необычные пароли

[avva]

Очень интересная статья (PDF, англ. 4 страницы) о способе организации паролей, который позволяет пользователю идентифицировать себя, но не даёт возможности ему передать пароль другому, или другим людям украсть у него пароль.

Перескажу здесь вкратце основную идею (подробности и ещё два варианта, основанных на том же принципе — в статье).

(кстати, ссылку на эту статью нашёл в отличном веблоге clevercs, а за ссылку на него спасибо evan'у)

Один из основных недостатков “обычных” паролей состоит в том, что их так же легко использовать для идентификации, как передать другому. Если вы можете ввести пароль, то можете и рассказать его кому-то (добровольно или недобровольно), или его могут подсмотреть/подслушать. Одно из стандартных решений этой проблемы, которое становится всё более популярным в последние годы (хотя более в замыслах, чем на практике) — “биологические” пароли: например, сканирование отпечатков пальцев или сетчатки глаза. Но и в этом случае возможно “перехватить” информацию по дороге, а в будущем наверняка будет возможно создать поддельные искусственные носители той же информации.

Так вот: предлагается следующая идея. Сразу скажу, что недостатков у неё куча, что будет очевидно из описания; но сама идея уж очень красивая.

Сначала происходит “тренировка” пользователя. Система показывает ему, скажем, 100 картинок, выбранных случайно из большого набора в несколько десятков тысяч небольших картинок, например, фотографий разных простых сцен, мест, предметов (примеры см. в статье). Его задача — внимательно посмотреть на каждую картинку; он может при этом переходить от одной картинки к другой по своему желанию, или возвращаться к уже просмотренным. “Точно запомнить” от него не требуется; только внимательно просмотреть их все. Система запоминает, какие картинки были ему показаны.

Предположим, через некоторое не очень большое время (день, неделю, пару месяцев) пользователю нужно идентифицировать себя системе. Система показывает ему несколько наборов из шести картинок. В каждом наборе только одну из картинок он видел во время своей тренировки. От него требуется указать на неё. Он это сможет сделать с очень большой вероятностью успеха, намного большей, чем если бы выбирал случайно. Но т.к. всё-таки сможет не всегда, ему показывают несколько наборов, и судят о его успехах по его общим результатам. Исследования авторов показывают, что обычно трёх-пяти наборов достаточно.

Чего мы добились с помощью этой схемы? Пользователь может доказать системе, что это он и никто другой. Но это доказательство, во-первых, бесполезно “подслушивать” (т.к. в следующий раз ему будут показаны другие картинки), а главное, он сам не может его никому передать, даже если очень захочет (или если его будут пытаться заставить). Он просто не помнит эти 200 картинок (если не обладает идеальной фотографической памятью), и не может их описать. Но когда нужно будет выбрать одну ранее виденную из шести, он вполне с этим справится.

По-моему, очень красиво и интересно.

Comments

[lublue.livejournal.com]

Бывает, что вернувшись из двухнедельного отпуска, человек не в состоянии вспомнить телефон родной мамы, и не потому что он ее разлюбил, а потому что расслабился, и память "очистилась". А уж какие-то картинки, мелькавшие когда-то в интернете, забудутся очень быстро. Память вообще странная вещь, вспомним хотя бы "лошадиную фамилию" Овсов.

[avva.livejournal.com]

Они забудутся не просто быстро, а почти мгновенно, в том-то и суть! А потом, когда надо будет выбрать, человек сделает правильный выбор с очень большой вероятностью.
То же самое с телефонным номером: вспомнить не может, а если показать его и ещё четыре случайных - запросто выберет правильный.
Когнитивные психологи давно изучают этот феномен, насколько я понимаю.

[mancunian.livejournal.com]

Всякий раз, как я логинюсь, мой банк спрашивает меня произвольные 3 цифры из моего 8-циферного кода (типа, "первая, третья и предпоследняя"). Там есть и другие числа (ДР + еще что-то), но они всегда одни и те же.

[avva.livejournal.com]

Это не то же самое; если кто-то узнает весь код и дополнительные числа, то сможет заходить сколько угодно раз. Это защищает только от одноразового прослушивания, а не от многоразового даже и не от добровольной/недобровольной передачи другому лицу.

