За прошедшие несколько лет неоднократно высказывалась мысль о том, что метод аутентификации пользователя при помощи паролей несколько устарела. Некоторые компании, соглашаясь с этим мнением, стараются создать новые системы аутентификации, которые были бы более безопасными стандартных методов, и одновременно более удобными для работы. Одна из таких систем разрабатывается исследователями из Плимутского университета.
Ученые назвали свой проект GOTPass, это комбинированная система, в которой объединяются паттерны, изображения и единоразовый пароль. Все это нужно для создания системы, которая может быть более удобной и более безопасной, чем привычные нам способы аутентификации.
GOTPass требует единоразовой настройки. Здесь пользователю будет необходимо выбрать способ соединения ячеек в массиве 4*4. После выбора паттерна, пользователь увидит случайные изображения, из которых потребуется выбрать одну картинку. Как только и этот пункт будет завершен, «пароль» будет готов к работе.
Теперь при логине система работает достаточно просто для пользователя — нужно ввести свой логин, а затем начертить свой «графический пароль». Следующий шаг — демонстрация пользователя из 16 изображений, из которых два были выбраны при начальной настройке. Как только пользователь выберет правильное изображение, система выдаст ему одноразовый пароль, который потребуется ввести в специальном поле. Код формируется рандомный, 8-ми символьный.
Все это звучит довольно сложно, но по факту аутентификация с использованием нового метода занимает не больше времени, чем ввод пароля. Команда утверждает, что новая система еще довольно «сырая». В дальнейшем будет проводиться работа по увеличению эффективности работы такой аутентификации и ее удобству для пользователя. Сейчас же «взломать» новую систему аутентификации удалось 8 раз из 690. Это около 3,3%, что довольно неплохо.
Комментарии (10)
alff31
27.12.2015 11:13+7Брр, помнить картинку, помнить графический ключ и при этом нельзя воспользоваться менеджером паролей. Надеюсь, что этот способ не будет обязательным, а лишь как альтернатива традиционному.
redmanmale
27.12.2015 11:16+3Что пароль, что графический ключ, что пин. Как не назови, всё по сути едино.
sanmon1985
27.12.2015 16:36+1Относительно узкая область применения получается. Веб, мобильные и немобильные приложения, взаимодействующие с пользователем через экран. Такой пароль не наберешь в каком-нибудь киндле, на экранчике принтера, не пропишешь в конфиге для взаимодействия через API. А уж про внедрение этого дела даже боюсь думать.
Плюс такой вариант труднее в запоминании. Вот пару лет назад зарегистрировался где-то, и думай что за две картинки выбрал и что за графический ключ придумал. и тут уже сложнее разнообразить свои пароли, ибо запутаться в них гораздо легче.
DrPass
27.12.2015 17:31> Теперь при логине система работает достаточно просто для пользователя — нужно ввести свой логин,
> а затем начертить свой «графический пароль»
У символьного пароля есть то полезное свойство, что пользователь может сделать устойчивую ассоциацию с чем-либо, и запомнить его. А как пользователь будет запоминать графический пароль, если он не пользуется им каждодневно?
dkukushkin
28.12.2015 03:14Когда NFC будет встроен во все ноутбуки, компьютеры, смартфоны и планшеты — можно будет думать над протоколом, который избавит людей от паролей. А пока альтернатив нормальных нет…
d7s2di
28.12.2015 10:34+1Вообще, все это выглядит как деградация: постепенный отказ от письменности в пользу картинок. Сначала смайлики, теперь вот это. Более того такая система сильно замедляет процесс авторизации.
В качестве примера приведу капчу гугла (там есть такой вот режим распознавания картинок, в духе «выберите все фрукты»). Чтобы пройти этот квест, вместо того, чтобы нажать после набора сообщения, ввести несколько символов и нажать , придется оторвать руку от клавиатуры, нашарить мышь, тыкать-тыкать-тыкать. Опять же, частенько все это ломается при использовании кастомных css.
В качестве капчи оно еще хоть как-то может сгодиться, но вот держать в голове какие я там пиктограмки выбрал при регистрации на ресурсе…
Я, как бы, понимаю: планшетизация, люди совсем отвыкли пользоваться клавиатурой и типовое сообщение на всяких развлекательных ресурсах можно скомпоновать несколькими пиктограммами, а частенько и вовсе обойтись одной. Очень не хочется, чтоб подобный стиль общения стал повсеместным.
Mendel
Ничего не понял. Впрочем прочитав оригинал тоже мало что понял.
Более читабельная версия статьи нагуглилсь например тут: http://internetua.com/graficseskaya-autentifikaciya-sdelaet-onlainovii-banking-bezopasnee
Вообще надежность такого метода довольно низкая, но думаю свою нишу он найдет.
Borz
с мобильных устройств так удобнее заходить — пальцем в картинки потыкать только. Со стационара неудобнее, КМК
Mendel
Дело не в этом.
Слишком просто подобрать.
Картинки дают максимум 16*15 комбинаций, но реально через пару попыток мы уже сможем с высокой вероятностью отследить чаще всего повторяющиеся картинки.
У графического пароля теоретически 2^16 комбинаций. Если рисунок должен быть непрерывным то существенно меньше, а на практике так у большинства пользователей будет пару десятков паролей самых распространенных.
Подбор такого пароля настолько прост, что его легко можно осуществлять даже вручную.
Но если к примеру это будет как часть двухфакторной авторизации, где первый фактор будет скажем приложение на телефоне (что может быть простым) или чип-карта для авторизации или еще что-то, и уже после третьей ошибки доступ блокируется, (а брутфорс по всем пользователям не даст первый фактор авторизации), то это вполне живое решение…