8 Ноября, 2013

Парольная скорость

Алексей Комаров

Говоря о паролях, часто рассуждают на тему их длины и сложности. При этом на две противоположные чаши весов чаще всего кладут надёжность пароля и трудность его запоминания соответственно. При этом редко рассматривают такой аспект как скорость и сложность ввода пароля пользователем.

Простой пример. Обычный офисный сотрудник за день разблокирует свой рабочий компьютер раз десять, если не больше. Сходил на обед, отвлёкся на разговор с коллегой, долго говорил по телефону, отошёл за чаемP- после каждого из этих действий (при соответствующей настройке времени до блокировки, конечно) нужно заново вводить пароль. При этом, даже если пароль достаточно сложный, то всё равно многократно повторенное действие запомнится чисто механически и вскоре времени на ввод много не потребуется — руки сами всё наберут.

rutoken

Аналогично с токеном . Если для разблокирования компьютера надо подсоединить токен и ввести PIN-код от него, то опять-таки через какое-то время пользователь доведёт свои действия до автоматизма и особых проблем не будет. Более того, требования к PIN-коду могут быть гораздо слабее, чем к паролю (ведь это лишь один из двух факторов аутентификации) и поэтому пользователь будет разблокировать компьютер вероятнее всего ещё быстрее, чем в случае с паролем. Да, какие-то пару секунд надо потратить на подключение самого токена, но зато не нужно нажимать Ctrl-Alt-Delete, ведь после подключения токена окно для ввода PIN-кода появится само.

OTP

Также пользователь может использовать для входа одноразовый пароль (OTP — one-time password), который отображается на экране его устройства (OTP-токена) или приходит по SMS. Одноразовый пароль как правило совсем короткий и ввести его, казалось бы, недолго. Да вот только он каждый раз разный, а это значит, что никакого механического запоминания быть не может. На практике ввод очередного нового шестизначного OTP может занять времени больше, чем привычного 10-12 символьного пароля, заученного пальцами наизусть. Не может также быть речи и о вводе OTP в ходе активного разговора по телефону — требуется концентрация внимания на процессе ввода.

PINSafe

Для полноты картины упомяну ещё один метод разблокировки компьютера — ввод одноразового кода (OTC — one-time code). Одноразовый код как и одноразовый пароль используется только один раз (спасибо, Кэп!), после чего меняется, но в отличие от одноразового пароля, одноразовый код пользователь не получает (от устройства или по SMS), а вычисляет самостоятельно. Такой вариант предлагает, например компания Swivel Secure , запатентовавшая PINSafe — метод вычисления одноразового кода из секретной строки. PIN-код, который знает только пользователь, означает позиции символов, которые нужно взять из секретной строки, чтобы получить OTC. Принцип работы PINSafe объяснён на картинке выше.

При этом секретная строка может просто выводится пользователю на экран входа в операционную систему. Метод по своей сложности использования сопоставим с вводом одноразового пароля: после некоторого числа итераций считывать с секретной строки одноразовый код можно довольно быстро, ведь нужно лишь посмотреть какие именно символы стоят на тех местах, которые заложены в PIN-коде. Зато PINSafe не требует дополнительных устройств.

Обобщая, можно рассмотренным методам так распределить места за простоту (скорость) прохождения пользователем аутентификации при частой разблокировке компьютера:

  • 1 место. Токен (+PIN-код) — PIN-код проще пароля и вводить его легче.
  • 2 место. Пароль — даже сложный пароль со временем будет вводиться на автомате.
  • 3 место. OTP — меняется каждый раз, нужна концентрация внимания.
  • 4 место. OTC (PINSafe) — нужно каждый раз вычислять из секретной строки.

Любопытно, что если мы возьмём для примера не типичного офисного сотрудника, а, скажем, разъездного агента, который в офисе бывает два-три раза в неделю, чтобы отчитаться о своей работе, внеся информацию в корпоративную CRM, то ситуация будет иной. Свой сложный пароль такой пользователь будет запоминать несколько месяцев, вполне возможно, что как раз до того времени, как его снова нужно будет менять. Для редких входов в систему OTC и, особенно, OTP будут гораздо удобнее:

  • 1 место. OTP — просто нажал кнопку или посмотрел на экран и считал одноразовый пароль.
  • 2 место. OTC (PINSafe) — нужно помнить только короткий PIN-код, а уж принцип формирования OTC из секретной строки запомнить элементарно.
  • 3 место. Токен (+PIN-код) — PIN-код проще пароля и вводить его легче.
  • 4 место. Пароль — даже не очень сложный пароль скорее всего придётся куда-то записать, это вам даже владельцы нескольких банковских карточек, некоторые из которых используются очень редко, с готовностью подтвердят, хотя и помнить-то надо всего лишь четыре цифры.

В общем, в зависимости от конкретной ситуации более удобной может оказаться либо одна либо другая технология. Очень важно при выборе конкретного метода аутентификации помнить, что пользователи всегда будут стремиться упростить себе жизнь тем или иным способом и делать они это будут чаще всего в ущерб безопасности, так что лучше заранее всё продумать за них и выбрать правильный баланс между простотой использования и надёжностью.

Завершу пост роликом, наглядно демонстрирующим ещё один интересный вариант разблокирования компьютера, правда, применимый только для Mac.


Данное любопытное приложение Knock сейчас как раз тестирую на себе и хочу сказать, что пока мне нравится. Разблокировать ноутбук действительно очень удобно, плюс появилась возможность установить парольPдаже ещё длиннее и сложнее, чем был до этого. Есть, правда, небольшая задержка между выводом ноутбука из сна и переходом его в состояние готовности принять тук-тук, но зато связанных с сокращением срока работы батарейки проблем никаких не оказалось. Правда, в моём случае и ноутбук и телефон поддерживают стандарт Bluetooth 4.0 , славящийся своим низким энергопотреблением, так что дело явно в этом.

или введите имя

CAPTCHA
11 Ноября, 2013
любопытно показан способ шифрования в PINSafe на картинке
если секретная строка содержит только 1 ряд цифр с 0 до 9, то для подбора PIN кода будет достаточно 2-х попыток (получить скрины секретной строки и какие клавиши после этого нажимались
0 |
  • Поделиться
  • Ссылка