[fomenko.livejournal.com]

да уж, красиво, интересно, но - слишком много НО, и поэтому не впечатляет ;)

[avva.livejournal.com]

А меня впечатляет ;)

[alickop.livejournal.com]

Нам в лицее про эту технологию один препод рассказывал. Это было почти десять лет назад. Интересно, оно до сих пор в состоянии исследования или уже есть практические реализации?

[avva.livejournal.com]

Там есть несколько ссылок в конце статьи, в том числе на майкрософтовский пресс-релиз. Но насчёт практического использования не знаю.

[ex-ex-ex-gr.livejournal.com]

музыкальные пароли тоже покайфу.

[gdy.livejournal.com]

Этот метод аутентификации надо применять в качестве наказания для тех, кто хоть раз разболтает или запишет обычный пароль. И всё будет хорошо ;-)

[ifyr.livejournal.com]

Превентивного наказания. Начнем?

[dimrub.livejournal.com]

Прикольно. Эдакая проекция на людей идеи zero-knowledge proof.

[yyi.livejournal.com]

ну разве что в очень "метафорическом" смысле - с реальными ZKP здесь общего мало.

[anton.livejournal.com]

Пока есть только одно место, куда нужно авторизоваться так -- всё хорошо. Но если их будет несколько, да ещё, не дай бог, с похожими картинками, боюсь, в голове будет абсолютная путаница..

[avva.livejournal.com]

Да, это один из недостатков. Можно пытаться улучшать, конечно, основную идею разными способами.

[signamax.livejournal.com]

rain-man

[babula.livejournal.com]

красиво, но б-б-боязно. В банке покажут свои картинки, в ЖЖ - свои, еще есть фотоальбом, почта и т.д. После этого я все картинки узнаю, какие не покажи.

[avva.livejournal.com]

Да, на много систем сложно распостранить, видимо.
Правда, они там ещё в статье описывают другие схожие методы: отгадывать уже виденные несуществующие слова (можно тренировать пользователя, показывая ему много случайно выбранных псевдо-слов, т.е. не случайных наборов букв, а такие, что их можно произнести, но слов таких нет; а потом он отличает уже виденные от других таких), и ещё там что-то было, забыл уже. Но всё равно много разных методов не наберёшь.

[french-man.livejournal.com]

А сколько раз из этих трех-пяти нужно ответить правильно?

[avva.livejournal.com]

Если ответишь правильно три из пяти - уже вероятность случайно так сделать всего три с чем-то процента (в уме прикинул, может, ошибся чуть). 4 из 6 - меньше одного процента. На практике нужно найти tradeoff между допустимой вероятностью случайного успеха с одной стороны и допустимым процентом ошибающихся юзеров с другой (а его оценить с помощью экспериментов; в статье есть некоторые данные, но они явно не очень многих людей тестировали).

[jsn.livejournal.com]

т.е. сосниффив несколько десятков успешных попыток логина, атакер получает очень нехилые шансы проспуфить идентити успешно? и, соответственно, чтобы передать кому-то ключ, достаточно пройти при нём всю процедуру несколько (десятков) раз.

[avva.livejournal.com]

Нет; правильные картинки каждый раз другие показываются. Когда кончается набор в 200 картинок, юзер проходит новую тренировку. Это один из недостатков: выходит, что не подходит для системы, куда надо часто заходить, много раз в день, скажем.

GIGO-аутетификация

[tom-ohawk.livejournal.com]

Доброго времени

если показывать три набора по 6 картинок,
то простому брутфорсу понадобится несколько
секунд для полного перебора всех вариантов,
если блокировать при неугадывании, то часто
будут страдать сами "реальные" пользователи,
в принципе GIGO здесь работает - на нечеткий
вопрос возможен не вполне определенный ответ

а идея, да, очень хорошая. хоть и не универсальная.
у некоторых почти не работает зрительная память
(что компенсируется ассоциативной, моторной или
слуховой). А насчет картинок - кино такое было:
Джонни Мнемоник

[drakona-knopka.livejournal.com]

200 картинок и даже 2000 может оказаться недостаточным, если взламывать такие системы примутся люди с хорошей зрительной памятью. Подсмотрел из-за плеча "тренировку" - и пользуйся на здоровье чужим паролем.

[avva.livejournal.com]

Правильные картинки не повторяются; при следующей идентификации они будут другие. Правда, когда 200 картинок кончатся, придётся тренировать заново.

