Этот новый тип пароля, получивший название GOTCHA (Генерация паноптических тестов Тьюринга для различения компьютеров и людей), будет подходить для защиты ценных учетных записей, таких как банковские счета, медицинские записи и другая конфиденциальная информация.Чтобы создать GOTCHA, пользователь выбирает пароль, а затем компьютер генерирует несколько случайных разноцветных пятен.
Пользователь описывает каждое пятно с помощью текстовой фразы. Эти фразы затем сохраняются в случайном порядке вместе с паролем.
Когда пользователь возвращается на сайт и входит в систему с паролем, чернильные пятна снова отображаются вместе со списком описательных фраз; затем пользователь сопоставляет каждую фразу с соответствующим чернильным пятном.«Это головоломки, которые легко решить человеку, но сложно решить компьютеру, даже если в нем есть случайные биты, используемые для создания головоломки», — сказал Иеремия Блоки, доктор философии. студент в области информатики, который разработал GOTCHA вместе с Мануэлем Блюмом, профессором компьютерных наук, и Анупамом Даттой, доцентом кафедры информатики, электротехники и компьютерной инженерии.
Эти головоломки окажутся значительными, когда нарушения безопасности веб-сайтов приведут к потере миллионов паролей пользователей — обычное явление, от которого страдают такие компании, как LinkedIn, Sony и Gawker. Эти пароли хранятся в виде криптографических хэш-функций, в которых пароли любой длины преобразуются в битовые строки одинаковой длины.
Вор не может легко расшифровать эти хэши, но может организовать так называемую автоматическую офлайн-атаку по словарю. Блоки отметил, что сегодня компьютеры могут оценивать до 250 миллионов возможных значений хеш-функции каждую секунду.Учитывая постоянную популярность простых паролей, таких как «123456» или «пароль», взломать эти хэши не всегда сложно.
Но даже жесткие пароли уязвимы для новейших методов грубой силы, сказал Блоки.Однако в случае GOTCHA одной компьютерной программы будет недостаточно для взлома учетной записи.
«Чтобы взломать пароль пользователя в автономном режиме, злоумышленник должен одновременно угадать пароль пользователя и ответ на соответствующую головоломку», — сказал Датта. «Компьютер не может сделать это в одиночку. И если компьютер должен постоянно взаимодействовать с человеком для решения головоломки, он больше не сможет использовать свою грубую силу для взлома хэшей».Исследователи описали GOTCHA на семинаре Ассоциации вычислительной техники по искусственному интеллекту и безопасности в Берлине, Германия, 4 ноября.Поскольку описательные фразы пользователя для чернильных пятен сохраняются, пользователям не нужно запоминать их описания, но они должны иметь возможность выбирать их из списка.
Чтобы узнать, могут ли люди делать это надежно, исследователи провели пользовательское исследование с участием 70 человек, нанятых через Mechanical Turk. Сначала каждого пользователя попросили описать 10 чернильных пятен с креативными названиями, такими как «злой клоун» или «дама в пышном платье». Десять дней спустя их попросили сопоставить эти названия с чернильными пятнами.
Из 58 участников, принявших участие во втором раунде тестирования, одна треть правильно сопоставила все чернильные пятна, а более двух третей получили правильные ответы на половину.Блоки сказал, что дизайн пользовательского исследования, включая слишком низкие финансовые стимулы, может объяснить не столь высокие результаты. Но он сказал, что есть способы сделать описания более запоминающимися. Один из способов — использовать более сложные истории, такие как «счастливый парень на земле, защищающийся от щекоток».
Исследователи также пригласили коллег-исследователей безопасности применить методы искусственного интеллекта, чтобы попытаться атаковать схему паролей GOTCHA. Их конкурс GOTCHA Challenge доступен по адресу http://www.cs.cmu.edu/~jblocki/GOTCHA-Challenge.html.