vendredi 8 avril 2016

Une forte protection des mots de passe faibles

La combinaison de codes simples et captchas, qui sont encore plus crypté à l'aide d'un processus chaotique, produit une protection efficace de mot de passe
Les mots de passe de l'avenir pourraient devenir plus sûr et, en même temps, plus simple à utiliser. Des chercheurs de l'Institut Max Planck pour la physique des systèmes complexes à Dresde ont été inspirés par la physique des phénomènes critiques dans leurs tentatives d'améliorer considérablement la protection par mot de passe. Les chercheurs ont divisé un mot de passe en deux sections. Avec le premier, facile à mémoriser la section, ils chiffrer un Captcha - une image que les programmes informatiques en tant que tels ont de la difficulté à déchiffrer. Les chercheurs font également plus difficile pour les ordinateurs, dont la tâche est de casser automatiquement les mots de passe, de lire les mots de passe sans autorisation. Ils utilisent des images d'un système physique simulé, dont ils font en outre méconnaissables avec un processus chaotique. Ces p-captchas permettent aux physiciens Dresde pour atteindre un niveau élevé de protection par mot de passe, même si l'utilisateur n'a qu'à se souvenir d'un mot de passe faible.
Les ordinateurs utilisent parfois la force brutale. Les programmes de piratage utilisent ce qu'on appelle des attaques en force d'essayer toutes les combinaisons possibles de caractères de deviner les mots de passe. CAPTCHA (Completely Automated Public Turing Test de dire Computers and Humans Apart) sont donc conçu comme une garantie supplémentaire dont l'entrée provient d'un être humain et non pas à partir d'une machine. Ils posent une tâche pour l'utilisateur qui est assez simple pour tout être humain, mais très difficile pour un programme. Les utilisateurs doivent entrer un texte déformé qui est affiché sur l'écran, par exemple. Les captchas sont de plus en contournés, cependant. Les données personnelles des membres du réseau social "SchülerVZ" pour les élèves de l'école ont déjà été volés de cette manière.
Des chercheurs de l'Institut Max Planck pour la physique des systèmes complexes à Dresde ont maintenant mis au point un nouveau type de protection par mot de passe qui est basé sur une combinaison de caractères et un Captcha. Ils utilisent également des méthodes mathématiques de la physique des phénomènes critiques pour protéger le Captcha d'être consulté par des ordinateurs. «Nous faisons ainsi la protection par mot de passe à la fois plus efficace et plus simple», dit Konstantin Kladko, qui a eu l'idée de cette approche interdisciplinaire lors de son passage à l'Institut Max Planck de Dresde; il est actuellement chercheur à Axioma Research in Palo Alto / Etats-Unis.
Les chercheurs basés sur Dresde combinent initialement mot de passe et Captcha dans un tout nouveau moyen. Le Captcha est plus générée à nouveau chaque fois afin de distinguer l'utilisateur humain d'un ordinateur sur une base de cas par cas. Au contraire, les physiciens utilisent le mot de code dans l'image, qui ne peut être déchiffré par les humains comme le mot de passe réel, ce qui permet d'accéder à un réseau social ou un compte bancaire en ligne, par exemple. Les chercheurs ont en outre chiffrer ce mot de passe en utilisant une combinaison de caractères.
Cependant, ce n'est pas tout: le Captcha est un instantané d'un système hamiltonien dynamique, chaotique en deux dimensions. Par souci de simplicité, son image peut être imaginé comme une matrice de pixels en échelle de gris, où chaque pixel représente un oscillateur. Les oscillateurs sont couplés à un réseau.Chaque oscillateur oscille entre deux états et elle est influencée par les oscillateurs voisins comme elle le fait, conduisant ainsi à des échelles de gris.
Développement Chaotic rend illisible le mot de passe
Les physiciens quittent alors le système à développer chaotiquement pendant une période de temps. La matrice de gris change la couleur de ses pixels. Le résultat est une image qui ne contient plus d'un mot identifiable. Les chercheurs ont ensuite chiffré cette image avec la combinaison de caractères et de sauvegarder le résultat. «Nous parlons donc d'un Captcha protégé par mot de passe ou p-Captcha», dit Sergej Flach, qui a fait équipe avec Tetyana Laptyeva pour atteindre les résultats de recherche décisifs à l'Institut Max Planck pour la physique des systèmes complexes. Etant donné que l'évolution chaotique de l'image initiale est déterministe, soit réversible, la procédure entière peut être inversée en utilisant la combinaison de caractères, de sorte que l'utilisateur peut encore lire le mot de passe caché dans le Captcha.
"La combinaison de caractères que nous utilisons pour crypter le mot de passe dans le Captcha peut être très facile de se rappeler», explique Konstantin Kladko. "Nous prenons donc en compte le fait que la plupart des gens ne veulent, ou ne peut, rappelez-vous des mots de passe simples." Le fait que les mots de passe sont en conséquence faibles est désormais plus important, parce que la protection réelle vient du mot de passe crypté dans le Catcha.
D'une part, le mot de passe caché dans le Captcha est trop long pour les ordinateurs pour être en mesure de le deviner en utilisant une attaque par force brute dans un laps de temps raisonnable. D'autre part, les physiciens utilisent un système critique pour générer l'image de mot de passe. Ce système est proche d'une transition de phase: avec une transition de phase, le système passe d'un état à un autre, à partir paramagnétique à l'état ferromagnétique, par exemple. Près de la transition, les régions forment à plusieurs reprises qui ont temporairement déjà terminé la transition. "L'image résultante est toujours très granuleuse. Par conséquent, un ordinateur ne peut pas distinguer de l'original, il est à la recherche », explique Sergej Flach.
"Bien que l'étude vient d'être soumis à une revue spécialisée et est disponible uniquement en ligne dans une archive, il a déjà provoqué un grand nombre de réponses de la communauté - et pas seulement dans Hacker Nouvelles», dit Sergej Flach. «Je suis très impressionné par la profondeur de certains commentaires dans certains forums - à Slashdot, par exemple." Les spécialistes sont évidemment impressionnés par l'ingéniosité de l'approche, ce qui signifie que les mots de passe peuvent être très difficiles à craquer à l'avenir. En outre, le procédé est facile et rapide à mettre en œuvre dans les systèmes informatiques classiques. "Une expansion à plusieurs niveaux p-Captcha est évident», dit Sergej Flach. Hoiwever, cela nécessite une puissance accrue pour inverser le développement chaotique dans un délai raisonnable de calcul: «Nous voulons donc étudier divers systèmes hamiltoniens et non-hamiltonien à l'avenir pour voir si elles fournissent plus rapide et même une protection plus efficace."