Ученые нашли путь решения постоянной проблемы запоминания сложных паролей,
разбив их на две части таким образом, что одну легко запомнить, и она шифрует и
дешифрует вторую часть, которая длинная и сложная.
Метод, основанный на Java использует CAPTCHA в качестве механизма для
хранения сложной части пароля, говорится в докладе ученых из института физики
Макса Планка в Дрездене: «Проблема слабого пароля: хаос, критичность и
шифрование CAPTCHA».
Изображения CAPTCHA шифруются с использованием простой части пароля в
комбинации с математическим алгоритмом, известным как хаотическая структура,
говорит Константин Кладко, один из авторов доклада, который работает в
Axioma Research , Пало Альто (Калифорния).
Для получения сложной части пароля, пользователь вводит легкую для
запоминания часть и алгоритм дешифрует CAPTCHA. Пользователь копирует пароль из
CAPTCHA для открытия защищенных файлов, говорит Кладко.
Он говорит, что в течение месяца или около того, будет создана веб –
страница, с которой пользователи смогут загрузить Java аплет для шифрования и
дешифрования.
Команда ученых выбрала хаотическую структуру для шифрования CAPTCHAs как
метод для обхода атак на зашифрованные CAPTCHA. В общем случае, подобные атаки
эффективны в силу слабости пароля, защищающего CAPTCHA.
В этом случае, каждый пароль, который пытается вскрыть атакующая программа,
будет создавать CAPTCHA в картинке, и атакующий будет его воспринимать как
расшифрованный. Человек будет необходим для точного определения, является ли
картинка паролем.
Поэтому для каждой попытки будет необходима интерпретация человеком, т.е.
атаки должны будут стать ручными, что сделает их неэффективными, говорит
Кладко.
Это возможно, поскольку алгоритм использует случайные числа — зашифрованную
CAPTCHA, и создает из нее некую конструкцию. Компьютер анализирует картинку
CAPTCHA и определяет эту структуру, но по-прежнему не может ее прочесть.
Таким образом взламывающему приложению нужен человек для решения об успешности
расшифровки, сообщает Кладко.
Ученые использовали алгоритм, называемый нелинейная двумерная система
Гамильтона, но существует целый класс похожих инструментов, которые Кладко
характеризует как алгоритмы порядка из беспорядка.
На практике, если пользователь хочет зашифровать файл в форматеWord, он
может использовать коммерческое шифрование, создать пароль и разделить его на
две части – сложную и легкую. Потом он может зайти на сайт, который в скорее
появится, создать CAPTCHA из сложной части и зашифровать ее с помощью
легкой.
Для расшифровки, пользователь вводит легкую часть пароля для расшифровки
сложной и вводит его для расшифровки файла. Веб – сайт будет иметь инструмент,
который автоматически вводит незашифрованный текст пароля в зашифрованный файл,
говорит Кладко.
Источник: www.networkworld.com