Журнал Компьютерра - Журнал «Компьютерра» N 5 от 06 февраля 2007 года

- поверье, что случайные пароли прочнее, чем созданные из мнемонических фраз, не подтвердилось;

- поверье, что мнемонические пароли труднее запомнить, чем наивные, не подтвердилось;

- наконец, самое главное «поверье»: использование случайных или мнемонических паролей существенно повышает безопасность. Оно, хоть и с большими оговорками, но все-таки, по мнению авторов, скорее не подтвердилось, чем подтвердилось.

Тем не менее авторы заканчивают свой отчет об исследовании четкой рекомендацией - использовать мнемонические пароли. Ведь они запоминаются так же легко, как наивные, но так же устойчивы, как рандомные. Несомненно, с тех пор проводились и другие исследования подобного рода. Но с одной стороны, классика есть классика, а с другой - в свете последних достижений по подбору паролей вся эта проблематика предстает в совсем ином свете… Поэтому отметим лишь высокую оценку мнемоники в этой широко цитируемой работе и перейдем, наконец, к мнемоническим системам, рассчитанным на задачу запоминания готовых ПИН-кодов.

Главная идея систем, описанных в [4], - избавить пользователя от необходимости помнить не только сам ПИН-код, но даже ключевую фразу или иной словесный «образ пароля». Вот как действует одна из них (находящаяся сейчас в процессе патентования)- по замыслу, особенно удобная как раз для ПИН-кодов. Пусть нам надо запомнить код «1945». Посмотрим на таблицу 3.

Отмеченные слова образуют образ пароля - в данном случае четырехзначного ПИН-кода. Восстановление происходит мгновенно и без всяких манипуляций с цифровыми алфавитами. Просто номера строк, в которых стоят выделенные слова, образуют искомый код.

Но как запомнить эти слова? Это происходит на этапе «ввода пароля в эксплуатацию». Глядя на таблицу, вы запоминаете по слову из каждого столбца. В данном случае из списка деревьев - дуб, из видов дружб - «тесную», из видов начальников - начальника порта, а из Александров - Можайского. По замыслу разработчиков, даже если вы и забыли эти слова по дороге к банкомату, то, взглянув там на таблицу, - вспомните их. Только ни в коем случае нельзя их обводить карандашом в таблице! Во-первых, вся секретность тут же пропадет, а во-вторых, это уже будет неспортивно [Шутка].

Для пользователей разработана целая система таблиц. Точнее, заготовок для них - столбцов, состоящих из заголовка и десяти слов, которые вместе с заголовком образуют связный текст (скажем, Александр [Попов, Пушкин, Суворов, … ]). Из этих столбцов можно набрать массу таблиц, причем нужной ширины (для запоминания более длинных кодов, чем четырехзначные). Наконец- и это намек на некий дополнительный потенциал такой мнемоники, - можно не писать в столбцах слова, а ставить туда, например, картинки (как в детских садах маркируют шкафчики в раздевалках: клубника, яблоко и т. д.), фотографии людей, логотипы компаний.

Разумеется, эффективность этого подхода может подтвердить или опровергнуть только массовое тестирование на практике. На взгляд - идея симпатичная, и судя по поверхностному знакомству с литературой, незаезженная. Для контраста - в недавно выложенной в свободный доступ классической книге Андерсона [1] по ИБ (см. «КТ» ##652, 658) за легкость взламывания критикуется такая рекомендация по мнемонике ПИН-кодов: вписать осмысленное слово в столбцы таблицы 10х4 с номерами из этого ПИН-кода, остальные клетки заполнив случайными буквами (рис. 1). Андерсон оценивает среднее количество осмысленных четырехбуквенных слов в такой таблице в пару дюжин. Поэтому шансы угадать за три попытки нужное слово довольно велики - 1 к 8 (против 1 к 3333, если угадывать сам ПИН-код).

Очевидно, что система, разработанная в ИПИБ, не страдает этим недостатком, так как там все комбинации слов в таблице равнозначны и никак не выделены большей или меньшей осмысленностью или другими признаками.

ЛИТЕРАТУРА

[1] Ross Anderson, «Security Engineering», www.cl.cam.ac.uk/~rja14/book.html.

[2] Васильева Е.Е., Васильев В.Ю. «Суперпамять, или Как запомнить, чтобы вспомнить?» - М.: «Астрель», 2006.

[3] Васильева Е.Е., Васильев В.Ю. Секреты запоминания чисел. - М.: «Астрель», 2006.

[4] О. Логачев, Е. Молодцов, В. Ященко, «Способ запоминания персональных цифровых паролей, основанный на использовании линеек ключевых символов», Отчет ИПИБ.

Автор: Родион Насакин

Российские власти на новый год преподнесли онлайн-гемблингу Рунета неприятный подарочек. С первого января вступил в силу федеральный закон «О государственном регулировании деятельности по организации и проведению азартных игр и о внесении изменений в некоторые законодательные акты Российской Федерации», согласно которому запрещается организация азартных игр «с использованием информационно-телекоммуникационных сетей, в том числе сети Интернет, а также средств связи, в том числе подвижной связи» (то есть власти сходу поставили вне закона и мобильный гемблинг).

Попытка не пытка

В ноябре 2006 года президент отечественной ассоциации игорного бизнеса в Интернете Олег Журавский внес на рассмотрение правительства предложение разработать специальную лицензию для онлайн-казино. Но чиновники предпочли не разбираться в тонкостях сетевого азарта и просто запретили бизнес.

В Рунете относительно быстро сформировался вполне нормальный рынок, с которым не брезговали работать местные доткомы. А одно из первых казино Рунета - Шанс.Ru - даже спонсировало выпуски телепередачи «Что? Где? Когда?». Большая часть оборота приходилась на ограниченное число участников, которые вели свой бизнес в соответствии с мировыми нормами, базировались на дорогом ПО от ведущих производителей, регулярно давали проверять себя независимым аудиторам с громкими именами, рекламировались на весьма авторитетных интернет-площадках - в общем, никак не производили впечатления полуподпольных предпринимателей на птичьих правах. Да и инвестиции в этот бизнес делались солидные (по крайней мере, для отечественных доткомов). Так, на открытие онлайн-казино «Фортуна» было потрачено $250 тысяч, из которых $92 тысячи пошли на приобретение доменного имени.

В качестве примера успешного сотрудничества онлайн-казино с другими отечественными представителями электронной коммерции можно вспомнить альянс Loto.ru с крупнейшей процессинговой компанией Assist, которая в 2005 году даже эмитировала кобрэндинговую карту для более простой и безопасной оплаты ставок и получения специальных бонусов в заведении. Молодая платежная система MoneyMail (она же Деньги@mail.ru) тоже активно сотрудничала с онлайн-казино, в массовом порядке заключая договоры об открытии канала зачисления средств на игровые депозиты. Только в 2006 году к системе подключились игорные онлайн-заведения GoldSmir, «Султан», «Видео Казино», «Авалон», Va-Bank, все та же «Фортуна» и др. Кроме того, в прошлом году через электронные платежные системы стало проходить больше половины всех платежей в пользу интернет-казино.