Berta Sándor

Képeken és színeken alapuló jelszórendszer

A Merlinnovations cég egy olyan új jelszómegoldással rukkolt elő, amelynél különböző képeket és színeket egyaránt felhasználnak az azonosítók létrehozására.

"A SecLookOn nevű rendszer különlegessége, hogy a felhasználó nem közvetlenül a jelszavát adja meg a belépéskor, hanem azt kell bebizonyítania, hogy ismeri a jelszót. A bizonyítási eljárás különböző bemutatott színeken és képeken alapul" - nyilatkozta Helmut Schluderbacher fejlesztő, a SecLookOn atyja.

A felhasználónak meg kell jegyeznie, hogy melyik színt melyik felvételhez vagy képpárhoz társította. Egy tengert ábrázoló fotóhoz például a legkézenfekvőbb a kék színt választani, de olyan szín is kijelölhető, amely adott esetben akár két képpel összeköthető vagy kiválasztható önmagában egyetlen szín is. Ezek a szín- és képkombinációk, valamint a hozzájuk rendelt számok alkotják magát az egyedi jelszót. Amikor felbukkan a bejelentkezéskor az előzetesen kiválasztott felvétel vagy szín, a felhasználó beüti az azokhoz korábban megadott számot.


"A megoldás előnye, hogy még az sem tudja megfejteni a jelszavakat, aki nagyon figyelmesen monitorozza a rendszer működését, ugyanis minden bejelentkezéskor más és más szín- és fotókombinációk jelennek meg, amelyek egyúttal új számsorokat is jelentenek. Gyakorlatilag ez a védelem így szinte kijátszhatatlan. Ráadásul az emberek könnyebben megjegyeznek néhány színt vagy képet, illetve az azokhoz társított számot, mint egy hosszabb és bonyolultabb, kis és nagybetűkből, valamint számokból álló jelszót" - érvelt a program mellett Helmut Schluderbacher.

A megoldás bárhol felhasználható, ahol PIN-kódokat vagy jelszavakat alkalmaznak, legyen szó szoftverekhez vagy bankautomatákhoz való hozzáférésekről. A rendszer előnye, hogy rendkívül rugalmas és az alkalmazott színeknek, illetve fotóknak csak a tárhely és fantázia szab határt. A szakember már 2004-ben bejelentette a SecLookOn-ra vonatkozó szabadalmi kérelmet, de azóta is folyamatosan fejleszti a programot, amelynek már elérhető a végleges változata. Ezenkívül létrehozott egy tesztoldalt is, ahol bárki online kipróbálhatja a megoldást.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • bundee #25
    Illetve nem magát a képet, hanem az ahhoz valamilyen hozzárendelt számot kellene beütni... Lényegében, egy "asszociációs-kód" ez :) Már ha létezik ilyen kifejezés, bár annak idején sierra játékokban így ellenörízték a Larry játékban, hogy elmultál-e 18 éves :)
  • TheZsenyka #24
    ASSDF: nem tudtam, hogy mi az SSL, csak gondoltam így logikus, hozzáteszem: a saját zárt világomban gondoltam így :D Azzal egyetértek, hogy minden rendszer, valamilyen módon, feltörhető. A kérdés az, milyen áron és hány év szakirányú kolostorlátogatás szükséges hozzá. Nyílván hogy teljeskörű védelmet az jelentene, ha állig felfegyverzett hithű muzulmán egységek védenék az objektumot, levegőből érkező AWACS felderítő támogatással a baráti USAF részéről, miközben RoboCOP, Superman és Batman járják a folyosókat. Esetleg még a láthatatlan embert is be lehet vonni. De akkor még mindíg jöhet Bob, a kőember, és máris buktad az aranyrudakat amiket odabent őrzöl :D Persze, minden kijátszható.
  • TheZsenyka #23
    Tehát, egy másik belépésnél, legközelebb lehet, hogy a hóemberes képet kell választanod (tél), aztán egy piros háttrű 9-es számot (de csak a háttér miatt), majd végül egy képet, amin egy női száj (vagy legyen férfi aki az után vágyik) éppen egy körtébe harap. De én ezt csak úgy gondolom.
  • TheZsenyka #22
    Én másként értelmezem. Mondjuk a következőt kell megjegyezned: tél, piros háttér, gyümölcs

    éppen ezért ezeket nyomod meg (legalábbis amikor éppen az jelenik meg, ami most a képen van fent, de ez változhat): a hegycsúcsos képet (mert téli), egy tetszőleges piros hátterű képet (mindegy mit ábrázol), aztán egy tetszőleges gyümölcsös képet, amit itt a cseresznyés, és mindegy milyen a háttere.

