Pull to refresh

Comments 91

В минусы стоит ввести еще то, что вас не пустят при логине, скажем с кпк или с незнакомой клавиатуры ( ох уж эти нестандартные клавиатуры ).

А вообще идея вряд ли станет сверх популярной, но в корпоративном сегменте сверхсекретных разработок — почему бы и нет. Хотя тут есть другая проблема — очень часто пользователи не успевают привыкнуть к паролю, выработать свой стиль ввода, потому что его меняют, согласно корпоративной политике безопасности ( у нас — раз в месяц ).
Обновлено. За ликбез по поводу корпоратива спасибо, не сталкивался.
Мир, наоборот, стремится к более простому поминанию/использованию. Зачем пользователю помнить еще и эти нюансы? Нужно упрощать для людей вещи, и усложнять защиту для ботов. В данном примере ввод и защита только усложняются. (IMHO)
ну не сказал бы. Автор подметил то, что стиль набирания слов в пароле у одного человека чаще всего один и тот же, и это верно, но он не заметил другое, про что ему достаточно доходчиво обьяснили в комментариях.
Минусы:
Отличная от нуля верятность того, что человек, не прошедший авторизацию — именно тот, кому принадлежит данная учетная запись :-)

Сразу полезли в голову нехорошие мысли: что, если человек потерял палец в бою, и теперь не может так же вбарабанивать пароль; что, если он попал за маленькую клавиатуру (нетбук, телефон) и пытается вбить свой пароль на сайт…

В общем, метод, вроде бы, и неплохой, но не универсальный.
ну можно просто не учитывать нажатие между кнопками (интервал).
в чем тогда отличие от обычного пароля? :D
Замер временных интервалов это всего-лишь бонус(возможно даже лишний). Основная идея — в сравнении общего полученного текста, учитывая стёртый в поцессе:
«паранойа» не равно «паранойа[backspace]я»
Следовательно, даже если злоумышленник украл ваш пароль, он должен знать как именно вы его вводили при регистрации. Скажем, вы сделали это, как на картинке — удалили и добавили последнюю букву(простейший пример). Злоумышленнику необходимо повторить те же действия чтоб авторизироваться.
«Даже истинный админ набирает текст 1 пальцем, когда создаёт пароль на сервере» (С)bash.org.ru
Что касается телефонов и устройств — да. Уже внёс в минусы.
супер всё гениальное — просто.
Как продолжение идеи, предложить пользователю специально делать паузы в набирании пароля.
К примеру:
pas[пауза]sword
Где [пауза] четко обозначена интервалом времени (1-2с) и отлично воспринимается скриптами.
В скором времени запись пароля будет похожа на нотную грамоту :)
p[полная]a[четвертная]a[четвертная]ss[легато]w[половинная]ord[аккорд]
Да-да :)
Мне тоже пришла мысль о наборе пароля как настукивание мелодии :)
Параноик — это от дюжины символов смесью когда пароли ставят…
Хм, неплохой вклад в копилку идей глобальной паранойи.
Мастер паролей в браузере (для тех кто им пользуется) вы полагаете тоже будет это отслеживать?
Тем, кто им пользуется, идеи глобальной паранойи, очевидно, чужды.
Ну не скажи! Я параноик однозначно, но я пользую автономный менеджер паролей с автозаполнением. Кстати там есть возможность и паузы делать при вводе и стирать символы, но все равно в идее смысла особого не вижу — у меня и так пароли все ~20 символов сплошной абракадабры и контроль скорости/порядка ввода особой защиты не добавит!
UFO landed and left these words here
О каком брутфорсе речь?
Блин промазал…
Сам прикинь: 62 возможных символа (латинские буквы с учетом регистра + цифры) ^ 20 символов в пароле = 704423425546998022968330264616370176 возможных варианта, и это без учета кириллицы и спец. символов!
В случае реального взлома узким местом будет уж точно не брутфорс! К тому же разработчик внедряющий такую мудреную систему аутентификации наверняка предусмотрит ограничение на количество попыток ввода пароля.
Чем-то идея перекликается вот с этой, хотя там речь идёт о защите с другой стороны; ещё там же интересна ветка комментариев вот с этого и дальше. Но тамошняя проблема в том, что предложения разного рода идут к пользователю со строны реквестирующего пароль ресурса. Здесь же, наоборот, пользователь определяет механизм ввода при регистрации лишь единожды, что является плюсом для пользователя.
Как средство пропуска капчи — идеальная штука, но не более того.

