Bolje lozinke – brzina upisivanja lozinke nije sigurnosni faktor

Nijedna lozinka nije 100% sigurna. Uvijek postoje načini i sredstva za one zlonamjerne da hakiranjem, razbijanjem ili društvenim inženjeringom dođu do lozinke. Doista, čini se da je sve više i više web stranica i baza podataka dnevno ugroženo ovakvim postupcima (pogledajmo što se događa tvrtki Sony u zadnje vrijeme, op.ur.). Beskoristan je također i novi pristup za provjeru lozinke koje uzima u obzir brzinu kojom korisnik upiše znakove prilikom prijave kao i razmak između pisanja znakova.


U časopisu International Journal of Internet Technology and Secured Transactions, računalni znanstvenici Ravel Jabbour, Wes Masri i Ali El-Hajj iz Libanona objašnjavaju nedostatke prethodnih pokušaja analize ključa i uzoraka (KPA). KPA je pokušaj da se razmotri kojom brzinom korisnik inače koristi tipke na tipkovnici, pri čemu se mjeri razmak između udaranja tipki. KPA je također bio testiran na prilagođenim tipkovnicama koje su mjerile sile kojima se tipke pritišću. Rezultat toga može biti biometrijski profil načina na koji pojedini korisnik upisuje svoje lozinke. Ako se biometrijski profil ne podudara s korisnikom, onda upisivanje lozinke nije uspjelo iako je ona “ispravna”.

Navedeni stručnjaci sa Američkog sveučilišta u Bejrutu ističu kako bi prilagođena tipkovnica mogla biti nezgodna za organizaciju ili pojedinca. Kod ranijih su primjena KPA metode unos lozinke proglašavali neuspjelim kada bi došlo preklapanja pritiskanja dviju tipki. Raniji su se pokušaji također usredotočili na “među vrijeme” između pritiska na prvu tipku i onu sljedeću, što nije bilo dovoljno kako bi se osiguralo da lozinku može koristiti samo legitimni korisnik. Znanstveni je tim stoga nastojao unaprijediti metodu te je primijenio “unutarnje vrijeme” koje mjeri koliko je dugo svaka tipka pritisnuta, a za koje tvrde da otkriva ritam tipkanja i mnogo je pouzdaniji pokazatelj.

Program prikuplja informacije o tome kako korisnik utipkava svoju lozinku snimanjem elektroničkih signala iz standardne tipkovnice dok su tipke pritisnute i puštene. Program zatim uspoređuje uzorak lozinke upisan s unaprijed pohranjenim uzorkom zabilježenim kada je pristup prvi puta odobren. Od korisnika se očekuje da u više navrata upiše svoju lozinku kod prijave registracije kako bi se snimio ponovljivi uzorak tipkanja.

Validacijski algoritam onda gleda na razne pokazatelje, poput među vremena i unutrašnjeg vremena odnosa između pritiskanja dviju tipki (digraf), tri tipke (trigraf) te do cijelog broja tipki koje su nužne za upis lozinke.
Očito, dulja lozinka će dati složeniji profil nečijeg tipkanja i tako smanjiti rizik da netko drugi otipka lozinku na isti način, tj. s istim vremenskim uzorkom kao legitimni korisnik. Tu su u problemi, naravno, s predugim lozinkama, pa čak i s time što legitimni korisnik vjerojatno neće moći točno reproducirati svoj uzorak tipkanja svaki put kada unosi lozinku.

Distribucija lozinki također može biti prilagođena za stvaranje skupine KPA za istu lozinku kako bi je koristili oni korisnici koji žele dijeliti svoje lozinke s prijateljima i kolegama, bez da narušavaju sigurnost sustava, kažu libanonski znanstvenici.

Izvor: Inderscience Publishers

Comments Closed