    Legalábbis én így látom logikusnak. De, mint mondtam, én ehhez nem értek.
  • bundee #21
    Nos, ha jól értelmezem a fenti eljárást, ez leginkább beléptetőkapuknál lehet ideális. Az alany személyesen megtanulja a párosításokat, a kapunál azonosítja a képeket és beírja a hozzájuk való számot. A gond csak az, hogy elég sok képet meg kell jegyeznie...
  • RealPhoenixx #20
    ASSDF: kihagytal par dolgot, illetve nem teljessen pontos nehany dolog /bar elegge kozelit/ :)

    Szval a lenyeg a csapoajto fuggveny illetve eljaras.
    Az RSA nem 10 eves eljaras, hanem van az 30 is boven (utana kellene neznem, de mind1 vegulis)!
    Jah es az RSA nem protokoll, hanem algoritmus!
    Bar lehet protokoll jellege is, de azert nevezzuk neven a dolgokat pls, es ne csinaljunk olyan dolgokat, hogy pl: kijelentjuk, mint sok balfasz ceg, hogy RS232-es protokollt hasznal, mikozben az csak egy csatlakozasi "fizikai kapcsolodasi" tipus.

    Lenyeget tekintve itt tunkeppen sztem mindenki csak azt sugallja, ha egy kicsit is ert a kriptografiahoz, hogy ez az eljaras egy nagy xar, es hogy ez maximum specializalt eljaraskent alkalmazhato, egesz pontosan pedig: specializalt hibrid eljaraskent, vagyis ezt a kis pocs gondolatmenetu cumot beletenni egy szep algoritmikus rendszerbe'
  • assdf #19
    Vicces amit irsz, meg tudnád mondani hogy ez a rendszer mennyivel biztonságosabb mint a kétkulcsos rsa titkositás? (tudod mindkét félnek van egy nyilvános és titkos kulcsa stb).

    A poén ráadásul az benne hogy amit leirtál az nem más mint az ssl-es vpn hálózatok alapköve. A hitelesités elején generál a két fél egy-egy egyszeri titkositásra szolgáló kulcsot, amivel titkositják a te általad beirt jelszót, kulcsot stb.

    A bukópálya ott van hogy mivel a megfelelő hosszúságú egyszeri "véletlen" rsa kulcsot nem lehet feltörni időben ezért az összes hacker stb három dolgot probál meg:
    1,megprobál közétekékelődni
    2,megprobál rést találni a kulcsgenerálás folyamatán és előállitani ugyanazt a kulcsot. (ebből volt már gond amikor a szerver a kulcsot az idő alapján generálta és a tisztelt hacker erre rájött, megszerezte a kulcs egyik párját és egy izgi húzással visszaállitotta a szerver óráját majd minden további nélkül hitelesitette magát a szerveren mikor az legenerálta a kulcsnak a másik felét ami megegyezett a korábbival).
    3, megprobál túlcsordulást előidézni.

    Nos a jelenlegi rsa protokoll illetve ssl-s megvalósitás már több mint 10 éves igy eléggé le van tisztulva a kód elkerülve a fenti eseteket. Az algoritmus ismert fogást eddig nem találtak rajta (brute forcen kivül) és az ssl megvalósitásban is már elég kevés a hibalehetőség. Olyannyira hogy gyakorlatilag ezt használja minden biztonságra adó ember.

    A te általd irt módszer ennek valamiféle csilivili változata, azonban tesztelés nélkül egy ilyen friss és még nem kiforrot technikát én biztos nem cserélnék le a régi megbizhatóra, csak azért mert ez most olyan trendi "szines".

    Amit én látok, az az a feltételezés (ami baromság) hogy a jelszavakat távolról távcsővel lesik le a hackerek... Persze nem lennék meglepve ha ezt bekajálnák az emberek akik azt hiszik hogy a számitógépek úgy müködnek mint a filmekben (és hogy egy sokol rádiót is meg lehet virussal fertőzni egy laptop segitségével a himalája tetején...)
  • RealPhoenixx #18
    TheZsenyka:

    Kerdesek:
    1. szted miert hasznalunk szamitogepet, meg szamitasra alkalmas egyeb eszkozt?

    "Neked kurva nehéz lenne (ha csak nem vagy zseni vazze') fejben matematikai műveleteket végezni egy megjelenített számmal és egy megfelelő választ adni. Képekkel egyszerűbb."

