Читаем Журнал «Компьютерра» № 8 от 28 февраля 2006 года полностью

Команда исследователей из Университета Рутгерса в Камдене (штат Нью-Джерси) представила новую технологию авторизации пользователей. Работа, проведенная в рамках проекта Graphical Password , недавно дошла до стадии демо-программы, которую разработчики выложили на своем сайте, предлагая всем желающим на себе испытать ее необычную концепцию.

Цель проекта, как следует из названия, — заменить обычные пароли из букв и слов некой графикой. Причины для такой замены весьма актуальны — большинство пользователей до сих пор выбирает в качестве паролей простые, короткие и повторяющиеся слова. Что бы ни охраняли эти комбинации — почтовый ящик или электронный кошелек, люди упорно используют примитивные kitty или mouse вместо цифро-буквенных сочетаний. Подобный примитивизм отчасти объясняется неосведомленностью, отчасти ленью, а отчасти свойствами нашей памяти, неспособной запомнить стойкий к перебору код типа 58hGj3%p1.

Кое-кто решает эту проблему крылатыми фразами в неправильной раскладке. Попробуйте набрать без пробелов «Путин читает Компьютерру», как будто вы забыли переключиться на кириллицу. Получится бессмысленный ряд букв, который очень трудно запомнить постороннему человеку и проще простого запомнить вам. Если на машине нет двух раскладок, можно выдумать с полдесятка других методик, но увы — обычному люду эти мнемонические фокусы глубоко чужды. Оттого и создаются разного рода «графические пароли».

Формальный приоритет на авторизованный доступ посредством графической картинки принадлежит некоему Грегу Блондеру (Greg Blonder) и защищен американским патентом №5559961 от 1996 года. Однако знатоки фантастики могут вспомнить, что еще в 1981-м основоположник киберпанка Уильям Гибсон в рассказе «Джонни-Мнемоник» описал пароль в виде зрительного образа, открывающего доступ к зашифрованному архиву. Впрочем, ни Гибсона, ни Шахерезаду (с ее сказкой о пещере, закрытой акустическим кодом) не стоит считать первопроходцами — такие пароли наверняка использовались с незапамятных времен.

Идея Блондера за прошедшие десять лет не завоевала особой популярности, и в Университете Рутгерса решили ее доработать. Получив в рамках программы Trusted Computing грант на полтораста тысяч от Национального научного фонда США, профессор Жан-Камиль Бирже (Jean-Camille Birget) и команда его аспирантов создали сразу несколько алгоритмов графической авторизации, предельно простых для пользователя. Например, в системе PassPoints при генерации пароля вам показывают картинку, а вы выбираете на ней несколько мест и тыкаете в них мышью (если экран сенсорный, то стилом или пальцем). При вводе пароля вам показывают ту же самую картинку, и надо ткнуть в те же самые места. Вот и все.

От патента Блондера новая разработка отличается лучшим алгоритом определения «верности тыка». Иначе говоря, если пользователь ткнул не совсем точно, система лучше определяет, нечаянная это ошибка или попытка взлома. Кроме того, в новой системе разрешается использовать любую картинку и выбирать любые точки на ней, тогда как Блондер предлагал фиксированный набор того и другого. Фактически картинка сейчас вобще не играет роли. PassPoints реагирует только на координаты, в которых были сделаны клики, а картинка нужна, чтобы было легче запомнить эти места и при вводе пароля точнее их выбирать. Координаты кликов по картинке сворачиваются в зашифрованную последовательность, которая, по сути, и есть пароль новой системы. Иначе говоря, если у вас твердая рука и верный глаз — можете кликать на чистом белом фоне.

У PassPoints есть свои плюсы и минусы. Если в качестве подложки для «тычков» выбрать большую фотографию со множеством мелких деталей — например, городской пейзаж в высоком разрешении, то даже четыре клика на нем окажутся паролем, легким для запоминания, но очень трудным для грубого взлома. Если же, наоборот, выбрать небольшой портрет себя любимого, с двумя родинками и кольцом в носу, то взломщику не составит труда перебрать наиболее вероятные варианты.

Несомненно, такой графический пароль могли бы внедрить у себя сетевые сервисы, кровно заинтересованные в максимально простой, но надежной авторизации. Например, платежным системам не помешает предоставить клиентам выбор — закрывать кошелек кодовым словом или кликами по картинке. Помимо надежности, сыграет роль и необычность технологии — о факте внедрения наверняка напишут в сетевых медиа, что привлечет новых клиентов. Впрочем, скептики заметят, что большинство взломов электронных кошельков проводится шпионcкими программами, и если одна из них завелась в компьютере, то какая разница, что ей подсматривать и отсылать хозяину — комбинацию нажатых клавиш или координаты кликов?