Вводимые взглядом пароли
Gaze Based Passwords — типы паролей, которые пользователь вводит взглядом. Аутентификация с помощью gaze based паролей представляет собой динамическую аутентификацию[Прим. 1] на основе последовательности движений глаза человека и является менее уязвимой, чем аутентификация с помощью текстовых паролей, для таких атак, как shoulder surfing[Прим. 2]. При такой аутентификации используются биологические параметры глаза, поэтому, чтобы пройти аутентификацию необходимо не только знать gaze based пароль но и быть действительно тем пользователем, который вводил данный пароль при регистрации в базе данных. Другими словами, даже если злоумышленник знает gaze based пароль, с большой вероятностью он не сможет пройти аутентификацию, так как его глаза отличаются от глаз настоящего пользователя.
Сведение
Традиционный ввод пароля уязвим для различных атак (например, для таких как подглядывание за процессом ввода пароля (shoulder surfing)). Также ручной ввод пароля неудобен для людей с соответствующими ограниченными возможностями и для тех, кто взаимодействует с компьютером, когда их руки заняты другой работой (например, при хирургических операциях). Кроме того, обычный текстовый пароль не использует индивидуальные признаки, уникальные для каждого человека. Это значит, что если злоумышленник знает пароль некоторого пользователя, имеющего доступ к некоторой системе, то он может выдать себя за этого пользователя и получить доступ к данной системе, так как система, использующая при распознавании пользователя только его пароль, не сможет отличить злоумышленника от настоящего пользователя. Поэтому для повышения надежности аутентификации пользователей возникает потребность в использовании уникальных признаков человека.
Использование биологических параметров для аутентификации
В настоящее время биологические параметры человека являются самым надежным доказательством его личности, так как они являются уникальными для каждого человека (кроме некоторых исключений, таких как близнецы). Многие из этих параметров уже используются при аутентификации: отпечаток пальца, геометрия руки, радужная оболочка глаза, сетчатка глаза, геометрия лица. Кроме того, аутентификация может происходить не только посредством фиксации некоторого биологического параметра, но и посредством взаимодействия человека с компьютером в течение некоторого времени[1]. Одним из таких взаимодействий является ввод пароля взглядом. Смысл этой технологии заключается в том, что при вводе пароля используются уникальные параметры глаза (радиус изгиба роговицы, коэффициент преломления внутриглазной жидкости,… ) и кроме пароля появляется дополнительный более надежный уровень защиты.
Понимание компьютером зрительного сигнала человека[2]
Для регистрации точек фиксации система отслеживания взгляда, которая встраивается в ноутбуки либо закрепляется на мониторе, излучает невидимый пучок инфракрасного света определенной структуры, который отражается от глаз пользователя. С помощью камеры система фиксирует отраженный сигнал и анализирует его. В процессе работы система следит за пространством непосредственно перед монитором. Современные устройства способны контролировать область размером приблизительно 30х40 см на расстоянии от 50 до 80 см от дисплея. При частоте дискретизации в 120 Гц каждые 8,3 мс камера генерирует изображение, и с его помощью распознается отраженный от глаз сигнал определенной структуры. Таким образом система определяет их расположение. Направление взгляда система устанавливает с помощью вектора, который определяется на основе разницы между сигналами, отраженными от зрачка и радужной оболочки. Затем устройство передает информацию о положении глаз и направлении взгляда, включая временную метку, специальной программе, которая работает на компьютере. Этот инструмент “отсеивает” большое количество движений глаз и морганий, чтобы вычислить точки фиксации, то есть области на мониторе, действительно воспринимаемые вами. С учетом отображаемого на экране монитора контента программа узнает, какое слово вы в данный момент читаете или какое изображение просматриваете.
Типы gaze based паролей
Существуют несколько типов gaze based паролей. Вот некоторые из них:
Gaze over numberpad password | Gaze image password | Gaze gesture password | Object track password |
---|---|---|---|
Пароль, который пользователь вводит взглядом, перемещая его по цифровым блокам на экране и задерживая на определенных блоках | Пароль, который пользователь вводит взглядом, перемещая его по изображению на экране и задерживая на определенных объектах изображения | Пароль, который пользователь вводит взглядом, рисуя с помощью него различные геометрические фигуры на пустом экране | Пароль, который пользователь вводит взглядом, следуя за определенной последовательностью движущихся объектов |
Эксперимент Давида Розадо
Рассмотрим эксперимент научного сотрудника CSIRO Давида Розадо, в котором он сравнил производительность и надежность рассмотренных выше gaze based паролей с традиционным текстовым паролем. Для фиксации положения взгляда на экране используется инфракрасное излучение, которое посылается на глаз специальным прибором, отражается и попадает на экран монитора. Далее специальное программное обеспечение по отраженному лучу рассчитывает координаты взгляда. Этим координатам сопоставляется элемент пароля (блок цифры, объект изображения, геометрический элемент фигуры, … ). Если программное обеспечение смогло определить последовательность элементов и она совпадает с фиксированной для данного пользователя, то пароль введен правильно.
