[go: up one dir, main page]

RU2424554C2 - Способ аутентификации пользователя с защитой от подсматривания - Google Patents

Способ аутентификации пользователя с защитой от подсматривания Download PDF

Info

Publication number
RU2424554C2
RU2424554C2 RU2009136845/08A RU2009136845A RU2424554C2 RU 2424554 C2 RU2424554 C2 RU 2424554C2 RU 2009136845/08 A RU2009136845/08 A RU 2009136845/08A RU 2009136845 A RU2009136845 A RU 2009136845A RU 2424554 C2 RU2424554 C2 RU 2424554C2
Authority
RU
Russia
Prior art keywords
secret
user
graphic
authentication information
authentication
Prior art date
Application number
RU2009136845/08A
Other languages
English (en)
Other versions
RU2009136845A (ru
Inventor
Алексей Анатольевич Бурушкин (RU)
Алексей Анатольевич Бурушкин
Владимир Александрович Минаков (RU)
Владимир Александрович Минаков
Original Assignee
Федеральное государственное учреждение "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Федеральное государственное учреждение "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" filed Critical Федеральное государственное учреждение "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю"
Priority to RU2009136845/08A priority Critical patent/RU2424554C2/ru
Publication of RU2009136845A publication Critical patent/RU2009136845A/ru
Application granted granted Critical
Publication of RU2424554C2 publication Critical patent/RU2424554C2/ru

Links

Images

Landscapes

  • User Interface Of Digital Computer (AREA)
  • Telephone Function (AREA)

Abstract

Изобретение относится к способам аутентификации пользователей и может быть использовано при создании терминалов, предназначенных для контроля доступа в защищаемое помещение, к удаленному осуществлению коммерческой, управленческой и другой деятельности через сети общего пользования типа Интернет. Технический результат заключается в уменьшении числа последовательных этапов ввода аутентификационной информации пользователями для прохождения процедуры аутентификации. Способ аутентификации пользователей с защитой от подсматривания заключается в предварительном формировании набора из небольших графических символов и предоставлении пользователю выбора из сформированного набора для запоминания группы секретных небольших графических символов. 2 ил.

