Познавательный пароль является формой аутентификации , основанной на знаниях , что требует от пользователя , чтобы ответить на вопрос, предположительно то , что они по своей природе знать, чтобы подтвердить свою личность. Системы когнитивных паролей исследуются в течение многих лет и в настоящее время широко используются в качестве формы вторичного доступа. Они были разработаны с целью преодоления общей запоминаемости против силы проблемы , которая существует с традиционным паролем. Когнитивные пароли по сравнению с другими системами паролей можно измерить с помощью соотношения запоминаемости и вероятности угадывания. [1]
История
Исследования паролей как метода аутентификации боролись между запоминаемостью и надежной безопасностью. [2] Легко запоминающиеся пароли легко взламываются злоумышленниками. С другой стороны, надежные пароли сложно взломать, но и запомнить. [3] [4] Когда пароли трудно запомнить, пользователи могут записать их, и секретность пароля будет нарушена. [5] Ранние исследования этого компромисса между безопасностью и удобством использования были направлены на разработку системы паролей, которая использовала бы легко запоминающиеся личные факты и поощряла участие пользователей. Это направление исследований привело к появлению концепции ассоциативного пароля, системы паролей, основанной на выбранных пользователем репликах и ответах. [6] Эта концепция ассоциативных паролей была расширена до заранее определенного набора вопросов и ответов, которые, как ожидается, пользователи будут знать и которые могут легко вспомнить. [7] Эмпирический анализ паролей и человеческого познания привел к рекомендации, что люди не должны больше запоминать четыре сложных пароля. [8]
Основываясь на идее вопросов, позже исследователи разработали ряд инноваций для когнитивных паролей. Пропущенные лица использовали способность идентифицировать людей в социальной сети и особую когнитивную силу распознавания лиц [9]. Более поздняя работа по оценке этих сигналов подтвердила рекомендацию четырех паролей как разумное когнитивное ожидание. [10]
Исторический обзор использования различных подсказок показал, что конкретный дизайн и макет страницы влияют на запоминаемость и силу. [11] Более поздняя работа показала, что включение визуальной подсказки позволило значительно улучшить компромисс между запоминаемостью и безопасностью. [12]
Познавательные вопросы
В основе когнитивной системы паролей лежат реплики. Это могут быть фотографии лиц, газеты, изображения или другие графические или текстовые подсказки. Один ранний метод помощи в припоминании рекомендовал теперь более поздние контрольные вопросы. Эти вопросы были разработаны так, чтобы запоминать их больше, чем при стандартном методе аутентификации по имени пользователя и паролю. Таким образом, мерой надежности когнитивного пароля является соотношение запоминаемости / вероятности угадывания. [13]
Разработка вопроса
Вопросы, разработанные для систем когнитивных паролей, классифицируются как основанные на фактах или мнениях. Системы, основанные на фактах, содержат вопросы с ответами, которые считаются независимыми от чувств человека, например: «Как называется школа, в которой вы учились?». Вопросы, основанные на мнении, противоположны и, как следует из названия, имеют ответы, основанные на личном мнении, например: «Какой твой любимый цвет?» [14] Позднее исследование разработало набор критериев для выбора вопросов, который включал обобщенную возможность ответа, количество возможных ответов и общее отсутствие двусмысленности. Первый критерий предполагал, что на вопросы должны отвечать все (т. Е. Не спрашивать «Когда вы купили свой первый дом?», Потому что не все пользователи, возможно, купили дома). Второй критерий рекомендовал выбирать вопросы с достаточно большим набором возможных ответов (т.е. не спрашивать «Сколько у вас детей?», Потому что большинство людей ответят 0, 1 или 2). Одна из целей дизайна состоит в том, чтобы вопросы были как можно более однозначными (т.е. не спрашивать «Сколько у вас членов семьи?», Поскольку может возникнуть некоторая путаница относительно того, кто будет включен в этот подсчет). [15] Одним из эффективных критериев создания полезных вопросов является использование убедительных и увлекательных вопросов. [16]
Пожилые люди, которые сталкиваются с нормальным ухудшением когнитивных функций в процессе старения, могут хорошо реагировать на визуальные сигналы. [17] Тактильное взаимодействие может сделать технологию более доступной. [18]
Запоминаемость против угадываемости
Ожидается, что со временем способность пользователя правильно вспомнить свой пароль будет уменьшаться. [19] Однако запоминаемость когнитивных паролей остается относительно стабильной с течением времени, а уровень отзыва значительно выше, чем у традиционных паролей. [20] [21] Когда сравниваются вопросы, основанные на фактах и мнениях, вопросы, основанные на фактах, с большей вероятностью будут правильно запомнены, чем вопросы, основанные на мнениях, но все же гораздо более вероятно, чем традиционные пароли. [20] Когнитивные вопросы для группы, усредненной в целом, показывают относительно высокую вероятность угадывания, намного выше, чем у традиционных паролей, но при индивидуальном анализе некоторые вопросы показали приемлемое соотношение запоминаемости / вероятности угадывания. [20]
Примеры
Ниже приведены некоторые типичные когнитивные вопросы о пароле:
- Какая девичья фамилия вашей матери?
