необычные пароли

[avva]

Очень интересная статья (PDF, англ. 4 страницы) о способе организации паролей, который позволяет пользователю идентифицировать себя, но не даёт возможности ему передать пароль другому, или другим людям украсть у него пароль.

Перескажу здесь вкратце основную идею (подробности и ещё два варианта, основанных на том же принципе — в статье).

(кстати, ссылку на эту статью нашёл в отличном веблоге clevercs, а за ссылку на него спасибо evan'у)

Один из основных недостатков “обычных” паролей состоит в том, что их так же легко использовать для идентификации, как передать другому. Если вы можете ввести пароль, то можете и рассказать его кому-то (добровольно или недобровольно), или его могут подсмотреть/подслушать. Одно из стандартных решений этой проблемы, которое становится всё более популярным в последние годы (хотя более в замыслах, чем на практике) — “биологические” пароли: например, сканирование отпечатков пальцев или сетчатки глаза. Но и в этом случае возможно “перехватить” информацию по дороге, а в будущем наверняка будет возможно создать поддельные искусственные носители той же информации.

Так вот: предлагается следующая идея. Сразу скажу, что недостатков у неё куча, что будет очевидно из описания; но сама идея уж очень красивая.

Сначала происходит “тренировка” пользователя. Система показывает ему, скажем, 100 картинок, выбранных случайно из большого набора в несколько десятков тысяч небольших картинок, например, фотографий разных простых сцен, мест, предметов (примеры см. в статье). Его задача — внимательно посмотреть на каждую картинку; он может при этом переходить от одной картинки к другой по своему желанию, или возвращаться к уже просмотренным. “Точно запомнить” от него не требуется; только внимательно просмотреть их все. Система запоминает, какие картинки были ему показаны.

Предположим, через некоторое не очень большое время (день, неделю, пару месяцев) пользователю нужно идентифицировать себя системе. Система показывает ему несколько наборов из шести картинок. В каждом наборе только одну из картинок он видел во время своей тренировки. От него требуется указать на неё. Он это сможет сделать с очень большой вероятностью успеха, намного большей, чем если бы выбирал случайно. Но т.к. всё-таки сможет не всегда, ему показывают несколько наборов, и судят о его успехах по его общим результатам. Исследования авторов показывают, что обычно трёх-пяти наборов достаточно.

Чего мы добились с помощью этой схемы? Пользователь может доказать системе, что это он и никто другой. Но это доказательство, во-первых, бесполезно “подслушивать” (т.к. в следующий раз ему будут показаны другие картинки), а главное, он сам не может его никому передать, даже если очень захочет (или если его будут пытаться заставить). Он просто не помнит эти 200 картинок (если не обладает идеальной фотографической памятью), и не может их описать. Но когда нужно будет выбрать одну ранее виденную из шести, он вполне с этим справится.

По-моему, очень красиво и интересно.

Comments

[lublue.livejournal.com]

Бывает, что вернувшись из двухнедельного отпуска, человек не в состоянии вспомнить телефон родной мамы, и не потому что он ее разлюбил, а потому что расслабился, и память "очистилась". А уж какие-то картинки, мелькавшие когда-то в интернете, забудутся очень быстро. Память вообще странная вещь, вспомним хотя бы "лошадиную фамилию" Овсов.

[mancunian.livejournal.com]

Всякий раз, как я логинюсь, мой банк спрашивает меня произвольные 3 цифры из моего 8-циферного кода (типа, "первая, третья и предпоследняя"). Там есть и другие числа (ДР + еще что-то), но они всегда одни и те же.

[fomenko.livejournal.com]

да уж, красиво, интересно, но - слишком много НО, и поэтому не впечатляет ;)

[avva.livejournal.com]

Они забудутся не просто быстро, а почти мгновенно, в том-то и суть! А потом, когда надо будет выбрать, человек сделает правильный выбор с очень большой вероятностью.
То же самое с телефонным номером: вспомнить не может, а если показать его и ещё четыре случайных - запросто выберет правильный.
Когнитивные психологи давно изучают этот феномен, насколько я понимаю.

[avva.livejournal.com]

Это не то же самое; если кто-то узнает весь код и дополнительные числа, то сможет заходить сколько угодно раз. Это защищает только от одноразового прослушивания, а не от многоразового даже и не от добровольной/недобровольной передачи другому лицу.

