Главная

Tuesday, 28 September 2010

Пароль может быть красивым #2

  Таким образом, пароль, хранящийся в уме человека, и описать-то одним простым словом невозможно. Это зрительное впечатление, воспоминания и ассоциации. Но воспоминания надёжные. Тем более, что снимок может показывать знакомую человеку местность. Подобрать же такой пароль крайне сложно. Сколько может быть в кадре комбинаций из набора в четыре точки?
  Также замечательно и то, что и самому пользователю будет не с руки записывать такой пароль по привычке в записную книжку.

  Существует способ введения пароля, который обладает ещё более удивительными свойствами. Так, даже если при наборе этого пароля за спиной пользователя будет стоять коллега и "случайно" запоминать все клики пользователя — он никогда не сможет зайти на машину вместо пользователя. Аналогично — если снимает камера системы безопасности. Просмотрев видеозапись, никто не сможет восстановить ваш пароль. Дело в том, что при создании пароля пользователю предлагается выбрать и запомнить десять иконок примерно из 200-400 возможных. Иконки достаточно разнообразные. Представьте: при необходимости ввода пароля система выдаёт на экран сразу огромное панно из иконок, перемешанных случайным образом. Среди них обязательно будут три "ваши". Их следует мысленно соединить линиями (получится треугольник) и щёлкнуть мышкой в любой точке внутри этой фигуры (Рис.2.).



  Тут же иконки перестраиваются, перемешиваются. Одни при этом исчезают, другие — добавляются. И опять среди всего этого хаоса вы видите и какие-либо свои значки из той самой десятки (не обязательно те, что были на экране только что). Снова вы мысленно соединяете их в геометрическую фигуру и щёлкаете в любом месте, но опять-таки в её границах. И так происходит 10 раз. Лишь после 10 таких проходов машина однозначно идентифицирует иконки, которые вы мысленно держали в голове, выбирая место для щелчка. Но любой, кто будет за вами наблюдать, ни за что не угадает ваш пароль. При этом уровень секретности обеспечивается высочайший: "Если вы имеете достаточно многого изображений, и если вы должны пройти тест достаточно много раз, возможные комбинации иконок исчисляются миллиардами"[2].

  Либо тот же вариант, но с цветными шариками, при этом каждый раз надо щелкнуть на шарике определенного цвета (Рис.3.).


Недостатки этих методов на мой взгляд следующие:
- не всякий пользователь сможет визуально, но в тоже время точно на экране соединить линиями иконки(шарики), особенно если они будут расположены далеко друг от друга;
- если предлагать пользователю 10 раз щелкать в новой картинке, то при наличии за спиной камеры видеонаблюдения это не увеличивает защищенность пароля, а, наоборот, ее уменьшает. Ибо в этом случае при просмотре видеозаписи можно провести анализ статистики расположения и наличия определенных иконок на экране.

  В связи с этим предлагаем еще один способ ввода графического пароля, который будет лишен отмеченных выше недостатков, хотя и протебует от пользователя определенного внимания.
  Предлагается использовать в качестве базовой картинки для графичекского пароля стереограмму. Как известно, стереограмма построена таким образом, когда пользователь, чтобы увидеть ее без искажений должен находиться прямо перед экраном монитора. При этом глаза пользователя должны находиться на определенном фокусном расстоянии от поверхности экрана монитора [ 3 ]. Сама стереограмма, как базис для графического пароля создается предварительно с участием самого пользователя, т.е. в качестве трехмерных обьектов будут выбраны "знакомые" обьекты только этому пользователю. В качестве схемы ввода пароля можно использовать любую из вышеназванных, но с меньшим числом кликов на экране (Рис.4.).


Основное преимущество стереопароля следующее – находясь под непрямым углом и на произвольном расстоянии от экрана монитора наблюдатель, будь то коллега пользователя или камера наблюдения, не сможет увидеть на экране ничего, кроме интересного узора (Рис.5).


Возможным недостатком можно назвать тот факт, что пользователь должен будет научиться фокусировать свой взгляд на стереокартинке. Но достигаемый при этом уровень защищенности личного пароля оправдывает все затраты.

Такой способ ввода графического пароля будет полезен для сотрудников с повышенной ответственностью, т.е. администраров, аудиторов, менеджеров, сотрудников служб безопасности и на тех рабочих местах, где наличие камеры видеонаблюдения предусмотрено технологией (кассиры, вахтеры).

Возможно использование стереопароля для клиентов банкомата со встроенным touchpad-ом, где присутствие посторонних наблюдателей является естественным.

Источники:

1. G.Blonder, "Graphical Passwords", United States patent 5559961, 1996.

2. Graphical passwords, Leonardo Sobrano, Jean-Camille Birget, The Rutgers Scholar, An Electronic bulletin of Undergraduate Research, vol 4., 2002.
[http://rutgersscholar.rutgers.edu/volume04/sobrbirg/sobrbirg.htm]

3. Е.А. Завальнюк, Ю.Е.Яремчук, Винницкий национальный технический университет, Применение стереографии для организации скрытых каналов передачи информации. Сборник научных трудов НАУ "Защита информации", выпуск 11, Киев – 2004, с.192-198.

No comments:

Post a Comment

А что вы думаете по этому поводу?