    2. Atgondolnad amit irtal? Kisse zavarosnak tunik, bar megertettem mit szerettel volna irni. Viszont sajnos az is latszik hogy nem ertetted meg mit jelent a parositas alap. Merthogy az nem azt jelenti, hogy a szamjegyekhez rendel kepeket es onnantol kezdve hogy egyszer beutotted, akkor mar csak kepeket fog neked mutatni a rendszer es az alapjan kell a szamot beutnod. De amugy ha ezt a dolgot erted, akkor mondhatom hogy eroteljessen hasonlit ehez! A kepes cumo pediglen igencsak parositas alapu, illetve esetleg tartalmazhat szurest is, bar a szuresben nem vagyok bizonyos (marmint hogy ez a xar koppintas tartalmazna mindenbizonnyal ezt)

    NB: jobb megertes kedveert: csinalhatja azt is a rendszer, hogy miutan az egyszer hasznalatos jelszot elhasznaltad, es megadtad a kepeket, amiket hasznalni szeretnel, azokbol kepez valamilzen hash-t, akar szabvanyositott eljarason keresztul, akar lehet barmi fele baromsag, de altalaban az ilyen egyedi cumok egyedi bena hash-eket tartalmaznak, plane hogy ikonszeru kis kepi adatsorbol nem mindenfele hash eljarassal lehet megfelelo rendes hash kulcsot kapni (bar ebbe inkab nem rohannek bele)
  • TheZsenyka #17
    Ne legyetek már nudlik vazze' :D

    Van egy kódod, mind1, hogy mi az: 12345 (ASSDF után szabadon). Ha ezt ütnéd vissza párosítással, annak semmiféle értelme nem lenne. Ezért mit tesz a rendszer? Létrehoz egy egyszerhasználatos jelszót, egyes elemeihez kódokat társít, majd kirak neked színes vackokat. Megnyomod a színes vackokat, számgép elemzi, és megállapítja, hogy passzol az egyszerhasználatos jelszóhoz, tehát te tudod az 12345 jelszót is. Beenged. Ezek után az egyszerhasználatos jelszó (nevében is benne van) eldobásra kerül. Nem vagyok mérnök, valszeg el lehet magyarázni picit komolyabb stílusban is, de ez a lényeg. Legalábbis ez tűnik logikusnak nekem. Neked kurva nehéz lenne (ha csak nem vagy zseni vazze') fejben matematikai műveleteket végezni egy megjelenített számmal és egy megfelelő választ adni. Képekkel egyszerűbb.
  • RealPhoenixx #16
    LOL megint, vagyis bena az egesz

    Miertre a valasz:
    1. Egesz egyszeruen kizarja a vakokat, illetve a szinvakokat, vagyis szintevesztoket, marpedig a lakossag nem kis resze ilyen! De a terminal oregedeset es szinhuseget sem tekinti hasznalati tenyezonek a faszkalap fejleszto ahogy latom!
    2. Az otlet: lopott, de mind1 (ugyanis tarsitasos vedelemmel mar probalkoztak *egesz pontosan: keptarsitas*)
    3. A mukodese egyertelmuen parisotas alapu, szval assdf nalad a pont ezen vonatkozasban
    4. A rendszer csak jol elkulonitheto elemekkel kepes mukodni (nb: mivel az ember ek java sem kepes mondjuk 1 filmkockaval tobb vagy kevesebb jelenetrol megallapitani, hogy az nem az amit kivalasztottak, a jelenet szinarnyalataitol /finom szinarnyalat megvaltoztatasatol/ meg ekkor meg eltekintettem)
    5. a kijelzok felbontasa ill. szinjellege szinten csak abszolut jol elkulonitheto cuccokra alkalmazhato max
    6. A kodolas a 3-as pontban leirtnak megfeleloen onmagaban egyertelmuen gyenge

    Szval terminalokhoz abszolut hasznalhatatlan szar, de mind1, aki akar, az dobjon csak ki erre penzt!
    De ha mar valaki kidobna ra penzt, akkor en inkabb azt mondanam, gondolja at a dolgokat jobban es tegye specifikusabba, mert ez igy onmagaban is csak reteg hasznalatu cucc, akkor legyen legalabb tokeletesitve!!
    Avagy esetleg a reteghasznalatot szuntessuk meg.

    A legjobb alternativa, ha kette vesszuk az egeszet, vagyis egy reteghasznalatu celra (bizonyos szemelyek nem kepesek rendesen kihasznalni a parositas alapot), illetve a reteghasznalat megszuntetese csak az abras megvalositast hozza (ez esetben nem gond hogy a terminal szinijelzese xar e vagy sem, es az sem ha szinvak a szemely).

    Tehat meglatasom, hogy GYENGE LOPAS az egesz egy primitiv .....-tol