Pull to refresh

Comments 59

Поставил одну точку. Написано «Кол-во точек не совпадает».
При регистрации и авторизации требуется указывать одинаковое кол-во точек. Как и в пароле — одинаковое кол-во символов.
Да вы что?! Никогда бы не подумал. Вы открыли мне глаза.
Поставил всего две точки на жирафе, но так увлекся картинкой, что уже не смог через пол минуты вспомнить куда же я их поставил.
Не работает, пишет «Кол-во точек не совпадает». Пробовал регистрироваться несколько раз, выбирал 3 точки.
Ошибка была с фаерфоксом :(
У меня хром, теперь работает.
В фоксе исправил. Ошибка была из за различия названий переменных.
В фоксе координаты действия клика называются evt.layerX. В хроме evt.offsetX. В хроме так же есть evt.layerX, но он дает не верные координаты (К примеру угол картинки определился как -11 пикселей)
А, понятно. Спасибо
Я потестил, очень понравилось. На много различных идей наводит.
Еще сегодня смотрели интересную капчу которую использует МТС в интерфейсе отправки смсок
Я очень скептически отношусь к таким капчам, где нужно выбирать одну или несколько картинок по каким-то общим признакам.

Дело в том, что в их библиотеке количество картинок конечно. Надёргать оттуда штук 100-200 (если там вообще столько есть), вручную распознать, проставить всем теги по которым они просят категоризировать (цвет, форма, овощи/фрукты, растения/животные и т.д.). А потом уже роботом парсить капчу, смотреть по какому критерию просят указать картинку и уже точно тыкать по заранее распознанным изображениям.
Специально обученным роботом с базой распознанных картинок вероятность прохождения такой капчи будет блоизка к 100%.
Все капчи взламываемы, вопрос только в стоимости разработки решения +, иногда, стоимости китайцев для набития базы.
Это решение как раз для тех кому галочка «я не робот» уже не нравится.
Это вообще как средство защиты — полный АЦТОЙ.
Эту каптчульку даже и не нужно распознавать.
«Разгадывание» этой каптчи (с пометкой нескольких картинок)

[0] [1] [2] [3] [4]

по сложности можно сравнить с игрой в рулетку (где можно делать ставку только на-зеро),
или, более простая аналогия: «угадай число от 1 до 30» с первой попытки.
(2 в степени 5 за исключением пустого выбора и отметки всех пяти картинок одновременно).

То есть, по статистике, если полностью рандомно выбирать группу картинок
то будет успешно срабатывать каждая тридцатая попытка.
Но, после дополнительного «обучения», можно будет заметить что распределение правильных ответов
не равномерное: то есть, например, ответы с одной, двумя и тремя картинками встречаются чаще, чем с четырьмя. Точно так же можно среди 1-2-3 выбрать наиболее частую — и «долбать только ей».

Другими словами — нулевая защита от брутфорса (сравнимая по мощности с паролем из одной буквы)
С тремя точками почему то не работает…
Выдает
Не верный пароль
debug:
Координата №1
$x+10 > $lX (63 > 52)
$x-10 < $lX (43 < 52)
$y+10 > $lY (372 > 352)
$y-10 < $lY (352 < 352)

