Sirni chizish - Draw a Secret

Sirni chizish (DAS) grafik parol tomonidan ishlab chiqilgan kirish sxemasi Yan Jermin, Alain Mayer, Fabian Monrose, Maykl K. Reyter va Aviel D. Rubin va 1999 yil avgust oyida bo'lib o'tgan 8-USENIX xavfsizlik simpoziumida qog'ozda taqdim etilgan.[1]

Sxema o'rnini bosadi alfanumerik parol satrlari, panjara ustiga chizilgan rasm bilan. Ushbu autentifikatsiya usuli alfanumerik parolni kiritish o'rniga foydalanuvchilarga to'plamidan foydalanishga imkon beradi imo-ishoralar autentifikatsiya qilish uchun panjara ustiga chizilgan. Foydalanuvchining chizmasi parolni chizish uchun ishlatilgan koordinatali juftliklar tartibi ketma-ketlikda qayd etiladigan katakchaga tushiriladi. Yozilgan "parol" ketma-ketligiga yangi koordinatalar foydalanuvchi bitta zarbani tugatgandan so'ng kiritiladi (chizishni boshlash uchun ekranga yoki sichqonchani bosish harakati, so'ngra chiziq yoki shakl yaratish uchun stylus yoki sichqonchani olib tashlash) va boshqasini boshlash panjara.

Umumiy nuqtai

DAS-da parol - bu N x N o'lchamdagi katakchada erkin shaklda chizilgan rasm, har bir katak katak ikki o'lchovli diskret koordinatalar (x, y) ∈ [1, N] × [1, N] bilan belgilanadi. Tugallangan rasm, ya'ni sir, foydalanuvchi sirni yaratishda kesib o'tadigan katakchalarning tartiblangan ketma-ketligi sifatida kodlanadi.[2]

Harf va raqamli parollarga nisbatan grafikaviy foydasiga ustunlik Rasm ustunligi effekti bu matn satrlari ustida tasvirlar va narsalarni eslab qolishda inson ongining yaxshilangan ishlashini tavsiflaydi. Ushbu effekt DAS orqali qo'llaniladi, chunki murakkab chizmalar inson aqli uchun eslab qolish unchalik qiyin alfasayısal belgilarga qaraganda ancha qiyin. Bu foydalanuvchiga nisbatan osonlik bilan an'anaviy matn kiritishdan ko'ra grafikroq parol kiritish sxemalari orqali kuchliroq va xavfsizroq ketma-ketliklarni kiritish imkonini beradi.

O'zgarishlar

Fon sirni chizish (BDAS)

Dastlabki DAS sxemasidagi ushbu o'zgarish sxemaning xavfsizligini va foydalanuvchi tomonidan tekshirilishini osonlashtirishni anglatadi. Xuddi shu katak "Sirni chizish" ning asl nusxasi sifatida ishlatiladi, ammo fon rasmi shunchaki panjara ustida ko'rsatiladi. Parolni eslab qolish qiyin bo'lgan fon rasmi yordam beradi. Buning sababi shundaki, asl tizimdan foydalanishda foydalanuvchi nafaqat parol bilan bog'liq zarbalarni, balki zarbalar o'tadigan katak hujayralarni ham eslab qolishi kerak. Bu qiyinchilik tug'dirishi mumkin, chunki barcha katakchalar bir-biriga o'xshash va o'ziga xosligi yo'q. BDAS yordamida foydalanuvchi rasmni to'g'ri joylashishiga yordam beradigan noyob xususiyatlarga ega bo'lgan panjara ustiga joylashtiradigan rasmni tanlashi mumkin.