[avva.livejournal.com]

А меня впечатляет ;)

[alickop.livejournal.com]

Нам в лицее про эту технологию один препод рассказывал. Это было почти десять лет назад. Интересно, оно до сих пор в состоянии исследования или уже есть практические реализации?

[lublue.livejournal.com]

Если совсем случайных и далеких от истинного - то Вы правы. А если какой-то из четырех лишних будет СЛЕГКА отличаться от правильного (скажем, только порядком двух цифр в середине), то вовсе не факт, что память сработает, как надо (из личного опыта: я время от времени набираю знакомый номер близкого человека и путаю порядок 5 и 6).
Думаю, что у когнитивных психологов еще много работы в этом направлении. :))

[avva.livejournal.com]

А слегка не будет, если все другие будут случайным образом выбраны; так же и с картинками.

[avva.livejournal.com]

Там есть несколько ссылок в конце статьи, в том числе на майкрософтовский пресс-релиз. Но насчёт практического использования не знаю.

[ex-ex-ex-gr.livejournal.com]

музыкальные пароли тоже покайфу.

[gdy.livejournal.com]

Этот метод аутентификации надо применять в качестве наказания для тех, кто хоть раз разболтает или запишет обычный пароль. И всё будет хорошо ;-)

[dimrub.livejournal.com]

Прикольно. Эдакая проекция на людей идеи zero-knowledge proof.

[french-man.livejournal.com]

Мне вообще личный калькулятор выдан. Каждый раз я ввожу в него предложенный сайтом набор символов, он мне выдает некое число, я его ввожу.

Я, конечно, могу передать его кому-то, и украсть его у меня могут. Но пользоваться им может только один человек.

[anton.livejournal.com]

Пока есть только одно место, куда нужно авторизоваться так -- всё хорошо. Но если их будет несколько, да ещё, не дай бог, с похожими картинками, боюсь, в голове будет абсолютная путаница..

[signamax.livejournal.com]

rain-man

[avva.livejournal.com]

Да, это один из недостатков. Можно пытаться улучшать, конечно, основную идею разными способами.

[lublue.livejournal.com]

В таком случае, придется специально подбирать очень непохожие (ведь абсолютно СЛУЧАЙНО может выпасть номер\картинка и очень похожий на заданный). Но, наверное, это тоже учтут при разработках.

[babula.livejournal.com]

красиво, но б-б-боязно. В банке покажут свои картинки, в ЖЖ - свои, еще есть фотоальбом, почта и т.д. После этого я все картинки узнаю, какие не покажи.

[avva.livejournal.com]

Ага, и кроме того, именно поэтому ещё дают выбрать не из одной группы, а 5-6, скажем. Тогда вероятность того, что случайная схожесть помешает идентификации, становится ничтожной.

[avva.livejournal.com]

Да, на много систем сложно распостранить, видимо.
Правда, они там ещё в статье описывают другие схожие методы: отгадывать уже виденные несуществующие слова (можно тренировать пользователя, показывая ему много случайно выбранных псевдо-слов, т.е. не случайных наборов букв, а такие, что их можно произнести, но слов таких нет; а потом он отличает уже виденные от других таких), и ещё там что-то было, забыл уже. Но всё равно много разных методов не наберёшь.

[avva.livejournal.com]

Если это очень будет нужно, то специальные люди его разберут и найдут формулу, которой он пользуется, после чего много людей смогут. Это уже подключается отдельная тема гонки между производителями tamper-resistant devices и их взломщиками.

[french-man.livejournal.com]

А сколько раз из этих трех-пяти нужно ответить правильно?

[jsn.livejournal.com]

т.е. сосниффив несколько десятков успешных попыток логина, атакер получает очень нехилые шансы проспуфить идентити успешно? и, соответственно, чтобы передать кому-то ключ, достаточно пройти при нём всю процедуру несколько (десятков) раз.

[portisheader.livejournal.com]

Впечатляет, мне кажется, по причине того, что данный метод использует именно человеческий фактор, а не машинный (способность запомнить последовательность цифр). Так сказать, характеристика мозга, нейрометрический метод.