国产一区二区精品久久,视频一区二区精品的福利

在下文中，Jeff 將介紹為什么總體來說這是一種強大的解決方案。請注意，人們多年以來積累了眾多針對鍵入式密碼的“最佳做法”（例如，數(shù)字+字母+大小寫混合，設(shè)置長度下限，不重復(fù)使用密碼，不使用有意義的單詞等策略。）和重要注意事項（例如，避免使用可能暴露在攝像頭下，或可能安裝了鍵盤記錄器的公共 Internet 終端），您可以想象一下，在使用圖片密碼時，這些做法都能找到類似的策略。Jeff 列舉了這方面的一些示例，并介紹了該模式的安全邏輯。

大家曾通過多種方式反復(fù)提及了這樣一個問題：“我非?？粗卦O(shè)備的安全性；哪種登錄手勢序列能夠提供最佳的安全性？”這個問題引發(fā)了非常有趣（至少對我這樣的數(shù)學(xué)愛好者來說是這樣）的分析。該分析涉及游戲理論，但首先我希望將其精煉為以下最佳做法。

挑選一張至少具有 10 個興趣點的照片。興趣點就是可以作為手勢地標(biāo)的區(qū)域（您可以觸摸的點，可以連線的位置，或可以圈出的區(qū)域）。

使用隨機的手勢類型和順序組合。雖然線條是排列組合最多的手勢，但如果您始終使用 3 根線條，則會為攻擊者打開方便之門，因為他們將得以排除包含其他手勢類型的序列。

如果您使用一次點擊、一根線條和一個圓圈，并隨機地排列這些手勢，則可預(yù)測的順序組合數(shù)量將變?yōu)樵瓉淼?6 倍。

對于圓圈手勢，您可以隨機選擇順時針或逆時針繪制。您也可以考慮繪制比“常規(guī)”尺寸更大或更小的圓圈。

對于線條手勢，您可能會本能地從左向右繪制，但如果您隨機地選擇連接兩點的方向，則將進一步提高安全性。

與所有身份驗證模式相同，在輸入圖片密碼時，請避免被其他人看到。

請將您的計算機放置在安全的位置，確保未經(jīng)授權(quán)人的無法接觸到它。與輸入任何密碼時相同，請避免將屏幕暴露在他人的視線和潛在的記錄設(shè)備之下。

請注意，屏幕上的觸摸痕跡有可能暴露您的手勢。請定期徹底清潔您的屏幕。雖然如果您在清潔后登錄，然后不執(zhí)行任何操作，可能會增加這種風(fēng)險，但是反復(fù)使用后積累的油跡更容易被攻擊者發(fā)現(xiàn)（此外，誰會喜歡使用一部油膩膩的設(shè)備？）。請注意，油跡的積累更容易在輸入數(shù)字 PIN 碼時纏身，尤其是在設(shè)備頻繁開關(guān)，您一天需要數(shù)十次輸入該序列的情況下（油跡會在這些位置積累）。在訪問登錄屏幕時，請時常從傾斜的角度觀察屏幕，查看是否存在某種可能暴露您的手勢序列的圖案。如果是這樣，您可以選擇清潔屏幕，或在圖片密碼區(qū)域中增加少量額外觸摸痕跡（這樣可以有效增加將在下文中討論的興趣點）