- Кто твой любимый супергерой?
- Какое имя вашей собаки
- Как зовут вашу машину?
- Какой ваш любимый фильм?
- В каком городе ты родился?
- Какой твой любимый цвет?
- Какое число написано на одном из ваших карандашей? Используйте разные карандаши для разных паролей.
Рекомендации
- ^ Shon Harris (2002). «2». Сертификационный паспорт Майка Мейерса по программе CISSP (R) . Сертификационный паспорт Майка Мейерса Passport Series (иллюстрированный ред.). McGraw-Hill Professional. п. 36. ISBN 978-0-07-222578-5.
- ^ Саймон HA. Когнитивная наука: новейшая наука об искусственном. Когнитивная наука. 1980, 1 января; 4 (1): 33-46.
- ^ (Цвиран и Хага, 1990a)
- ^ Дж. Ян, А. Блэквелл, Р. Андерсон и А. Грант. Запоминаемость и безопасность паролей: эмпирические результаты. [Безопасность и конфиденциальность IEEE, 2 (5): 25–31, 2004.
- ^ (Цвиран и Хага, 1999, стр.173)
- ^ (Смит, 1987)
- ^ (Цвиран и Хага, 1990a, стр.723)
- ^ А. Адамс и М.А. Засс . Пользователи не враги. Commun. АКМ, 42 (12): 40–46, 1999.
- ^ . Виденбек, Дж. Уотерс, Ж.-К. Биргет, А. Бродский, Н. Мемон. PassPoints: разработка и продольная оценка графической системы паролей. Int. J. Hum.-Comput. Stud., 63 (1-2): 102–127, 2005.
- ^ Brostoff, S., & асс, MA (2000). Пароли более удобны, чем пароли? Полевое судебное расследование. В «Людях и компьютерах» XIV - или еще удобство использования! (стр. 405-424). Спрингер, Лондон.
- ^ Биддл R, S Чиассон, Van Oorschot PC. Графические пароли: изучение первых двенадцати лет. ACM Computing Surveys. 2012 1 августа; 44 (4): 19.
- ↑ Кэмп, Л. Джин, Джейкоб Эбботт и Сию Чен. «CPasswords: Использование эпизодической памяти и ориентированного на человека дизайна для лучшей аутентификации». 2016 49-я Гавайская международная конференция по системным наукам (HICSS). IEEE, 2016.
- ^ (Баннелл и др., 1997, стр. 631)
- ^ Zviran и Хага, 1990
- ^ Bunnell et. al, 1997, стр. 633
- ↑ Ален Форгет, Соня Чиассон, П.С. ван Оршот и Роберт Биддл. 2008. Улучшение текстовых паролей путем убеждения. В материалах 4-го симпозиума по полезной конфиденциальности и безопасности (SOUPS '08). ACM, Нью-Йорк, Нью-Йорк, США, 1–12.
- ↑ Андерсон, Н. и Крейк, Ф., «Память в стареющем мозге», Оксфордский справочник по памяти, стр. 411–425, 2000.
- ^ З. Циммерман и Л. Джин Кэмп, «Влияние дизайна, ориентированного на пожилых людей, на принятие новых технологий», Дизайн взаимодействия с пожилыми людьми CHI; Семинар CHI 2010, (Атланта, Джорджия), 4 апреля 2010 г.
- ^ (Браун и др., 2004, стр. 642)
- ^ a b c (Баннелл и др., 1997, стр. 635)
- ^ (Цвиран и Хага, 1990a, стр.728)
Процитированные работы
- Браун, Алан С .; др., др. (2004), "Создание и запоминание паролей", Applied Cognitive Psychology , 18 (6): 641-651, DOI : 10.1002 / acp.1014
- Баннелл, Джули; др., др. (1997), "Познавательные, ассоциативные и обычные пароли: Recall и угадывание ставки", Компьютеры и безопасности , 16 (7): 629-641, DOI : 10.1016 / s0167-4048 (97) 00008-4
- Смит, Сидни Л. (1987), «Аутентификация пользователей с помощью словесной ассоциации», Общество по человеческому фактору и эргономике , 31 (1): 135–138, DOI : 10.1177 / 154193128703100130
- Цвиран, Моше; Хага, William J. (1990a), "Когнитивные пароли: Ключ к легкому управлению доступом", компьютеры и безопасности , 9 (8): 723-736, DOI : 10,1016 / 0167-4048 (90) 90115-
- Цвиран, Моше; Хага, William J. (1999), "Защита пароля: эмпирическое исследование", журнал информационных систем управления , 15 (4): 161-185, DOI : 10,1080 / 07421222.1999.11518226 , ЛВП : 10945/40319
- Цвиран, Моше; Elrich, Zippy (2006), "Идентификация и аутентификация: Вопросы технологии и реализации", коммуникаций Ассоциации по информационным системам , 17 (4): 90-105, DOI : 10,17705 / 1CAIS.01704
Внешние ссылки
- Визуальная и когнитивная аутентификация по паролю