The Graphical Passwords Project [Romanian]

0
94

Original in English by J.C. Birget

Proiectul de parole grafice

Finanţat de Programul CyberTrust a FNȘ

Co-Pi-uri: J.C.Birget (Rutgers-Camden), D.Hong (Rutgers-Camden), N. Memon (Brooklyn Polytechnic), S.Man (SW Minn. State), and S. Wiedenbeck (Drexel).

Securitatea calculatorului depinde în mare măsură de parole pentru autentificarea utilizatorilor. Principalul dezavantaj a parolelor? Pe care noi numim problema parolei, e anume faptul că parolele par să respecte două cerinţe contradictorii:

(1). Parolele trebuie să fie uşor de reţinut şi protocolul de autentificare a utilizatorului trebuie să fie executabil, rapid şi uşor pentru oameni.

(2) Parolele ar trebui să fie sigure, de exemplu, ei ar trebui să arate aleatorii şi trebuie să fie greu de ghici. Acestea ar trebui să fie schimbate frecvent şi ar trebui să fie diferite în diferite conturi (profile-uri) ale aceluiaşi utilizator. Ele nu ar trebui să fie scrise sau stocate în text simplu.

Studiile clasice au arătat că, utilizatorii umani au tendinţa de a alege şi de a manipula parolele alfanumerice într-un mod foarte nesigur:

Parole grafice pot fi o soluţie la problema parolelor. Ideea de parole grafice a fost descrisă pentru prima data de către Greg Blonder [G. Blonder, Graphical Passwords, United States Patent 5559961 (1996)], și constă în posibilitatea utilizatorului de a face clic (cu un mouse sau un creion) pe câteva regiuni alese dintr-o imagine care apare pe ecran. Pentru a se conecta, utilizatorul trebuie să facă clic în aceleaşi regiuni din nou. Literatura specializată conţine mai multe lucrări pe această temă.

În stilul de parole grafice lui Blonder, pot fi folosite doar imaginile pre-prelucrate. Regiuni de click pot fi ales numai din anumite regiuni pre-proiectate în imagine. Acest lucru implică faptul că utilizatorii nu pot oferi imaginile lor pentru a face parole, iar utilizatorii nu pot alege locuri de clic, care nu sunt printre cele preselectate. Design-ul nostru permite utilizarea a oricăror imagini (inclusiv imaginile proprii a utilizatorilor, fotografii digitale de peisaje, tablouri, etc). Mai mult decât atât, noi permite utilizatorilor să aleagă orice locuri care le atrag că ei să facă clic pe regiuni, de aceea că astfel de locuri e mai uşor de reţinut. Cu toate acestea, permiţând locaţii arbitrare de click asta duce la o problemă de stabilitate, pe care am avut de a depăşi. Problema este că nu ne putem aştepta ca utilizatorii să facă clic întotdeauna exact pe aceeaşi locaţie (atunci când intenţionează să facă asta). Aşa că noi am discretizat imaginea, folosind o grilă pătrat. Dar asta duce la probleme de frontieră: dacă faceţi clic pe locaţia aleasă care este aproape de marginea unei grile-pătrate, utilizatorul va face clic, uneori, într-un pătrat, iar uneori, într-un pătrat vecin. Noi am conceput o metodă de multi-grile, pe care o numim discretizarea robustă, şi care conduce la o ieşire stabilă pentru acţiunile click-ului utilizatorului. Pentru aceasta este folosit un parametru de aproximare r, atâta timp cât utilizatorul face clic în distanţă r de locaţia a clic-ului aleasă iniţial, ieșirea de click va fi la fel (de exemplu, r = 2 mm). Este important de a avea ieşire stabilă, pentru că ieşirea a click-ului discretizat va suferi o amestecare (hash) securizat (”criptarea parolei”). Pentru motive de securitate, noi nu memorăm parola actuală grafică în calculator, doar valoarea de hash. Deci, sistemul nu cunoaşte parola grafică în mod explicit, şi, prin urmare, nu se poate verifica dacă clicurile unui utilizator sunt ”aproximativ de corecte”. Hashing-ul de parole duce la cerinţa ca clic-urile utilizatorului la autentificare trebuie să fie întotdeauna în aceleaşi reţele multi-patrate, și prin urmare, avem nevoie de o discretizare robustă. Mai multe detalii despre ceea cum lucrează discretizarea robust pot fi găsite în următoarea lucrare, care oferă descrieri detaliate ale unui sistem de parole grafice:

J.C. Birget, Dawei Hong, Nasir Memon, “Robust discretization, with an application to graphical passwords”, Aug. 2003 (Cryptology ePrint archive, http://eprint.iacr.org/2003/168; there is a slightly revised version, in pdf or ps). Journal version: “Graphical passwords based on robust discretization”, IEEE Transactions on Information Forensics and Security, 1(3) (Sept. 2006) 395-399.