Если в систему добавляется новый пользователь, то он должен пройти процедуру калибровки для определения параметров глаза пользователя. В базе данных сохраняется учетная запись пользователя (имя пользователя, пароль для каждого из методов, параметры глаза (калибровочные параметры)). При расчете координат положения взгляда программное обеспечение использует калибровочные параметры пользователя, имя которого задано. К параметрам глаза относятся радиус изгиба роговицы, расстояние между центром зрачка и роговицей, коэффициент преломления роговицы и внутриглазной жидкости.
В эксперименте участвовали несколько человек, которые вводили каждый из 5 типов паролей по 10 раз. Предварительно все они прошли процедуру калибровки. Четыре новых метода ввода пароля анализировались относительно традиционного метода. Для каждого метода была определена длина пароля, эквивалентная длине паролей остальных методов.
Метод | Эквивалентная длина пароля |
---|---|
Text password | 4 символа |
Gaze over numberpad password | 5 цифровых блоков |
Gaze image password | 3 объекта на изображении |
Gaze gesture password | 6 линий |
Object track password | 4 движущихся объекта |
Исследовались скорость ввода пароля, процент ошибок и способность системы определить элементы пароля, если некоторый человек выдает себя за другого:
Среднее время ввода пароля для каждого из методов | Процент ошибок при вводе пароля для каждого из методов | Процент успешной аутентификации пользователей, использующих калибровочные параметры других пользователей |
---|---|---|
Заключение
В настоящее время методы аутентификации, использующие биологические параметры человека являются одними из самых надежных, так как эти параметры являются уникальными. С развитием технологий эти методы становятся более доступными и качественными. Аутентификация с помощью gaze based паролей представляет собой двухуровневую систему надежности: пароль и уникальность ввода пароля, основанную на биологических параметрах глаза. Gaze based пароли удобны для людей с соответствующими ограниченными возможностями и в ситуациях, когда человек, взаимодействующий с компьютером, не может пользоваться руками.
Практические исследования Давида Розадо показали, что некоторые типы gaze based passwords превосходят по скорости и проценту ошибок ввода традиционный текстовый пароль. При вводе пароля взглядом снижается вероятность “кражи” пароля путём подглядывания за процессом ввода. Также эксперимент показал, что с большой вероятностью злоумышленник не может пройти процедуру аутентификации, даже если он знает gaze based пароль настоящего пользователя, т. к. системой используются параметры глаза, уникальные для каждого человека.
Примечания
Комментарии
- ↑ Динамическая значит, что пользователь взаимодействует с компьютером. Например, аутентификация по сетчатке глаза является статической, так как все действия выполняет специальное устройство, которое сканирует сетчатку, а пользователь не производит никаких действий
- ↑ Вид криптографической атаки, когда злоумышленник подсматривает за вводом пароля
Источники
- ↑ Движения наших глаз заменят ввод паролей - Новости науки России и мира - МК . Дата обращения: 1 декабря 2013. Архивировано 3 декабря 2013 года.
- ↑ CHIP Архивная копия от 3 декабря 2013 на Wayback Machine
Литература
- Bulling, A., Roggen, D., & Troster, G. What’s in the Eyes for Context Awareness? IEEE Pervasive Computing, 10(2), 48–57. — 2011, April. — doi:10.1109/MPRV.2010.49.
- De Luca, A., Weiss, R., & Drewes, H. Evaluation of eye-gaze interaction methods for security enhanced PINentry. In Proceedings of the 19th australasian conference on computer-human interaction: Entertaining user interfaces (pp. 199–202). New York, NY, USA: ACM. — 2007. — doi:10.1145/1324892.1324932.
- Forget, A., Chiasson, S., & Biddle, R. Shoulder-surfing resistance with eye-gaze entry in cuedrecall graphical passwords. In Proceedings of the 28th international conference on human factors in computing systems - chi ’10 (p. 1107). New York, New York, USA: ACM Press. — 2010, April. — doi:10.1145/1753326.1753491.
- Kinnunen, T., Sedlak, F., & Bednarik, R. Towards task-independent person authentication using eye movement signals. In Proceedings of the 2010 symposium on eye-tracking research & applications - etra ’10 (p. 187). New York, New York, USA: ACM Press. — 2010, March. — doi:10.1145/1743666.1743712.
- Kumar, M., Garfinkel, T., Boneh, D., & Winograd, T. Reducing shoulder-surfing by using gaze-based password entry. In Proceedings of the 3rd symposium on usableprivacy and security - soups ’07 (p. 13). New York, NewYork, USA: ACM Press. — 2007,July. — doi:10.1145/1280680.1280683.
- Maltoni, D., & Jain, A. K. (Eds.). Biometric Authentication (Vol. 3087). Berlin, Heidelberg: Springer Berlin Heidelberg. — 2004. — doi:10.1007/b99174.
- Pomarjanschi, L., Dorr, M., & Barth, E. Gaze guidance reduces the number of collisions with pedestrians in a driving simulator. ACM Transactions on InteractiveIntelligent Systems, 1(2), 1–14. — 2012, January. — doi:10.1145/2070719.2070721.