Подписаться  на наше издание быстро и дешевле чем где-либо Вы можете прямо сейчас! Подписаться! 

 

 

Пароль доступа к компьютеру — один из ключевых инструментов, обеспечивающих безопасность. Правда, до настоящего времени принципы его использования практически не изменились. Между тем есть оригинальные технологии, позволяющие сделать аутентификацию пользователя практически безопасной.


КАК ИЗВЕСТНО, пароли применяются для идентификации пользователей в различных компьютерных и телекоммуникационных системах. Паролями пользуются и обычные, и так называемые «привилегированные» пользователи: системные администраторы, аудиторы, офицеры безопасности. В отношении защищенности пароля, то есть сложности его подбора, в каждой компании ведется своя политика. Вместе с тем, как правило, она предполагает соблюдение следующих условий:

  • пароль должен состоять как минимум из 8-ми знаков;
  • он не должен быть связан с самим пользователем (например, быть похожим на фамилию, дату рождения, имя ребенка);
  • пароль не должен быть словом, которое может быть найдено в словаре;
  • решение идеально, если пользователь в пароле использовал верхние и нижние регистры букв и специальные символы;
  • обеспечена неповторяемость как минимум 6-ти паролей в течение определенного периода времени.

Достаточно давно пользователи нашли возможность создания псевдослучайного пароля. Самый простой метод заключается в следующем: необходимо выбрать любое слово и проделать определенные действия над ним. Например, слово Dinosaur. С ним возможны такие варианты: DiNoSaUr (чередование верхних и нижних регистров), rUаSoNiD (слово, прочитанное наоборот), oSNаiUDr (перетасовывание слогов), D9n6s7u3 (объединение цифр и букв). Однако чем сложнее пароль, тем сложнее его запомнить самому пользователю.

 

Пользователи, которые имеют локализированную клавиатуру (не только с латинскими символами), используют пароли на родном языке с заменой каждого отдельного символа на латинский. Например, пароль "Барвинок" будет выглядеть так


Практика применения пользователями сложных паролей показывает, что пользователи, как правило, либо просто забывают такие пароли, либо стараются их сохранить "на память" в записных книжках, настольных календарях, мобильных телефонах. Разумеется, после этого вряд ли стоит рассчитывать на серьезную защиту пароля.


Позднее возникла идея создавать пароль по первым буквам слов из какой-нибудь знакомой фразы. Например, пароль из фразы "Каждый охотник желает знать, где сидит фазан" будет представлять соответствующий набор букв — "Кожзгсф". Разумеется, такое "слово" отсутствует в любом словаре. Но у этого способа есть свои недостатки: нужно постоянно помнить всю фразу, а при смене неповторяющихся паролей в течение определенного времени надо обладать феноменальной памятью.


Как же сделать так, чтобы пароль легко запоминался и был хорошо защищен от перехвата и расшифровки?

 

Зрительные ассоциации

 

Большинство компьютерных ОС много лет назад перешли на графический интерфейс (GUI), а принцип ввода паролей в этих системах до сих пор остается символьным! Пользователи даже не предполагают, что пароль может быть не только алфавитно-цифровым. Как известно, свыше 70% информации усваивается при помощи зрения, поэтому мозг способен к обработке и хранению большого количества графической информации. Бывает, гораздо легче запомнить лица людей, места, которые мы посетили, или объекты, которые мы видели, чем последовательность из десяти букв. Такие графические данные в электронном виде содержат миллионы байт информации и открывают большие возможности для уникальности выбора пароля. Поэтому так называемые "графические" пароли являются более "дружественными" для пользователя, в то же время увеличивая уровень безопасности.

 

Только пользователю известны точки, соединяя которые можно получить
схему - ключ доступа

 

Разгадывание графического пароля с помощью словаря невозможно в принципе. Также трудно реализовать автоматизацию морфологического разгадывания. В то время как мы можем узнать лицо человека менее чем за секунду, компьютер затратит значительное количество времени на обработку миллионов байт информации.


На основе этого компьютерщики изобрели вариант защитной системы для аутентификации пользователя. Самое поразительное в ней то, что запомнить и воспроизвести пароль не сможет даже человек, стоящий рядом с монитором. При новых способах ввода пароля хакерам не поможет даже клавиатурный сниффер.

 

Пароль в новых системах — это не набор цифр или букв, а некая графическая картинка. Например, пользователь должен щелкнуть мышкой в четырех точках (в пределах примерно десятка пикселей) на большой фотографии здания. Пользователь компьютера может загрузить в программу любую понравившуюся ему фотографию. Главное — это изображение должно содержать большое количество интересных объектов, которые можно выбрать. Когда пользователь создает пароль, он щелкает по четырем точкам, которые лично ему легко запомнить (конкретное дерево, здание, объект).

 

Вместо того чтобы набирать трудно запоминающиеся буквосочетания,
для аутентификации пользователю нужно кликнуть по четырем
выбранным точкам на фотографии

 

Таким образом, графический пароль описать одним словом невозможно. Это определенное впечатление, воспоминание, ассоциация. Подобрать такой пароль практически невозможно — на картинке может быть огромное множество комбинаций из четырех точек.


Существует способ введения пароля, который обладает еще более удивительными свойствами. Так, даже если при наборе пароля за спиной пользователя будет стоять коллега и "случайно" запоминать все клики, он никогда не сможет расшифровать пароль. Аналогичная ситуация происходит в случае, если снимает камера системы безопасности. Просмотрев видеозапись, никто не сможет восстановить пароль.


