Графический пароль
 

Американские компьютерщики изобрели очередную вариацию защитной системы для аутентификации пользователя. Самое поразительное в ней то, что запомнить и воспроизвести пароль не сможет даже человек, стоящий рядом с монитором.

Профессор компьютерных наук Жан-Камиль Бирже (Jean-Camille Birget) из университета Рутгерса в Камдене (Rutgers University, Camden) и его коллеги разработали ряд новых систем паролей для компьютеров в рамках проекта Graphical Password.

Работа американцев призвана совместить несовместимое: легкость запоминания пароля (большинство пользователей выбирает несложные комбинации или слова, и потому их сравнительно легко подобрать) и надежность защиты данных (доступа к компьютеру).

При новых способах ввода пароля, хакерам не поможет даже так сравнительно "свежий" прием – так называемое воровство щелчков клавиатуры.

Как явствует из названия, пароль в новых системах — это не набор цифр или букв, а некая графика. Систем же собственно было придумано две.

В первом случае пользователь должен щелкнуть мышкой в четырех точках (в пределах примерно десятка пикселей) на большой фотографии пейзажа. Владелец компьютера может загрузить в программу любую понравившуюся ему фотографию. Главное, она должна обладать такой особенностью: это должен быть достаточно разнообразный по виду пейзаж с множеством потенциальных "интересных", запоминающихся мест.

Когда пользователь создает пароль, он щелкает на четырех точках, которые ему лично легко запомнить (конкретное дерево, здание, кусочек тени, просто — складка местности).

http://www.astera.ru/news/images/200...assword_1.jpeg

Таким образом, пароль, хранящийся в голове человека и описать-то одним простым словом невозможно. Это зрительное впечатление, воспоминания и ассоциации. Но воспоминания надежные. Тем более, что снимок может показывать знакомую человеку местность. Подобрать же такой пароль крайне сложно. Сколько может быть в кадре комбинаций из набора в четыре точки?

Второе изобретение специалистов из Нью-Джерси обладает еще более удивительными свойствами. Так даже если при наборе этого пароля у вас за спиной будет стоять человек и запоминать все ваши действия и клики — он никогда не сможет зайти на вашу машину вместо вас. Аналогично — если вас снимает камера системы безопасности. Просмотрев видео, никто не сможет восстановить ваш пароль. Как так получается?

При создании пароля пользователю предлагается выбрать и запомнить десять иконок примерно из 200-400 возможных. Иконки достаточно интересные и яркие, заметим.

http://www.astera.ru/news/images/200...assword_2.jpeg

Представьте: при необходимости ввода пароля система выдает на экран сразу огромное панно из иконок, перемешанных случайным образом. Среди них обязательно будут три или четыре "ваши".

Думаете, нужно найти их и указать курсором? Как бы не так. Их следует мысленно соединить линиями (получится треугольник или квадрат) и щелкнуть мышкой в любой точке внутри этой фигуры.

Тут же иконки перестраиваются, перемешиваются. Одни при этом исчезают, другие — добавляются. И опять среди всего этого хаоса вы видите и какие-либо свои значки из той самой десятки (не обязательно те, что были на экране только что). Снова вы мысленно соединяете их в геометрическую фигуру и щелкаете в любом месте, но опять-таки в ее границах. И так происходит 10 раз.

Вообще система предусматривает при создании пароля выбор настроек: числа иконок, скорость их перемещения, числа кликов по фигурам и некоторых других параметров.

Лишь после 10 таких проходов машина однозначно идентифицирует иконки, которые вы мысленно держали в голове, выбирая место для щелчка. Но любой, кто будет за вами наблюдать, ни за что не угадает ваш пароль.


http://www.astera.ru/news/images/200...assword_3.jpeg

"Главная идея — позволить пользователю доказать знание им пароля, не показывая сам пароль в процессе его "набора", — говорит Леонардо Собрадо (Leonardo Sobrado), соавтор проекта. — Вопрос изменяется каждый раз и ответ — также. Но "секретное знание" остается тем же самым".