[r-l.livejournal.com]

Я бы предпочел, чтобы у меня украли пароль ;)

[avva.livejournal.com]

;)

[mimohod.livejournal.com]

Метод просто вдохновляет своей новизной!
Решил проверить. В кэше "Оперы" сохранены две-три сотни юзерпиков (я обычно не загружаю графику, пользуясь интернетом). Просмотрел их ещё раз. И, как тест на идентификацию, открыл ленту друзей незнакомого мне lj-user'а, загрузив её с картинками. Из десятка юзерпиков - все, кроме одного, мне не знакомы. Легко!
З.Ы. Так как lj-user'а для теста я выбрал с этой страницы, можно было заранее догадаться, что на том знакомом юзерпике увижу штангенциркуль!

[avva.livejournal.com]

Отличный эксперимент!

внушаеть ;) я давно про это думаю ;))

[dm-lihachev.livejournal.com]

только в несколько другом ключе - надо юзеру БАБ показывать, и фиксить, каких он - по ТТХ, по сюжетам, по эмоциям и одежде выбирает -- а из этого строить службы знакомств

т.е. на сам деле задачка примерно того же плана

(никогда не программировал сайтов знакомств, пробел в моих образованиях;)

[dovlet.livejournal.com]

Да, идея красива. Отношение сложности перечисления по памяти виденных объектов к сложности их узнавания своей здесь применимостью сродни отношению сложности факторизации больших чисел к сложности конструирования больших простых. Теоретической. А вот практическая применимость здесь... увы... :-)

[kibirov.livejournal.com]

Вообще не знаю, откуда у комментаторов столько скепсиса :)
Я вот всё детство и всю молодость провозился с фотоаппаратом, сделав за это время друзьям-одноклассникам-одногруппникам бессчётное количество чёрно-белых фоток. Даже прикидывать не хочу, сколько я их напечатал, ну вот просто для примера: все 5 лет института я каждую неделю увозил домой к родителям минимум одну плёнку.
Так вот: я однажды поймал себя на мысли, что, рассматривая любые подборки фотографий, всегда безошибочно определяю, какие сделаны мной. Вот как это получается? Чёрт его знает. Вижу - и понимаю: ага, это ТОЧНО делал я, узнаЮ.
При всём при том никакими феноменальными данными в области мнемоники я даже близко не обладаю, конечно же. Однако из тысяч и тысяч картинок, похоже, ни одна не уплыла из памяти навсегда.
Так что идея и правда очень красивая и не такая далёкая от реальности, как может показаться.

[avva.livejournal.com]

Ага!

[yanis.livejournal.com]

шарлатанство это. если картинки показывают в банке, то есть участия в выборе пароля пользователь не принимает, то такая система хуже чем обычные пароли. если нужно помнить 10-20 паролей это скорее всего не будет статистически работать. наконец вероятность угадывания слишком высока, и чтобы ее уменьшить нудно показать штук 150 картинок ...
короче лажа это

[artol.livejournal.com]

Определенный процент людей в принципе не способен через несколько дней отличить увиденную фотографию -- так память устроена. И таких людей модет оказаться не меньше, чем хранящих пароли на "бумажках".

[lazyboa.livejournal.com]

Назовём это профнепригодностью.

[whoozle.livejournal.com]

красиво. :)

[uniqs.livejournal.com]

Идея красивая, но с сегодняшним количеством паролей - нереальная, мне кажется.

ЗЫ
Страшный сон - человек забыл password от PasswordManager-а. ;)

[nadijka.livejournal.com]

может, я неправа, но: а если человек одну из картинок видел случайно в инете, а вторую ему показывали "в целях пароля" - он же может и усомниться, которую где видел?...

[avva.livejournal.com]

В принципе да, но для случайно отобранных картинок это будет слишком маловероятно; кроме того, картинки можно брать из какого-то особого источника, так, что они уникальны для данной системы.

[stas]

Красиво, хотя вряд-ли применимо к стандартным пользователям. Всё поперепутают к свиньям :) Но для какой-нибудь high security весьма интересная идея :)

.

[kkk-ddd.livejournal.com]

ага с 3% вероятностью ошибки при угаданных 3 из 5-ти серий - это уже не high security