Самый секьюрный пароль

Выберите четыре запоминающиеся точки на фотке с телкой
Ниодин хакер не догадается :-)

У систем защиты с такими паролями криптостойкость заведомо небольшая на перебор вариантов, по сравнению с обычными.

Угу, в юмор это - а что еще ожидать от страны, чье патентное бюро выдает патенты на двойной клик мыши?

Боюсь фотки с тёлками приведут к широкому распространению сенсорных экранов, а это чревато лёгким взломом подобных паролей :)

Сразу видно гениев интуиции, которые прочитав только первую половину статьи, сразу составили мнение обо всей статье =)

+1

+1
На самом деле -- реальная идея! Во всяком случае весьма оригинальна.

> Боюсь фотки с тёлками приведут к широкому распространению сенсорных экранов, а это чревато лёгким взломом подобных паролей :)

Зато тупые америкосы перестанут забывать свои пароли каждый день. А к чувству ложной защищённости им не привыкать

> Сразу видно гениев интуиции, которые прочитав только первую половину статьи, сразу составили мнение обо всей статье =)

Домашнее задание по комбинаторике. Посчитай число вариантов, которые надо перебрать, если точность попадания +-10 пикселов, картинка - 1024x768.

Вот-вот, как раз первая половина статьи :-)))

Кстати, 102*76 это примерно 88^2, т.е. одна такая точка примерно эквивалентна двум символам пароля. Но вы ведь не используете даже 88 символов в своих паролях!

А вот касаемо второй половины (которую видимо далеко не фсе асилили) стало интересно, даже если кто будет подсматривать клики, то будет ли затем этой информации достаточно чтобы восстановить те самые три иконки? Т.е комп знает три иконки и после некоторого кол-ва кликов однозначно определяет знает ли их юзер, а возможна ли обратная задача,т.е зная места кликов при правильном логине однозначно восстановить три иконки?

У авторизации по трем иконкам есть слабое место.
В классическом варианте с текстовым паролем, на компе, для проверки правильности пароля, он хранится зашифрованный необратимым алгоритмом. В этой же системе те самые три иконки должны где-то храниться в явном виде, ибо login manager должен знать их точно для проверки ввода юзера. Типа возвращаются времена cat /etc/passwd :)

> возможна ли обратная задача,т.е зная места кликов при правильном логине однозначно восстановить три иконки?

Если мыслить логически, то да. Т.е., комбинация из 3-х правильных иконок должня быть единственной для данной последовательности кликов, иначе имеется вероятность того, что пользователь имел в виду другую комбинацию. Другой вопрос, какова вычислительная сложность данной задачи.

>А вот касаемо второй половины (которую видимо далеко не фсе асилили) стало интересно, даже если кто будет подсматривать клики, то будет ли затем этой информации достаточно чтобы восстановить те самые три иконки? Т.е комп знает три иконки и после некоторого кол-ва кликов однозначно определяет знает ли их юзер, а возможна ли обратная задача,т.е зная места кликов при правильном логине однозначно восстановить три иконки?

Таки да не фсе вторую половину асилили.. Иконок не три, а десять, появляются каждый раз из них на экран рандомно 3-4 иконки из тех десяти, представляешь, сколько возможно вариантов набора из 3-х 4-х иконок даже для одного клика? А таких у тебя будет десять, т.е. суммарное число вариантов будет примерно кол-во вариантов набора иконок для одного клика в десятой степени. На самом деле меньше, но тут уже роли не играет, для оценки пойдет.

>У авторизации по трем иконкам есть слабое место. В классическом варианте с текстовым паролем, на компе, для проверки правильности пароля, он хранится зашифрованный необратимым алгоритмом. В этой же системе те самые три иконки должны где-то храниться в явном виде, ибо login manager должен знать их точно для проверки ввода юзера. Типа возвращаются времена cat /etc/passwd :)

А вот тут, пожалуй, да.. Хотя речь в статейке шла о том, чтобы никто из рядом стоящих, даже снимая на камеру, не смог потом узнать твой пароль.

>Т.е., комбинация из 3-х правильных иконок должня быть единственной для данной последовательности кликов, иначе имеется вероятность того, что пользователь имел в виду другую комбинацию.

Дык суть метода-то в том-то и состоит, что набор иконок для данного набора кликов далеко не единственный, да и иконок там не три.. Посему, по одному набору кликов точно пароль невозможно восстановить. Примерно так же, как нельзя восстановить файл по его контрольной сумме.

