Отображая на экране чернильные пятна (похожие на те, которые положены в основу психологического теста Роршаха), исследователи фактически формируют визуальные вопросы, которые помогают клиентам задавать и вспоминать пароли.
В начале декабря подразделение Microsoft Research объявило о начале реализации открытого Web-проекта InkblotPassword.com. Посетители указанного Web-сайта могут задавать пароли, исходя из случайной последовательности чернильных пятен и формулы выбора букв. Чернильному пятну, с которым у него ассоциируется какой-то образ (например, птицы или щита), пользователь ставит в соответствие определенное слово.
Для каждого чернильного пятна вводится первая и последняя буквы соответствующего ему слова (например, bd для bird и sd для shield). Таким образом, набор из 10 изображений позволяет сформировать 20-символьный пароль, который, по словам сотрудников Microsoft Research, легко воспроизвести в памяти, но трудно взломать. Исследование, проведенное в 2004 году, показало, что после нескольких попыток многие пользователи вспоминают пароль, уже не обращаясь к чернильным пятнам.
На пути к единой подписи
Как правило, трудно запоминающиеся пароли, представляющие собой случайную последовательность символов, пользователи записывают на листочках, которые затем приклеиваются к мониторам. Другой вариант заключается в применении "слабых" паролей, которые вновь и вновь воспроизводятся на различных Web-сайтах.
Представители Microsoft намерены изменить сложившуюся ситуацию, объединив устойчивые к взлому пароли с технологией единой подписи.
В проекте корпорации методика чернильных пятен применяется совместно с протоколом OpenID, с помощью которого создается единая подпись для пользователей Internet. В начале декабря увидела свет вторая версия протокола OpenID. А корпорация Microsoft объявила о поддержке OpenID в феврале текущего года.
Благодаря технологии OpenID пользователи получают возможность один раз зарегистрироваться у поставщика услуг OpenID, а затем на основании полученной учетной записи проходить аутентификацию и получать доступ к любому Web-сайту, поддерживающему OpenID. Пароли для единой учетной записи теперь можно создавать с помощью чернильных пятен.
Кроме того, Microsoft выступает в проекте InkblotPassword.com в роли поставщика услуг OpenID, поэтому у пользователей появляется возможность ограничиться единственным центром формирования электронной подписи.
Представители Microsoft считают своим долгом предупредить, что инициатива InkblotPassword.com представляет собой исследовательский проект, а не отлаженную службу.
Неустойчивая и небезопасная
"Мы имеем дело с неустойчивой и небезопасной Web-службой, которая поддерживается парой энтузиастов-исследователей в их свободное время, - указывается в информации, размещенной на Web-сайте InkblotPassword.com. - Соответствующим образом к ней и нужно относиться".
Исследователи собираются анализировать данные и просматривать пароли и списки сайтов OpenID, доступ к которым осуществляется с помощью этих паролей. Вместе с тем, они намерены приложить все усилия для обеспечения нужной степени конфиденциальности.
Если исследования принесут свои плоды, корпорация Microsoft рассмотрит возможность создания соответствующего продукта или услуги.
На сайте InkblotPassword.com представлена литература, в которой утверждается, что ассоциации, связанные с чернильными пятнами, носят "глубоко личный характер". Представители Microsoft подтвердили, что исследованиями будут заниматься сотрудник подразделения Microsoft Research Дэн Саймон и студент Университета имени Джонса Хопкинса Адам Стабблфилд, проходивший в 2004 году стажировку в Microsoft.
Исследователи обнаружили, что пользователи почти всегда описывают одно и то же чернильное пятно по-разному. Подобное индивидуальное восприятие приводит к тому, что пароли обладают "высоким уровнем энтропии", а следовательно, подобрать их весьма сложно.
По словам исследователей, ассоциации хорошо запоминаются, потому что мысленные образы, сопоставляемые чернильным пятнам, трудно забыть. В конечном итоге, пользователи "наращивают мускулы своей памяти" и начинают проходить процедуру регистрации, уже не обращаясь к чернильным пятнам.