Источник: Carnegie Mellon University |
Специалисты Университета Карнеги-Меллона предложили схему дополнительной защиты паролей, которую они назвали GOTCHA, — «генератором наглядных тестов для различения компьютеров и людей». Принцип GOTCHA следующий: после создания пароля система генерирует и ставит ему в соответствие серию случайных пятен, напоминающих тесты Роршаха в цвете, и предлагает пользователю дать произвольное словесное описание каждому из них. Затем наряду с хэшем каждого пароля сохраняется перечень введенных описаний. При аутентификации после ввода пароля отображается набор пятен и их описаний. Чтобы получить доступ к системе, пользователь должен верно сопоставить изображения и подписи.
Таким образом, даже если хакеры украдут базу хэшей с какого-либо сервера, они не смогут воспользоваться ими для подбора паролей, так как для каждого варианта пароля придется еще и сопоставлять пятна с описаниями. По мнению разработчиков, даже если пользователи не смогут запоминать, как они описывали изображения, большинство людей сумеет сопоставить несколько картинок с текстом при наличии всего набора подписей. Разработчики предлагают специалистам по системам искусственного интеллекта попытаться реализовать автоматизированный механизм сопоставления пятен и их описаний.