А вообще получится так: сел за комп пьяный и думай — он тебя обманывает или ты его.
По сути, backspace становится таким же символом при подборе пароля, который, правда, тайком влияет на его длину. Вообще здорово, но я думаю, после отпуска без сброса пароля не обойтись :)
в некоторых ОС backspace и так как символ используется =) по-моему в кнопиксе было так=)

А вообще мне кажется это только в корпорациях будет востребовано но тогда надо изменять политику безопасности чтоб только один пароль для одного пользователя на все его время работы в корпорации.
Пасс q-w-e-backspace-backspace-backspace как альтернатива qwerty =)
Иногда приходится давать свои пароли другим людям по различным причинам (посидеть в интернете, скачать торрент, и.т.д). На лицо проблема правильной передачи пароля другому человеку, многие латинские буквы то записать не могут правильно, а тут ещё нужно соблюсти правила ввода.
Ни один вменяемый специалист никогда не даст свой пароль другому человеку.
Это напрямик запрещено в принципе таким понятием как парольная защита.
Смотря какой значимости этот пароль. Я могу дать пароль от файлообенника или от гостевого интернета.
Если пароль не значимый, то зачем вообще извращаться?)
Что-то типа нотной грамоты вспоминается: набираем qwer в темпе, выдерживаем паузу, неспешно стираем два последних символа, после чего вводим 123 «на одном дыхании» =)
нужно ввести 2 типа пауз — маленькая и большая и предложить пользователю самому их расставлять во время выбора пароля. Тогда при наборе пароля нужно будет делать что-то вроде: П (
чиорт отрезало

П 3сек А 1сек Р 1сек О 3сек Л 3сек Ь
Мельком глянув на картинку — подумал — новый вид анимированной капчи — т.е. ты должен изменять текст как показано на картинке…
кстати гуд!!!
Если бы была у меня карма я бы тебе + поставил =)
Блин, ну, неужели, нельзя без этих «Если бы да кабы»?
Комментарии «поставил бы плюс, да не могу», топики «перенес бы в блог, да кармы нет».
Намек, да не намек, а прямое требование «Дайте мне кармы». Я всего тут месяц, но не представляю, если подобное встречается тут уже не один год.
Это уже «традиция»)
В каждом десятом комментарии и в каждом пятом топике.
хочу сказать что я ни чего не просил а просто сказал что мой плюс был бы по любому если бы карма была!
UFO landed and left these words here
Идея имеет право на существование, но конечно область применения весьма узка. Для массового пользования будет большой процент «ложных» предупреждений и отказов, а для «секретных» задач думаю легитимней использовать сертификаты/флешки/опечатки пальцев/зубов/глаза.

P.S.
Правда термо-ректальный криптоанализ никто не отменял тоже =)
UFO landed and left these words here
UFO landed and left these words here
го еще проверку времени ввода символов! )
На любой пароль есть метод ректального криптоанализа или ампутации отпечатко-содержащего дигита.
Что-то в этот раз поздновато эта фраза появилась… Куда уж без нее в топике про пароли!

Кину мнение против: не на каждого подействует — это раз, не всегда известно, против кого применять, это два.
Ну-ну, с пояльников в… пользователь конечно точно также будет на клавиатуре набирать как и без пояльника.
Только не понятно это в данном случае плюс или минус :(
Это просто к тому, что там где тонко — там и рвёцца.

И надо при построении периметра безопасности все звенья укреплять, а не только звено ИКС.

зы: Это скорее в минус :) Характер ввода явно меняется. Но с другой стороны мы можем поручить ввод другому человеку.