Nyukasl universitetida olib borilgan tadqiqotlar shuni ko'rsatdiki, fon rasmlari bilan, tadqiqot qatnashchilari DAS dan foydalangan boshqalarnikiga qaraganda ancha murakkab o'tish iboralarini (masalan, katta uzunlik yoki zarba soni bilan) tuzishga moyil bo'lishdi, ammo birdan keyin eslash darajasi hafta davri, BDAS ketma-ketliklari bo'yicha DAS ketma-ketliklarini eslash qobiliyatiga ega bo'lgan ishtirokchilarning deyarli bir xil foizini ko'rsatdi.[2]

Aylanadigan sir (R-DAS)

R-DAS - bu Draw a Secret tizimining asl nusxasi, bu foydalanuvchiga chizilgan panjarani ketma-ketlikdagi zarbalar o'rtasida yoki butun ketma-ketlik kiritilgandan va "sir" olinganidan keyin aylanishiga ruxsat beriladi. Bitta aylantirish amalga oshirilgandan so'ng, ular orasidagi boshqa yo'nalishda qarshi aylanmasdan, xuddi shu yo'nalishdagi har qanday keyingi aylanishlar bitta aylanish sifatida qabul qilinadi.[3]

Qo'shimcha parol kuchining namunasi quyida keltirilgan:[3]

Agar asl parol quyidagicha kiritilgan bo'lsa (Tarmoq orqali zarbalar ketma-ketligi sifatida taqdim etiladi):

(1,1)(2,1)(3,1)(4,1)(5,1)(6)(5,1)(5,2)(5,3)(5,4)(5,5)(6)(1,1)(1,2)(1,3)(1,4)(1,5)(6)(3,1)(3,2)(3,3)(6)

R-DAS yordamida xavfsizlikni oshirish uchun bir nechta yo'nalishdagi o'zgarishlarni kiritish mumkin:

(1,1)(2,1)(3,1)(4,1)(5,1)(6) (-90) (5,1)(5,2)(5,3)(5,4)(5,5)(6) (+90) (-45) (1,1)(1,2)(1,3)(1,4)(1,5)(6) (+225) (3,1)(3,2)(3,3)(6) (+180)

Xavfsizlik muammolari

Bir nechta qabul qilingan parollar

Muayyan sirni kodlashi mumkin bo'lgan chizmalar bilan birma-bir bog'liqlikka ega, demak, aslida bir nechta chizmalar foydalanuvchining muvaffaqiyatli autentifikatsiyasi sifatida qabul qilinishi mumkin.[2] Bu, ayniqsa, N x N katakchasidagi oz sonli katakchalarga taalluqlidir.

Ushbu muammoni hal qilish uchun katakchaga qo'shimcha kataklar kiritilishi mumkin. Bu parol ketma-ketligini bajarish uchun zarur bo'lgan barcha katakchalarni kesib o'tishni qiyinlashtiradi. Ushbu qo'shimcha xavfsizlik qiymati haqiqiy foydalanuvchi tomonidan parolni ko'paytirishning qiyinlashishi hisoblanadi. Tarmoqda qancha ko'p kataklar mavjud bo'lsa, foydalanuvchi barcha kerakli katakchalarni to'g'ri tartibda kiritish uchun parolni kiritishda shunchalik aniq bo'lishi kerak.

Grafik lug'at hujumlari

Tarmoq yoki fon rasmida keng tarqalgan "qaynoq nuqtalar" yoki "qiziqish nuqtalari" dan foydalanish orqali foydalanuvchilarning parollarini taxmin qilish uchun grafik lug'at hujumini boshlash mumkin.[4] Fon rasmidagi o'xshash shakllar va ob'ektlar kabi boshqa omillar ham "bosish tartibi" zaifliklarini shakllantiradi, chunki bu shakllar birlashtirilib ketma-ketlikda ishlatilishi mumkin.[5]Ushbu hujumlar "Sirni chizish" ning fon o'zgarishi uchun ancha keng tarqalgan, chunki u yuqorida bayon qilingan zaifliklardan foydalanish uchun ishlatilishi mumkin bo'lgan rasmdan foydalanadi.[6] Shuningdek, foydalanuvchilar turli xil fon rasmlari bo'yicha o'xshash parol tanlash jarayonlaridan o'tishga moyilligini ko'rsatdi.

