Главная

Wednesday, 14 November 2012

Вторая жизнь графических паролей в Windows 8

    Ура, не прошло и пол года !

   Эх, на самом деле не так – прошло уже 2 года как я написал пост про применение графических паролей. И вот с выходом Windows 8 интерфейс которой в первую очередь ориентирован на планшеты графические пароли предлагаются в качестве штатной опции. Начало положено! Рад что эта идея устоялась.

     Установить любую картинку в качестве пароля входа это одна из новых возможностей, которая была добавлена в Windows 8. В первую очередь она предназначена для владельцев сенсорных экранов и для удобства ввода ими пароля жестами для доступа к устройству, ведь сделать это гораздо быстрее, чем вводить длинные символьные пароли. Владельцы стационарных ПК и ноутбуков оснащенными мышью также могут воспользоваться этой интересной функцией.

     Прежде чем это использовать надо найти подходящую картинку, что нибудь яркое. Следующее, что нужно сделать это выбрать Пользователи, а затем Создать графический пароль. При это у вашей учетной записи должен быть создан обычный символьный пароль, если его нет – создайте, после этого появится ссылка на создание Графического.



     Далее вам необходимо создать три жеста – действия на выбранном изображении, сделать это нужно будет два раза как и с обычным паролем, один раз и второй для подтверждения. Очень важно запомнить направление жестов, будь это линия или круговое движение, а также их расположение и места кликов.

   
    После того как вы выбрали изображение для пароля, на нем формируется сетка. Самая длинная сторона изображения разбивается на 100 сегментов, затем разбивается короткая сторона и создается сетка, по которой рисуются жесты. Отдельные точки ваших жестов определяются их координатами (x, y) на сетке. Для линии запоминаются начальные и конечные координаты и их порядок, используемый для определения направления рисования линии. Для окружности запоминаются координаты точки центра, радиус и направление. Для касания запоминаются координаты точки касания. При попытке выполнения регистрации с помощью графического пароля введенные жесты сравниваются с набором жестов, введенных при настройке графического пароля. Рассматривается разница между каждым жестом и принимается решение об успешности проверки подлинности на основе найденного количества ошибок. Если тип жеста неправильный (должен быть круг, а вместо него линия), проверка подлинности не будет пройдена. Если типы жестов, порядок ввода и направления совпадают, то рассматривается, насколько эти жесты отличаются от введенных ранее, и принимается решение о прохождении проверки подлинности. Как видите, ничего сверхественного.

    Следует помнить что графический пароль добавлен в качестве способа регистрации в системе как дополнение к текстовому паролю, а не вместо него ! Поэтому если вы все-таки забудете графическую комбинацию, то всегда будете иметь резервную возможность войти, введя свой символьный пароль.

     Вместе с тем стоит учесть, что аутентификация в Windows 8 возможна и с помощью учетной записи Live ID, биометрической аутентификации, а также кода PIN. В более старых версиях операционной системы пароль на домашних компьютере хранился в файле SAM. Соответственно, для компрометации этого пароля злоумышленнику нужен был физический доступ к системе и привилегии SYSTEM. Что же получается сегодня? С выходом Windows 8 потенциальному злоумышленнику будет куда легче скомпрометировать систему, потому что в системе аутентификации появились новые слабые звенья. Естественно, хакеру потребуется просто найти наиболее уязвимое из них. Например, возьмем регистрацию в системе с помощью Live ID. Для конечного пользователя это несомненное удобство: забыл пароль — зашел на сайт Live ID с другого компьютера, воспользовался услугой смены пароля — и можно регистрироваться на своем компьютере с новым паролем. Но, несомненно, это и повышает шансы злоумышленников. Опять-таки, пользователь будет работать за другим компьютером, пароль к Live ID может храниться вместе с остальными паролями в браузере и т. д. И что самое интересное, и пароль Live ID, и PIN, и графический пароль, и биометрический — все они используются для дополнительного хранения и шифрования обычного пароля для реги- страции в системе. Поясню, почему эти звенья связаны с обычным паролем. Если пользователь выбрал аутентификацию по графическому паролю, то, в сущности, сам графический пароль применяется в качестве ключа для хранения и шифрования обычного пароля. Таким образом, получается, что, кроме SAM, обычный пароль будет храниться еще в одном месте. Если пользователь выбрал регистрацию с Live ID, то обычный пароль (текстовый, но зашифрованный с помощью Live ID) будет храниться в третьем месте и т. д. Таким образом, узнав пароль Live ID, несложно восстановить и оригинальный текстовый пароль.

    Таким образом сделать процесс аутентификации более простым для пользователя удалось. А вот сделать защиту аутентификации более устойчивой пока нет. Возможно такой шаг Microsoft продиктован желанием догнать (и перегнать) популярную операционную систему для планшетов от Google-a Android, где такая защита сейчас названа графическим ключом.


No comments:

Post a Comment

А что вы думаете по этому поводу?