האם מציירת להחליף את הסיסמה שלך?

כמעט 80 אחוז מהאמריקאים מחזיקים בסמארטפון, וחלק הולך וגדל מהם משתמשים בסמארטפונים לגישה לאינטרנט, לא רק כשהם בדרכים. זה מוביל לאנשים לאחסן כמויות ניכרות של נתונים אישיים ופרטיים במכשירים הניידים שלהם.

לעתים קרובות, יש רק שכבה אחת של אבטחה המגנה על כל אותם נתונים - מיילים והודעות טקסט, פרופילי מדיה חברתית, חשבונות בנק וכרטיסי אשראי, ואפילו סיסמאות אחרות לשירותים מקוונים. הסיסמה היא שפותחת את נעילת המסך של הטלפון החכם. בדרך כלל זה כרוך בהזנת מספר, או סתם הנחת קצה אצבע על חיישן.

במהלך השנים האחרונות קבוצת המחקר שלי, עמיתי ואני עיצבנו, יצרנו ובחנו דרך טובה יותר. אנו מכנים זאת "מחוות שנוצרו על ידי המשתמש בצורה חופשית", כלומר בעלי סמארטפונים יכולים לצייר דפוס אבטחה משלהם על המסך. זה רעיון פשוט מאוד המאובטח באופן מפתיע.

שיפור הביטחון החלש של ימינו

נראה כי אימות ביומטרי, כמו טביעת אצבע, יכול להיות חזק יותר. אבל זה לא, מכיוון שרוב המערכות המאפשרות למשתמשים לאפשר גישה לטביעות אצבע דורשות גם קוד PIN או סיסמא כשיטת גיבוי חלופית. משתמש - או גנב - יכול לדלג על השיטה הביומטרית ובמקום זאת פשוט להזין (או לנחש) PIN או סיסמא.

קשה להקליד את סיסמאות הטקסט במכשירים ניידים, עם מקשי "shift" קטנים ולחצנים אחרים ללחוץ כדי להזין מספרים או סימני פיסוק. כתוצאה מכך, אנשים נוטים להשתמש במקום זאת בקודי PIN, שהם מהירים יותר אך בקלות רבה יותר מנחש, מכיוון שהם רצפים קצרים שבני האדם בוחרים בדרכים צפויות: למשל, באמצעות תאריכי לידה. מכשירים מסוימים מאפשרים למשתמשים לבחור בתבנית חיבור לנקודות ברשת שעל המסך - אך אלה יכולים להיות אפילו פחות מאובטחים מאשר מספרי PIN של שלוש ספרות.

בהשוואה לשיטות אחרות, הגישה שלנו מגדילה באופן דרמטי את האורך והמורכבות הפוטנציאלית של סיסמא. משתמשים פשוט מציירים תבנית על גבי מסך מגע שלם, תוך שימוש במספר מיקומים על המסך.

מדידת רישומים

כשמשתמשים מציירים צורה או תבנית על המסך, אנו עוקבים אחר אצבעותיהם, מקליטים לאן הם זזים ובאיזו מהירות (או לאט). אנו משווים את הרצועה לזו שהוקלטה כאשר הם מגדירים את הכניסה מבוססת המחווה. ניתן להוסיף הגנה זו רק על ידי שינויי תוכנה; הוא אינו זקוק לחומרה ספציפית או לשינויים אחרים בהתקני מסך מגע קיימים. ככל שמסכי מגע הופכים נפוצים יותר במחשבים ניידים, ניתן להשתמש בשיטה זו גם כדי להגן עליהם.

המערכת שלנו מאפשרת גם לאנשים להשתמש ביותר מאצבע אחת - אם כי חלק מהמשתתפים הניחו שלא בצדק כי ביצוע תנועות פשוטות עם מספר אצבעות יהיה בטוח יותר מאותה מחווה עם אצבע אחת בלבד. המפתח לשיפור האבטחה באמצעות אצבע אחת או יותר הוא ליצור עיצוב שלא קל לנחש.

קל לעשות ולזכור, קשה לשבור

חלק מהאנשים שהשתתפו במחקרים שלנו יצרו מחוות שניתן לנסח כסמלים, כמו ספרות, צורות גיאומטריות (כמו צילינדר) ותמונות מוזיקליות. הדבר הקל על זיכרונותיהם של מצייצים מורכבים - כולל כאלה שדורשים הרמת אצבעות (ריבוי פעולות).

תצפית זו נתנה לנו השראה ללמוד וליצור דרכים חדשות לנסות לנחש סיסמאות מחוות. בנינו רשימה של סמלים אפשריים וניסינו אותם. אבל אפילו סמל פשוט יחסית, כמו תו שמיני, ניתן לצייר בכל כך הרבה דרכים שונות, עד שחישוב הווריאציות האפשריות הוא אינטנסיבי חישובי וצורך זמן רב. זה בשונה מסיסמאות טקסט, שעבורן קל לנסות וריאציות.

החלפת יותר מסיסמה אחת

המחקר שלנו התארך מעבר לשימוש פשוט במחווה כדי לבטל את נעילת הטלפון החכם. בדקנו את הפוטנציאל של אנשים להשתמש בציורים במקום סיסמאות בכמה אתרים. נראה שלא היה קשה יותר לזכור מחוות מרובות מאשר לזכור סיסמאות שונות לכל אתר.

לאמיתו של דבר, זה היה מהיר יותר: כניסה עם מחווה לקחה זמן של שתיים עד שש שניות פחות מאשר לעשות זאת באמצעות סיסמת טקסט. יותר מהר ליצור תנועה מאשר סיסמא: אנשים בילו 42 אחוז פחות זמן בהפקת תעודות מחווה מאשר אנשים שלמדנו שנאלצו להמציא סיסמאות חדשות. מצאנו שאנשים יכלו להיכנס בהצלחה למחוות מבלי להקדיש להם תשומת לב רבה ככל שהיו צריכים עם סיסמאות טקסט.

אינטראקציות מבוססות מחוות פופולריות ושכיחות בפלטפורמות סלולריות, ועושות את דרכן יותר ויותר אל מחשבים ניידים ומחשבים שולחניים מצוידים במסכי מגע. בעלי מכשירים מסוג זה יוכלו ליהנות משיטת אימות מהירה, קלה ובטוחה יותר כמו שלנו.

ג'אן לינדקוויסט, פרופסור להנדסת חשמל ומחשבים, אוניברסיטת רוטגרס