«Плавающий» пароль

в 6:56, , рубрики: информационная безопасность, парольная защита, метки:

Думаю, для некоторых содержание данной статьи не будет открытием, но по крайней мере я не находил на просторах Интернета описание такого механизма доступа к ресурсам через связку пароль/логин.

Цель – создание простой и надежной системы идентификации пользователя с использованием постоянно меняющегося пароля.

Одним из основных условий однозначного подтверждения личности или ее полномочий в системе является качественный пароль, который должен обладать следующими характеристиками:

  1. высокой сложностью;
  2. периодической сменностью;
  3. надежностью хранения.

Все эти требования можно выполнить, применив описанную ниже схему.

Пример 1. Генерация пароля на стороне пользователя с периодичностью 1 год:

2014 год — текущий пароль: 12@i4Wednesday
2015 год — текущий пароль: 12@i4Thursday
2016 год — текущий пароль: 12@i4Friday

где:

  • 12@i4 – «базовая» часть, придумывается самим пользователем;
  • Wednesday, Thursday, Friday – «плавающая» часть, которая соответствует названию первого дня недели текущего года.

Генерация на стороне сервера происходит по идентичному алгоритму.
Алгоритм и периодичность смены пароля настраивается самим пользователем, либо администратором, через «конструктор». Сочетание «базовых» и «плавающих» частей пароля может иметь произвольную сложность и последовательность.

Пример 2. Генерация пароля с периодичностью 1 день (усложним алгоритм):

Дата: 12.04.14 — текущий пароль: 12@i4Wednesday335704
Дата: 13.04.14 — текущий пароль: 12@i4Thursday334152
Дата: 14.04.14 — текущий пароль: 12@i4Friday334152

где:

  • 12@i4 – «базовая» часть;
  • Wednesday, Thursday, Friday – «плавающая»» часть, которая соответствует названию первого дня недели текущего года;
  • 335704, 334152, 334152 – официальный курс австралийского доллара на предыдущую дату без запятой.

«Плавающая» часть может быть привязана практически к любому источнику периодически меняющихся и структурированных данных, вплоть до первого слова заголовка топовой статьи новостного сервиса.

Возможное развитие системы плавающего пароля:

  • отказ от базовой части пароля;
  • отказ от логина.

Преимущества «плавающего» пароля:

  1. относительная простота реализации;
  2. пользователь не обязан помнить пароль, достаточно знать механизм его генерации;
  3. гарантированная периодическая сменность;
  4. средняя/высокая надежность.

Дополнительные ограничения:

  1. необходимость реализации дополнительной службы на стороне сервера;
  2. возможно, потребуется создание источника сводной информации для генерации пароля (страницы/сайта/службы), помогающего пользователю самостоятельно генерировать пароль, а не искать данные по всему Интернету. Например: начальная страница экрана на которой отображена погода в различных городах, курсы валют, календарь, суммы кассовых сборов по кинофильмам и т.д.

Потенциальные риски:

  1. сложный пользовательский интерфейс конструктора для создания «плавающего» пароля на стороне сервера;
  2. дополнительная вычислительная нагрузка на сервер.

Автор: KosherBeard

Источник

Поделиться

* - обязательные к заполнению поля