Да и вводе по-мойму особого почерка мало, кроме скорости ввода.
В одной из текстовых RPG (мад), в которой я играл, очень успешно использовалась проверка людей по «почерку» действий в игре — набору команд и сокращений, которые использовались. Не знаю точно цифры, но передачу аккаунтов и дублирующие аккаунты таким методом определялись часто и надёжно. На сайтах, я думаю, тоже можно это использовать — выделить характерные действия пользователей — в каких местах нажимает на кнопки, на какие именно, какие из идентичных ссылок использует, с какой скоростью страницу скроллит и т.п.

Если правильно подобрать признаки — можно вполне успешно определять передачу аккаунтов, взломы и прочее. Конечно, поведение человека может отличаться на разных компьютерах и из-под разных браузеров, но это тоже можно либо учесть либо проводить дополнительные проверки при подозрении.
Ага, и поэтому в мудах у меня были проблемы постоянно: потому что поведение меняется от перса к персу и от задания к заданию. Тот же набор клиенских скриптов и ботов делает поведение супервариативным. Разве что запретить использовать скриптов, ботов, пиво во время игры, курево, и просто отыгрывание роли в разных стилях.
Определение почерка — только инструмент. Если почерк изменился — это может значить много разных вещей, не обязательно плохих. Но в некоторых случаях это один из самых эффективных интсрументов. Конечно, если правильно его использовать (что касается любого инструмента :).
Очень интересно где вы тут защиту от капчи углядели?
Люди скрипты пишут распознающие картинки быстрее и правильнее чем люди. Что мне мешает сэмулировать нажатие клавишь, с генерировать и отослать информацию о моём псевдоручном наборе.

Далее, идея конечно прикольная, но так получается, что регистрироваться приходится, в неделю раз 5, и если регистрация ради 1-й мелочи, я использую пороль из серии 123. На более-менее важных сайтах, сервисах и т.п. я использую, что-то типа двойного пароля. Например у меня есть мой любимый 10 символьный рандомный пароль, который набираю за секунду, и на каждом новом ресурсе я к паролю добавляю слово.
Какие плюсы?
— Я имею 1 уникальный пароль(который мне ненужно дополнительно запоминать)
— Для каждого нового сайта, мне нужно запомнить одно простое ключевое слово, и его можно связать например с дизайном сайта или другим ключевым моментом ресурса. Например на кинопоиске у меня ключевое слово любимый жанр.
К чему я? К тому что можно такое реализовать при регистрации, по мимо пароля просить указать ключевое слово.
Пароль и есть ключевое слово. Человеку, наверное, проще запомнить один пароль, чем два
Создавать каждый раз уникальный брудфорсостойки пароль, и запоминать его мне не по силам.
Это понятно, главное что и так и так приходится два пароля помнить (в Вашем случае), вот и возник вопрос, зачем их разделять…
да чтож ты такой непонятливый. Один пароль вида tf6v8xc7rs — я допустим знаю наизусть, вторая часть пароля различается для каждого сайта.
О, пусть такие пароли сочиняют писатели!
У меня все пароли — это стихи.
И символов там редко где меньше 20, и набираются на одном духу. И очень сомнительно, что их кто-то когда-то подберет.
Правда, когда отвлекают посередине набора пароля — приходится набирать заново.
а как же быть с запоминалками паролей?
Выпустить новые версии?
По сути, данный метод ничего не решает. Он НЕ делает коротким пароль, НЕ делает его сложнее. Сложность пароля остается той же, просто к «разрешенным» символам прибавляется символ бэкспэйса (+1 символ к алфавиту). И сложность запоминания/подбирания пароля все еще прямо зависит от качества «комбинации нажатий клавиш».

В идее нет смысла еще и потому, что кейлоггеры так или иначе УЖЕ не имеют сложности записать все клавиши (включая временные промежутки). Также, как вы сами догадались — без javascript (или встроенной поддержки в браузере) отслеживать дополнительную «неординарную» клавишу невозможно, следовательно залогиниться можно будет с ограниченного набора устройств.