Noi am implementat sistemul de parola grafic descris în Cartea de mai sus, puse în aplicare Versiunea se numeste PassPoints. Pentru parole, aspectele umane (gradul de utilizare a sistemului, learnability şi pe termen lung de memorare a parolelor, evitarea practicilor nesigure, şi de satisfacţia utilizatorilor) sunt de o importanţă crucială. Următorul accent pe studii de factorii umani din sistemul grafice parolele PassPoints:

S. Wiedenbeck, J. Waters, J.C. Birget, A. Brodskiy, N. Memon, “PassPoints: Design and longitudinal evaluation of a graphical password system”, International J. of Human-Computer Studies (Special Issue on HCI Research in Privacy and Security), 63 (2005) 102-127. (pdf)

S. Wiedenbeck, J. Waters, J.C. Birget, A. Brodskiy, N. Memon, “Authentication using graphical passwords: Effects of tolerance and image choice”, Symposium on Usable Privacy and Security (SOUPS), 6-8 July 2005, at Carnegie-Mellon Univ., Pittsburgh. (pdf )

S. Wiedenbeck, J. Waters, J.C. Birget, A. Brodskiy, N. Memon, “Authentication using graphical passwords: Basic results”, Human-Computer Interaction International (HCII 2005), Las Vegas, July 25-27, 2005. (pdf )

O metodă pentru un atac de dicţionar împotriva sistemului de parole grafice PassPoints este descris în

A. E. Dirik, N. Memon, J.C. Birget, “Modeling user choice in the PassPoints graphical password scheme”, Symposium on Usable Privacy and Security (SOUPS), July 2007, at Carnegie-Mellon Univ., Pittsburgh. (pdf)

Umărirea utilizatorului (shoulder-surfing): parole grafice precum şi parole alfanumerice, sunt vulnerabile pentru umărirea utilizatorilor în Internet (de exemplu, atunci când un atacator vede direct un utilizator în timpul de conectare, sau atunci când un aparat de fotografiat de securitate filmează pe utilizator, sau atunci când un scaner de puls electromagnetic monitorizează tastatură sau mouse-ul, sau atunci când ecranele de autentificare troieni captură parole, etc). Lucrarea de mai jos prezintă unele scheme de parole grafice care sunt rezistente la astfel de atacuri:

Leonardo Sobrado, J.C. Birget, “Graphical passwords”, The Rutgers Scholar, vol. 4 (2002), http://RutgersScholar.rutgers.edu/volume04.

factorii umani de testare a acestui sistem apare în S. Wiedenbeck, J. Waters, L. Sobrado, JC Birget, “proiectare şi evaluare a unui umăr-surfing, rezistent” grafic sistem de parola, în Proceedings de interfeţe vizuale avansate (AVI2006), Veneţia, Italia, 23-26 mai 2006. (PDF),

o varietate de alte sisteme de umar-surfing, rezistente parola sunt descrise în următoarele acte:

S. Man, D. Hong, M. Matthews, “Un sistem de umăr-surfing, rezistent parola grafic – WIW”, Proc. Int. Conf. de securitate şi de management, Las Vegas, 2003, pp. 105-111. (PDF)

S. Man, D. Hong, B. Hayes, M. Matthews, “Un sistem de parole puternic rezistent la spyware”, Proc. Int. Conf. de securitate şi de management, Las Vegas, 2004, pp. 94-100. (PDF)

S. Man, D. Hong, M. Matthews, J.C. Birget, “Un sistem de umăr-surfing, rezistent parola grafic, (martie 2005)”. (PDF).

J.C. Birget, decembrie 2007

LEAVE A REPLY

Please enter your comment!
Please enter your name here