Information Security
8 May 2009

Пароль для гиков — смешать, но не взбалтывать

Если вы боитесь кейлоггеров и способны не задумываясь сказать, какая буква в вашем пароле стоит на N-м месте, для вас есть оригинальный способ ввода паролей, который поможет немного увеличить их безопасность.

Если автор сайта сделал для ввода пароля обычное текстовое поле (конечно типа «password», чтобы никто не подсмотрел), то вы можете вводить пароль побуквенно вразнобой (не по порядку), разумеется, переставляя курсор мышкой, чтобы нельзя было отследить порядок ввода по нажатиям курсорных клавиш.

Однако для удобства пользователей предлагаю для ввода пароля автоматизировать процесс перемешивания, установив вместо простого текстового поля набор односимвольных ячеек:



После ввода каждого символа курсор автоматически переносится в одну из случайно выбранных незаполненных ячеек, которая для лучшей видимости подсвечивается фоном. Разумеется, никто не мешает переставить курсор вручную. При отправке формы пароль собирается в одну строку, при этом пустые ячейки пропускаются (не все пароли одинаково длинные).

Плюсы данного решения:
  • защита от кейлоггеров, хотя все символы пароля по-прежнему можно отловить, придется перебрать до N! (факториал) вариантов, чтобы найти правильный порядок.
  • отдельные клеточки стимулируют пользователя выбирать более длинные пароли (а как вы думали, при регистрации пароль можно вводить аналогичным способом) и показывают, сколько еще свободного места осталось.
  • пароль нельзя скопипастить, а значит его придется запоминать, а не хранить в потенциально небезопасном месте на компьютере.
  • ввод пароля превращается в увлекательную игру :)

Очевидные минусы:
  • ввод пароля занимает больше времени
  • ввести пароль «чисто механически» уже не получится, его нужно будет помнить и разбить в уме на отдельные буквы, что требует серьезных умственных усилий.

Предупреждение: идея была придумана и опубликована just for fun. Думаю, всем очевидно, что этот способ нельзя делать единственным вариантом, но если кто-нибудь реализует его на своем сайта в качестве альтернативного пути ввода пароля и это привлечет еще парочку гиков в его аудиторию — это будет хорошо.

+35
1.1k 13
Comments 113
Top of the day