Музыкальные пароли - новое слово в ИБ

Музыкальные пароли - новое слово в ИБ
Одним из самых известных, даже кухаркам и домохозяйкам, понятий информационной безопасности является пароль, от стойкости которого зачастую зависит защищенность всех преград - домашних, банковских, корпоративных и иных. Из курса теоретической ИБ давно известно, что стойкость пароля зависит от информационной энтропии. Чем случайнее набор символов (в разных регистрах, разных алфавитах, цифры и спецсимволы...), тем надежнее пароль и тем сложнее его запомнить. Любые попытки сделать пароль запоминающимся приводят к снижению энтропии и предсказуемости пароля. Символьные пароли, мнемонические пароли, графические пароли... И вот настал черед паролей музыкальных.

Английские эксперты (не путать с английскими учеными) - Марсия Гибсон, Карен Рено, Марк Конрад и Карстен Мэпл (такая идея могла придти только женщинам ;-) из Университета Бердфоршира, проанализировали существующие методы выбора паролей и пришли к выводу, что традиционные символьные пароли неэффективны, а их аппаратная замена токенами или биометрией не всегда целесообразна и не всегда возможна, как по финансовым, так и по техническим соображениям. Визуальные или графические пароли (выбор картинки из множества, указание определенного места на картинке, последовательность движений) являются неплохой заменой, т.к. по мнению психологов человеческий мозг лучше запоминает именно графические образы чем семантические или синтаксические.

Другим каналом, который обладает более высокой "надежностью", чем запоминание символов, является музыка. Она "работает" на более глубоком уровне, чем даже образы, и более устойчива к помехам. Исследователями были проанализированы различные варианты использования музыки в качестве пароля и был создан прототип системы Musipass, которая реализовывала сделанные выводы. В частности:
  • лучше давать пользователям выбор из существующих музыкальных клипов (нарезок), и не давать им возможность загружать свою (многим известную и легко предсказуемую музыку)
  • использовать лучше известные мелодии, чем неизвестные (правда, это сокращает набор возможных комбинаций)
  • достаточная длительность мелодии 3-6 нот (вспомните, передачу "Угадай мелодию")
  • музыка должны быть ритмичной
  • музыка с вокалом запоминается лучше чем просто инструментальные композиции
  • хорошо запоминаются звуковые якоря (яркие и легко запоминающиеся инструментальные или вокальные фрагменты).
Наиболее интересны результаты испытаний Musipass. Запоминаемость музыкальных и символьных паролей при первых попытках использования системы примерно одинаковая - в рамках статистической погрешности. После некоторого использования эффективность музыкальных паролей возрастает и превышает запоминаемость символьных паролей на 48% (91% против 62%). Но есть и интересные эффекты от такой парольной схемы. Она наиболее "близка" поколению "до 35", что и понятно. Старшее поколение предочитает обычные, более привычные им пароли.


В целом достаточно интересное исследование. И новое. Первые упоминания этой темы появились в 2008-2009-м годах. Так что ждать его активного внедрения в ближайшее время, наверное, не стоит. Но то, что исследователи не стоят на месте и ищут новые варианты решения известных проблем, это интересно.

аутентификация психология наука
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

SOC как супергерой: не спит, не ест, следит за безопасностью!

И мы тоже не спим, чтобы держать вас в курсе всех угроз

Подключитесь к экспертному сообществу!