Pages - Menu

Страницы

3.5.12

Музыкальные пароли - новое слово в ИБ

Одним из самых известных, даже кухаркам и домохозяйкам, понятий информационной безопасности является пароль, от стойкости которого зачастую зависит защищенность всех преград - домашних, банковских, корпоративных и иных. Из курса теоретической ИБ давно известно, что стойкость пароля зависит от информационной энтропии. Чем случайнее набор символов (в разных регистрах, разных алфавитах, цифры и спецсимволы...), тем надежнее пароль и тем сложнее его запомнить. Любые попытки сделать пароль запоминающимся приводят к снижению энтропии и предсказуемости пароля. Символьные пароли, мнемонические пароли, графические пароли... И вот настал черед паролей музыкальных.

Английские эксперты (не путать с английскими учеными) - Марсия Гибсон, Карен Рено, Марк Конрад и Карстен Мэпл (такая идея могла придти только женщинам ;-) из Университета Бердфоршира, проанализировали существующие методы выбора паролей и пришли к выводу, что традиционные символьные пароли неэффективны, а их аппаратная замена токенами или биометрией не всегда целесообразна и не всегда возможна, как по финансовым, так и по техническим соображениям. Визуальные или графические пароли (выбор картинки из множества, указание определенного места на картинке, последовательность движений) являются неплохой заменой, т.к. по мнению психологов человеческий мозг лучше запоминает именно графические образы чем семантические или синтаксические.

Другим каналом, который обладает более высокой "надежностью", чем запоминание символов, является музыка. Она "работает" на более глубоком уровне, чем даже образы, и более устойчива к помехам. Исследователями были проанализированы различные варианты использования музыки в качестве пароля и был создан прототип системы Musipass, которая реализовывала сделанные выводы. В частности:
  • лучше давать пользователям выбор из существующих музыкальных клипов (нарезок), и не давать им возможность загружать свою (многим известную и легко предсказуемую музыку)
  • использовать лучше известные мелодии, чем неизвестные (правда, это сокращает набор возможных комбинаций)
  • достаточная длительность мелодии 3-6 нот (вспомните, передачу "Угадай мелодию")
  • музыка должны быть ритмичной
  • музыка с вокалом запоминается лучше чем просто инструментальные композиции
  • хорошо запоминаются звуковые якоря (яркие и легко запоминающиеся инструментальные или вокальные фрагменты).
Наиболее интересны результаты испытаний Musipass. Запоминаемость музыкальных и символьных паролей при первых попытках использования системы примерно одинаковая - в рамках статистической погрешности. После некоторого использования эффективность музыкальных паролей возрастает и превышает запоминаемость символьных паролей на 48% (91% против 62%). Но есть и интересные эффекты от такой парольной схемы. Она наиболее "близка" поколению "до 35", что и понятно. Старшее поколение предочитает обычные, более привычные им пароли.


В целом достаточно интересное исследование. И новое. Первые упоминания этой темы появились в 2008-2009-м годах. Так что ждать его активного внедрения в ближайшее время, наверное, не стоит. Но то, что исследователи не стоят на месте и ищут новые варианты решения известных проблем, это интересно.

8 комментариев:

  1. Теперь ждем танцевальные и кулинарные.

    ОтветитьУдалить
  2. А что, очень удобно, ноты имеют следующие аттрибуты: высоту и длительность. Из них и набираем пароль.
    Чтобы перейти к полифонической аутентификации, достаточно указать нотами несколько партий.
    В качестве дополнительных ключей защиты будут выступать типы инструментов.

    Далее ФСБ пропишет у себя в требованиях к квалификации - музыкальное образование.

    ОтветитьУдалить
  3. Специалисты говорят, что у каждого человека постоянный индивидуальный микробный состав кишечника. Даже йогурты не могут его изменить. Можно по такому микробиологическому портрету проводить биометрическую идентификацию..
    Ждем калоидентификаторы :)

    ОтветитьУдалить
  4. Есть такая программка - "Английский для хулиганов" (например тут http://www.frenglish.ru/10_eng_learn_courses_english_for_hooligans.html).
    Так вот, этот механизм надо заточить под ИБ:
    1. допуск к работе только после правильных ответов - тут и повышение осведомленности, и доведение документов, и контроль знаний, и многое другое;
    2. вход при правильных ответах на произвольно генерируемые вопросы о содержимом ПК или разработанных документов, например, "Как называется последний документ с которым ВЫ работали?", "Сколько танков в 28 танковой дивизии?" и т.п. - ответы знает только тот, кто работает (на крайний случай пользователь сам определяет по какому документу задавать вопросы) - суть в том, что постоянного пароля нет, допуск определяется по знаниям в голове пользователя.

    ОтветитьУдалить
  5. от брутфорса это не спасет.. самая массовая мелодия будет - доремидоредо... английским ученым надо также рассмотреть варианты использования видео для комбинаций пальцев и жестов.. нетрудно угадать какие варианты будут самыми массовыми.. так что проблема не в способе представления пароля, а в голове владельца пароля..

    ОтветитьУдалить
  6. от брутфорса это не спасет.. самая массовая мелодия будет - доремидоредо... английским ученым надо также рассмотреть варианты использования видео для комбинаций пальцев и жестов.. нетрудно угадать какие варианты будут самыми массовыми.. так что проблема не в способе представления пароля, а в голове владельца пароля..

    ОтветитьУдалить
  7. Сразу вспоминается фильм "Визит к минотавру" и музыкант Поляков...

    ОтветитьУдалить
  8. Лет 10 уже пользуюсь таким паролем, музыкальную тему из одного кинофильма "играю" на клавиатуре как будто на клавишах фортепьяно. По буквам даже и не помню, к тому же много повторов. Как следствие, рассказать пароль не смогу, только набрать. Хорошая штука. Я то думал, я один такой умный, оказывается вот, какие то бретанские учоные подтянулись :D
    Недостаток - метод годится, конечно же, только для тех, у кого хороший музыкальный слух. Остальным легче тупо запоминать по буквам - получится обычный пароль.

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.