Запоминаем пароль… зрительно
Что интересно в научном мире — так это то, что одни изобретают нечто, другие страшно этого "нечта" пугаются и разрабатывают противодействующие системы. И вот так, "ковыляя" из стороны в сторону, научный прогресс движется вперед.
Хотите примеры? Пожалуйста. В начале-середине сентября-2005 (источник: TechNewsWorld) прошла новость о том, что группа программистов из университета Калифорнии в Беркли (UC Berkeley) под руководством профессора Дуга Тигара (Doug Tygar) обнаружила новую угрозу кибербезопасности. Тут самое смешное, как (!!!) они это обнаружили.
То есть эти программисты написали софт, который может записывать наше стучание по клавишам клавиатуры в обычный аудиофайл. Оказывается, что каждая кнопка звучит по-разному, и в результате получившегося и предусмотренного анализа они смогли восстановить напечатанный текст с аудиофайла, в котором, как вы помните, был записан стук пальцев по клавиатуре, где с почти 60- процентной точностью определились отдельные знаки и с 20-процентной — слова. И — о чудо! — данные программисты вдруг подумали: а что, если их идею возьмут на вооружение хакеры? Ха-а-акеры! Тут новая идея для вас! Ха-а-а-акеры!!! Иде-е-ея! Практически именно так это выглядело для многих прочитавших данную новость в сентябре. Профессор Дуг Тигар: "Это вообще новая форма шпионажа, на которую специалистам по компьютерной безопасности следует обратить самое пристальное внимание. Если мы смогли это сделать, то вполне вероятно, что то же самое получится у людей с плохими намерениями".
Эх, эти недобрые люди, античеловеки. Проведя 20 попыток, группа Тигара установила, что пароль из пяти знаков угадывается в 90% случаев, из восьми — в 77%, из десяти — в 69%. При этом от типа клавиатуры ничего не зависит. Хуже обстоят дела, если какой-нибудь шпион установил видеокамеру и снимает процесс набора символов. Тогда ситуация становится просто угрожающей, а если учитывать, что пользователя в это время ест кариес, то и смертельной. Поэтому крупные светилы из университета Рутгерса в Камдене (Rutgers University, Camden) под руководством профессора (а ниже профессор, никто этим заниматься и не может)… профессора компьютерных наук Жана-Камиля Бирже (Jean-Camille Birget) разработали несколько новых систем для ввода паролей и объединили все в один проект, называемый Graphical Password ( сайт ). И основная задача, которая решается в его рамках — обеспечение ввода пароля таким образом, чтобы он не стал известен хакерам, в том числе тем злейшим персонажам, которые записывают звуки стучания по клавишам клавиатуры. То есть в сентябре они только могли появиться и воспользоваться идеей, предложенной профессором Дугом Тигаром, а в январе на них уже вышел патч.
Итак, что предложила команда Бирже? Мы опишем два метода, которые, собственно, широко распространились в виде новостей в науч-поп-сообществе. Первый вариант ввода пароля очень прост. Пользователь выбирает картинку с множеством мелких элементов — например, панорама города, большой пейзаж и т.д. При первоначальном вводе пароля ему предлагается выбрать несколько (около четырех) мелких объектов, умещающихся в пространстве примерно 10х10 пикселей. Ну не знаю, это может быть фрагмент дома, дерево, например. Итак, перед вводом пароля пользователь их запоминает, и это является ключом доступа. Просто и со вкусом. Но есть же хакеры с видеокамерами — вы не забыли? Тут дело посложнее, хотя на самом деле можно выбрать особую частоту обновления кадров на экране — тогда хакеру придется трудно, хотя я думаю, что профессора об этом как-то не задумываются. Ну, а еще труднее… еще… еще...
Пример сложной картинки для ввода пароля по методу №1
Дас ист фантастиш. Второй метод! Главное — чтобы в нем не запутались сами пользователи:), хотя детям работников группы профессора Бирже он нравится. В рамках данного изобретения предусмотрена система из 200-400 запоминающихся ярких иконок с изображениями символов. Пользователю нужно запомнить лишь 10 из них как свои и оповестить об этом компьютер. При входе в систему на экран выдается смешанная кучка символов, расставленных на первый взгляд беспорядочно. Но это не совсем так: три или четыре символа в данной мешанине являются вашими, и, если вы их мысленно соедините линиями, то получите фигуру: а) треугольник или б) квадрат. И вам достаточно нажать в любое поле внутри этой фигуры. И так десять и более раз. Как говорится, набрал пароль, устал, вышел из системы и пошел спать.
Мысленный треугольник, образуемый символами, для метода №2
Среди настроек для этого метода ввода пароля можно указать число запоминаемых вами иконок, скорость их перемещения и другие не менее важные параметры. А что насчет кариеса? Ну, тут нужен этот, "бленд"… "блэнд"… блин, заканчиваю писать, а то выгонят из КГ за рекламу нафиг. А если серьезно, то лично мне непонятен сам факт появления таких "изобретений". Есть отличные мощные системы идентификации по зрачкам, отпечаткам пальцев, форме лица. И если кто-то серьезно заботится о безопасности, то они их себе и устанавливают.
