Динамический графический пароль

Графический пароль

Графический пароль– метод разблокировки мобильных устройств путем выполнения определенных операций над сенсорным экраном, результатом которых является получение доступа к устройству. Речь пойдет именно о таких устройствах, т.к. в обычных персональных компьютерах обычно отсутствуют сенсорные экраны, а для аутентификации в программах чаще используется пара логин — пароль.

Динамический графический пароль

Динамический графический пароль — аутентификация пользователя на устройстве без отображения постоянного пароля, в каком – либо виде, так чтобы, например, посторонний человек не смог понять, что за пароль был введен, даже запомнив все действия которые легальный пользователь выполнил при вводе пароля, и даже запомнив динамический пароль, в данном случае речь пойдет именно о динамическом графическом пароле.

Примеры графический паролей

Использование простых картинок, неопытными пользователями может привести к легкому подбору пароля, с учетом, например, что круг обычно рисуется против часов стрелки и т.д.	Сенсорные экраны не предназначены для работы в качестве датчиков отпечатков пальцев, не имеют достаточной точности	Достаточно успеть запомнить начальную и конечную точку графического пароля, вероятность подбора сильно возрастет, также дважды использовать один элемент у этого пароля нельзя	Со стороны легко понять что за пароль требуется подобрать

Недостаток графических паролей

Приведенные примеры графических паролей имеют недостаток – любой рядом стоящий человек может увидеть и запомнить ваш пароль, или хотя бы запомнить некоторые моменты ввода. В последствии завладев вашим устройством подобрать пароль не составит ему труда. Для избавления от этого недостатка существует понятие динамического пароля.

Суть динамического графического пароля

Рассмотрим простейший вариант такого пароля. Допустим, в настройках мобильного устройства мы указали метод разблокировки – графический пароль. Выберем секретный пароль — «A?BC❀».

• При нажатии кнопки включения экрана устройства, псевдослучайным образом генерируется сетка, состоящая в простейшем случае из букв простого алфавита;
• Эта сетка выводится на экран устройства;
• Необходимо мысленно вычислить динамический пароль;
• Ввести значение динамического пароля в соответствующее поле;

В идеале никаких действий кроме ввода значения динамического пароля выполнять не нужно.
В усложненном варианте это может быть сетка с символами, картинками, смайликами, цветные элементы, что угодно. Среди символов на сетке обязательно присутствуют символы нашего постоянного пароля.
Как же определить динамический пароль?

Метод определения динамического пароля путем мысленных вычислений

И так:

• Необходимо найти буквы нашего пароля на сетке;
• Мысленно соединить эти буквы линией, двигаясь вверх, вниз, влево или вправо;
• Посчитать количество пройденных клеток, последовательно пройдя по всем буквам пароля – в приведенном примере динамический пароль должен получиться равным цифре 36, другими словами: необходимо вычислить расстояние в клетках между буквами постоянного пароля, выведенными среди других букв в сетке, полученное расстояние будет являться значением динамического пароля;
• Ввести значение динамического пароля в поле «Динамический пароль»;
• Нажать кнопку «ОК» – подтвердив тем самым ввод динамического пароля.

Данным методом мы убиваем сразу двух зайцев: для разблокировки устройства нам даже не надо прикасаться к экрану, кроме как на последнем этапе, и плюс мы при каждой разблокировке вводим разное значение динамического пароля.

Метод определения динамического пароля путем его отображения на экране

Естественно данный метод можно использовать и в качестве обычного графического пароля. Рассмотрим тот же метод, но с отображением нашего секретного пароля, что является нежелательным моментом, т.к. основная задача динамического пароля НЕ ВЫДАТЬ значение постоянного секретного пароля.

• Нам необходимо найти буквы нашего пароля на сетке;
• Провести по ним пальцем, устройство само выделяет помеченные пальцем клетки и само вводит цифру 36 в поле «Динамический пароль». На рисунке выше, приведены 2 из возможных правильных способов выделения клеток;
• Нажать кнопку «ОК» – подтвердив тем самым ввод динамического пароля;
• В случае верно введенного динамического пароля, устройство будет разблокировано;

Проверка введенной цифры

Рассмотрим простые действия на стороне устройства.

• Программа (операционная система мобильного устройства) генерирует сетку и выводит на экран;
• Дожидается подтверждения пользователем введенного им динамического пароля;
• Считывает из памяти пароль, разбивает на буквы;
• Находит буквы на сетке;
• Сама высчитывает расстояния в клетках между буквами алфавита;
• Сверяет вычисленное число с введенным пользователем;
• Разблокирует устройство в случае правильного ввода, в противном случае — блокирует устройство и/или возвращается к п.1;

Пример ошибочного ввода

В попытке подбора или при ошибочном вводе, человек в данном случае вводит цифру 39 или 40, а нужно ввести 36.

Возможные модификации

• Длинный пароль, соответственно некоторые буквы могут засчитываться дважды – так как в приведенном примере;
• Изменение размера сетки, например 20 х 20;
• Трехкратное повторение ввода, для уменьшения вероятности подбора;
• Трехкратное повторение ввода, но каждый раз разных паролей (три пароля или три части одного пароля);
• Использование различных символов, картинок, цветов, разноцветных картинок вместо обычных символов алфавита;
• Использование данного метода в качестве двухфакторной аутентификации (PIN + динамический графический пароль);

Пример для самопроверки

Укажите динамический пароль для постоянного пароля «A?BC❀»

Выводы

Данный метод динамического графического пароля может использоваться для прохождения аутентификации на доступ к устройству или приложению в условиях, когда есть риск, что ввод пароля может быть обнаружен, а сам пароль скомпрометирован. Рассмотрим плюсы и минусы такого способа:

Плюсы:

• При мысленном определении динамического пароля, постоянный пароль не отображается, такие методы в принципе очень эффективны;
• Нельзя определить пароль по следам от пальцев на экране устройства, каждый раз сетка генерируется случайным образом;
• Для сторонников двухфакторной аутентификации, например, по SMS, этим способом можно пройти аутентификацию даже быстрее;

Минусы:

• При достаточно маленьком поле, коротком пароле, вероятность угадывания пароля высока;
• Огромное же поле вызывает трудности с нахождением символов постоянного пароля;
• Значение динамического пароля имеет невысокую границу сверху, например, не больше 60, для короткого пароля – нужны модификации данного простейшего метода;
• Пароль обычно хранится в виде хеш — суммы, соответственно вычисления на стороне устройства не будут возможны;

Пример реализации

Кто что — то не понял, или интересно потыкать программу, милости просим:

Автор: Protos

Источник ^[2]