Метод попроще (но им уже редко кто пользуется) — это переключать раскладку внутри пароля (и тем самым расширить алфавит на ~30 символов). Не пользуются, думаю, из-за боязни не зайти там где нет русской раскладки / наклеек на клавиатуре (т.е. ограниченный круг устройств).
Вот, кстати, реализация:

<input type=«password» onkeydown=«if (event.which == 8) {this.value += 'ы'; return false}»>

(для IE нужно слегка допилить, а символ 'ы' поменять на более технический)
Сайты которые будут юзать это, будьте вы прокляты :)
Спасибо, добавил в закладки =)
Мне кажется добавление одного символа в пароль повысит защищенность больше, нежели предлагаемая методика.
Возможно и никогда и не будет.
Не прокатит. Я, например, когда регистрируюсь, обычно придумываю новый пароль. Пароли у меня сложные, человеконеудобные, первый раз ввожу медленно. К пятому-шестому разу скорость набора обычно вырастает до почти пулеметной, процент опечаток тоже падает. Меня тогда ваша авторизация пускать перестанет.
Другой вариант: что скажет ваша проверка, если я опечатался и жму «Shift+Home, Del» либо «Ctrl+Shift+Left, Del», после чего вбиваю пароль заново? С большой вероятностью пошлёт нафиг. Естественно, любой после этого предаст анафеме ваш сервис.
С выходом семерки — пользуюсь сверх-удобной экранной клавиатурой, которая запускается значком рядом с языковой панелью. Клавиатуру из выезжающего лотка достаю очень редко, а на виртуальной клаве раз на раз не приходится — то быстро получается щелкать, то ошибка за ошибкой. Так что, идея хороша, но не вовремя =)
UFO landed and left these words here
Данные о порядке ввода пароля и времени, как я понял, отправляются на сервер, видимо, как дополнительные переменные, которые так же можно подделать…
Я думаю эта защита будет хороша до тех пор пока не пойдет в массу, а затем не так и сложно будет ее взломать.
Думаю, что этот подход плох, потому что сложен и неестественнен. И так уже критикуют звёздочки в поле пароля, а тут ещё и какой-то «хитрый» ввод, который сложно отслеживать и нужен только, пока другие вводы «нехитрые». Неопытные пользователи выпадут сразу. Это можно делать только для какого-нибудь игрового сайта, вроде интерактивной Школы Хогвардс.

А вот, вдохновившись идеей, сделать анимированную капчу — это дело. ;-)
Анимированная каптча — простейший ребус?
Это да, интересно.
Что только не придумают =).
Может проще выдать персональный ключ дополнительно к проверке пароля?
О, идея ))

ARSA — Animated RSA.

Алгоритм заключается в том, что при входе на ресурс, нужно каждый раз генерировать ключ заново. Генерилка чтобы прозрачно работала на основании жестов мышкой, которые рисуются в ходе генерации. Ну и потом (с ключом в качестве посредника) будут сравниваться уже жесты мышкой. Ну и не RSA конечно =)
Между прочим, для WebMoney ключ именно так и генерится!
Но жесты мышью не сравниваются =)
Ну такое в какой то степени уже внедрено. Если слишком долго набирать PIN пластиковой карточки в банкомате то проследует сообщение от последнего — «Слишком долго набираете PIN» и карточка выплюнется.
Это такая защита мировой банковской системы, чтобы люди-тормоза не имели доступа к деньгам? =)
в информационной безопасности есть такое множество подходов к обнаружению вторжений — называется оно поиском аномалий. То что вы предложили и относится к этому подходу. но на практике, я боюсь, он применения иметь не будет, учитывая всякие независящие от пользователя временные задержки, тут слишком маленькая выборка (в среднем 10 символов).
Некоторое время поразмышляв, я нашел как минимум 1 аргумент, который делает данный подход малореальным.
Это раскладка клавиатура и способ ее переключения:
Допустим что пароль состоит как из русский так и, к примеру, английских букв, символов и так далее — в при работе с разными ПК время переключения раскладки будет различным, поскольку используются разные варианты переключения. Это раз.
При введении пароля мы будем обязаны перед самой формой для ввода пароля переключить раскладку на ту, которая у нас была установлена при его введении в первый раз, иначе система засчитает доп комбинации клавиш, которых в пароле нет. Более того, если перед первоначальным введением пароля мы меняли раскладку с русского на английскую, чтобы авторизироваться мы должны:
1. Перед формой установить Русскую раскладку
2. перейти на форму и установить раскладку на Английскую, и это необходимо делать именно при фокусе на поле пароля.
3. Мы обязаны переключить раскладку за то же время, что и при регистрации.
Это два.

