четверг, 15 марта 2012 г.

Визуализация хеша паролей для удобства пользователей


Специалисты по безопасности на пару с дизайнерами интерфейсов продолжают решать проблему, как повысить удобство использования паролей без ущерба для безопасности. Понятно, что для каждого сайта нужно придумывать отдельный пароль с 12+ символами, но как запомнить все эти пароли — никто не знает. Использование дополнительных технических средств вроде специальных программ или аппаратных устройств для хранения паролей — отличное практическое средство, но оно решает проблему с хранением паролей, но не решает проблемы с их запоминанием. А ведь сохранение паролей в письменном виде по определению противоречит принципам безопасности, так что подобные программы не являются панацеей и, фактически, снижают уровень безопасности пользователя.
Есть разные способы, как запомнить длинные комбинации символов, однако человеческий мозг плохо приспособлен к таким задачам. Гораздо лучше у нас получается запоминать цвета и картинки. Именно на этом тезисе основан ряд новых методик, которые помогают пользователю вспомнить пароль в процессе его ввода.
Демонстрацию концепции можно посмотреть на примере JavaScript RGB Password. На каждый вводимый символ выводится комбинация из трёх цветов.
Изюминка в том, что цвета не соответствуют отдельным символам, а соответствуют хешу уже введённой комбинации. Таким образом, подсмотрев случайный фрагмент последовательности цветов злоумышленник не имеет возможности определить введённые символы. Схема работает примерно так.
Чтобы ещё больше усилить защиту от «подсматривающих из-за плеча», другие разработчики сделали аналогичную систему, но вместо трёх цветов предлагают крошечную двухцветную пиктограмму, которую можно разглядеть только с близкого расстояния.
Вот ещё один концепт подобной системы, где хеш визуализируется в виде цветной гистограммы.
Суть всех этих способов в том, что при многократном вводе пароля пользователь постепенно запоминает соответствующие графические изображения, так что ему будет проще вспомнить забытый пароль или исправить опечатку во время ввода пароля, в то время как для злоумышленника задача брутфорса никак не упрощается.

Комментариев нет:

Отправить комментарий