Description

Изобретение относится к способам аутентификации пользователей и может быть использовано при создании терминалов с защитой от подсматривания, предназначенных для контроля доступа в защищаемое помещение, к удаленному осуществлению коммерческой, управленческой и другой деятельности через сети общего пользования типа Интернет.
Известен способ аутентификации пользователя с защитой от подсматривания [1]. Способ заключается в том, что предварительно формируют набор из N небольших графических символов, предоставляют пользователю выбор из сформированного набора для запоминания группы S секретных небольших графических символов sk, при этом k=1…К, где К - секретное количество графических символов в группе S, причем K<<N, проводят i-ый этап ввода аутентификационной информации, при этом i=1…I, где I - общее число этапов, путем выведения на экран выбранных из набора произвольным образом Ni графических символов, причем К<<Ni<<N, среди которых в произвольном месте располагаются Ki секретных символов, выбранных из группы S секретных символов произвольным образом, причем 3≤Кi<К, формируют невидимую секретную область Аi, ограниченную многоугольником с вершинами в центрах выведенных на экране Ki секретных символов, фиксируют точку di воздействия пользователя на экран, формируют положительный результат проведения i-ого этапа ввода аутентификационной информации при выполнении условия принадлежности зафиксированной точки воздействия невидимой секретной области di∈Аi и отрицательный - в противном случае, формируют положительное решение об аутентификации после получения положительных результатов проведения всех I этапов ввода пользователем аутентификационной информации и отрицательное - в противном случае.
Существенным недостатком данного способа для проведения аутентификации пользователей является необходимость проведения большого числа последовательных этапов ввода аутентификационной информации пользователями (согласно [2], не менее 10), что занимает у пользователя значительное время (несколько минут). Причина наличия указанного существенного недостатка в данном способе заключается в том, что при осуществлении меньшего количества последовательных проверок существует большая вероятность случайного подбора пароля злоумышленником.
Задача, на решение которой направлено данное изобретение, заключается в усилении стойкости к атакам на систему аутентификации при неизменном количестве последовательных проверок для прохождения пользователем процедуры аутентификации.
Техническим результатом заявляемого изобретения является уменьшение числа последовательных этапов ввода аутентификационной информации пользователями для прохождения процедуры аутентификации при уровне защищенности системы аутентификации от различного рода атак не меньшем, чем в прототипе.
Указанный технический результат достигается тем, что в известном способе аутентификации пользователя с защитой от подсматривания, заключающемся в предварительном формировании набора из N небольших графических символов, предоставлении пользователю выбора из сформированного набора для запоминания группы S секретных небольших графических символов sk, при этом k=1…К, где К - секретное количество графических символов в группе S, причем K<<N, проведении i-ого этапа ввода аутентификационной информации, при этом i=1…I, где I - общее число этапов, путем выведения на экран выбранных из набора произвольным образом Ni графических символов, причем К<<Ni<<N, среди которых в произвольном месте располагаются Кi секретных символов, выбранных из группы S секретных символов произвольным образом, причем 3≤Ki<К, формировании невидимой секретной области Аi, ограниченной многоугольником с вершинами в центрах выведенных на экране Кi секретных символов, фиксировании точки di воздействия пользователя на экран, формировании положительного результата проведения i-ого этапа ввода аутентификационной информации при выполнении условия принадлежности зафиксированной точки воздействия невидимой секретной области di∈Аi и отрицательного - в противном случае, формировании положительного решения об аутентификации после получения положительных результатов проведения всех I этапов ввода пользователем аутентификационной информации и отрицательного - в противном случае, согласно изобретению дополнительно предоставляют пользователю выбор Ck секретных диапазонов цветов окраски фона для запоминания для k-го секретного графического символа sk, при проведении i-ого этапа ввода аутентификационной информации динамически изменяют произвольным образом цвет фона графического символа sj, при этом j=1…Ni, одновременно с фиксированием точки di воздействия пользователя на экран фиксируют цвет фона bm каждого выведенного на экран секретного символа графического символа sm, где m=1…Кi, формируют положительный результат проведения i-ого этапа ввода аутентификационной информации при выполнении условий принадлежности зафиксированной точки воздействия невидимой секретной области di∈Аi и принадлежности зафиксированного цвета фона графического символа его секретным диапазонам цветов bm∈Сm и отрицательного - в противном случае.
Эти отличительные признаки по сравнению с прототипом позволяют сделать вывод о соответствии заявляемого технического решения критерию "новизна".
Сущность изобретения заключается в следующем.
Предлагаемый способ аутентификации пользователя представляет собой схему ввода графического пароля, устойчивую к перехвату методами "подсматривания", видеосъемки, а также электронному перехвату. Пользователю не требуется указывать на экране неизвестные злоумышленнику секретные графические символы. В качестве графических символов могут использоваться иконки (значки программ), изображения животных, птиц, растений, фотографии, буквы, цифры. При этом в отличие от способа-прототипа каждый символ отображается на выделенном графически, меняющемся во времени фоне, причем цвет, скорость, диапазон и схема изменения цвета для различных символов может быть различной.
При создании учетной записи в системе идентификации/аутентификации пользователю предлагается выбрать и запомнить некоторое число символов, которые будут являться его секретной аутентификационной информацией. Дополнительно в отличие от способа-прототипа пользователю предлагается для каждого секретного символа (или для всех символов) выбрать и запомнить один или несколько диапазонов цветов фона, которые также будут составлять его секретную аутентификационную информацию.
В процессе ввода аутентификационной информации пользователь должен опознать некоторое минимальное число секретных символов среди большего количества случайно расположенных на экране символов. На очередном этапе аутентификации пользователь осуществляет попытку ввода аутентификационной информации узконаправленным воздействием на экран, например путем клика с помощью манипулятора типа "мышь" в область, границами которой является прямоугольник с вершинами в центрах отображенных на экране графических символов. При этом в отличие от способа-прототипа пользователь должен осуществлять воздействие на экран в то время, когда фоны секретных символов попадут в один из секретных диапазонов цветов.