Хотя я тыкал в те же места, куда тыкал и при регистрации.
Chrome 14.0.835.163 Win x86
2-я координата на 10 пикселей выше.
Хм. Порядок проставления оказывается тоже значение имеет? Не знал… Сработало :) Спасибо, интересный концепт.
Идея интересная, но реализация слабовата.
очень тяжело в конце рабочего дня 2 раза попасть по одной и той же координате…
кстати разве компьютеру такие пароли не быстрее перебрать будет чем стандартные? мы же не можем сделать очень много точек иначе пользователь запутается, а малое количество он прогонит быстро достаточно
Изображение 500х500 с учетом погрешности 20 пикселей, это 25^2 вариантов. Таким образом три точки 25^6 вариантов, что примерно аналогично 6-значному буквенному паролю.
Ну подбор можно сильно оптимизировать проверив первым делом «яркие пятна». Сомневаюсь что пользователь будет ставить точки на однотонном цвете
Тыкаю точки, потом меняю картинку, точки остаются за картинкой. Chrome.
Отличный вариант авторизации для планшетов с тачскрином: вместо узеньких полей и неудобной клавиатуры — картинка на весь экран, на которой быстро пальцами «набираешь» свою комбинацию точек. :)
Потому в windows8 это и сделали.
извините, я про windows вообще не в курсе. :(
«Неверное» — ну слитно же, это даже не граммар наци!
Здорово, автор — молодец, хорошая задумка, конечно требует доработок, но мне уже нравится.
Очень интересно. Правда фраза «Это поле нужно запомнить» срабатывает, по крайней мере на меня, с точностью да наоборот =).
Наверняка большинство точек оказывается в узловых местах картинок — глаза, нос, хвост, ноги… таких мест не так много, пароль нестойкий получается.
А что, если дать возможность пользователю загружать свои картинки?)
Тут как бы замысел идет в том, что пользователю дается на выбор несколько картинок. Если дать загрузить свои — то уже будет понятно, на какой картинке пользователь вводил свой пароль. Конечно решит ситуацию тут возможность загрузки нескольких своих.
У меня несколько сот паролей, столько картинок и найти-то не так просто, тем более запомнить куда надо тыкать. А keepass не поможет…

Но тут не в своих или чужих картинках дело. Тыкать в узловые места пользователь будет и на своих картинках, и в чужих.
А если представить картинку со стихом. И пользователь выбирает разные буквы в разных словах?
посмотрел свой keepass, около 150 ресурсов, 150 разных паролей, как мне помнить где в каком стихе какие буквы выбирать?
Есть альтернативный путь. Для каждого пароля придумываем стишок, пароль — первые буквы слов. Вот насчёт стойкости таких паролей тоже надо подумать…
>А keepass не поможет…

Самое интересное, мне LastPass предложил запомнить пароль после авторизации )
Я координаты специально в спрятанный пасвордфилд записывал. Но в хроме почему то не захотел сохранять у меня.
а я вот решил поделиться своим аккаунтом с человеком который живет в америке. как мне рассказать куда тыкать на картинке ?:)
Веселый перебор получится по всем точкам… но идея то наталкивает на многое
Можно даже не по всем, а с промежутком в 10 пикселей
интересно, но с первого взгляда для веба бестолково.
Такой пароль гораздо проще подсмотреть.
Вот к ней бы заслать елену малышеву. Она бы ей быстро гольфик обрезала)
Реализация конеяно интересная, но с моей точки зрения нет на данный момент чего-то более удобного чем авторизация через соц. сети
То есть если вконтактике тебя нет — то всё?
Следующим концептом аутентификации должно быть исполнение какого-то своего особенного уникального танца перед веб-камерой своего компьютера, чтобы войти в систему.
UFO just landed and posted this here
В качестве пароля и впрямь не очень катит, а вот вместо капчи можно попробовать. Ведь тут уже перебор не сделаешь. Будет усложненный вариант капчи от МТС. Сломать и ее можно будет, но уже не так просто.
То есть что — прощай, запоминание паролей браузером?
А если нет JS — то вообще никак не зайти?
Запоминание работает в фоксе. В хроме не запоминает наверное потому, что поле пароля(куда записываются координаты) имеет стиль display:none.
Без js действительно не зайти, если конечно не сделать каждый шаг(клик) отдельной страницей, а координаты передавать через input type=«image».
Свежий подход! Спасибо за статью и информацию к размышлению.
Хотелось бы отменить выбор точки. Ведь в момент клика, мышь может дернутся и точка будет отмечена не там где надо, и приходится обновлять браузер и начинать все сначала. И так щелкнул правой/левой клавишей мыши по точке и она пропала.
В windows 8 ввод не щелчками по точкам. Там круче.
Сработало со второй попытки. Интересно.
Sign up to leave a comment.

Articles