گذرواژه‌ی لکه‌جوهر؛ ایده‌ی جدید دانشجویان کارنگی‌ملون

موسسه خبری سایبربان: ایده‌ی جدیدی پیرامون گذرواژه‌‌ها لایه‌ی امنیتی غیرقابل شکستی را برای اطلاعات باارزشی چون حساب‌های بانکی ایجاد کرده به گونه‌ای که حتی پس از نقض‌های اطلاعاتی بزرگ در وب‌گاه‌ها و درز گذرواژه‌ها همچنان می‌توان به این شیوه اطمینان داشت. این سامانه وابسته به توصیف الگوی لکه‌ها از سوی کاربر است.

سپس کاربر باید این توصیفات را با الگوها تطبیق دهد و به این ترتیب برنامه‌های خودکار مجرمان سایبری دیگر اثری نخواهد داشت.

دانشمندان دانشگاه کارنگی ملون1 سامانه‌ای تحت عنوان GOTCHA را برای حفاظت از حساب‌های کاربری باارزش مانند حساب‌های بانکی یا اطلاعات پزشکی ابداع کردند و سایر پژوهش‌گران را برای شکستن این سامانه با استفاده از هوش مصنوعی به مبارزه طلبیدند.

شیوه‌ی کار به این ترتیب است که تصویری مملو از لکه‌های جوهر به کاربر نمایش داده می‌شود و او تصویر را طی عبارتی توصیف می‌کند؛ مثلاً «درختی با برگ‌های در حال ریزش» یا «دلقک شیطان» و این عبارات ذخیره می‌شود. زمانی که کاربر بخواهد به حساب‌کاربری خود دسترسی پیدا کند تصاویر و توصیفات مذکور در ترتیبی تصادفی به وی نمایش داده می‌شود. کاربر برای ورود باید آن‌ها را مطابقت دهد.

به عبارت بهتر هنگام استفاده از GOTCHA کاربر گذرواژه‌ای را انتخاب می‌کند و رایانه چندین تصویر رنگارنگ جوهرگونه‌ی تصادفی برای آن تولید می‌نماید. سپس کاربر هر تصویر را با یک عبارت متنی توصیف می‌نماید که این عبارت به همراه گذرواژه با ترتیب تصادفی ذخیره می‌شود. هنگامی که کاربر به آن وب‌گاه رجوع کند، تصاویر مذکور دوباره به همراه فهرست عبارات توصیفی نمایش داده می‌شود و از کاربر درخواست می‌شود که تصویر مناسب هر عبارت را بیابد.

Jeremiah Blocki، یکی از دانشجویان دکترای این دانشگاه که بر روی این سامانه کار می‌کند، بیان کرد: «این‌ها پازل‌هایی هستند که حل کردنشان برای یک انسان کار آسانی است اما برای یک رایانامه کار سختی خواهد بود؛ حتی اگر از بیت‌های تصادفی برای تولید پازل استفاده شده باشد.»

به گفته‌ی پژوهش‌گران سامانه‌های خودکار تولید گذرواژه‌ای که توسط نفوذگران استفاده می‌شود ارتباط بین این تصاویر و عبارات را درک نمی‌کنند. در حالی که شکستن گذرواژه‌هایی چون «123456» برای آن‌ها بسیار آسان است و البته تنها ۲ میلیون کاربر ادوبی! به چنین گذرواژه‌ای متکی هستند.

گذرواژه‌هایی که به آسانی ممکن است از شرکت‌هایی چون لینکداین، سونی و توییتر سرقت شوند با توابع رمزنگاری شده ذخیره می‌شوند و البته ممکن است هدف یک حمله‌ی برون‌خط خودکار لغت‌نامه‌ای قرار گیرد. جالب است بدانید رایانه‌های امروزی قادرند ۲۵۰ میلیون عبارت درهم را در هر ثانیه محاسبه کنند و با این حساب حتی گذرواژه‌های پیچیده نیز بالاخره نقض می‌شوند. اما به گفته‌ی پژوهش‌گران حدس GOTCHAها به این شیوه غیرممکن خواهد بود.

به گفته‌ی این پژوهش‌گران تنها ایراد کار این‌جاست که افراد گذرواژه‌های خود را به خاطر بسپارند. در تئوری این مشکل قابل حل است چرا که کاربران لکه‌ای را توصیف می‌کنند و توصیفشان ذخیره می‌شود و آن‌ها مجبور به حفظ کردن توصیفشان نیستند و صرفاً باید آن را از فهرست ارائه شده انتخاب کنند. با این حال این پژوهش‌گران مطالعه‌ای را بر روی ۷۰ شرکت‌کننده صورت دادند و از هر کاربر پرسیدند که ۱۰ تصویر جوهرگونه را با عناوین خلاقانه توصیف نمایند. از ۵۸ نفر شرکت‌کننده در دور دوم آزمایش، یک سوم به درستی تمامی لکه‌ها را مطابقت دادند اما بیش از دو سوم فقط توانستند به نیمی از پاسخ صحیح برسند.