способен это сделать.

Ссылка на комментарий
Поделиться на другие сайты

Насчет "криптостойкости" при наличии видеосьемки не уверен, но даже если это все "крепко" - очень не удобно.

намного проще применять известную технологию электронного ключа, многие такие СЗИ от НСД позволяют также проводить разграничение доступа. Что сейчас применяется в обязательном порядке для некоторого вида информации с огр. доступом. (Аккорд, I-key, Соболь и т,д и т.п.)

Или идентификацию и аутентификацию по биометрическим параметрам.

Все это дороже, конечно, будет.

Ссылка на комментарий
Поделиться на другие сайты

Новая система доступа, насколько я понимаю, предъявляет требования не только к машине, но и к человеку - как минимум, память и видео (зрение). По сравнению с "электронным ключом", где требуется исключительно его наличие, это слишком высокие требования :) Другими словами, система не позволяет работать с компьютером людям с плохим зрением или памятью.

 

Кроме того, как по-вашему можно передать такой "пароль" другому пользователю? Очень неудобно. Это и плюс, и минус.

 

Плюсом, конечно, является временное отсутствие программ сканирования такого "пароля". Но это, понятно, временно. Использование средств перехвата вводимой информации - невозможно, поскольку это не клавиатура, а мышь. Зато прекрасно сработает банальный шпион, настроенный на отправку изображения в районе кликов мышкой.

 

Вобщем, система мало чем отличается от стандартной, и берет только новизной. Исключая клавиатуру в качестве устройства ввода информации, она вынуждена визуализировать процесс. Значит, предметом воздействия становится монитор... который можно как продублировать, так и попросту перехватить изображение програмными или аппаратными средствами.

 

Альтернативными вариациями подобного доступа являются системы, дополнительно учитывающие количество нажатий, время (периодичность, ритмику), за которое необходимо осуществить ввод, и т.п. Если не принимать во внимание ключ, то объединение перечисленных выше систем доступа к машине являлось бы идеальным решением в этой области.

Ссылка на комментарий
Поделиться на другие сайты

Заархивировано

Эта тема находится в архиве и закрыта для дальнейших ответов.

×
×
  • Создать...