В процессе аутентификации системы пользователь осуществляет несколько таких попыток ввода аутентификационной информации и если корректно выполняет их, то получает доступ в систему.
Перечисленная совокупность существенных признаков в указанном порядке обеспечивает более высокую стойкость к атакам по прямому визуальному каналу (путем "подглядывания" или записи на видеокамеру), а также при необходимости позволяет сократить минимально необходимое количество попыток ввода аутентификационной информации за счет применения схемы двухфакторной аутентификации со значительно большим количеством вариантов ввода аутентификационной информации, чем в прототипе.
Оценку защищенности системы-прототипа и предлагаемой системы, их стойкости к различного рода атакам можно проводить путем вычисления вероятности подбора (угадывания) секретного пароля пользователя. При этом всегда можно подобрать параметры секретных диапазонов цветов в предлагаемой системе таким образом, чтобы количество последовательных этапов аутентификации в предлагаемой системе было меньшим, чем в прототипе, а защищенность системы-прототипа и предлагаемой системы при прочих равных условиях была одинаковой. Потенциально, для любых параметров системы-прототипа можно подобрать такие параметры секретных диапазонов цветов пользователя, чтобы сократить количество циклов аутентификации до одного при той же защищенности.
Именно новое свойство совокупности признаков, приводящих к существенному усилению стойкости к атакам на систему аутентификации при низменном количестве последовательных проверок для прохождения пользователем процедуры аутентификации, позволяет сделать вывод о соответствии предлагаемого технического решения критерию "изобретательский уровень". Предлагаемый способ аутентификации пользователя с защитой от подсматривания может быть использован, в том числе, и при доступе к различным системам (интернет-банкинг, заказ через интернет-магазины и т.д.) через сеть общего пользования типа Интернет.
Предлагаемый способ контроля целостности исходных текстов программного обеспечения может быть реализован программно с помощью ЭВМ или вычислительного устройства, структура которого представлена на фигуре 1, где обозначено:
1 - блок хранения контрольной аутентификационной информации пользователей;
2 - блок считывания идентификационной информации;
3 - блок сравнения считанной идентификационной информации с контрольной;
4 - блок считывания координат точки воздействия;
5 - блок сравнения считанной аутентификационной информации с контрольной;
6 - блок принятия решения об успешности аутентификации;
7 - блок хранения контрольной идентификационной информации пользователей;
8 - блок хранения пройденного числа этапов аутентификации;
9 - блок сравнения значения пройденного числа этапов аутентификации с необходимым;
10 - блок хранения необходимого числа этапов аутентификации,
17 - блок подсветки фона секретных символов.
Назначение блоков понятно из их названий.
С входа 13 на вход блока 2 поступает запрос на проведение идентификации/аутентификации. С помощью блока 2 проводят считывание идентификационной информации пользователя, после чего считанная идентификационная информация поступает на вход блока 3, где происходит сравнение представленной пользователем идентификационной информации с контрольной идентификационной информацией, поступающей с блока 7. В случае успешной идентификации со второго и четвертого выходов блока 3 поступает запрос на вход соответственно блоков 4 и 17 на проведение аутентификации, с третьего выхода - на первый вход блока 8 на обнуление количества пройденного числа этапов аутентификации, в противном случае с первого выхода блока 3 на первый вход блока 6 поступает результат идентификации пользователя. С помощью блока 4 с входа 12 проводят считывание координат точки воздействия пользователем на экран, а с помощью блока 17 при поступлении сигнала с входа 12 о наступлении факта воздействия пользователем на экран проводят считывание цвета фона секретных символов. Затем считанная аутентификационная информация поступает на вход блока 5, где происходит сравнение представленной пользователем аутентификационной информации с контрольной аутентификационной информацией, поступающей с блока 1. В случае успешного завершения этапа аутентификации со второго выхода блока 5 поступает запрос на первый вход блока 9 на определение количества пройденных этапов аутентификации, в противном случае с первого выхода блока 5 на второй вход блока 6 поступает результат аутентификации пользователя. При поступлении с блока 5 запроса на определение количества пройденных этапов аутентификации в блоке 9 проводят сравнение числа пройденных этапов аутентификации, поступающего с блока 8, с числом необходимого количества этапов аутентификации, поступающего с блока 10. В случае, если число пройденных этапов аутентификации меньше числа необходимого количества этапов аутентификации, со второго выхода блока 9 на второй вход блока 8 поступает запрос на единичное увеличение числа пройденных этапов аутентификации, в противном случае с первого выхода блока 9 на третий вход блока 6 поступает результат аутентификации пользователя. После чего в блоке 6 принимается и с выхода блока 6 на выход 16 передается решение об успешном прохождении пользователем процедуры аутентификации.
Предварительно контрольная идентификационная информация всех пользователей информационной системы поступает с входа 14 на вход блока 7, а также через вход 15 в блок 10 помещают необходимое число этапов аутентификации.
Реализация предлагаемого способа не вызывает затруднений, так как все блоки и узлы, входящие в устройство, реализующее способ, общеизвестны и широко описаны в технической литературе. Блоки 1-10 могут быть реализованы так, как это описано в прототипе [1]. Блок 17 может быть реализован, например, с помощью светодиодной матрицы с возможностью выбора цвета свечения отдельных светодиодов, располагающейся за экраном для его подсветки. Изображение при вводе аутентификационной информации может выглядеть, например, как на фигуре 2.
Источники информации
1. US Patent Application 20070277224 - Methods and Systems for Graphical Image Authentication. Application Published on November 29, 2007.
2. Susan Wiedenbeck, Jim Waters, Leonardo Sobrado, Jean-Camille Birget. "Design and Evaluation of a Shoulder-Surfing Resistant Graphical Password Scheme". - Proceedings of the working conference on Advanced visual interfaces, Venezia, Italy, 2006, p.177-184.

