Чернильные пятна улучшат безопасность онлайн-паролей

Специалисты по ИТ из Университета Карнеги-Меллона разработали новую систему паролей, которая включает рисунки из чернильных пятен произвольной формы, что обеспечивает дополнительную защиту, когда, как это часто происходит, списки паролей украдены с веб-сайтов.

Этот новый тип пароля, получивший название GOTCHA (Generating panOptic Turing Tests to Tell Computers and Humans Apart, генерирующий паноптический тест Тюринга для определения собеседника – человека или компьютера), будет подходящим для защиты банковских счетов, медицинской документации и другой конфиденциальной информации.

Чтобы создать GOTCHA, пользователь выбирает пароль, а затем компьютер генерирует несколько случайных разноцветные чернильных пятен. Пользователь описывает каждую кляксу с помощью текстовой фразы. Эти фразы затем сохраняются в случайном порядке вместе с паролем. Когда пользователь возвращается на сайт и вводит свой пароль, то чернильная картинка отображается снова вместе со списком описательных фраз; пользователь затем сравнивает каждую фразу с соответствующей кляксой.

«Эти загадки, которые человек легко решает, но они трудны для компьютера, даже если он использует случайные биты для создания головоломки», – сказал аспирант Иеремия Блоки (Jeremiah Blocki), который разработал GOTCHAs вместе с проф. Мануэлем Блюмом (Manuel Blum) и доц. Анупам Датта (Anupam Datta).

Эти пазлы окажутся существенными, когда бреши в безопасности веб-сайтов приводят к потере миллионов паролей пользователей, что является обычным делом для таких компании, как LinkedIn, Sony и Gawker. Эти пароли хранятся в виде криптографических хэш-функций, в которых пароли любой длины конвертируются в строки битов одинаковой длины. Вор не может легко расшифровать эти хэши, но может смонтировать то, что называется автоматизированная словарная оффлайн-атака. Компьютеры сегодня могут оценивать до 250 млн. возможных значений хэша каждую секунду, отметил Блоки.

Учитывая известную популярность простых паролей, таких как «123456» или «Пароль», не слишком трудно взломать такие хэши. Но даже надежные пароли являются уязвимыми для новейших методов атак с помощью «грубой силы», сказал Блоки.

В случае GOTCHA, однако, одной компьютерной программы было бы не достаточно, чтобы взломать учетную запись.

«Чтобы взломать пароль пользователя в режиме оффлайн, противник должен одновременно разгадывать пароль пользователя и ответ на соответствующую головоломку, – сказал Датта. – Компьютер не может сделать это в одиночку. И если для решения этой головоломки компьютер должен постоянно взаимодействовать с человеком, он больше не может применять свою грубую силу, чтобы взломать хэши».

Поскольку описательные фразы пользователя для чернильных пятен сохраняются, им не придется запоминать свои описания, но они должны быть в состоянии выбрать их из списка. Чтобы убедиться, что люди могут сделать это надежно, ученые провели исследование на 70 волонтерах. Сначала каждого пользователя попросили описать 10 чернильных картинок с творческими названиями, такими как «злой клоун» или «леди в странном платье». Десять дней спустя, их попросили, сравнить эти названия с чернильными картинками. Из 58 волонтеров, принявших участие во втором туре тестирования, одна треть правильно определила все картинки и более чем две трети угадали половину.

Блоки сказал, что замысел тестирования метода на пользователях, предполагавший слишком низкие финансовые стимулы, может объяснить посредственный успех. Но он также отметил, что имеются способы сделать описания более запоминающимся.

Система паролей GOTCHA, разработанная в Университете Карнеги-Меллона, включает случайно генерируемые чернильные картинки и описания пользователей, присваиваемые этим изображениям, таких как это – «робот, готовящийся к прыжку»

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365