Изобретение относится к вычислительной технике и предназначено для ограничения доступа к информации путем идентификации пользователя по выделенной им правильной части заранее известного изображения.
Аналогом предлагаемому техническому решению можно считать изобретение по патенту №2348974, G06K 9/00, «способ идентификации пользователя с помощью пароля», которое позволяет идентифицировать пользователя путем выделения пользователем заранее задаваемого парольного фрагмента. Также аналогами заявленному изобретению можно считать изобретение №7376899 "Method and system for producing a graphical password, and a terminal device" и изобретение № US 7,272,380 "User authentication method and apparatus".
Недостатками данных изобретений является низкая защита от опечаток, таким образом злоумышленник может, прикрываясь большим количеством опечаток в системе, постепенно подбирать пароли. Это приводит к возможности атак на системы идентификации основанные на вышеперечисленных изобретениях и является существенным недостатком.
Задача, на решение которой направлено предлагаемое изобретение - повышение надежности и достоверности идентификации личности, путем создания таких условий в которых пользователь допустивший ошибку ввода любого рода будет вынужден ее исправить до проведения проверки правильности пароля.
Поставленная задача решается тем что в безошибочном графическом пароле пользователю выводится серия изображений (назовем действия пользователя над каждым изображением этапом ввода пароля) и каждое новое изображение (кроме первого) создается в зависимости от того какие действия пользователь произвел в предыдущих этапах ввода пароля. Таким образом поскольку действия пользователя привязаны к изображению (например выводится карта метро и надо нажать на определенную станцию) то при ошибке следующее изображение будет существенно отличаться (например вместе карты здания будет выведена карта города) и пользователь просто не сможет осуществить действия которые необходимы для успешной идентификации. Таким образом пользователь будет вынужден отменить последний этап и осуществить на этот раз уже правильные действия.
Технический результат, достигаемый изобретением, заключается в полном устранении ошибок ввода любого рода и таким образом повышении защиты системы использующий заявленное изобретение.
Пример реализации предложенного способа и описания соответствующего ему устройства пояснено на фигуре 1, где изображена блок-схема устройства, содержащая следующие части:
I) Клиентская:
1. Устройство управления пользователя.
2. Устройство управления
3. Графический планшет
4. Запоминающее устройство
5. Блок шифрования/дешифрования и приема/передачи информации
6. Блок генерации изображений
II) Серверная:
7. Блок шифрования/дешифрования и приема/передачи информации
8. Запоминающее устройство содержащее хэш-образы паролей
9. Блок принятия решения о предоставлении/отказе в доступе
10. Устройство управления
Устройство в целом работает следующим образом:
Пользователь используя устройство управления пользователя 1 запрашивает начало процесса идентификации личности. Устройство управления 2 получив запрос на начало идентификации получает из ЗУ 4 начальную последовательность байтов для инициализации блока генерации изображений б. Блок генерации изображений создает новое изображение на основе этой последовательности и передает его на графический планшет.
Пользователь может выбрать часть изображения которую он считает правильной, закончить процесс ввода пароля, если хотя бы один раз этап был выполнен или отменить последнюю операцию и таким образом отойти на один этап назад (если опять же хотя бы один этап был выполнен).
Этап ввода пароля заключается в выборе пользователем части изображения, дальше устройство управления 2 сохраняет в стэк ЗУ 4 (данные по этапам ввода пароля оставляются в памяти на случай если пользователь решит отойти на несколько шагов назад) хэш-образ выбранной части и последовательность байтов, которая используется для создания изображения блоком генерации изображений 6.
Далее устройство управления производит хэширование или аналогичного вида криптографическую операцию (похожую, обладающую такими же свойствами, например здесь могут использоваться некоторые режимы блочных шифров) для создания новой последовательности байтов на основе выбора пользователя. Как уже было упомянуто ранее последовательность байт используется в блоке генерации изображений для создания нового изображения и последующего вывода на экран. На этом завершается один этап ввода пароля.
В зависимости от требований по безопасности и установленного пароля этапов может быть различное количество. С повышением количества этапов растет количество возможных паролей и таким образом уменьшается вероятность правильного угадывания пароля злоумышленником.