Claims (1)

  1. Способ аутентификации пользователя с защитой от подсматривания, заключающийся в предварительном формировании набора из N небольших графических символов, предоставлении пользователю выбора из сформированного набора для запоминания группы S секретных небольших графических символов sk, при этом k=1…K, где К - секретное количество графических символов в группе S, причем K<<N, проведении i-го этапа ввода аутентификационной информации, при этом i=1…I, где I - общее число этапов, путем выведения на экран выбранных из набора произвольным образом Ni; графических символов, причем K<<Ni<<N, среди которых в произвольном месте располагаются Кi секретных символов, выбранных из группы S секретных символов произвольным образом, причем 3≤Кi<К, формировании невидимой секретной области Аi, ограниченной многоугольником с вершинами в центрах выведенных на экране Кi, секретных символов, фиксировании точки di, воздействия пользователя на экран, формировании положительного результата проведения i-го этапа ввода аутентификационной информации при выполнении условия принадлежности зафиксированной точки воздействия невидимой секретной области di∈Аi, и отрицательного - в противном случае, формировании положительного решения об аутентификации после получения положительных результатов проведения всех I этапов ввода пользователем аутентификационной информации, и отрицательного - в противном случае, отличающийся тем, что дополнительно предоставляют пользователю выбор Ck секретных диапазонов цветов окраски фона для запоминания для k-го секретного графического символа sk, при проведении 1-го этапа ввода аутентификационной информации динамически изменяют произвольным образом цвет фона графического символа sj, при этом j=1…Ni, одновременно с фиксированием точки di воздействия пользователя на экран определяют цвет фона bm каждого выведенного на экран секретного символа графического символа sm, где m=1…Кi, формируют положительный результат проведения i-го этапа ввода аутентификационной информации при выполнении условий принадлежности зафиксированной точки воздействия невидимой секретной области di∈Аi, и принадлежности зафиксированного цвета фона графического символа его секретным диапазонам цветов bm∈Cm, и отрицательного - в противном случае.
RU2009136845/08A 2009-10-05 2009-10-05 Способ аутентификации пользователя с защитой от подсматривания RU2424554C2 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2009136845/08A RU2424554C2 (ru) 2009-10-05 2009-10-05 Способ аутентификации пользователя с защитой от подсматривания

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2009136845/08A RU2424554C2 (ru) 2009-10-05 2009-10-05 Способ аутентификации пользователя с защитой от подсматривания

Publications (2)

Publication Number Publication Date
RU2009136845A RU2009136845A (ru) 2011-04-10
RU2424554C2 true RU2424554C2 (ru) 2011-07-20

Family

ID=44051936

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2009136845/08A RU2424554C2 (ru) 2009-10-05 2009-10-05 Способ аутентификации пользователя с защитой от подсматривания

Country Status (1)

Country Link
RU (1) RU2424554C2 (ru)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2461869C1 (ru) * 2011-08-11 2012-09-20 Закрытое акционерное общество "Лаборатория Касперского" Система и способ защиты вводимого пароля от перехвата
RU2541868C2 (ru) * 2013-05-14 2015-02-20 Федеральное государственное образовательное бюджетное учреждение высшего профессионального образования "Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича" Способ аутентификации пользователей с защитой от подсматривания
RU2665222C2 (ru) * 2013-10-17 2018-08-28 Смарт Электроник Индастриал (Дун Гуань) Ко., Лтд. Устройство для установления подлинности и способ установления подлинности
RU2758668C1 (ru) * 2021-03-25 2021-11-01 Публичное Акционерное Общество "Сбербанк России" (Пао Сбербанк) Способ и система защиты цифровой информации, отображаемой на экране электронных устройств