Еще причина по которой это малореальный вариант — человек, работающий с ПК постоянно постепенно увеличивает скорость работы с клавиатурой — у него естественным образом изменяется «почерк». Это три

Даже если разработать систему Искусственного интеллекта, которая будет отслеживать естественное изменение «почерка», она вряд ли будет в состоянии отреагировать на такие параметры как:
1. Коммандировка с интенсивным обучением на другом ПК.
2. Переход на слепой набор
3. Простейшая замена клавиатуры несколько измененного формата.
Это четыре.
Это еще и нарушение законов ряда стран — сбор приватной информации, и создание системы, которая по-сути в состоянии обучиться имитировать «почерк»(в том числе и нашей — закон о конфиденциальности и нераспространении конфиденциальной информации, который вступает в силу с нового года).
Это пять.
Человеку будет весьма сложно в точности повторить временно-комбинаторную схему, приводящую к паролю, а вот системам, тупо перехватывающим твой ввод это проблемы не составит абсолютно.
Это шесть.
И последнее — гораздо легче вместо всех этих танцев с бубном, мощнейшей аналитикой, сбором и анализом большого объема данных и обучения этой системы, гораздо легче просто отказаться от паролей в принципе а в клавиатуру встроить сканер отпечатков пальцев, что на нынешний момент гарантирует большую безопасность и, наверняка, обойдется дешевле в практическом внедрении.

Как постскриптум: Система в первую очередь должна увеличивать безопасность и осложнять взлом.
Осложняет ли взлом данный подход?
Нет, поскольку все стандартные методики, кроме тупого перебора остаются в строю, с мелкими косметическими изменениями в несколько строчек кода (почерк можно снять перехватом ввода? да. Почерк должен быть в базе шифрованных паролей? да).
Облегчает ли он взаимодействие с системой?
Нет — однозначно затрудняет.
Фига себе один аргумент получился :)
Хм… Интересно сколько опций будет у программы для перебора паролей при такой системе?
Интервал между 1-м и 2-м символом, мс
Интервал между 2-м и 3-м символом, мс
Интервал между (N-1)-м и N-м символом, мс
Для не важных паролей использую запоминалку lastpass, для важных — локальный робоформ. Отсутствие необходимости вводить пароли ручками позволило генерировать пароли даже на не нужную ерунду по 20 случайных символов… Вот и всё

По теме:
Теоретически, зная психологию пользователя, можно предположить, что пароли набираемые ручками не будут содержать пауз больше 3 секунд между буквами + погрешность проверяльщика еще более уменьшает количество вариантов. Так что тот же брутфорс, к примеру…

Если технология (что вряд ли) станет популярной — теория взлома так же несложна как и существующая
Программисты объясните, меня давно мучает один вопрос:
Возможно ли для защиты от брутфорса, банально, при проверке пароля вставить задержку (около 1ой секунды)? То есть скорость перебора составит максимум 1 вариант/секунду, и при этом смысл брутфорса потеряется.
Проще пароль сложный придумать, чем сидеть с секундомером перед клавой
И еще один момент: а если пароль не набирается, а копипастится? Например многие хранят сложные пароли в текстовых файлах «под замком». Ведь все пароли хранить в голове просто не реально.
Вот именно, что делать с keepass-ом?
Only those users with full accounts are able to leave comments. Log in, please.