По моему вы не совсем правильно поняли второй метод ввода пароля. Правильных иконок 10. Каждый раз ты можешь выбрать из этих десяти иконок 3 (или 4) и кликнуть в середину фигуры. В каждом проходе (из 10) ты можешь выбирать комбинацию из любых "правильных" 3 иконок.

Нет, не так, там все написано.

>система выдаёт на экран сразу огромное панно из иконок, перемешанных случайным образом. Среди них обязательно будут три или четыре "ваши".

хе-хе, ну, блин, совсем какая-то трудная для восприятия статья попалась :)

Может я не совсем корректно выразился :)

Да, каждый раз будет три или четыре "наших" иконки отображаться. Но всего "наших" иконок десять:

>При создании пароля пользователю предлагается выбрать и запомнить десять иконок примерно из 200-400 возможных

> Но всего "наших" иконок десять:

На самом деле, суть не сильно меняется :) В идеале, клики пользователя должны _однозначно_ указывать на "его" набор иконок, иначе имеется вероятность того, что пользователь имел в виду другие иконки и попал случайно.

Правда, вычислительная сложность взлома велика, даже если записать на камеру не одну сессию ввода пароля.

а теперь внимание, вопрос по 2-му варианту: что делает пользователь, мысленно пытаясь построить фигуру на выбранных им точках? правильно.. последовательно проводит мышкою над своими картинками пытаясь очертить требуемую область, чтобы туда попасть :)

// wbr

> У авторизации по трем иконкам есть слабое место. > В классическом варианте с текстовым паролем, на компе, для проверки правильности пароля, он хранится зашифрованный необратимым алгоритмом. В этой же системе те самые три иконки должны где-то храниться в явном виде, ибо login manager должен знать их точно для проверки ввода юзера. Типа возвращаются времена cat /etc/passwd :)

Можно снабдить каждую иконку символом, а потом зашифровать их тем же самым алгоритмом. Если вспомнить, что там на самом деле 10 иконок и 200-400 "символов", получится неплохой десятисимвольный пароль.

> Можно снабдить каждую иконку символом, а потом зашифровать их тем же самым алгоритмом. Если вспомнить, что там на самом деле 10 иконок и 200-400 "символов", получится неплохой десятисимвольный пароль.

нет.

мы уже договорились что цель -- это чтобы по одной (и даже по большому кол-ву) сессий ввода пароля НЕЛЬЗЯ было определить точный набор выбранных иконок. Это означает что после сессии ввода пароля ты не знаешь точное слово и не можешь его захэшировать и сравнить с образцом.

>даже если записать на камеру не одну сессию ввода пароля.

IMO если записывать движение глаз - будет сильно проще в обоих вариантах.

> если записывать движение глаз - будет сильно проще в обоих вариантах.

Для записи движения глаз уж больно камера должна быть хорошая. Я думаю, что действительно, пользователь в большинстве случаев будет:

a) либо водить мышой по экрану, как писал klalafuda,

б) либо тыкать приблизительно в центр фигуры, что может существенно сократить число вариантов.

Но в общем и целом, идея занятная - недостаточно просто перехватить нажатия - надо еще и попотеть опосля, хотя необходимость хранить пароли секретно в недоступном месте несколько портит картину - надо доработать схему :)

>необходимость хранить пароли секретно в недоступном месте несколько портит картину

Я не слышал об challenge-response методах, не требующих для проверки открытого "пароля".

Апач, вроде, умеет хранить пароли в md5 и использовать при этом digest - авторизацию. Или она на challenge-response?

Если я правильно понимаю, паролем в этом случае является хеш - "правильный" клиент им и воспользуется.

>В идеале, клики пользователя должны _однозначно_ указывать на "его" набор иконок, иначе имеется вероятность того, что пользователь имел в виду другие иконки и попал случайно.

Опять же нет. При чем тут какие-то идеалы? Принцип как раз в _неоднозначности_. Да и невозможно создать условия, при которых набор кликов определял бы единственно возможную комбинацию, либо такой набор иконок вычисляется элементарно.

Проще всего в такой ситуации рандомным набором кликов угадать пароль (хотя это тоже надо постараться), но ты при этом только один раз залогинишься в систему и даже не сможешь поменять пароль -- иконок ты так и не узнаешь.

>Правда, вычислительная сложность взлома велика, даже если записать на камеру не одну сессию ввода пароля.

Как раз при однозначности достаточно было бы снять одну сессию, дальше дело техники.