Сложные методы авторизации

    Вместо предисловия


    На каждом шагу сейчас всё упрощают и упрощают, авторизация становится всё незаметней и всё надежней. В данном топике я попробовал пофантазировать на тему сложных авторизаций.

    Много полей ввода для ввода email адреса



    На форме авторизации находится некоторое число полей ввода привязанных к сетке.
    Ключ для входа — это связка: email + ключ.
    Например:
    pupkin@mail.ru
    F2C1

    Логин записываем в ячейку F2, адрес почтового сервера с собакой — в ячейку C1.

    Банковские ячейки



    Страница авторизации — это большое количество банковских ячеек с номерами.
    Когда регистрируемся — выбираем свободную ячейку (нет замочка) и вводим туда свой email адрес.
    Наш ключ — это наш емейл, а номер ячейки, которую мы выбрали — кроме нас никто не знает.
    (Понятно, что для миллионов пользователей такой способ не очень подходит, но все же он имеет право на жизнь)

    Ресурсы браузера


    В браузер ставится расширение, которое будет знать, какие вкладки у нас открыты (не уверен, что расширения так умеют).
    Ключ для входа на сайт — это связка email и набор открытых вкладок (например: хабр, баш и яндекс погода).
    Как вариант, вместо вкладок можно использовать набор закладок браузера.

    Шахматы



    В данном варианте ключ — это позиция в шахматах. Без логинов и email'ов, позиций в шахматах и так много.
    При регистрации пользователь передвигает фигуры, выставляя только ему известную позицию в шахматах. Лишние фигуры удаляет с доски, оставшиеся — передвигает.
    Для авторизации нужно просто вспомнить свою оригинальную позицию.
    (Ну а если у кого-то всё же совпадут позиции, то уж извиняйте — нужно было придумывать что-нибудь более уникальное)

    Глубинная капча



    Для программ еще пока достаточно сложно распознавать трёхмерные картинки и понимать, какой объект находится в глубине, а какой — на переднем плане. Генерировать такие картинки просто, распознавать — сложно.
    Для примера выше еще можно написать программу, а вот для примера ниже — это уже составит проблему.

    Вообще эти примеры я привел, чтобы показать идею такой «глубинной» капчи, тут нужно еще прорабатывать детали.

    Заключение


    Давайте изобретать велосипеды!
    Share post

    Similar posts

    Comments 54

      –1
      Изобретать велосипеды не нужно… а вот модернизировать существующие — да…
      С шахматами — это неудобно, ибо много телодвижений необходимо совершать… с ячейками — да, красивая мысль…
      А вот по первой капче(палочки, или как правильно называть их...)… тут и у людей должно быть пространственное мышление… если бы мне выдали такую капчу для добавления сюда комментария… я бы его не отправил… ибо лень…
        +5
        Для регистрации readonly аккаунта на хабре палочки вполне бы подошли учитывая специфику ресурса =)
          0
          Вы уверены, что автор всерьез говорил? :) Я думаю, это размышления вслух.
            +9
            Больше! Больше многоточий!
              0
              Вариант с ячейками технически ничем не отличается от стандартной пары логин/пароль. Только вместо своего логина — номер ячейки.
                0
                Это в случае, если ячейка заменяет логин. А если используется связка — Логин+пароль+ячейка?
                  0
                  Более длинный логин или более длинный пароль на длину номера ячейки, в зависимости от того, может в одну ячейку несколько человек логиниться или нет.
              +5
              Предпоследняя очень понравилась. Но потом придумал алгоритм как её взломать =)
                –1
                Пересечение линий ведь… Делаем обработку изображений… создаем «образ линий», ищем количество пересечений…

                Но Идея хорошая… Ведь можно не прямоугольники использовать, а более сложные фигуры… — тогда «распознавание» уходит в сторону нейронных сетей, также, как и в случае с текстом. Интересно, что будет защищеннее? (исключив фактор, что популярнее, то менее защищено)
                  0
                  Ну не только пересечения. Если палочки которые пересечены одинаковым количеством линий.
                    +1
                    Да, Вы правы… Создаем комплекс советов по «взлому» капчи?..
                      +1
                      Давайте =) Нижняя всегда должа быть пересечена всеми 3-мя. Её найти просто. Все последующие ищем по такому алгоритму: палка должна быть пересечена количеством на 1 меньше чем предыдущая + должна пересекать предыдущую. Вот и все)
                        0
                        палки могут быть разной длины, не все пересекают всех
                          0
                          Посмотрел и понял что не могу быть они разной длинны. Иначе сразу нету однозначного решения. Только нижняя в принципе может быть короче. Но тогда мы сразу знаем что она нижняя =)
                        +2
                        Можно попробовать и по-другому.
                        Капча с полосочками имеет всего 6! = 720 вариантов того, как она может выглядеть. К тому же она легка для распознавания. Отсюда алгоритм — берем 720 масок, сравниваем изображение капчи с каждой — находим порядок цифр. Остается распознать сами цифры, это несложно.