При этом уровень секретности обеспечивается высочайший: "Если вы имеете достаточно многого изображений и если вы должны пройти тест достаточно много раз, возможные комбинации иконок исчисляются миллиардами", — добавляет Бирже.

Недостаток у этой системы, пожалуй, один: для входа в систему требуется значительно больше времени, чем на традиционный набор пяти-шести букв в окошке пароля. Зато ввод пароля таким способом превращается в некую игру. Во всяком случае, детям авторов проекта, новая программа понравилась именно в таком качестве.

Источник: Мембрана

Ну по первому способу - лажа. Ведь если есть макросы, которые отслеживают щелчки мыши (положение по x и y) - то такой принцип и будут использовать. Т.е. если до этого были кейлогеры, то будут какие-нить маускликлогеры.

Что касается второго (ну и первого тоже) - принтскрин никто не отменял. Появятся принтскринлогеры срабатывающие при клике. Как тока нашел свои иконки, кликнул - сразу принтскрин + координаты, второй раз кликнул - второй принтскрин + координаты. И т.п. А потом сиди и изучай какие там у жертвы иконки и куда он тыкает.

Вообщем - все это фигня.

Самое-самое для авторизации, это: http://www.e-num.ru/
Т.е. если упростить эту технологию: после регистрации пользователю придет его уникальный jar, который он зальет в телефон. После того как он заходит на сайт и захочет авторизоваться и введет свой логин, ему покажеться какой-нить номер, который он должен ввести в телефоне и ему будет сгенерен другой номер, который он уже введет на сайте. Т.е. при таком подходе чужак на сайт попадет только в том случае, если сопрет телефон владельца.
Все выше - имхо.

Можно хоть обсидется. Там во втором варианте будут миллиарды комбинаций. Хотя число комбинаций всё равно конечное и найти их предположительно реально в разумные сроки написав соответствующий аналайз софт. Но сама технология интересна и имхо имеет шансы на развитие в качетсве замены обычной парольной (самой простой) аутентификации.

Чем-то напоминает RSA брелок. Модифицированная дешёвая замена. С той лишь разницей, что посылается запрос пользователю. А RSA брелок изначально привязывается к своему серверу и вся аутентификация исключительно через него проходит. И каждую минуту генерится новое число.

ага
мне срочно нужен комп, а я тыкать на кратинки буду
вот если бы такие пароли были, то штук 15 компов было бы мной со зла раздолабны стопудова. да и к вечеру иногда так изматываешся, что один из 10 ялыков на раб.столе по 15 секнуд ищеш, а тут на те, из 400 сотен картинок ищи 3 свои!
идиоство,
кг\ам

Ну не обязательно же такое внедрять вообще везде и использовать всегда. Мысль в том, что обычный юзер всё равно использует пароли типа "вася" - а тут мозг напрягать нужно будет ровно столько же, сколько на запоминание соответствующего ущербного пароля.

Мда... На самом деле не интересно, картинки какие то, я привык на клаве пароль писать буквами, вот и буду писать буквами, а эти картинки имхо лажа полная.
MageDealer хоть и новость не интересная, но всё равно молодец)))

Да конечно, против первого способа вполне сработает кейлогер, и разрешение определит если что.

А по поводу следующих - это не юзабельно, так же как постоянно вводить пароль типа ФфываВ7?+дL врядли кто захочет.

И вообще, зачем использовать что-то новое, если можно просто пользоваться пасом типа вышеупомянутого в md5?

Ну вот закидали все помидорами :)
Если новость была бы незаслуживащей внимания - никто бы не отпостился :) А так - задумались, заинтересовались, в дискуссию включились :)

Новость интересная ))) Даже очень я сказал - бы ))) Но это как-то всё очень сложно и ИМХО до России это не скоро дойдёт, если вообще это когда-либо произойдёт ))) Чё-то я стихами писать стал ))) Респект за интересную новость )))

да я повешусь лучше, если дойдет, чем такие пароли набирать.
новость не интересная, новость скорее тупая ;)