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2224288C2 (ru) * 1997-11-26 2004-02-20 Этмел Корпорейшн Защищенное запоминающее устройство, имеющее защиту от перехвата
US20040187001A1 (en) * 2001-06-21 2004-09-23 Bousis Laurent Pierre Francois Device arranged for exchanging data, and method of authenticating
RU2261479C2 (ru) * 2000-01-10 2005-09-27 Сикпа Холдинг С.А. Аутентификация изделий
WO2006039967A1 (en) * 2004-10-11 2006-04-20 Telefonaktiebolaget Lm Ericsson (Publ) Secure loading and storing of data in a data processing device
US20060153380A1 (en) * 2002-06-18 2006-07-13 Gertner Dmitry A Personal cryptoprotective complex
RU2309450C1 (ru) * 2006-04-26 2007-10-27 Общество с ограниченной ответственностью "БОМОСОМ" Способ защиты частной информации пользователя в системе обработки информации

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2224288C2 (ru) * 1997-11-26 2004-02-20 Этмел Корпорейшн Защищенное запоминающее устройство, имеющее защиту от перехвата
RU2261479C2 (ru) * 2000-01-10 2005-09-27 Сикпа Холдинг С.А. Аутентификация изделий
US20040187001A1 (en) * 2001-06-21 2004-09-23 Bousis Laurent Pierre Francois Device arranged for exchanging data, and method of authenticating
US20060153380A1 (en) * 2002-06-18 2006-07-13 Gertner Dmitry A Personal cryptoprotective complex
WO2006039967A1 (en) * 2004-10-11 2006-04-20 Telefonaktiebolaget Lm Ericsson (Publ) Secure loading and storing of data in a data processing device
RU2309450C1 (ru) * 2006-04-26 2007-10-27 Общество с ограниченной ответственностью "БОМОСОМ" Способ защиты частной информации пользователя в системе обработки информации

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2461869C1 (ru) * 2011-08-11 2012-09-20 Закрытое акционерное общество "Лаборатория Касперского" Система и способ защиты вводимого пароля от перехвата
RU2541868C2 (ru) * 2013-05-14 2015-02-20 Федеральное государственное образовательное бюджетное учреждение высшего профессионального образования "Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича" Способ аутентификации пользователей с защитой от подсматривания
RU2665222C2 (ru) * 2013-10-17 2018-08-28 Смарт Электроник Индастриал (Дун Гуань) Ко., Лтд. Устройство для установления подлинности и способ установления подлинности
RU2758668C1 (ru) * 2021-03-25 2021-11-01 Публичное Акционерное Общество "Сбербанк России" (Пао Сбербанк) Способ и система защиты цифровой информации, отображаемой на экране электронных устройств
WO2022203537A1 (ru) * 2021-03-25 2022-09-29 Публичное Акционерное Общество "Сбербанк России" Защита цифровой информации, отображаемой на экране электронных устройств

Also Published As

Publication number Publication date
RU2009136845A (ru) 2011-04-10

Similar Documents

Publication Publication Date Title
Chiasson et al. Persuasive cued click-points: Design, implementation, and evaluation of a knowledge-based authentication mechanism
Dunphy et al. A closer look at recognition-based graphical passwords on mobile devices
US8385605B2 (en) Image based turing test
Sreelatha et al. Authentication schemes for session passwords using color and images
Tao Pass-Go, a new graphical password scheme
US20120066744A1 (en) User authentication and access control system and method
Gutub et al. Practicality analysis of utilizing text-based CAPTCHA vs. graphic-based CAPTCHA authentication
CN101162489B (zh) 用于保密输入的伪装图片产生方法及其使用方法
RU2424554C2 (ru) Способ аутентификации пользователя с защитой от подсматривания
Towhidi et al. A survey on recognition based graphical user authentication algorithms
Ogiela et al. Application of knowledge‐based cognitive CAPTCHA in Cloud of Things security
RU2445685C2 (ru) Способ аутентификации пользователей на основе изменяющегося во времени графического пароля
Suru et al. Security and user interface usability of graphical authentication systems–A review
TW201822052A (zh) 供產生多重因數認證碼的方法與系統
CN108206737A (zh) 供产生多重因子认证码的方法与系统
Ince et al. Execution time prediction for 3D interactive CAPTCHA by keystroke level model
Chowdhury et al. Salty Secret: Let us secretly salt the secret
RU2541868C2 (ru) Способ аутентификации пользователей с защитой от подсматривания
Alfard et al. IoTGazePass: A new password scheme for IoT applications
Rodda et al. Shouldersurfing resistant graphical password system for cloud
Mohamad et al. Image based authentication using zero-knowledge protocol
Hassan et al. Servers voice graphical authentication
Tanvee et al. Move & select: 2-layer CAPTCHA based on cognitive psychology for securing web services
Ranjan et al. Shoulder surfing resistant using Cued Click Point authentication system
Le Bouder et al. Theoretical security evaluation of the Human Semantic Authentication protocol

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20111006