テキストパスワードは長い間一般的であり、その問題は新しいものではありません 。 コンピュータのコンピューティング機能の成長に伴い、パスワードの変更の長さと頻度の要件は増加するのみであり、意味のない文字セットを記憶する人間の能力はそれほど印象的なペースで成長していません。 生体認証方法はまだ信頼を呼び起こしません。なぜバイオプリンティングはテキストパスワードよりも優れていますが、変更できないことと匿名性が許可されないことを除いてはどうですか? しかし、テキストパスワードについてではなく、生体認証の欠点についてではなく、タッチデバイスの普及により特に興味深いパスワードを設定および入力するための代替方法の1つを検討します。 この方法の基本は、人が視覚画像を簡単に認識できることですが、機械の場合、これは苦痛です。 このようなイメージパスワードは、人々の間で保存および転送できますが、決してコンピューター間で、またはあまりにも高価です。
そのようなシステムは多くの歴史に埋もれていたに違いありませんが、私に知られているのはごくわずかです。
Background Draw a Secretでは、ユーザーが絵を描く必要があります。その後、標準との類似性が評価されます。 古代の人々が紙に書いたサインのアイデアの実装の1つ。 Microsoftは最近、Windows 8でMicrosoftによるPicture Passwordを導入しました。ユーザーは写真の背景にドット、ベクター、円を描く必要があり、システムはそれらを標準と比較します。 2006年にGraphical Passwordプロジェクトによって2つの方法が提案されました。— PassPointsでは、写真内のポイントをマークする必要があり、サーバーはそれらを登録時にマークされたポイントと比較します。 しかし、ConvexHullでは、ユーザーは一連のアイコンがランダムな順序で配置された写真を受け取り、その上のポイントを示します。 サーバーは、どのアイコンが配置されているかを記憶し、入力されたポイントが登録時に示された3つのアイコンの間にあるかどうかを計算します。 この手順は数回繰り返され、安全性が向上し、忍耐力が向上します。 Winfrasoft Pin +もあります。ここでは、承認中に選択したパターンを数字のマトリックスでメモする必要があります。 私は認めます、私はまだそれを使用する方法を理解していません。
絵文字パスワード、またはむしろ、私が提案する絵文字パスワードは、あまり知恵がなくても機能します。—
- サーバーは、リクエストを受信すると、そのセットからランダムに選択されたアイコンを配置することで画像を生成します。 たとえば、セットは一般的なアイテムの16個のアイコンで構成されます。 画像はゆがんでおり、アイコンは通常のキャプチャの文字のように変化し、あらゆる方法で機械認識を妨害します。
- サーバーはアイコンの中心の座標を記憶し、ユーザーに画像を送信します。
- ユーザーは、登録中に選択したシーケンスを入力するアイコンを順番にクリックします。
- クリックの座標からポイントの配列が形成され、サーバーに送信されます。
- 送信されたポイントから保存されたポイントまでの距離を推定するサーバーは、入力されたアイコンのシーケンスを決定します。
- シーケンスを受信した後、picto-passwordを使用するシステムは通常のパスワードと同じように機能します。ハッシュを計算し、データベース内のデータと比較します。
スクリプトを見ると、パスワードは1か所にしか保存できないことがわかります。それは、人の頭の中にあり、人から人へとのみ送信できるということです。 ピクトグラムは文字や数字よりもはるかに複雑であるため、このようなハッキング用のパスワードには、画像を分類する技術の大幅な改善が必要になります。 次に、許容可能な速度、品質、およびコストで画像上のピクトグラムを認識できるアルゴリズムがない場合、次のことが当てはまります。
- パスワードを見つける唯一の方法は、手動のブルートフォースであり、そのようなブルートフォースに必要な時間は工数で測定されます。 たとえば、4桁のパスワードを5秒の試行時間で整理するには90時間かかり、10,000人のインド人のクラスターは30分(最悪の場合)でこの問題を解決できますが、約50ドル(1000回の試行に対して1ドル)ですが、5桁のパスワードでは-すでに800ドル。 ターゲット攻撃は生き残れませんが、大規模な攻撃は高価になります。
- 攻撃者がパスワードを持っている場合でも、システムに自動的にログインすることはできません。これにより、偽のアカウントまたは押収されたシステムアカウントの大量使用が深刻になります。
- パスワードを迅速に通知することが不可能で、マシンに送信できない場合、短いパスワードの信頼性が向上します。 パスワードを送信または保存するには、パスワードを描くか、何らかの方法で言葉で説明する必要があります。これにより、パスワードクラッキングを目的としたフィッシング攻撃の有効性が低下します。
- スニファー、トロイの木馬、または覗き見でパスワードを傍受するには、大脳皮質をスキャンしても、傍受したパスワードを認識する必要があります。
- 実装の複雑さ、サーバーの負荷、および侵入不可能性の点では、アイコンパスワードはテキストパスワードが使用され、captchaが同時に必要なシステムに匹敵しますが、より安全で、入力が便利で、覚えやすいです。
実験に参加することをお勧めします。 デモフラッシュアプリを体験してください。 プログラムは統計情報を収集します:試行回数、不正なパスワードエントリ数と試行回数の比率、テストの平均速度。 Habrの訪問者がシステムを試すだけでなく、普通のユーザーにとってどれほど便利で理解しやすいのかがもっと面白いのはいいことです。 まともな統計がどのように入力されるかを間違いなく書きます。 それはパスワードが必要なものではないかもしれませんが、システムにアクセスするために使用するオブジェクトを操作する人間以外の非デジタル的な方法が必要なようです。
Psまた、この方法は、英数字のキャプチャではなくボットに対する保護に適しています。 このように見えるかもしれません:一番上にあるアイコンの下の画像をクリックしてください。
upd:実験が完了しました。結果についてはこちらをご覧ください。