                        P.S. А я вот сейчас подумал… Что, если на каждой полосочке будет своя обычная капча. И каждая под углом. «Докажите что вы не робот — введите все 6 капч, начиная с самой нижней» :))
                          0
                          Зачем размещать обычную? Можно вместо каждой цифры отображать ещё одну такую капчу (уже с цифрами). Введите все 6 в правильном порядке. :)
                            0
                            А что, это идея для сайта знакомств. Чтобы можно было ставить себе одну из таких капч — и каждый раз, когда новый собеседник хочет с тобой связаться, он должен её решить (а последующие сообщения уже отправлять обычным образом, если его, конечно, не заблокируют после первого сообщения).

                            Можно ещё небольшую логическую задачку добавлять в качестве дополнительного этапа. :)
                              0
                              Да, пару интегралов и что-нибудь по программированию. И чтобы она сама настраивалась в зависимости от интересов. Поставил фотоаппарат — показывают пленку и вопрос «в каком году данная модель пленки была запущена в серийное производство?» Такой вот сайт знакомств для Друзя.
                                0
                                Зато с Друзем можно познакомиться.
                        0
                        Я думал про это, но тут можно этот «баг» использовать как фичу. Сильной бреши в обороне он не дает.
                          0
                          Так это и есть фича =)
                            0
                            Все же, если ввести прерывистые линии, искривленные, острые углы (и подобные «пряности») на мой взгляд получится весьма неплохое «усиление» капчи… Т… к используется
                            а) Распознавание букв (цифр)
                            б) Обработка изображения…

                            Главное, не замудрить…
                              0
                              Палочки я приводил в качестве макета. Ниже показал, что листочки с буквами друг над другом, повернутые на небольшой угол, уже становится очень сложно распознавать.
                      –26
                      Эта картинка просто обязана быть здесь…

                        0
                        Наверное во благо «ограждения» от потоков спама?
                          +3
                          Нет.
                            0
                            Вы видите хоть одно применение вышеописанного? ;-)
                              0
                              И судя по всему — не я один вижу.
                                –1
                                Как страшно жить…

                                P.S. Может быть все же хоть один примерчик, а? А то я себе пока что только представляю, как бы шевелились волосы у бедных пользователей, например, вконтакта, в ужасе от того, что они не догадываются, какую из 8²×5²-8×5=1560 комбинаций им выбрать в случае, если бы им предложили, например, первый вариант логина ;)

                                P.P.S. Сливайте.
                          +2
                          Забавно, но все эти варианты элементарно брутфорсятся.
                            +1
                            От брутформа давным давно придумали ограничение на кол-во вводов. Например 30 вводов достаточно, чтобы понять, что либо кто-то пытается сбрутить либо пользователь имеет настолько дырявую память, что проще предложить ему восстановить пароль (и вообще полезно сообщить ему, что его акк пытались открыть странным образом).
                              +1
                              От ограничения на количество вводов давным давно придумали использовать прокси-серверы.

                              Хотя насчет «элементарно брутфорсятся» я бы не спешил. Шахматных позиций существует 10^120 — больше, чем частиц во Вселенной.

