Коллектив Авторов - Цифровой журнал «Компьютерра» № 95

Если же людям нужен простой совет о том, как придумать действительно сильный пароль, то лучший рецепт, по мнению Бонно, — это такая комбинация, которую больше никто и никогда не использует. Как именно конструируются подобные пароли — вопрос дискуссионный. Сам Бонно для генерации сильного, лёгкого в запоминании и почти гарантированно уникального пароля рекомендует применять программные инструменты типа Diceware.

Однако нельзя не признать, что повсеместно распространённый метод аутентификации пользователей, основанный на паре «логин-пароль», — это крайне несовершенная и устаревшая мера безопасности, давным-давно нуждающаяся в замене.

Как раз на этой неделе, 18 ноября, исследователи в области инфозащиты будут обсуждать эту проблему на семинаре, устраиваемом DARPA — Агентством передовых исследовательских проектов министерства обороны США. Речь пойдёт о новой программе Агентства, которая, как надеются её организаторы, поможет радикально изменить процесс авторизации доступа в системах компьютерной безопасности.

Данная программа получила название «Активная аутентификация» (Active Authentication) и нацелена на поиски такой технологии, которая позволит уйти от длинных и с трудом запоминаемых паролей. Она, согласно анонсу DARPA, будет определять личность человека через «использование программных приложений, которые способны идентифицировать пользователя по тем видам активности, что характерны для обычной деятельности данного конкретного человека».

Как поясняет один из руководителей новой программы, Ричард Гвидорицци (Richard Guidorizzi), при использовании активной аутентификации «вы сами становитесь ключом для вашей компьютерной системы». То есть замысел в том, чтобы машина знала своего оператора и аутентификация происходила незаметно.

То, как именно будет выглядеть подобного рода система, и является предметом изысканий, которые финансирует DARPA. Есть несколько вариантов. Например, машина может выискивать некие очень редкие, уникальные именно для данного пользователя слова и сочетания символов, которые печатаются им на клавиатуре. Другой вариант: можно анализировать характерную длину предложений и специфическое использование знаков пунктуации. Или же регистрировать характерные для конкретного человека микросекундные промежутки времени между нажатиями определённых клавиш. Особенности использования мыши, тачпада и прочих манипуляторов тоже сообщают о человеке достаточное количество информации.

Вся эта область исследований достаточно тесно соприкасается с уже известными методами биометрической идентификации людей вроде опознавания пользователя по отпечаткам пальцев, по радужной оболочке глаза, по лицу и так далее. Однако подобного рода технологии по умолчанию подразумевают применение специальных датчиков, а это усложняет задачу. По этой причине программа разработки активной аутентификации в основном сфокусирована на таких решениях, в основе которых лежат чисто программные методы аутентификации, не требующие каких-либо дополнительных аппаратных устройств, помимо стандартного оснащения компьютера.

В каком-то смысле можно говорить, что участники программы намерены полностью преобразовать нынешнюю систему опознания компьютерных пользователей, поставив конструкцию «с головы на ноги».

Вместо нынешних систем аутентификации, которые заставляют людей адаптироваться к особенностям компьютеров и использовать тяжеловесные, невозможные для запоминания пароли типа h^TfCvB6tFcVbN или Y&u8I(o0P-R%t6, задумано приучить, наконец, сами компьютеры приспосабливаться к людям, которые их, собственно говоря, и используют.

Для наглядной иллюстрации этой идеи Гвидорицци использует такую метафору. «Мой ключ от квартиры позволит вам войти в мой дом. Однако собака, живущая у меня в гостиной, отлично знает, что вы — это не я. Никакие ключи от дома, никакие слова о том, что вы — это я, не убедят мою собаку. Мой пёс знает, что вы не выглядите как я, не пахнете, как я, и не делает того, что делаю я. Так вот, чего мы хотим от программы активной аутентификации, так это отыскать такие вещи, которые являются сугубо уникальными именно для вас».

Есть тут, правда, одна весьма серьёзная проблема. Никто толком не знает, как именно собака хранит информацию, необходимую для опознания своего хозяина. И, естественно, не может похитить у неё эту информацию. С компьютерами же, очевидно, всё совсем иначе.

Организаторы программы активной аутентификации пытаются нащупать пути к тому, чтобы, с одной стороны, сделать самого человека ключом к доступу в его систему, но при этом, с другой стороны, и не сводить технологию к слежке за человеком и различными аспектами его жизни. Предполагается, что исследователи уделят должное внимание тому, «чтобы гарантировать соблюдение законов о приватности граждан и не допускать, чтобы информация о личности пользователя становилась предметом злоупотреблений» другими сторонами.

Как заверяют организаторы, они не планируют регистрировать и помещать аспекты личности пользователей в базы данных. Эта информация будет использоваться только в качестве ключа для доступа пользователя в компьютерную систему. Как именно все эти плохо стыкующиеся вещи можно эффективно реализовать, и станет одним из предметов обсуждения на семинаре по активной аутентификации, который пройдёт18 ноября в г. Арлингтоне, штат Вирджиния.

В каком именно виде идеи американских военных об активной аутентификации найдут воплощение на практике, покажет время, однако можно заметить, что нечто очень похожее — пусть и под другими названиями — уже довольно активно начали внедрять Google и Facebook.

Непосредственными впечатлениями от общения с подобной умной системой опознания поделился один из американских участников сетевого форума Slashdot. Будучи по образу жизни весьма мобильным человеком, который загружается на свою страничку в Facebook со множества самых разных устройств и из разных мест в городе и поездках, он никогда не имел проблем с аутентификацией по стандартной связке «логин-пароль». Но вот его подружка, по жизни намного менее склонная к частой перемене мест, отправилась недавно в Австралию. А затем, при перелёте, попыталась зайти на собственную Фэйсбук-страницу из интернет-киоска в Дубаи. Facebook же в ответ отказался пустить её просто так — по логину-паролю — и предложил сыграть в ненавязчивую игру «угадайку». Девушке предъявили несколько фотографий её друзей и попросили поставить в соответствие их имена и лица... То есть, по сути дела, речь идёт об одном из уже реализованных — пусть и в зачаточной форме — вариантов «активной аутентификации».

Когда-нибудь, наверное, куда более продвинутые и умные системы опознания подобного рода появятся во всех компьютерных устройствах. Ну а пока — коль скоро всем нам ещё довольно долго предстоит пользоваться традиционными технологиями контроля доступа — имеет смысл напомнить полезный совет от известного специалиста по компьютерной безопасности. О том, как грамотные люди обращаются со множеством разных паролей, требующихся человеку для жизни в интернете (то, что одним и тем же паролем пользоваться в разных местах нельзя, подразумевается по умолчанию).