Кристофер, christopher@tut.by
Хотите примеры? Пожалуйста. В начале-середине сентября-2005 (источник: TechNewsWorld) прошла новость о том, что группа программистов из университета Калифорнии в Беркли (UC Berkeley) под руководством профессора Дуга Тигара (Doug Tygar) обнаружила новую угрозу кибербезопасности. Тут самое смешное, как (!!!) они это обнаружили.
То есть эти программисты написали софт, который может записывать наше стучание по клавишам клавиатуры в обычный аудиофайл. Оказывается, что каждая кнопка звучит по-разному, и в результате получившегося и предусмотренного анализа они смогли восстановить напечатанный текст с аудиофайла, в котором, как вы помните, был записан стук пальцев по клавиатуре, где с почти 60- процентной точностью определились отдельные знаки и с 20-процентной — слова. И — о чудо! — данные программисты вдруг подумали: а что, если их идею возьмут на вооружение хакеры? Ха-а-акеры! Тут новая идея для вас! Ха-а-а-акеры!!! Иде-е-ея! Практически именно так это выглядело для многих прочитавших данную новость в сентябре. Профессор Дуг Тигар: "Это вообще новая форма шпионажа, на которую специалистам по компьютерной безопасности следует обратить самое пристальное внимание. Если мы смогли это сделать, то вполне вероятно, что то же самое получится у людей с плохими намерениями".
Эх, эти недобрые люди, античеловеки. Проведя 20 попыток, группа Тигара установила, что пароль из пяти знаков угадывается в 90% случаев, из восьми — в 77%, из десяти — в 69%. При этом от типа клавиатуры ничего не зависит. Хуже обстоят дела, если какой-нибудь шпион установил видеокамеру и снимает процесс набора символов. Тогда ситуация становится просто угрожающей, а если учитывать, что пользователя в это время ест кариес, то и смертельной. Поэтому крупные светилы из университета Рутгерса в Камдене (Rutgers University, Camden) под руководством профессора (а ниже профессор, никто этим заниматься и не может)… профессора компьютерных наук Жана-Камиля Бирже (Jean-Camille Birget) разработали несколько новых систем для ввода паролей и объединили все в один проект, называемый Graphical Password ( сайт ). И основная задача, которая решается в его рамках — обеспечение ввода пароля таким образом, чтобы он не стал известен хакерам, в том числе тем злейшим персонажам, которые записывают звуки стучания по клавишам клавиатуры. То есть в сентябре они только могли появиться и воспользоваться идеей, предложенной профессором Дугом Тигаром, а в январе на них уже вышел патч.
Итак, что предложила команда Бирже? Мы опишем два метода, которые, собственно, широко распространились в виде новостей в науч-поп-сообществе. Первый вариант ввода пароля очень прост. Пользователь выбирает картинку с множеством мелких элементов — например, панорама города, большой пейзаж и т.д. При первоначальном вводе пароля ему предлагается выбрать несколько (около четырех) мелких объектов, умещающихся в пространстве примерно 10х10 пикселей. Ну не знаю, это может быть фрагмент дома, дерево, например. Итак, перед вводом пароля пользователь их запоминает, и это является ключом доступа. Просто и со вкусом. Но есть же хакеры с видеокамерами — вы не забыли? Тут дело посложнее, хотя на самом деле можно выбрать особую частоту обновления кадров на экране — тогда хакеру придется трудно, хотя я думаю, что профессора об этом как-то не задумываются. Ну, а еще труднее… еще… еще...
Пример сложной картинки для ввода пароля по методу №1
Дас ист фантастиш. Второй метод! Главное — чтобы в нем не запутались сами пользователи:), хотя детям работников группы профессора Бирже он нравится. В рамках данного изобретения предусмотрена система из 200-400 запоминающихся ярких иконок с изображениями символов. Пользователю нужно запомнить лишь 10 из них как свои и оповестить об этом компьютер. При входе в систему на экран выдается смешанная кучка символов, расставленных на первый взгляд беспорядочно. Но это не совсем так: три или четыре символа в данной мешанине являются вашими, и, если вы их мысленно соедините линиями, то получите фигуру: а) треугольник или б) квадрат. И вам достаточно нажать в любое поле внутри этой фигуры. И так десять и более раз. Как говорится, набрал пароль, устал, вышел из системы и пошел спать.
Мысленный треугольник, образуемый символами, для метода №2
Среди настроек для этого метода ввода пароля можно указать число запоминаемых вами иконок, скорость их перемещения и другие не менее важные параметры. А что насчет кариеса? Ну, тут нужен этот, "бленд"… "блэнд"… блин, заканчиваю писать, а то выгонят из КГ за рекламу нафиг. А если серьезно, то лично мне непонятен сам факт появления таких "изобретений". Есть отличные мощные системы идентификации по зрачкам, отпечаткам пальцев, форме лица. И если кто-то серьезно заботится о безопасности, то они их себе и устанавливают.
Кристофер, christopher@tut.by
Компьютерная газета. Статья была опубликована в номере 05 за 2006 год в рубрике безопасность