способами пароль для входа в ОС. Первая группа должна была использовать прямое запоминание случайного набора символов. Вторая — мнемонику: набор символов генерировался как последовательность первых букв запоминаемой фразы. Контрольная группа создавала пароль на основе «нейтральной» рекомендации: любое слово из не менее чем семи символов, содержащее хотя бы одну «не-букву». После того как пароли были введены в действие, исследователи атаковали их несколькими способами, включая полный перебор (если было не более шести символов), использование информации о пользователе, подбор слов из словаря и др. Проверялась как устойчивость к атакам, так и запоминаемость паролей. Результаты таковы:
— народное поверье (термин авторов исследования), что случайные пароли запоминаются хуже, подтвердилось;
— поверье, что пароли из мнемонических фраз труднее угадать, чем наивно выбранные слова, подтвердилось;
— поверье, что случайные пароли прочнее, чем созданные из мнемонических фраз, не подтвердилось;
— поверье, что мнемонические пароли труднее запомнить, чем наивные, не подтвердилось;
— наконец, самое главное «поверье»: использование случайных или мнемонических паролей существенно повышает безопасность. Оно, хоть и с большими оговорками, но все-таки, по мнению авторов, скорее не подтвердилось, чем подтвердилось.
Тем не менее авторы заканчивают свой отчет об исследовании четкой рекомендацией — использовать мнемонические пароли. Ведь они запоминаются так же легко, как наивные, но так же устойчивы, как рандомные. Несомненно, с тех пор проводились и другие исследования подобного рода. Но с одной стороны, классика есть классика, а с другой — в свете последних достижений по подбору паролей вся эта проблематика предстает в совсем ином свете… Поэтому отметим лишь высокую оценку мнемоники в этой широко цитируемой работе и перейдем, наконец, к мнемоническим системам, рассчитанным на задачу запоминания готовых ПИН-кодов.
Главная идея систем, описанных в [4], — избавить пользователя от необходимости помнить не только сам ПИН-код, но даже ключевую фразу или иной словесный «образ пароля». Вот как действует одна из них (находящаяся сейчас в процессе патентования)— по замыслу, особенно удобная как раз для ПИН-кодов. Пусть нам надо запомнить код «1945». Посмотрим на таблицу 3.
Отмеченные слова образуют образ пароля — в данном случае четырехзначного ПИН-кода. Восстановление происходит мгновенно и без всяких манипуляций с цифровыми алфавитами. Просто номера строк, в которых стоят выделенные слова, образуют искомый код.
Но как запомнить эти слова? Это происходит на этапе «ввода пароля в эксплуатацию». Глядя на таблицу, вы запоминаете по слову из каждого столбца. В данном случае из списка деревьев — дуб, из видов дружб — «тесную», из видов начальников — начальника порта, а из Александров — Можайского. По замыслу разработчиков, даже если вы и забыли эти слова по дороге к банкомату, то, взглянув там на таблицу, — вспомните их. Только ни в коем случае нельзя их обводить карандашом в таблице! Во-первых, вся секретность тут же пропадет, а во-вторых, это уже будет неспортивно [Шутка].
Для пользователей разработана целая система таблиц. Точнее, заготовок для них — столбцов, состоящих из заголовка и десяти слов, которые вместе с заголовком образуют связный текст (скажем, Александр [Попов, Пушкин, Суворов, … ]). Из этих столбцов можно набрать массу таблиц, причем нужной ширины (для запоминания более длинных кодов, чем четырехзначные). Наконец— и это намек на некий дополнительный потенциал такой мнемоники, — можно не писать в столбцах слова, а ставить туда, например, картинки (как в детских садах маркируют шкафчики в раздевалках: клубника, яблоко и т. д.), фотографии людей, логотипы компаний.