Дело в том, что при создании пароля пользователю предлагается выбрать и запомнить десять иконок из 200-400 возможных. Иконки достаточно разнообразны. При необходимости ввода пароля система выдает на экран огромное панно из иконок, перемешанных случайным образом. Среди них обязательно будут три ваши. Их следует мысленно соединить линиями (получится треугольник) и щелкнуть мышкой в любой точке внутри этой фигуры.

 

После смешения цветных шариков только один человек способен выбрать
из них нужные несколько раз подряд

 

После этого иконки перестраиваются, перемешиваются. Одни при этом исчезают, другие — появляются. Среди этого хаоса вы видите и какие-то свои значки из той самой десятки иконок (не обязательно те, что были на экране только что). Снова вы мысленно соединяете их в геометрическую фигуру и щелкаете в любом месте, но опять-таки в границах данной фигуры. И так происходит 10 раз. После этого машина однозначно идентифицирует иконки, которые вы удерживали в памяти, выбирая место для клика. При этом уровень секретности — высочайший: если вы имеете достаточно много изображений и должны пройти тест много раз, возможные комбинации иконок исчисляются миллиардами.

 

Альтернативой иконкам могут выступать цветные шарики, при этом каждый раз надо щелкнуть по шарику определенного цвета.

 

Использование трехмерного изображения упрощает ввод пароля,
одновременно повышая его секретность

 

Вместе с тем у этого метода есть свои недостатки. Во-первых, не всякий пользователь сможет зрительно соединить линиями иконки (шарики), особенно если они будут расположены далеко друг от друга. Во-вторых, если предлагать пользователю 10 раз щелкать по новой картинке, то при наличии за спиной камеры видеонаблюдения это не увеличивает защищенность пароля, а, наоборот, уменьшает ее (в этом случае при просмотре видеозаписи можно провести анализ статистики расположения и наличия определенных иконок на экране).


Есть еще один способ ввода графического пароля, который лишен отмеченных недостатков, хотя и требует от пользователя определенного внимания. В качестве базовой картинки для графического пароля можно использовать стереограмму. Как известно, стереограмма построена таким образом, что пользователь, чтобы увидеть ее без искажений, должен находиться прямо перед экраном монитора. При этом стереограмму можно увидеть только на определенном расстоянии от монитора [3]. Сама стереограмма создается предварительно с участием самого пользователя, то есть трехмерными объектами будут "знакомые" только конкретному пользователю объекты. В качестве схемы ввода пароля можно использовать любую из вышеназванных, но с меньшим числом кликов.


Основное преимущество стерео-пароля заключается в следующем: находясь под непрямым углом и на произвольном расстоянии от экрана монитора наблюдатель, будь то коллега пользователя или камера наблюдения, не сможет увидеть на экране ничего, кроме бессмысленного узора.


Возможным недостатком в данном случае можно назвать то, что пользователь должен научиться фокусировать свой взгляд на стереокартинке. Однако достигаемый при этом уровень защищенности личного пароля того стоит.


Такой способ ввода графического пароля будет полезен для системных администраторов, аудиторов, менеджеров, сотрудников служб безопасности, а также на тех рабочих местах, где наличие камеры видеонаблюдения предусмотрено технологией (кассиры, вахтеры).


Также стереопароль могут использовать клиенты банкоматов со встроенным touchpad-ом, где присутствие посторонних наблюдателей — явление естественное.


При написании статьи использовались следующие источники:

  1. G.Blonder, Graphical Passwords, United States patent 5559961, 1996.
  2. Graphical passwords, Leonardo Sobrano, Jean-Camille Birget, The Rutgers Scholar, An Electronic bulletin of Undergraduate Research, vol 4, 2002.
    [http://rutgersscholar.rutgers.edu/volu-me04/sobrbirg/sobrbirg.htm]
  3. E.A. Завальнюк, Ю.Е.Яремчук. Применение стереографии для организации скрытых каналов передачи информации. Винницкий национальный технический университет. Сборник научных трудов НАУ "Защита информации", выпуск 11. Киев, 2004. С. 192-198.
2006.06.16
19.03.2009
В IV квартале 2008 г. украинский рынок серверов по сравнению с аналогичным периодом прошлого года сократился в денежном выражении на 34% – до $30 млн (в ценах для конечных пользователей), а за весь календарный год – более чем на 5%, до 132 млн долл.


12.03.2009
4 марта в Киеве компания Telco провела конференцию "Инновационные телекоммуникации", посвященную новым эффективным телекоммуникационным технологиям для решения задач современного бизнеса.


05.03.2009
25 февраля в Киеве компания IBM, при информационной поддержке "1С" и Canonical, провела конференцию "Как сохранить деньги в условиях кризиса?"


26.02.2009
18-19 февраля в Киеве прошел юбилейный съезд ИТ-директоров Украины. Участниками данного мероприятия стали ИТ-директора, ИТ-менеджеры, поставщики ИТ-решений из Киева, Николаева, Днепропетровска, Чернигова и других городов Украины...


19.02.2009
10 февраля в Киеве состоялась пресс-конференция, посвященная итогам деятельности компании "DiaWest – Комп’ютерний світ" в 2008 году.


12.02.2009
С 5 февраля 2009 г. в Киеве начали работу учебные курсы по использованию услуг "электронного предприятия/ учреждения" на базе сети информационно-маркетинговых центров (ИМЦ).


04.02.2009
29 января 2009 года в редакции еженедельника "Computer World/Украина" состоялось награждение победителей акции "Оформи подписку – получи приз!".


29.01.2009
22 января в Киеве компания "МУК" и представительство компании Cisco в Украине провели семинар для партнеров "Обзор продуктов и решений Cisco Small Business"

 

 
 
Copyright © 1997-2008 ИД "Комиздат".