                              А первый и второй варианты даже усложняют брутфорс, ведь надо подобрать не только значение полей, но и само их расположение.
                                0
                                >От ограничения на количество вводов давным давно придумали использовать прокси-серверы.
                                если вход осущесьвляется без привязки к логину. Иначе счетчик на логине висит
                                  0
                                  Шахматные позициии не обязательно перебирать все. Постепенным перебором мы получим доступ к аккаунту большинства пользователей, выбравших простые позиции. В принципе, в первом и втором варианте счетчик на логине действительно может решить проблему брутфорса.
                              +2
                              Все людям не имется, только бы ключи не юзать.
                                0
                                Вопрос хороший, а безопасно ли использовать один и тот же ключ на всех сайтах. Предоложим имею 2-3 ключа одинаковых (на случай потери), хочу регистрироваться на всех сайтах с двухфакторной аутентификацией (вводить пароль и значение ключа). Значит при регистрации мне надо передать ИД своего ключа, а сайт будет постоянно запрашивать АЦ на предмет валидности ключа.
                                Безопасно ли это? И когда наконец эта практика стандартизируется?
                              • UFO just landed and posted this here
                                  +4
                                  и у пользователя не будет автокомплита логинов/паролей
                                    0
                                    в некоторых случаях — это ок
                                  0
                                  Не уверен я, что можно сделать на этом принципе легко решаемую человеком, но тяжело — компьютером капчу. Придумывая задачу не забывайте: спаммера часто устраивает даже 5% точность распознавания капч, а вот человек неплохо бы, чтобы вводил с первого раза!
                                    0
                                    Набор вкладок, если будут проверяться их адреса — не прокатит, т.к., например, тот же баш недавно переехал
                                      +6
                                      Пока что по соотношению безопасность/удобство побеждает двухфакторная авторизация.
                                        +1
                                        Еще вариант похожего безумства: уникальный адрес страницы логина для каждого пользователя. А лучше несколько адресов: для того, чтобы работало поле ввода пароля, нужно последовательно запросить /login/unique-1/, /login/unique-2/, /login/unique-3/. Брутфорсить это можно до скончания времен.
                                          0
                                          Отличное пособие для того чтобы отвадить посетителей от ресурса.
                                            –1
                                            … отвадить нежелательных посетителей от ресурса.
                                            +1
                                            Логин зная только адресу мыла, брут! Для палочек и бумажек бота написать можно.
                                              0
                                              *адрес конечно
                                              +1
                                              Я у нас недавно на одном местном Эстонском сайте заметил интересную систему авторизации, не берусь судить насколько она удобная и безопасная, но покрайнемере необычная.

                                              Заходишь на специальную страницу входа, тебе выдаётся номер телефона по которому нужно позвонить (каждый раз разный, для этого надо иметь пул номеров). Тикает таймер, 60 секунд, за это время ты должен успеть позвонить. Как только звонишь, тебя сразу перенаправляет в раздел для залогиненных и залогинен ты по дефолту уже под своим телефоном.

                                              Но хочется отметить что это подходит по большей части для сервисов с жёсткой привязкой к мобильному телефону.
                                              При таком подходе отпадает нужда в регистрации, всё что от вас нужно сделать это позвонить по данному номеру.
                                                –3
                                                А на Ваш звонок снимается трубка с автоответчиком и стоимость звонка over 150 рублей за минуту… — не очень удобно… все же ввод номера, на который затем отправится СМС с подтверждением — лучше… (как минимум такого способа мошенничества не получится)
                                                  0
                                                  Немного напоминает bu.mp, только там вместо звонка ускорение смартфона и нажатие пробела.
                                                  0
                                                  я просто оставлю это здесь creative3d.ru/blog/funcaptcha
                                                    0
                                                    Много веселых, забавных и почти все слабые (кроме математических). С ними я, разумеется, знаком.
                                                    Своей капчей я пытался донести мысль, что программа еще толком не умеет понимать, что картинка трёхмерная, и что один объект находится за другим, а вот человек легко это понимает.
                                                    Поэтому хочу донести мысль, что нужно пользоваться этим преимуществом человека перед машиной для создания капчи.
                                                    0
                                                    Проблема несколько надумана, ибо решена.

                                                    Гугл (+FB +VK) уже предложили вполне себе неплохие велосипеды для решения проблемы авторизации, ведь когда логин выполняется лишь однажды, а затем все сервисы (в которых когда-либо была гугл-авторизация) доступны автоматически, то это по-любому удобнее предложенных тут вариантов.

                                                    Угон же акка гугла автоматически означает слив всех аккаунтов на любых сайтах через восстановление пароля, поэтому остается лишь сожалеть, что не все владельцы сайтов используют эту простую и эффективную технологию.
                                                      0
                                                      Кое-что интересно. А кое-что читаешь и вспоминаешь фразу: «мсье знает толк в извращениях»

                                                      В браузер ставится расширение, которое будет знать, какие вкладки у нас открыты (не уверен, что расширения так умеют).
                                                      Ключ для входа на сайт — это связка email и набор открытых вкладок (например: хабр, баш и яндекс погода).
                                                      Как вариант, вместо вкладок можно использовать набор закладок браузера.

                                                      Т.е. доступ на сайт ограничивает сам браузер? и зачем так делать?

                                                      Only users with full accounts can post comments. Log in, please.