Dokážete si zapamatovat obrázky?

Pokud ne, do budoucna byste mohli mít trable s novými hesly. Víte, jak funguje přihlašování grafickými symboly?
Kapitoly článku

V nedávné dvojici článků Špatná paměť, bezpečná hesla a tak dále a Útoky na hesla podomácku jsme se podrobně věnovali rozličným heslům, jejich použití a v neposlední řadě také možnostem prolomení. Hesla jako taková protkávají nejen svět počítačů již od jeho počátků, s rozšiřováním mezi co největší počet uživatelů ale stoupají také nároky na vyřešení klasického problému „nedokonalá lidská paměť vs. co možná nejbezpečnější heslo v konkrétní implementaci“. Není proto divu, že se postupně objevilo několik hlavních trendů pro usnadnění autentizace hesly, avšak bez narušení jejich bezpečného návrhu a použití.

Jednu z nejčastějších cest představují rozličné softwarové trezory na hesla: Přístup k databázi hesel různých služeb je ukryt a zabezpečen jedním hlavním heslem. To má samozřejmě výhodu nejen v odlehčení nároků na lidskou paměť, ale také usnadnění práce díky následnému automatickému vyplňování v odpovídajících přihlašovacích formulářích a dialozích. Bohužel zde ale vyvstávají trable se systematickým nasazením a u některých produktů také se samotným zabezpečením celé databáze.

Klepněte pro větší obrázek
Mezi populární aplikace pro bezpečnou správu hesel patří také KeePass Password Safe

Obrázky každého uživatele

Cestičku si tedy prošlapávají více či méně fungující návrhy systémů autentizace za použití takzvaných grafických hesel. Uživatelé si namísto jednotlivých hesel pamatují fragmenty obrázků, jejich kombinace a třeba i správné rozmístění na přihlašovací obrazovce. Vždy je přeci jednodušší, rozpoznat pár známých grafických symbolů, než v paměti po dlouhou dobu držet změti znaků, čísel a speciálních symbolů.

Ještě než se pustíme do popisu konkrétních řešení autentizace za pomoci obrázkových hesel, je dobré zmínit jeden alternativní (a v předchozích článcích opominutý) způsob tvorby na první pohled zcela náhodných, v dostatečné míře bezpečných hesel, jejichž zapamatování ale nečiní větší problém. Řeč je o vymýšlení hesel na říkankách (zjednodušeně řečeno). Tak například mb4j,dj2. je na první pohled poměrně bezpečné a nepredikovatelné heslo, oprávněný uživatel ale nemá s jeho zapamatováním žádný problém: Jedná se o derivát známé říkanky „Měla babka čtyři jabka, dědoušek jen dvě.“ Jednoduchý a obecně použitelný přístup pro vymýšlení bezpečnějších hesel, některé trable ale zůstávají.

Pokročilá autentizace obrázkovými hesly totiž dokáže poměrně slušně vyřešit také ožehavé téma odkoukání standardních hesel přes rameno. Jedná se o typickou, z běžné praxe dobře známou situaci: Zadáváte přístupové údaje obklopeni kolegy v práci, kdokoli z nich vás může sledovat. A nedej bože, že se napoprvé spletete a musíte heslo psát znovu, riziko se opět zvyšuje… Ano, zčásti je problém většinou vyřešen již zažitými rychlými přelety po správných klávesách, kdy je těžké je postřehnout, ale na to se nelze spoléhat. Naproti tomu propracovanější obrázková hesla vás tohoto trablu oprostí úplně, konkrétní příklady budou uvedeny dále v textu u jednotlivých systémů.

Dalším problémem klasických „textových“ hesel jsou keyloggery, které pokradmu sbírají informace o stisknutých klávesách a třebas je i po síti posílají útočníkovi. Zde mají grafická hesla také výhodu, i když i pro ně se už objevily první obdoby keyloggerů pro zachytávání souřadnic klepnutí tlačítkem myši, doplněných o přilehlý výřez obrazovky. Například zmínka na tomto zahraničním blogu z loňského roku komentuje trojské koně, které se specializovaly na odposlech přihlašování prostřednictvím známých grafických klávesnic.

Klepněte pro větší obrázek
Proti keyloggerům se některé služby brání grafickými klávesnicemi

Právě grafické klávesnice můžeme při troše shovívavosti považovat za jednu z primitivních variant autentizace prostřednictvím grafických hesel, v tuzemsku ji dobře známe například z přihlašování do online bankovnictví různých bank. Grafické klávesnice ale oproti běžným heslům dokáží uchránit právě proti keyloggerům, což je sice pozitivum, avšak zapotřebí je víc.

Z bezpečnějších variant přihlašování prostřednictvím grafických hesel se dále podíváme na přístupy následujících systémů, jež se liší jednak použitými mechanismy, jednak otevírají prostor různým otázkám z pohledu bezpečnosti. Jedná se o tyto návrhy:

  • Graphical Passwords for Windows – jedná se o výstup původního projektu, který byl dostupný na serveru univerzity z New Jersey. Základem je ohraničování ikon vybraných ve změti dalších polygonem, technika je dobře odolná právě proti výše popsanému nahlížení přes rameno. Na oficiálních stránkách projektu bylo donedávna k dispozici také demo celé technologie v podobě jednouché aplikace pro Windows, časem byl však odkaz bohužel odstraněn. Přesto původní princip nabídl zajímavou ukázku cesty moderní autentizace grafickými hesly.
  • Passfaces – ve srovnání se zmíněným projektem určení polygonu zakládá Passfaces, který najdete na stránkách serveru Realuser.com, proces autentizace na správném určení tváří. Jedna z výhod spočívá v tom, že člověk si lidské tváře pamatuje snáze než jiné, na první pohled nic neříkající grafické symboly.

Kromě uvedených dvou samozřejmě existuje také několik dalších, neméně zajímavých přístupů, jejich podrobný popis by však vydal nadlouho a základní principy se často kopírují, případně nahrazují mírně modifikovanými variantami. Pro nalezení dalších informačních zdrojů a autentizačních technik se vám nejlepším pomocníkem stane univerzální rádce v podobě Googlu. Stačí si pohrát s různými modifikacemi vyhledávání řetězce „Graphical passwords“ a podobnými.

Témata článku: Windows, Bezpečnost, New Jersey, Jersey

10 komentářů

Nejnovější komentáře

  • capo 3. 8. 2007 18:20:56
    doma sa heslo zide, nikdy nevies kto sadne za ten pc kym tam nie si a...
  • KillerZero 3. 8. 2007 1:04:31
    Rather than clicking on the icons themselves, though, the user has to...
  • KillerZero 3. 8. 2007 1:00:59
    In the Rutgers-Camden study, users picked 10 icons, which then were...
Určitě si přečtěte

ASUS ZenBook 3 se začal prodávat v Česku. Je ve všem lepší než MacBook, ale bude to stačit?

ASUS ZenBook 3 se začal prodávat v Česku. Je ve všem lepší než MacBook, ale bude to stačit?

** Novinka od Asusu míří přímo proti MacBooku od Applu ** Nabídne daleko více výkonu za stejné peníze

2.  12.  2016 | David Polesný | 129

Sbíječky vyměnili za klávesnice. Nový projekt má za cíl přeučit horníky na programátory

Sbíječky vyměnili za klávesnice. Nový projekt má za cíl přeučit horníky na programátory

** Programátorů je málo a horníků bez práce po uzavření dolu Paskov bude moc ** Problém řeší unikátní projekt ** Pilotní kurz dává naději, že by z horníků mohli být použitelní kodéři

28.  11.  2016 | David Polesný | 79