Нарисуй секрет - Draw a Secret

Нарисуй секрет (DAS) является графическим пароль схема ввода разработана Ян Джермин, Ален Майер, Фабиан Монроуз, Майкл К. Рейтер и Авиель Д. Рубин и представлен в документе на 8-м симпозиуме по безопасности USENIX в августе 1999 г.[1]

Схема заменяет буквенно-цифровой строки паролей с изображением, нарисованным на сетке. Вместо ввода буквенно-цифрового пароля этот метод аутентификации позволяет пользователям использовать набор жесты нарисованный на сетке для аутентификации. Рисунок пользователя отображается в сетку, в которой последовательность пар координат, используемых для рисования пароля, записывается в последовательности. Новые координаты вставляются в записанную «парольную» последовательность, когда пользователь заканчивает один штрих (движение нажатия на экран или мышь, чтобы начать рисование с последующим снятием стилуса или мыши для создания линии или фигуры) и начинает следующий штрих. сетки.

Обзор

В DAS пароль - это изображение, нарисованное произвольной формы на сетке размером N x N. Каждая ячейка сетки обозначается двумерными дискретными координатами (x, y) ∈ [1, N] × [1, N]. Завершенный рисунок, то есть секрет, кодируется как упорядоченная последовательность ячеек, которую пользователь пересекает при построении секрета.[2]

Преобладающим аргументом в пользу графических паролей вместо буквенно-цифровых является использование Эффект превосходства изображения который описывает улучшенную производительность человеческого разума при воспроизведении изображений и объектов по строкам текста. Этот эффект используется с помощью DAS, так как сложные рисунки легче запоминать человеческому разуму, чем длинную строку буквенно-цифровых символов. Это позволяет пользователю относительно легко вводить более надежные и безопасные последовательности с помощью графических схем ввода пароля, чем обычный ввод текста.

Вариации

Фон Нарисуйте секрет (BDAS)

Этот вариант исходной схемы DAS предназначен для повышения как безопасности схемы, так и упрощения проверки пользователем. Используется та же сетка, что и в исходной Draw a Secret, но поверх сетки просто отображается фоновое изображение. Фоновое изображение помогает восстановить сложные для запоминания пароли. Это связано с тем, что при использовании исходной системы пользователь должен не только запоминать штрихи, связанные с паролем, но и ячейки сетки, через которые проходят штрихи. Это может вызвать затруднения, поскольку все ячейки сетки похожи и не имеют уникальности. С помощью BDAS пользователь может выбрать изображение для размещения поверх сетки, которая имеет уникальные особенности, помогающие правильно разместить рисунок.

Исследование, проведенное в университете Ньюкасла, показало, что с фоновым изображением участники исследования имели тенденцию составлять более сложные фразы-пароли (например, с большей длиной или количеством штрихов), чем другие, которые использовали DAS, хотя скорость запоминания после одного - недельный период показал почти идентичный процент участников, имеющих способность вспоминать последовательности DAS по сравнению с последовательностями BDAS.[2]

Вращательное рисование секрета (R-DAS)

R-DAS - это вариация исходной системы Draw a Secret, в которой пользователю разрешено вращать сетку рисования либо между штрихами в последовательности, либо после того, как вся последовательность была введена и «секрет» нарисован. После выполнения одного поворота любые последующие вращения в том же направлении без встречного вращения в другом направлении между ними рассматриваются как один поворот.[3]

Пример дополнительной надежности пароля показан ниже:[3]

Если исходный пароль вводится следующим образом (представлен в виде последовательности штрихов по сетке):

(1,1)(2,1)(3,1)(4,1)(5,1)(6)(5,1)(5,2)(5,3)(5,4)(5,5)(6)(1,1)(1,2)(1,3)(1,4)(1,5)(6)(3,1)(3,2)(3,3)(6)

С помощью R-DAS можно добавить несколько изменений направления для повышения безопасности:

(1,1)(2,1)(3,1)(4,1)(5,1)(6) (-90) (5,1)(5,2)(5,3)(5,4)(5,5)(6) (+90) (-45) (1,1)(1,2)(1,3)(1,4)(1,5)(6) (+225) (3,1)(3,2)(3,3)(6) (+180)

Проблемы с безопасностью

Несколько принятых паролей

Кодирование конкретного секрета имеет отношение «один ко многим» с возможными рисунками, которые он может представлять, это означает, что на самом деле более одного рисунка могут быть приняты как успешная аутентификация пользователя.[2] Это особенно актуально для небольшого количества ячеек в сетке N x N.