Yelkalarga bemalol hujum qilish

Hujumning ushbu shakli foydalanuvchi o'z parolini kiritayotganini kuzatuvchi tomonidan boshlanadi. Ushbu hujum autentifikatsiya qilish uchun aksariyat kirish sxemalarida mavjud, ammo DAS sxemalari ayniqsa himoyasiz, chunki foydalanuvchilarning zarbalari ekranda hamma ko'rishlari uchun aks etadi, chunki kiritilgan harflar ekranda aks ettirilmagan alfanumerik matn kiritishdan farqli o'laroq.

DAS va BDAS tizimlarini elkama-sörf hujumlaridan himoya qilish uchun uchta usul ishlab chiqilgan:[7]

  1. Yalang'och zarbalar - shunchaki potentsial tomoshabinlarni chalg'itish uchun kiritilgan zarbalardan foydalanish, ular foydalanuvchi tanlagan ranglar bilan farqlanishi mumkin.[7]
  2. Yo'qolgan zarbalar - har bir zarba foydalanuvchi tomonidan kiritilgandan so'ng ekrandan o'chiriladi.[7]
  3. Line Snaking - yo'qolib borayotgan zarbalar usulining kengaytmasi, bu erda qon tomir boshlangandan ko'p o'tmay, zarba oxiri birozdan keyin yo'q bo'lib, "chiziq snaking" ko'rinishini beradi.[7]

Amaliyotlar

Dastlabki DAS dasturi PDA-larda (Shaxsiy raqamli yordamchi ). Yaqinda Windows 8, Microsoft "rasm paroli" ga o'tish imkoniyatini o'z ichiga olgan. Bu aslida BDAS dasturidir (chunki bu fonda rasmni tanlashni talab qiladi), lekin odatiy alfanumerik parollarga nisbatan BDAS ta'minlaydigan haqiqiy xavfsizlikni kamaytiradigan parolni o'rnatish uchun faqat uchta imo-ishora ketma-ketligi bilan cheklangan.[8]

Adabiyotlar

  1. ^ Jermin, Yan; Alen Mayer; Fabian Monrose; Maykl K. Reyter; Aviel D. Rubin (1999). Grafik parollarning dizayni va tahlili.
  2. ^ a b v Dunfi, Pol; Yan, Jef. "Orqa fon rasmlari yaxshilanadimi" "Grafik parollar" sirini tuzingmi? (PDF). Arxivlandi asl nusxasi (PDF) 2010-02-15. Iqtibos jurnali talab qiladi | jurnal = (Yordam bering)
  3. ^ a b Chakrabarti, Sayikat; Landon, Jorj; Singhal, Mukesh. "Grafika parollari: yangi erkinlik darajasi sifatida rotatsiya bilan sirni chizish" (PDF). Iqtibos jurnali talab qiladi | jurnal = (Yordam bering)
  4. ^ Torp, Juli; P.C. van Oorshot. "Grafika parollarida odam urug'i bilan hujumlar va ekspluatatsiya qilinadigan joylar" (PDF). Iqtibos jurnali talab qiladi | jurnal = (Yordam bering)
  5. ^ Oorshot, Van; Torp, Juli. "Klik asosidagi grafik parollarda bashorat qilishdan foydalanish" (PDF). Iqtibos jurnali talab qiladi | jurnal = (Yordam bering)
  6. ^ Chjao, Tsiming; Ahn, Geyl-Jun; Seo, Jeong-Jin; Xu, Xonsin. "Rasm imo-ishoralarini autentifikatsiya qilish xavfsizligi to'g'risida" (PDF). Iqtibos jurnali talab qiladi | jurnal = (Yordam bering)
  7. ^ a b v d Zakariya, Nur Xaryani; Griffits, Devid; Brostoff Sacha; Yan Jeff. "Qayta tiklashga asoslangan grafik parollar uchun elka sörfüyle himoya qilish" (PDF). Iqtibos jurnali talab qiladi | jurnal = (Yordam bering)
  8. ^ "Rasmga parol bilan kiring". Yo'qolgan yoki bo'sh | url = (Yordam bering)