GOTPass: новая беспарольная система аутентификации пользователя



    За прошедшие несколько лет неоднократно высказывалась мысль о том, что метод аутентификации пользователя при помощи паролей несколько устарела. Некоторые компании, соглашаясь с этим мнением, стараются создать новые системы аутентификации, которые были бы более безопасными стандартных методов, и одновременно более удобными для работы. Одна из таких систем разрабатывается исследователями из Плимутского университета.

    Ученые назвали свой проект GOTPass, это комбинированная система, в которой объединяются паттерны, изображения и единоразовый пароль. Все это нужно для создания системы, которая может быть более удобной и более безопасной, чем привычные нам способы аутентификации.

    GOTPass требует единоразовой настройки. Здесь пользователю будет необходимо выбрать способ соединения ячеек в массиве 4*4. После выбора паттерна, пользователь увидит случайные изображения, из которых потребуется выбрать одну картинку. Как только и этот пункт будет завершен, «пароль» будет готов к работе.

    Теперь при логине система работает достаточно просто для пользователя — нужно ввести свой логин, а затем начертить свой «графический пароль». Следующий шаг — демонстрация пользователя из 16 изображений, из которых два были выбраны при начальной настройке. Как только пользователь выберет правильное изображение, система выдаст ему одноразовый пароль, который потребуется ввести в специальном поле. Код формируется рандомный, 8-ми символьный.

    Все это звучит довольно сложно, но по факту аутентификация с использованием нового метода занимает не больше времени, чем ввод пароля. Команда утверждает, что новая система еще довольно «сырая». В дальнейшем будет проводиться работа по увеличению эффективности работы такой аутентификации и ее удобству для пользователя. Сейчас же «взломать» новую систему аутентификации удалось 8 раз из 690. Это около 3,3%, что довольно неплохо.
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 10

      +3
      Ничего не понял. Впрочем прочитав оригинал тоже мало что понял.
      Более читабельная версия статьи нагуглилсь например тут: http://internetua.com/graficseskaya-autentifikaciya-sdelaet-onlainovii-banking-bezopasnee

      Вообще надежность такого метода довольно низкая, но думаю свою нишу он найдет.
        0
        с мобильных устройств так удобнее заходить — пальцем в картинки потыкать только. Со стационара неудобнее, КМК
          0
          Дело не в этом.
          Слишком просто подобрать.
          Картинки дают максимум 16*15 комбинаций, но реально через пару попыток мы уже сможем с высокой вероятностью отследить чаще всего повторяющиеся картинки.
          У графического пароля теоретически 2^16 комбинаций. Если рисунок должен быть непрерывным то существенно меньше, а на практике так у большинства пользователей будет пару десятков паролей самых распространенных.
          Подбор такого пароля настолько прост, что его легко можно осуществлять даже вручную.
          Но если к примеру это будет как часть двухфакторной авторизации, где первый фактор будет скажем приложение на телефоне (что может быть простым) или чип-карта для авторизации или еще что-то, и уже после третьей ошибки доступ блокируется, (а брутфорс по всем пользователям не даст первый фактор авторизации), то это вполне живое решение…
        +7
        Брр, помнить картинку, помнить графический ключ и при этом нельзя воспользоваться менеджером паролей. Надеюсь, что этот способ не будет обязательным, а лишь как альтернатива традиционному.
          +3
          Что пароль, что графический ключ, что пин. Как не назови, всё по сути едино.
            –1
            > Одна из таких систем разработывается

            ботами разрабатывается?)
              +1
              Относительно узкая область применения получается. Веб, мобильные и немобильные приложения, взаимодействующие с пользователем через экран. Такой пароль не наберешь в каком-нибудь киндле, на экранчике принтера, не пропишешь в конфиге для взаимодействия через API. А уж про внедрение этого дела даже боюсь думать.
              Плюс такой вариант труднее в запоминании. Вот пару лет назад зарегистрировался где-то, и думай что за две картинки выбрал и что за графический ключ придумал. и тут уже сложнее разнообразить свои пароли, ибо запутаться в них гораздо легче.
                0
                > Теперь при логине система работает достаточно просто для пользователя — нужно ввести свой логин,
                > а затем начертить свой «графический пароль»
                У символьного пароля есть то полезное свойство, что пользователь может сделать устойчивую ассоциацию с чем-либо, и запомнить его. А как пользователь будет запоминать графический пароль, если он не пользуется им каждодневно?
                  0
                  Когда NFC будет встроен во все ноутбуки, компьютеры, смартфоны и планшеты — можно будет думать над протоколом, который избавит людей от паролей. А пока альтернатив нормальных нет…
                    +1
                    Вообще, все это выглядит как деградация: постепенный отказ от письменности в пользу картинок. Сначала смайлики, теперь вот это. Более того такая система сильно замедляет процесс авторизации.

                    В качестве примера приведу капчу гугла (там есть такой вот режим распознавания картинок, в духе «выберите все фрукты»). Чтобы пройти этот квест, вместо того, чтобы нажать после набора сообщения, ввести несколько символов и нажать , придется оторвать руку от клавиатуры, нашарить мышь, тыкать-тыкать-тыкать. Опять же, частенько все это ломается при использовании кастомных css.

                    В качестве капчи оно еще хоть как-то может сгодиться, но вот держать в голове какие я там пиктограмки выбрал при регистрации на ресурсе…

                    Я, как бы, понимаю: планшетизация, люди совсем отвыкли пользоваться клавиатурой и типовое сообщение на всяких развлекательных ресурсах можно скомпоновать несколькими пиктограммами, а частенько и вовсе обойтись одной. Очень не хочется, чтоб подобный стиль общения стал повсеместным.

                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                    Самое читаемое