Если пользователь понимает что выведенное изображение ему не знакомо и он не может сделать операции требуемые для ввода пароля то он отменяет последний (или несколько) этапов и возвращается на этап со знакомым ему изображением и меняет свой выбор. Поскольку, как описано выше, пользователь не может выполнить операции на незнакомых ему изображениях в связи с отсутствием нужных элементов то ему приходится возращаться на более ранние этапы. Таким образом, даже если пользователь хотя бы приблизительно помнит свой пароль, он сможет несколько раз выбрать варианты которые он считает подходящими и получить правильное изображение. Если пользователь совсем не помнит пароля, то у системы нет оснований полагать его нужным пользователем и ему придется воспользоваться другими средствами восстановления пароля.
После того как пользователь удовлетворен введенными данными посредством устройства управления пользователя 1 он указывает устройству управления 2 завершить ввод пароля. Устройство управления отправляет через блок шифрования/дешифрования и приема/передачи информации 5 введенные пользователем данные или их образ (например хэщ-образ данных и времени выполнения авторизации для исключения повторного использования этой информации) в серверную часть.
Серверная часть получает информацию от клиентской части импользуя блок шифрования/дешифрования и приема/передачи информации 7. Устройство управления 10 определяет параметры оборудования и программного обеспечения(ПО) используемые клиентской частью и принимает решение о начале проверке или об отказе авторизируемому пользователю (параметры оборудования и программного обеспечения могут быть различными и включать версии ПО, используемые алгоритмы, географическое местоположение клиентской части, логическое местоположение клиентской части и пр.).
В случае отказа от идентификации устройство управления 10 передает через блок шифрования/дешифрования и приема/передачи информации 7 клиентской части информацию об отказе в авторизации с кодом ошибки.
В случае принятия пользовательской информации для проверки устройство управления 10 запрашивает у запоминающего устройства содержащего хэш-образы паролей 8 хэш-образ соответствующий имени пользователя и пересылает его вместе с информацией полученной от клиентской части в блок принятия решения о предоставлении/отказе в доступе 9. Блок принятия решения о предоставлении/отказе в доступе 9 сравнивает образы и в случае совпадения предоставляет доступ, информирует внешнее устройство о предоставлении доступа указанному пользователю и оповещает устройство управления 10 о предоставлении доступа. Устройство управления 10 передает через блок шифрования/дешифрования и приема/передачи информации 7 клиентской части информацию о успешной авторизации.
В случае несовпадения образа пароля и полученной информации блок принятия решения о предоставлении/отказе в доступе 9 оповещает устройство управления 10 об отказе в доступе доступа. Устройство управления 10 передает через блок шифрования/дешифрования и приема/передачи информации 7 клиентской части информацию о неуспешной авторизации. Также устройство управления 10 сохраняет информацию о клиентской части пытавшейся произвести авторизацию для дальнейшего отказа в доступе к ней и информирования внешнее устройство о таком событии.
Изобретение относится к вычислительной технике и предназначено для ограничения доступа к информации путем идентификации пользователя по выделенной им правильной части заранее известного изображения и повторения этого действия заранее заданного количества раз. Технический результат, достигаемый изобретением, заключается в полном устранении любых ошибок во время ввода информации пользователем и таким образом исключения атак на пароли, основанных на их переборе. Это достигается тем, что в безошибочном графическом пароле пользователю выводится серия изображений, над каждым из которых пользователь должен выполнить заранее заданные действия, при этом формирование следующего изображения зависит от предыдущих действий пользователя, таким образом при неправильных действиях пользователя ему будут выведены другие, сильно отличающиеся, незнакомые ему изображения, и он не сможет выполнить необходимые ему действия и вынужден будет перейти на шаг (или несколько) назад и исправить ошибку. 1 ил.
Способ идентификации пользователя с помощью пароля, заключающийся в выборе пользователем заранее известного парольного фрагмента на заранее заданном или определяемом пользователем изображении и повторении этого этапа заранее заданное количество раз, отличающийся тем, что на основе предыдущих действий пользователя создается новое изображение, которое будет выведено пользователю.
| Chiasson S | |||
| et al, Graphical Password Authentication Using Cued Click-points | |||
| ESORICS, 2007 | |||
| Chiasson S., et al, Influencing Users Towards Better Passwords: Persuasive | |||
| Cued Click-Points, Published In Proceedings of the 22nd British HCI Group | |||
| Annual Conference on People and Computers: Culture, Creativity, Interaction, | |||
| Печь для непрерывного получения сернистого натрия | 1921 |
|
SU1A1 |
