普利茅斯大学一项研究表明:采用图像和一次性数字编码可以作为一种安全且易于使用的方案代替依赖于硬件或软件的多因子验证方式或者一次性密码。
来自安全通信和网络研究中心的研究人员认为,他们开发的多级身份验证系统GOTPass能够有效保护个人网上信息不被黑客侵害。
这种方式用户更便于记忆,且由于不需要开发可能开销昂贵的硬件系统,提供商也实现起来也更节省资金。
研究人员在《信息安全杂志:全球视角》中写道:该系统适用于网银和其他类似服务,有多个账户的用户在使用这些系统时往往受累于要携带多个设备以获取访问权。
他们还公布了一系列安全测试的结果:在690次使用各种猜解手段和更有针对性攻击方式的黑客攻击尝试中,只有23次成功突破了该系统的防御。
带领此项研究的博士研究生侯赛因·阿塞艾里(Hussain Alsaiari)说:“传统密码无疑十分有用,但无论人们觉得他们的信息如何安全,密码的弱点也是众所周知的。也有一些替代系统可选,但它们要么非常昂贵,要么有部署限制很难在保证用户一致性的情况下集成进现有系统里。GOTPass系统易于使用和部署,同时还能给用户以自身信息被安全保管的信心。”
要设置GOTPass系统,用户需要选择一个唯一的用户名,在4 x4屏幕解锁模式上画任意图形,类似于现在移动设备上普遍使用的那种。然后,用户会被随机分配4个主题,每个主题会弹出30个备选项供选其一。
随后的使用中,登录进账户后,用户将输入用户名并画出解锁图形,下一个屏幕会包含16幅图像,其中两个是之前设置系统时他们选择的,6个是相关干扰项,8个是随机诱饵。
正确识别出2幅预设图像后才能在登录面板顶部或左侧边缘产生8位数字的随机码供用户输入以访问他们的信息。
初始测试显示出该系统便于用户记忆,而安全分析表明,690次攻击尝试仅有8次真正成功,另有15次是碰巧突破的。
普利茅斯大学网络安全讲师兼该项研究主管玛利亚·帕帕达奇博士称:“想要在线安全坚强有力就需要难以被黑客攻破,而我们已经证明了采用图形和一次性密码的方式可以达到这一点。它也是对现有基于令牌的多因子系统的一种低成本替代选择,多因子系统需要开发和部署昂贵的硬件设备,太不划算了。我们目前计划进行进一步测试以评估GOTPass系统的长期效果及其功能细节。”
本文转自d1net(转载)