Чтобы решить эту проблему, в сетку можно включить больше ячеек. Это затрудняет прохождение всех ячеек, необходимых для выполнения последовательности пароля. Цена этой дополнительной безопасности - увеличение сложности воспроизведения пароля фактическим пользователем. Чем больше ячеек присутствует в сетке, тем точнее должен быть пользователь при вводе пароля, чтобы пройти через все необходимые ячейки в правильном порядке.

Атаки по графическому словарю

Посредством использования общих «горячих точек» или «достопримечательностей» в сетке или фоновом изображении можно инициировать атаку по графическому словарю для угадывания паролей пользователей.[4] Другие факторы, такие как схожие формы и объекты на фоновом изображении, также образуют уязвимости «порядка щелчка», поскольку эти формы могут быть сгруппированы вместе и использованы в последовательности.[5]Эти атаки гораздо более распространены для фонового варианта Draw a Secret, поскольку в нем используется изображение, которое может использоваться для эксплуатации уязвимостей, описанных выше. Исследование, проведенное в 2013 году.[6] также показали, что пользователи имеют тенденцию проходить аналогичные процессы выбора пароля для разных фоновых изображений.

Атаки при серфинге через плечо

Эта форма атаки инициируется сторонним наблюдателем, наблюдающим, как пользователь вводит свой пароль. Эта атака присутствует в большинстве схем ввода для аутентификации, но схемы DAS особенно уязвимы, поскольку штрихи пользователя отображаются на экране для всеобщего обозрения, в отличие от буквенно-цифрового ввода текста, при котором введенные символы фактически не отображаются на экране.

Были разработаны три метода защиты систем DAS и BDAS от атак с плеча:[7]

  1. Удары-приманки - использование ударов, которые вводятся просто для того, чтобы сбить с толку потенциальных зрителей, они могут различаться по цветам, выбранным пользователем.[7]
  2. Исчезающие штрихи - каждый штрих удаляется с экрана после его ввода пользователем.[7]
  3. Сглаживание линии - расширение метода исчезающих штрихов, при котором вскоре после начала штриха конец штриха начинает исчезать вскоре после этого, создавая видимость "извилистой линии"[7]

Реализации

Первоначальная реализация DAS была на КПК (Персональный цифровой помощник ). Недавно с выходом Windows 8, Microsoft включила возможность переключения на «графический пароль». По сути, это реализация BDAS (поскольку для этого требуется выбор изображения на заднем плане), но она ограничена только последовательностью из трех жестов для установки пароля, что снижает фактическую безопасность, которую BDAS обеспечивает по сравнению с обычными буквенно-цифровыми паролями.[8]

Рекомендации

  1. ^ Джермин, Ян; Ален Майер; Фабиан Монроуз; Майкл К. Райтер; Авиель Д. Рубин (1999). Дизайн и анализ графических паролей.
  2. ^ а б c Данфи, Пол; Ян, Джефф. "Улучшают ли фоновые изображения" Нарисуйте секретные "графические пароли?" (PDF). Архивировано из оригинал (PDF) 15 февраля 2010 г. Цитировать журнал требует | журнал = (помощь)
  3. ^ а б Чакрабарти, Сайкат; Лэндон, Джордж; Сингхал, Мукеш. «ГРАФИЧЕСКИЕ ПАРОЛИ: РИСУНОК СЕКРЕТА С ВРАЩЕНИЕМ КАК НОВАЯ СТЕПЕНЬ СВОБОДЫ» (PDF). Цитировать журнал требует | журнал = (помощь)
  4. ^ Торп, Джули; ПК. ван Оршот. «Атаки со стороны человека и использование горячих точек в графических паролях» (PDF). Цитировать журнал требует | журнал = (помощь)
  5. ^ Оршот, Ван; Торп, Джули. «Использование предсказуемости графических паролей на основе кликов» (PDF). Цитировать журнал требует | журнал = (помощь)
  6. ^ Чжао, Цзыминь; Ан, Гейл-Джун; Со, Чон-Джин; Ху, Хунсинь. «О безопасности аутентификации с помощью жестов изображения» (PDF). Цитировать журнал требует | журнал = (помощь)
  7. ^ а б c d Закария, Нур Харьяни; Гриффитс, Дэвид; Brostoff Sacha; Ян Джефф. "Защита от серфинга на плече для графических паролей на основе отзыва" (PDF). Цитировать журнал требует | журнал = (помощь)
  8. ^ «Войдите, используя графический пароль». Отсутствует или пусто | url = (помощь)