Пароль повинен бути красивим!.

Тепер твій Пароль - це не набір цифр або букв, а гарна графіка. Його не тільки неможливо підібрати, його неможливо навіть підглянути!

П ОДИ застосовуються для ідентифікації користувачів різних комп'ютерних телекомунікаційних систем. Паролями користуються як звичайні користувачі так і привілей-гірованние: адміністратори, аудитори, офіцери безпеки. На захищеність пароля, тобто його складність, в кожній компанії існує певна політика.

Як правило, така політика вимагає виконання наступних умов:
· пароль повинен складатися як мінімум з 8-ми знаків;
· ; пароль не повинен мати відношення до самому користувачеві (наприклад бути схожим на прізвище, дату народження, ім'я дитини);
· пароль не повинен бути словом, яке може бути знайдено в словнику;
· рішення ідеально , якщо користувач в паролі скомбінував верхні і нижні регістри букв і спеціальні символи;
· забезпечена неповторяемость 6-ти паролів протягом певного періоду часу.

З давніх пір користувачі винайшли шлях створення псевдо- випадкового пароля. Найпростіший метод - необхідно взяти слово і виконати певні дії на них. Розглянемо слово "Dinosaur" як приклад. Користувачі часто створюють такі паролі: "DiNoSaUr" (чергуються верхні і нижні регістри), "rUаSoNiD" (змінюючи напрямок), "oSNаiUDr" (перетасування складів), "D9n6s7u3" (об'єднання цифр і букв). Проте, чим складніше пароль тим складніше його запам'ятати самому користувачеві.

Користувачі які мають ОС і клавіатуру з не тільки латинським шрифтом, використовують паролі на рідній мові з посимвольної заміною на латинські символи. Наприклад пароль "Барвінок" буде виглядати так "
Спробою допомогти користувачеві була ідея створювати пароль за першими літерами слів з якої-небудь знайомої фрази. Наприклад пароль з фрази "Їхала село чолов'ягу, раптом з під собаки гавкають ворота" буде набір букв "Едммвіпслв". Зрозуміло таке "слово" відсутня в будь-якому словнику. Але цьому способу властиві й недоліки: тепер в умі треба тримати всю фразу, а при зміні неповторюваних паролів протягом певного часу треба мати мало не літературними здібностями.

Слід зауважити, що ні одна політика визначає складність пароля в організації не пропонує самому користувачеві методику запам'ятовування такого пароля не де-небудь, а тільки в розумі.

Тому вже давно назріла проблема сумісності, з одного боку, легкості запам'ятовування пароля, і з іншого, високого рівня захищеності пароля від перехоплення і складності його відтворення.

Більшість комп'ютерних ОС багато років тому зробили перехід на графічний інтерфейс (GUI). А принцип введення паролів в цих система до цих пір залишається символьному! Користувачі навіть не припускають, що пароль може бути не алфавітно-цифровим. Оскільки люди живуть і працюють в навколишньому світі, де сенс людського зору є домінуючим для більшості дій, наш мозок здатний до обробки та зберігання великої кількості графічної інформації. У той час як ми, можливо, знаходимо що дуже важко запам'ятати послідовність з десяти букв, в той же час ми можемо легко запам'ятовувати обличчя людей, місця, які ми відвідали, або об'єкти, які ми бачили. Ці графічні дані в електронному вигляді представляють мільйони байтів інформації і забезпечують великі можливості для унікальності вибору пароля. Тому, так звані графічні паролі є більш "дружніми" для людини, в той же час збільшуючи рівень безпеки.

Розгадування графічного пароля за допомогою словника нездійсненно в принципі, частково з-за великого простору пароля, але більшою частиною, тому що немає ніяких існуючих доступних для пошуку словників для графічної інформації. Також важко реалізувати автоматизацію морфологічного розгадування. Тоді як ми можемо визнати особу людини менш ніж за секунду, комп'ютер витратить значну кількість часу на обробку мільйонів байтів інформації.

На основі цього комп'ютерники винайшли варіацію захисної системи для аутентифікації користувача. Найдивовижніше в ній те, що запам'ятати і відтворити пароль не зможе навіть людина, що стоїть поряд з монітором. За нових способах введення пароля хакерам не допоможе навіть клавіатурний сніффер.

Пароль в нових системах - це не набір цифр або літер, а якась графічна картинка.

Наприклад, користувач повинен клацнути мишкою в чотирьох точках (у межах приблизно десятка пікселів) на великій фотографії пейзажу.


Користувач комп'ютера може завантажити в програму будь-яку вподобану йому фотографію. Головне, вона повинна володіти наступною особливістю: це повинен бути досить різноманітний по виду пейзаж з безліччю потенційно "цікавих" місць. Коли користувач створює пароль, він клацає на чотирьох точках, які йому особисто легко запам'ятати (конкретне дерево, будівлю, складка місцевості) (Рис.1 .).