Разумеется, эффективность этого подхода может подтвердить или опровергнуть только массовое тестирование на практике. На взгляд — идея симпатичная, и судя по поверхностному знакомству с литературой, незаезженная. Для контраста — в недавно выложенной в свободный доступ классической книге Андерсона [1] по ИБ (см. «КТ» ##652, 658) за легкость взламывания критикуется такая рекомендация по мнемонике ПИН-кодов: вписать осмысленное слово в столбцы таблицы 10х4 с номерами из этого ПИН-кода, остальные клетки заполнив случайными буквами (рис. 1). Андерсон оценивает среднее количество осмысленных четырехбуквенных слов в такой таблице в пару дюжин. Поэтому шансы угадать за три попытки нужное слово довольно велики — 1 к 8 (против 1 к 3333, если угадывать сам ПИН-код).
Очевидно, что система, разработанная в ИПИБ, не страдает этим недостатком, так как там все комбинации слов в таблице равнозначны и никак не выделены большей или меньшей осмысленностью или другими признаками.
ЛИТЕРАТУРА
[1] Ross Anderson, «Security Engineering», www.cl.cam.ac.uk/~rja14/book.html.
[2] Васильева Е.Е., Васильев В.Ю. «Суперпамять, или Как запомнить, чтобы вспомнить?» — М.: «Астрель», 2006.
[3] Васильева Е.Е., Васильев В.Ю. Секреты запоминания чисел. — М.: «Астрель», 2006.
[4] О. Логачев, Е. Молодцов, В. Ященко, «Способ запоминания персональных цифровых паролей, основанный на использовании линеек ключевых символов», Отчет ИПИБ.
РЫНКИ: Доигрались: Виртуальные дома азарта уходят в подполье
Российские власти на новый год преподнесли онлайн-гемблингу Рунета неприятный подарочек. С первого января вступил в силу федеральный закон «О государственном регулировании деятельности по организации и проведению азартных игр и о внесении изменений в некоторые законодательные акты Российской Федерации», согласно которому запрещается организация азартных игр «с использованием информационно-телекоммуникационных сетей, в том числе сети Интернет, а также средств связи, в том числе подвижной связи» (то есть власти сходу поставили вне закона и мобильный гемблинг).
Попытка не пытка
В Рунете относительно быстро сформировался вполне нормальный рынок, с которым не брезговали работать местные доткомы. А одно из первых казино Рунета — Шанс.Ru — даже спонсировало выпуски телепередачи «Что? Где? Когда?». Большая часть оборота приходилась на ограниченное число участников, которые вели свой бизнес в соответствии с мировыми нормами, базировались на дорогом ПО от ведущих производителей, регулярно давали проверять себя независимым аудиторам с громкими именами, рекламировались на весьма авторитетных интернет-площадках — в общем, никак не производили впечатления полуподпольных предпринимателей на птичьих правах. Да и инвестиции в этот бизнес делались солидные (по крайней мере, для отечественных доткомов). Так, на открытие онлайн-казино «Фортуна» было потрачено $250 тысяч, из которых $92 тысячи пошли на приобретение доменного имени.
В качестве примера успешного сотрудничества онлайн-казино с другими отечественными представителями электронной коммерции можно вспомнить альянс Loto.ru с крупнейшей процессинговой компанией Assist, которая в 2005 году даже эмитировала кобрэндинговую карту для более простой и безопасной оплаты ставок и получения специальных бонусов в заведении. Молодая платежная система MoneyMail (она же Деньги@mail.ru) тоже активно сотрудничала с онлайн-казино, в массовом порядке заключая договоры об открытии канала зачисления средств на игровые депозиты. Только в 2006 году к системе подключились игорные онлайн-заведения GoldSmir, «Султан», «Видео Казино», «Авалон», Va-Bank, все та же «Фортуна» и др. Кроме того, в прошлом году через электронные платежные системы стало проходить больше половины всех платежей в пользу интернет-казино.
Резко ужесточилось отношение к онлайн-казино в отечественных властных кругах в прошлом году. Возможно, свою роль сыграли гонения онлайн-гемблинга в США, о которых чуть позже, однако, по слухам, дело не только в подражании американским парламентариям. В околорыночных кругах говорят, что Юрий
