Кстати, 102*76 это примерно 88^2, т.е. одна такая точка примерно эквивалентна двум символам пароля. Но вы ведь не используете даже 88 символов в своих паролях!
А вот касаемо второй половины (которую видимо далеко не фсе асилили) стало интересно, даже если кто будет подсматривать клики, то будет ли затем этой информации достаточно чтобы восстановить те самые три иконки? Т.е комп знает три иконки и после некоторого кол-ва кликов однозначно определяет знает ли их юзер, а возможна ли обратная задача,т.е зная места кликов при правильном логине однозначно восстановить три иконки?
У авторизации по трем иконкам есть слабое место.
В классическом варианте с текстовым паролем, на компе, для проверки правильности пароля, он хранится зашифрованный необратимым алгоритмом. В этой же системе те самые три иконки должны где-то храниться в явном виде, ибо login manager должен знать их точно для проверки ввода юзера. Типа возвращаются времена cat /etc/passwd :)
> возможна ли обратная задача,т.е зная места кликов при правильном логине однозначно восстановить три иконки?
Если мыслить логически, то да. Т.е., комбинация из 3-х правильных иконок должня быть единственной для данной последовательности кликов, иначе имеется вероятность того, что пользователь имел в виду другую комбинацию. Другой вопрос, какова вычислительная сложность данной задачи.
>А вот касаемо второй половины (которую видимо далеко не фсе асилили) стало интересно, даже если кто будет подсматривать клики, то будет ли затем этой информации достаточно чтобы восстановить те самые три иконки? Т.е комп знает три иконки и после некоторого кол-ва кликов однозначно определяет знает ли их юзер, а возможна ли обратная задача,т.е зная места кликов при правильном логине однозначно восстановить три иконки?
Таки да не фсе вторую половину асилили.. Иконок не три, а десять, появляются каждый раз из них на экран рандомно 3-4 иконки из тех десяти, представляешь, сколько возможно вариантов набора из 3-х 4-х иконок даже для одного клика? А таких у тебя будет десять, т.е. суммарное число вариантов будет примерно кол-во вариантов набора иконок для одного клика в десятой степени. На самом деле меньше, но тут уже роли не играет, для оценки пойдет.
>У авторизации по трем иконкам есть слабое место.
В классическом варианте с текстовым паролем, на компе, для проверки правильности пароля, он хранится зашифрованный необратимым алгоритмом. В этой же системе те самые три иконки должны где-то храниться в явном виде, ибо login manager должен знать их точно для проверки ввода юзера. Типа возвращаются времена cat /etc/passwd :)
А вот тут, пожалуй, да.. Хотя речь в статейке шла о том, чтобы никто из рядом стоящих, даже снимая на камеру, не смог потом узнать твой пароль.
>Т.е., комбинация из 3-х правильных иконок должня быть единственной для данной последовательности кликов, иначе имеется вероятность того, что пользователь имел в виду другую комбинацию.
Дык суть метода-то в том-то и состоит, что набор иконок для данного набора кликов далеко не единственный, да и иконок там не три.. Посему, по одному набору кликов точно пароль невозможно восстановить. Примерно так же, как нельзя восстановить файл по его контрольной сумме.
По моему вы не совсем правильно поняли второй метод ввода пароля. Правильных иконок 10. Каждый раз ты можешь выбрать из этих десяти иконок 3 (или 4) и кликнуть в середину фигуры. В каждом проходе (из 10) ты можешь выбирать комбинацию из любых "правильных" 3 иконок.
На самом деле, суть не сильно меняется :) В идеале, клики пользователя должны _однозначно_ указывать на "его" набор иконок, иначе имеется вероятность того, что пользователь имел в виду другие иконки и попал случайно.
Правда, вычислительная сложность взлома велика, даже если записать на камеру не одну сессию ввода пароля.
а теперь внимание, вопрос по 2-му варианту: что делает пользователь, мысленно пытаясь построить фигуру на выбранных им точках? правильно.. последовательно проводит мышкою над своими картинками пытаясь очертить требуемую область, чтобы туда попасть :)
> У авторизации по трем иконкам есть слабое место.
> В классическом варианте с текстовым паролем, на компе, для проверки правильности пароля, он хранится зашифрованный необратимым алгоритмом. В этой же системе те самые три иконки должны где-то храниться в явном виде, ибо login manager должен знать их точно для проверки ввода юзера. Типа возвращаются времена cat /etc/passwd :)
Можно снабдить каждую иконку символом, а потом зашифровать их тем же самым алгоритмом. Если вспомнить, что там на самом деле 10 иконок и 200-400 "символов", получится неплохой десятисимвольный пароль.
> Можно снабдить каждую иконку символом, а потом зашифровать их тем же самым алгоритмом. Если вспомнить, что там на самом деле 10 иконок и 200-400 "символов", получится неплохой десятисимвольный пароль.
нет.
мы уже договорились что цель -- это чтобы по одной (и даже по большому кол-ву) сессий ввода пароля НЕЛЬЗЯ было определить точный набор выбранных иконок. Это означает что после сессии ввода пароля ты не знаешь точное слово и не можешь его захэшировать и сравнить с образцом.
> если записывать движение глаз - будет сильно проще в обоих вариантах.
Для записи движения глаз уж больно камера должна быть хорошая. Я думаю, что действительно, пользователь в большинстве случаев будет:
a) либо водить мышой по экрану, как писал klalafuda,
б) либо тыкать приблизительно в центр фигуры, что может существенно сократить число вариантов.
Но в общем и целом, идея занятная - недостаточно просто перехватить нажатия - надо еще и попотеть опосля, хотя необходимость хранить пароли секретно в недоступном месте несколько портит картину - надо доработать схему :)
>В идеале, клики пользователя должны _однозначно_ указывать на "его" набор иконок, иначе имеется вероятность того, что пользователь имел в виду другие иконки и попал случайно.
Опять же нет. При чем тут какие-то идеалы? Принцип как раз в _неоднозначности_. Да и невозможно создать условия, при которых набор кликов определял бы единственно возможную комбинацию, либо такой набор иконок вычисляется элементарно.
Проще всего в такой ситуации рандомным набором кликов угадать пароль (хотя это тоже надо постараться), но ты при этом только один раз залогинишься в систему и даже не сможешь поменять пароль -- иконок ты так и не узнаешь.