Таким чином, пароль, що зберігається в розумі людини, і описати-то одним простим словом неможливо. Це зорове враження, спогади і асоціації. Але спогади надійні. Тим більше, що знімок може показувати знайому людині місцевість. Підібрати ж такий пароль вкрай складно. Скільки може бути в кадрі комбінацій з набору в чотири точки?

Також чудово і те, що й самому користувачеві буде не з руки записувати такий пароль за звичкою в записну книжку.

Існує спосіб введення пароля, який володіє ще більш дивними властивостями. Так, навіть якщо при наборі цього пароля за спиною користувача буде стояти колега й "випадково" запам'ятовувати всі кліки користувача - він ніколи не зможе зайти на машину замість користувача. Аналогічно - якщо знімає камера системи безпеки. Переглянувши відеозапис, ніхто не зможе відновити ваш пароль. Справа в тому, що при створенні пароля користувачу пропонується вибрати і запам'ятати десять ікон приблизно з 200-400 можливих. Іконки досить різноманітні. Уявіть: за необхідності введення пароля система видає на екран відразу величезне панно з іконок, перемішаних випадковим чином. Серед них обов'язково будуть три "ваші". Їх слід подумки з'єднати лініями (вийде трикутник) і клацнути мишкою в будь-якій точці всередині цієї фігури (Рис.2.).

Тут же іконки перебудовуються, перемішуються. Одні при цьому зникають, інші - додаються. І знову серед усього цього хаосу ви бачите і будь-які свої значки з тієї самої десятки (не обов'язково ті, що були на екрані тільки що). Знову ви подумки з'єднуєте їх в геометричну фігуру і клацаєте в будь-якому місці, але знову-таки в її межах. І так відбувається 10 разів. Лише після 10 таких проходів машина однозначно ідентифікує іконки, які ви подумки тримали в голові, вибираючи місце для клацання. Але кожен, хто буде за вами спостерігати, ні за що не вгадає ваш пароль. При цьому рівень секретності забезпечується високий: "Якщо ви маєте достатньо багато зображень, і якщо ви повинні пройти тест досить багато разів, можливі комбінації іконок обчислюються мільярдами" [2].

Або той же варіант, але з кольоровими кульками, при цьому кожен раз треба клацнути на кульці певного кольору (Рис.3.).

Недоліки цих методів на мій погляд наступні:
- не кожен користувач зможе візуально, але в той же час точно на екрані з'єднати лініями іконки (кульки), особливо якщо вони будуть розташовані далеко один від одного;
- якщо пропонувати користувачеві 10 разів клацати в новій картинці, то при наявності за спиною камери відеоспостереження це не збільшує захищеність пароля, а, навпаки, її зменшує. Бо в цьому випадку при перегляді відеозапису можна провести аналіз статистики розташування і наявність певних іконок на екрані.

У зв'язку з цим пропонуємо ще один спосіб введення графічного пароля, який буде позбавлений зазначених вище недоліків, хоча і протебует від користувача певної уваги.

Пропонується використовувати в якості базової малюнки для графічекского пароля стереограмм. Як відомо, стереограмм побудована таким чином, коли користувач, щоб побачити її без спотворень повинен знаходитися прямо перед екраном монітора. При цьому очі користувача повинні знаходитися на певному фокусній відстані від поверхні екрану монітора [3]. Сама стереограмм, як базис для графічного пароля створюється попередньо з участю самого користувача, тобто в якості тривимірних об'єктів будуть обрані "знайомі" об'єкти тільки цьому користувачеві. В якості схеми введення пароля можна використовувати будь-яку з вищеназваних, але з меншою кількістю кліків на екрані (Рис.4 .).

Основна перевага стереопароля наступне - перебуваючи під непрямим кутом і на будьякій відстані від екрану монітора спостерігач, будь то колега користувача або камера спостереження, не зможе побачити на екрані нічого, окрім цікавого візерунка (Рис.5).

Можливим недоліком можна назвати той факт, що користувач повинен буде навчитися фокусувати свій погляд на стереокартинки. Але що досягається при цьому рівень захищеності особистого пароля виправдовує всі витрати.

Такий спосіб введення графічного пароля буде корисний для співробітників з підвищеною відповідальністю, тобто адміністраров, аудиторів, менеджерів, співробітників служб безпеки і на тих робочих місцях, де наявність камери відеоспостереження передбачено технологією (касири, вахтери).

Можливе використання стереопароля для клієнтів банкомату з вбудованим touchpad-му, де присутність сторонніх спостерігачів є природним.