Графический пароль не даёт смотрящему украсть себя

Американские компьютерщики изобрели очередную вариацию защитной системы для аутентификации пользователя. Самое поразительное в ней то, что запомнить и воспроизвести пароль не сможет даже человек, стоящий рядом с монитором.

Профессор компьютерных наук Жан-Камиль Бирже (Jean-Camille Birget) из университета Ратжерса в Камдене (Rutgers University, Camden) и его коллеги разработали ряд новых систем паролей для компьютеров в рамках проекта Graphical Password.

Работа американцев призвана совместить несовместимое: лёгкость запоминания пароля (большинство пользователей выбирает несложные комбинации или слова, и потому их сравнительно легко подобрать) и надёжность защиты данных (доступа к компьютеру).

При новых способах ввода пароля хакерам не поможет даже сравнительно "свежий" приём – так называемое воровство щелчков клавиатуры.

 

 

Как явствует из названия, пароль в новых системах — это не набор цифр или букв, а некая графика. Систем же, собственно, было придумано две.

В первом случае пользователь должен щёлкнуть мышкой в четырёх точках (в пределах примерно десятка пикселей) на большой фотографии пейзажа. Владелец компьютера может загрузить в программу любую понравившуюся ему фотографию. Главное, она должна обладать следующей особенностью: это должен быть достаточно разнообразный по виду пейзаж с множеством потенциальных "интересных", запоминающихся мест.

Когда пользователь создаёт пароль, он щёлкает на четырёх точках, которые ему лично легко запомнить (конкретное дерево, здание, кусочек тени, просто — складка местности).

Пример графического пароля на основе пейзажа (иллюстрация с сайта rutgersscholar.rutgers.edu).

Таким образом, пароль, хранящийся в голове человека, и описать-то одним простым словом невозможно. Это зрительное впечатление, воспоминания и ассоциации. Но воспоминания надёжные. Тем более, что снимок может показывать знакомую человеку местность. Подобрать же такой пароль крайне сложно. Сколько может быть в кадре комбинаций из набора в четыре точки?

Второе изобретение специалистов из Нью-Джерси обладает ещё более удивительными свойствами. Так, даже если при наборе этого пароля у вас за спиной будет стоять человек и запоминать все ваши действия и клики — он никогда не сможет зайти на вашу машину вместо вас. Аналогично — если вас снимает камера системы безопасности. Просмотрев видео, никто не сможет восстановить ваш пароль. Как так получается?

При создании пароля пользователю предлагается выбрать и запомнить десять иконок примерно из 200-400 возможных. Иконки достаточно интересные и яркие, заметим.

Представьте: при необходимости ввода пароля система выдаёт на экран сразу огромное панно из иконок, перемешанных случайным образом. Среди них обязательно будут три или четыре "ваши".

Постороннему наблюдателю этот набор не скажет ничего… (иллюстрация с сайта clam.rutgers.edu).

Думаете, нужно найти их и указать курсором? Как бы не так. Их следует мысленно соединить линиями (получится треугольник или квадрат) и щёлкнуть мышкой в любой точке внутри этой фигуры.

Тут же иконки перестраиваются, перемешиваются. Одни при этом исчезают, другие — добавляются. И опять среди всего этого хаоса вы видите и какие-либо свои значки из той самой десятки (не обязательно те, что были на экране только что). Снова вы мысленно соединяете их в геометрическую фигуру и щёлкаете в любом месте, но опять-таки в её границах. И так происходит 10 раз.

Вообще система предусматривает при создании пароля выбор настроек: числа иконок, скорость их перемещения, числа кликов по фигурам и некоторых других параметров.

Лишь после 10 таких проходов машина однозначно идентифицирует иконки, которые вы мысленно держали в голове, выбирая место для щелчка. Но любой, кто будет за вами наблюдать, ни за что не угадает ваш пароль.

…Но и после того, как вы кликните внутри мысленно выделенного треугольника (здесь он закрашен намеренно), злоумышленник ничего не узнает (иллюстрация с сайта clam.rutgers.edu).

"Главная идея — позволить пользователю доказать знание им пароля, не показывая сам пароль в процессе его "набора", — говорит Леонардо Собрадо (Leonardo Sobrado), соавтор проекта. — Вопрос изменяется каждый раз и ответ — так же. Но "секретное знание" остаётся тем же самым".

При этом уровень секретности обеспечивается высочайший: "Если вы имеете достаточно многого изображений, и если вы должны пройти тест достаточно много раз, возможные комбинации иконок исчисляются миллиардами", — добавляет Бирже.

Недостаток у этой системы, пожалуй, один: для входа в систему требуется значительно больше времени, чем на традиционный набор пяти-шести букв в окошке пароля. Зато ввод пароля таким способом превращается в некую игру. Во всяком случае, детям авторов проекта новая программа понравилась именно в таком качестве.

Статья о науки и техники получена: Membrana.ru