В настоящее время информационные технологии меняются настолько быстро, что статичные механизмы безопасности уже не обеспечивают полной защищенности системы [1, с.152]. В информационных системах хранится, обрабатывается, циркулирует различная информация, потеря или искажение которой может нанести существенный вред предприятию[2, c.54]. Поэтому важно защитить нашу организацию, от каких-либо угроз технического характера. В связи с этим необходимо выбрать наиболее эффективный способ защитить информацию с помощью графических парольных систем.
Графические пароли строятся из каких-либо действий, которые пользователь выполняет на изображении. Когда пользователь предпринимает попытку войти при помощи графического пароля в систему, та оценивает нарисованные им графические знаки или действия с ними и сравнивает их с графическими знаками и действиями, которые использовались при выборе графического пароля. Далее система оценивает разницу между каждым графическим знаком и принимает решение о том, авторизовать пользователя или нет, на основании количества ошибок в комплексе. Если графический знак ошибочен или использован не в том порядке, то авторизация не пройдет. Если типы линий, точек, их порядок и положение правильны, то система будет оценивать, насколько графический знак отличается от того, который она видела ранее, и примет решение, является ли он достаточно похожим, чтобы авторизовать посетителя. По этой причине, аутентификацию на основе графического пароля иногда называют графической аутентификацией пользователей [3].
Графические пароли являются наиболее надежным методом в использовании аутентификации пользователя в компьютерных и коммуникационных системах. Они состоят из каких- либо действий, которые пользователь выполняет на изображении. Такие пароли проще запомнить, но они уязвимы к подглядыванию. Поэтому далее будут рассмотрены схемы графических паролей, при использовании которых пользователь может не опасаться за то, что стоящий сзади человек увидит его пароль или что пароль будет снят на видеокамеру.
Простая схема графического пароля. Пользователю предлагается выбрать какой-либо графический файл (это может быть фотография, любая картинка или скриншот) и трижды провести по произвольным областям на нём курсором мыши. Эти области пользователь выбрал, когда создавал пароль. Выбор трех областей произволен, чтобы пользователь смог легко запомнить эти места. Можно увеличить количество выбранных областей для надежного графического пароля (рис. 1). [3]
Рис. 1. Простая схема графического пароля
Самый большой недостаток для данного пароля — проблема подглядывания стоящего сзади человека. Из-за этой уязвимости к подглядыванию графические пароли никогда не могут быть использованы в средах, где экран видит не только человек, входящий в систему.
Схема треугольника.Система случайным образом рассеивает N изображений на экране. На практике, число N может быть несколько сотен или несколько тысяч, и объекты должны быть разными настолько, что пользователь может различать их. Кроме того, есть подмножество K парольных изображений (например, K=3), которые предварительно выбрал и запомнил пользователь. При входе система будет случайным образом выбирать размещение N изображений. Однако, система сначала случайным образом выбирает участок, который покрывает половину экрана, и случайно размещает К выбранных изображений на этом участке.
При создании пароля пользователю предлагается выбрать и запомнить три иконки примерно из 200–400 возможных.
При необходимости ввода пароля система выдаёт на экран сразу огромное количество иконок, перемешанных случайным образом. Среди них обязательно будут три «ваши» (рис. 2).
Рис. 2. Схема треугольника
Их следует мысленно соединить линиями (получится треугольник) и щёлкнуть мышкой в любой точке внутри этой фигуры.
Тут же иконки перестраиваются, перемешиваются. Одни при этом исчезают, другие — добавляются. И опять среди всего этого хаоса вы видите и какие-либо свои значки из той самой тройки (не обязательно те, что были на экране только что). Снова вы мысленно соединяете их в геометрическую фигуру и щёлкаете в любом месте, но опять-таки в её границах. И так происходит 10 раз.
Вообще система предусматривает при создании пароля выбор настроек: числа иконок, скорость их перемещения, числа кликов по фигурам и некоторых других параметров.
Лишь после 10 таких проходов машина однозначно идентифицирует иконки, которые вы мысленно держали в голове, выбирая место для щелчка. Но любой, кто будет за вами наблюдать, ни за что не угадает ваш пароль (рис. 3).
Рис. 3. Схема треугольника
Главная идея — позволить пользователю доказать знание им пароля, не показывая сам пароль в процессе его набора. Вопрос изменяется каждый раз и ответ — так же. Но секретное знание остаётся тем же самым. При этом уровень секретности обеспечивается высочайший. Если вы имеете достаточно многого изображений, и если вы должны пройти тест достаточно много раз, возможные комбинации иконок исчисляются миллиардами.
Недостаток у этой системы, пожалуй, один: для входа в систему требуется значительно больше времени, чем на традиционный набор пяти-шести букв в окошке пароля.
Схема пересечения диагоналей четырехугольника.
При запуске сервиса, вместо ввода пароля будет появляться окно ввода графического пароля, содержащее 154 изображений.
Для аутентификации пользователь должен выполнить следующее:
- Найти 4 свои парольные картинки.
- Мысленно образовать из них четырехугольник.
- Кликнуть на изображение, которое находится на пересечении диагоналей четырехугольника.
Точно так, как показано на рисунке 4:
Рис. 4. Схема пересечения диагоналей четырехугольника
После выполнения этой операции, произойдет вход в систему. При этом уровень секретности будет максимален.
Если пользователь забудет пароль, администратор системы сможет ему помочь, нажав специальную кнопку (рис. 5). [4]
Рис. 5. Схема пересечения диагоналей четырехугольника
Было рассмотрено три вида графических парольных систем: «Простая схема графического пароля», «Схема треугольника» и «Схема пересечения диагоналей четырехугольника». У каждого способа есть свои особенности для защиты информации от различных технических угроз.
Литература:
- Никишова А. В., Чурилина А. Е. Программный комплекс обнаружения атак на основе анализа данных реестра// Вестник ВолГУ. Серия 10. Инновационная деятельность. Выпуск 6. 2012 г. В.: Изд-во ВолГУ, 2012, стр. 152–155.
- Багров Е. В. Мониторинг и аудит информационной безопасности на предприятии.// Вестник волгоградского государственного университета. Серия 10. Выпуск 5. 2011 г. В.: Изд-во ВолГу, 2011, стр. 54–55.
- Протокол идентификации и аутентификации // Практическая криптология. URL: http://bit.nmu.org.ua/ua/student/metod/cryptology (дата обращения: 2.11.2016).
- Графическая аутентификация в Linux // Библиофонд. URL: http://www.bibliofond.ru/view.aspx?id=607209 (дата обращения: 2.11.2016).
