رمزعبورهایی از جنس آیکون و الگوها
تقریبا یک هفته پیش بود که گوگل اعلام کرد در حال آزمایش روشی است که بدون نیاز به استفاده از گذرواژهها به کاربران اجازه دهد به سرویسهای گوگل وارد شوند. بهطوری که کاربر در تعامل با اسمارتفون خود به سرویسهای گوگل در کامپیوتر شخصی یا لپتاپ خود وارد شود. در طرف مقابل نزدیک به دو ماه پیش دو پژوهشگر پیشنهاد دادند گذرواژهها در قالب اشعار مورد استفاده قرار گیرند.
اما به تازگی پژوهشگران دانشگاه پلیموت (Plymouth) اعلام کردهاند، روش جدیدی را برای وارد کردن گذرواژهها ابداع کردهاند. آنها بر این باور هستند که روش جدید امنیت گذرواژهها را بهبود خواهد بخشید. این روش جدید که GOTPass نامیده میشود، به جای آنکه از روشهای چند عاملی مبتنی بر سختافزار یا نرمافزار و گذرواژهای یکبار مصرف استفاده کند، از ترکیب الگوها، تصاویر و کد عددی یکبار مصرف که توسط سیستم ساخته میشود، استفاده میکند. به نظر میرسد، دستاوردهای این روش جدید، باعث امنتر شدن گذرواژهها و به یادآوری سادهتر آنها میشود. محققان مرکز ارتباطات و پژوهشهای امنیتی شبکه (CSCAN) بر این باور هستند که سیستم احراز هویت چند سطحی GOTPass این توانایی را دارد تا از اطلاعات آنلاین کاربران در برابر هکرها به شیوه کارآمدی محافظت به عمل آورد.
آنگونه که در ژورنال Infromation Security آمده است، محققان بر این باور هستند که این مکانیزم یک چشمانداز جهانی دارد، بهطوری که در بانکداری آنلاین و دیگر سرویسهای مشابه که در آن کاربران برای ورود به حسابهای کاربری از دستگاههای مختلفی استفاده میکنند، قابل استفاده است. حسین آلاسیرای دانشجوی دکترا در این باره گفته است: «گذرواژههای سنتی بدون شک کاربردهای گستردهای دارند اما صرفنظر از اینکه مردم چگونه از گذرواژههای خود محافظت به عمل میآورند، آسیبپذیریهای موجود در آنها به خوبی شناخته شده است. برای این منظور سیستمهای جایگزینی وجود دارد اما بیشتر آنها یا بسیار هزینهبر هستند، یا استقرار آنها با محدودیتهای بسیاری همراه است، به طوری که ادغامسازی آنها با سیستمهای موجود با محدودیتهایی همراه خواهد بود و همین موضوع باعث عدم استقبال کاربران میشود. اما سیستم GOTPass به سادگی قابل استفاده و پیادهسازی است. در حالی که به همان نسبت گذشته حس اعتماد را در کاربران به وجود آورده که از اطلاعات آنها به شیوه ایمنی نگهداری میشود.»
GOTPass تنها یکبار تنظیم میشود. بهطوری که کاربر ابتدا یک نام کاربری منحصر به فرد را انتخاب کرده و در ادامه با رسم یک الگوی ۴x4 اقدام به بازگشایی قفل میکند. شبیه به تکنیکی که کاربران برای باز کردن قفل دستگاههای آندرویدی از آن استفاده میکنند. در این روش کاربر ابتدا یک الگویی را در یک شبکه ۴x4 رسم میکند، بعد از انتخاب الگو، شبکهای متشکل از سی تصویر شبیه به اموجی به کاربر نشان داده میشود و کاربر باید آنها را انتخاب کند. بعد از انتخاب تصاویر، آنها تبدیل به گذرواژه کاربر میشوند. زمانی که کاربر قصد ورود به سیستم خود را دارد، این فرآیند به سادگی انجام میشود. نام کاربری را وارد کرده و الگوی قفل را رسم میکند. در مرحله بعد ۱۶ تصویر به کاربر نشان داده میشود، از میان ۱۶ تصاویر نشان داده شده به کاربر دو مورد اصلی بوده ( که در زمان تنظیم اشکال انتخاب شده) و ۱۴ مورد دیگر نقش طعمه را دارند. با انتخاب تصاویر درست و وارد کردن گذرواژه یکبار مصرف داخل کادر مربوطه کاربر به سیستم وارد میشود.
در ظاهر چنین به نظر میرسد که این فرآیندها پیچیده هستند، اما در واقعیت این فرآیند طولانیتر از تایپ گذرواژههای ساده نیست. تیم ابداع کننده این روش میگوید یادآوری گذرواژهها به این روش ساده بوده و در مقابل حملات هکری از ضریب امنیت بالایی برخوردار است. تیم طراحی کننده با استفاده از متدولوژیهای اتفاقی و هدفمند، سعی کردند ۶۹۰ مرتبه حسابها را هک کنند. در مجموع آنها موفق به شکستن ۲۳ مورد (۳٫۳۳) درصد شدند. این یک شروع بسیار عالی به شمار میرود، بهطوری که محققان را مصمم ساخته است تا آزمایشهای بیشتری را به لحاظ کارایی و قابلیت استفاده روی این روش پیادهسازی کنند.
