Pokud ne, do budoucna byste mohli mít trable s novými hesly. Víte, jak funguje přihlašování grafickými symboly?
Jednou z implementací grafických hesel je již odkazovaný projekt Graphical Passwords, jehož princip je na první pohled poměrně jednoduchý. Tak jako v případě jakékoliv práce s hesly, je také zde zapotřebí nejprve v první fázi vytvořit správné heslo pro uživatele. Namísto volby co možná nejnáhodnější a nepredikovatelné změti znaků (jak by tomu bylo u klasických textových hesel) uživateli stačí, aby si zapamatoval množinu obrázků, typicky malých ikon libovolných témat. Důležité je, že nezáleží na jejich pořadí a počet se může lišit. Díky první vlastnosti je už šetřena lidská paměť, pokud totiž u těchto obrázků nezáleží na pořadí, není příliš těžké si je v malém počtu zapamatovat.
Jakmile se takto pro konkrétního uživatele vytvoří záznam v databázi hesel, může přijít na řadu vlastní autentizace prostřednictvím odpovídajícího grafického hesla. Přihlašovací aplikace v tomto bodě zobrazí velké množství obrázků, přičemž ty jako by vytvoří mřížku uzlů pomyslných průsečíků obdélníků. Uživatel pak klepnutími tlačítkem myši vytvoří vrcholy trojúhelníku, který ohraničí obrázky, jež byly zvoleny ve fázi přihlašování:
Pro úspěšnou autentizaci uvedeným postupem je navíc zapotřebí, aby se tento krok ohraničování trojúhelníkem opakoval vícekrát, čímž se zvýší bezpečnost a zamezí náhodnému odhadnutí správného trojúhelníkem případným útočníkem. Důležité je, že i kdyby za zády aktuálně se přihlašujícího uživatele stál nechtěný pozorovatel, není prakticky možné odhadnout, které z obrázků uvnitř trojúhelníků tvoří správnou kombinaci pro korektní přihlášení.
Kdybychom chtěli zabrousit do možností napadení takovéhoto principu přihlašování, pak klasické keyloggery samozřejmě ztrácejí význam. Ani sejmutí okolí obrázku, na který je tlačítkem myši klepnuto, by toho moc nevyřešilo. Úspěšný útok by se ale mohl zakládat na zvýraznění obsahu uzavřeného trojúhelníku v každém kroku: Z dostatečného počtu pokusů o přihlášení je pak teoreticky možné odvodit, které obrázky jsou vždy uvnitř trojúhelníků.
Kolik tváří znáš…
Druhým z představované dvojice systémů pro autentizaci prostřednictvím grafických hesel je systém Passfaces, podrobnosti o něm můžete najít na domovských stránkách celého projektu na serveru Passfaces.com. Jak již samotný název napovídá, namísto obecných obrázků se autentizace soustředí výhradně na fotografie lidských obličejů, jež si obecně dobře pamatujeme i po delší době.
V první fázi je samozřejmě opět zapotřebí vytvořit uživateli požadované grafické heslo, zde to znamená volbu čtyř obličejů, které jsou dostupné ve společné databázi s velkým množstvích dalších. Zde zůstává na každém uživateli, aby si zvolil právě ty obličeje, které přímo jeho zaujmou – zvyšuje se tak pravděpodobnost, že si je po delší dobu snáze zapamatuje.
Jakmile uživatel přikročí k autentizaci podle takto vytvořeného profilu, nabídne mu systém devět tváří, z nichž právě jedna odpovídá některé ze čtveřice, která byla původně definována. Správné označení je realizováno klepnutím tlačítkem myši kamkoli do oblasti s takto vybranou fotografií. Tento jednoduchý postup se opět několikrát opakuje, dokud nejsou korektně rozpoznány všechny z původní čtveřice tváří. I zde je jasné, že čím více opakování se po uživateli požaduje, tím je přihlášení bezpečnější. Systém Passfaces ale bohužel již z principu nemůže být odolný proti odpozorování správných fotografií jiným uživatelem.
Kdybychom se odpoutali od světa typických grafických hesel, je možné najít zesílení běžných hesel také v podobě rozličných algoritmů založených na analýze vstupu z připojeného zařízení, jímž je například stylus. V rámci této biometrické kategorie se sice přímo nejedná o přihlášení heslem, ale sledování dynamiky – oproti statickému 2D porovnání jsou sledovány například také průběžné tahy, přítlak pera na podložku nebo zkosení. Pokud by se odhlédlo od dynamiky podpisu, ale bylo možné zvolit libovolné slovo, lze za určitých (ideálních) okolností dosáhnout ve skutečnosti dvoufaktorové autentizace heslo-biometrika.
Z trojice článků o heslech, jejich bezpečnosti a možnostech prolomení se tento poslední věnoval některým nejznámějším principům alternativní autentizace grafickými hesly. Ta jsou především příslibem do budoucna, klasická hesla totiž ještě nějakou dobu na poli přihlašování hrát prim i nadále. V příštím tematickém bezpečnostním článku zabrousíme do jiné oblasti, řeč bude o hojně diskutovaných biometrických technologiích.