Главная

Thursday, 23 September 2010

Пароль может быть красивым #1

  Как известно, пароли применяются для идентификации пользователей различных компьютерных телекоммуникационных систем. Паролями пользуются как обычные пользователи так и привилегированные: администраторы, аудиторы, офицеры безопасности. На защищенность пароля, т.е. его сложность, в каждой компании существует определенная политика.
  Как правило, такая политика требует выполнения следующих условий:
- пароль должен состоять как минимум из 8-ми знаков;
- пароль не должен иметь отношение к самому пользователю (например быть похожим на фамилию, дату рождения, имя ребенка);
- пароль не должен быть словом, которое может быть найдено в словаре;
- решение идеально, если пользователь в пароле скомбинировал верхние и нижние регистры букв и специальные символы;
- обеспечена неповторяемость 6-ти паролей в течение определенного периода времени.

  С давних пор пользователи изобрели путь создания псевдо-случайного пароля. Самый простой метод - необходимо взять слово и выполнить определенные действия на ним. Рассмотрим слово "Dinosaur" в качестве примера. Пользователи часто создают следующие пароли: "DiNoSaUr" (чередующиеся верхние и нижние регистры), "rUаSoNiD" (изменяя направление), "oSNаiUDr" (перетасовыванием слогов), "D9n6s7u3" (объединение цифр и букв). Однако, чем сложнее пароль тем сложнее его запомнить самому пользователю.

   Пользователи которые имеют ОС и клавиатуру с не только латинским шрифтом, используют пароли на родном языке с посимвольной заменой на латинские символы. Например пароль "Барвинок" будет выглядеть так "<fhdbyjr". Этот способ несколько усиливает защищенность пароля, но опять же, бессилен против атаки с использованием расширенного словаря, который учитывает правило псевдолитерации. Например пары букв "кириллическая-латинская" на клавиатурах однотипны: "й/q", "я/z" и т.д. Следовательно не представляет большого труда угадать слово из словаря с заменой алфавита.

   Практика использования сложных паролей пользователями показывает, что последние, как правило, либо просто забывают такие пароли, либо стараются их сохранить "на память" в записных книжках, настольных календарях, мобильных телефонах. Разумеется защищенность паролей после таких записей в ряде случаев сводится на нет. Попыткой помочь пользователю была идея создавать пароль по первым буквам слов из какой-нибудь знакомой фразы. Например пароль из фразы "Ехала деревня мимо мужика, вдруг из под собаки лают ворота" будет набор букв "Едммвипслв". Разумеется такое "слово" отсутствует в любом словаре. Но этому способу присущи и недостатки: теперь в уме надо держать всю фразу, а при смене неповторяющихся паролей в течение определенного времени надо обладать чуть ли не литературными способностями.
   Следует заметить, что ни одна политика определяющая сложность пароля в организации не предлагает самому пользователю методику запоминания такого пароля не где нибудь, а только в уме.

   Поэтому уже давно назрела проблема совместимости, с одной стороны, легкости запоминания пароля, и с другой, высокого уровня защищенности пароля от перехвата и сложности его воспроизведения.
   Большинство компьютерных ОС много лет назад сделали переход на графический интерфейс (GUI). А принцип ввода паролей в этих система до сих пор остается символьним! Пользователи даже не предполагают, что пароль может быть не алфавитно-цифровым. Поскольку люди живут и работают в окружающем мире, где смысл человеческого зрения является доминирующим для большинства действий, наш мозг способен к обработке и хранению большого количества графической информации. В то время как мы, возможно, находим что очень трудно запомнить последовательность из десяти букв, в то же время мы можем легко запоминать лица людей, места, которые мы посетили, или обьекты, которые мы видели. Эти графические данные в электронном виде представляют миллионы байтов информации и обеспечивают большие возможности для уникальности выбора пароля. Поэтому, так называемые графические пароли являются более "дружественными" для человека, в то же время увеличивая уровень безопасности [1].  Разгадывание графического пароля с помощью словаря неосуществимо в принципе, частично из-за большого пространства пароля, но большей частью, потому что нет никаких существующих доступных для поиска словарей для графической информации. Также трудно реализовать автоматизацию морфологического разгадывания. Тогда как мы можем признать лицо человека менее чем за секунду, компьютер затратит значительное количество времени на оброботку миллионов байтов информации. На основе этого компьютерщики изобрели вариацию защитной системы для аутентификации пользователя. Самое поразительное в ней то, что запомнить и воспроизвести пароль не сможет даже человек, стоящий рядом с монитором. При новых способах ввода пароля хакерам не поможет даже клавиатурный сниффер.
    Пароль в новых системах - это не набор цифр или букв, а некая графическая картинка.
   Например, пользователь должен щёлкнуть мышкой в четырёх точках (в пределах примерно десятка пикселей) на большой фотографии пейзажа. Пользователь компьютера может загрузить в программу любую понравившуюся ему фотографию. Главное, она должна обладать следующей особенностью: это должен быть достаточно разнообразный по виду пейзаж с множеством потенциально "интересных" мест. Когда пользователь создаёт пароль, он щёлкает на четырёх точках, которые ему лично легко запомнить (конкретное дерево, здание, складка местности) (Рис.1.).

Продолжение следует...

No comments:

Post a Comment

А что вы думаете по этому поводу?