如果您采納這些建議，則計算機的安全性將顯著提高。

如同一些評論中所建議的，我們也曾考慮過縮小圖像的尺寸，并在屏幕上的隨機位置以稍微旋轉(zhuǎn)的方式顯示該圖像，以便盡可能降低觸摸痕跡帶來的風(fēng)險。同時，我們從可用性反饋中了解到，縮小圖片的尺寸不但會增加正確輸入手勢的難度，而且還會降低登錄體驗的沉浸感；但是，如果這種方法真的能顯著提高安全性，我們也許會在收益和代價之間做出權(quán)衡。事實上，我們發(fā)現(xiàn)挪動圖片雖然能夠減少特定位置上的觸摸痕跡積累，但是會導(dǎo)致更明顯的“觸摸痕跡云”，即明顯相互關(guān)聯(lián)的一組點擊、線條或圓圈。借助這些信息，攻擊者可以輕而易舉地發(fā)現(xiàn)手勢之間的關(guān)聯(lián)。然后，攻擊者只需輕松地在圖片中嘗試套用該模式，直到與圖片中明顯的要素相匹配即可。因此，這種方法不但無法顯著提高安全性，同時還會顯著降低用戶體驗的速度和流暢性。事實上，利用觸摸痕跡非常困難。當(dāng)我們拿到人們使用了很久的平板電腦時，上面的觸摸痕跡通常已經(jīng)難以計數(shù)，基本上不可能推斷出特定的手勢組合。即使在已經(jīng)獲知登錄序列并知道要在屏幕上留意哪些觸摸痕跡的情況下，我們也很少取得成功。向您闡述以下分析結(jié)果，是由于我們認(rèn)為當(dāng)引入創(chuàng)新的技術(shù)時，及時披露潛在的攻擊媒介非常重要，這樣技術(shù)社區(qū)就可以針對威脅程度及其潛在隱患達成普遍共識。當(dāng)然，我們也相信屏幕技術(shù)會繼續(xù)改進，有朝一日，觸摸痕跡會徹底從屏幕上消失。

分析

計算各種情境下攻擊成功的概率同樣非常有趣。我們曾在之前的博文中討論過，手勢的基礎(chǔ)是 100 x 100 的網(wǎng)格，即使最簡單的手勢（點擊）也具有 10,000 種可能的值（在近似匹配中，此值會有效地減少為 270）。在實際應(yīng)用中，興趣點 (POI) 的數(shù)量遠遠小于該值，一張照片上可供記憶的位置始終是有限的。

盡管還可以通過其他方式來構(gòu)建分析，為了便于討論，我們假設(shè)圖片上只有少量 POI，并且所有手勢只涉及這些點。我們假設(shè)點擊直接發(fā)生在 POI 上，圓圈只有兩種尺寸（圍繞某個點的小圓圈以及大圓圈）和兩種方向（順時針和逆時針），并且線條始終只連接兩個興趣點。由于這些設(shè)定并非完全真實，因此實際的排列組合數(shù)量還會進一步提高。

Windows 會為圖片密碼（和 PIN 碼）提供額外的保護，即在 5 次錯誤的嘗試后禁用相應(yīng)的登錄機制（此后，您必須使用傳統(tǒng)密碼）。在這一前提下，我們便可以通過兩種方式來判斷特定情境下的相對安全性。

首先，我們可以判斷當(dāng)攻擊者完全了解您的手勢選擇方法時，其在觸發(fā)鎖定前成功登錄到計算機的概率（下文簡稱為“Odds1”）。假設(shè)可能的手勢序列數(shù)量為 x，則在鎖定前的 5 次嘗試中猜出密碼的概率為 5 / x。

其次，我們可以假設(shè)您有 100 臺計算機，每臺都根據(jù)該情境中設(shè)置的規(guī)則隨機選擇了某個密碼（下文簡稱為“Odds100”）。在這種情況下，攻擊者成功登錄到至少一臺計算機的概率是多少？由于這些事件彼此獨立，概率計算公式應(yīng)為：

?；厩榫?div style="height:15px;">

讓我們考慮一下安全性最差的情境：您的“圖片”為黑色背景正中的單個白點。由于只有一個興趣點，因此只能使用點擊或圓圈手勢（沒有其他興趣點可供連線）。很顯然，如果我僅使用點擊手勢，則唯一有效的序列為白點上的 3 次點擊，攻擊者 100% 會登錄成功。再假設(shè)僅使用圓圈而不使用點。這樣每個手勢可以隨機選擇 4 種可能的圓圈。這種情況下，可能的手勢序列達到了 43 = 64 種。此情景下，Odds1 為 7.81% 而 Odds100 為 99.97%。使用該圖片密碼時，攻擊者成功登錄到單臺計算機的概率竟然不到 8%（我直覺地猜測該數(shù)字應(yīng)該更高），但您可以看到，當(dāng)規(guī)模擴大到 100 臺時，攻擊者幾乎肯定能夠成功，至少一臺計算機很可能會遭到入侵。雖然某些用戶可能會滿足這樣的概率，但大多數(shù)安全意識較強的用戶和管理大量計算機的 IT 管理員肯定會發(fā)現(xiàn)這一數(shù)字無法接受。

我們再來分析每個手勢隨機選擇點擊或圓圈的情境。您很可能認(rèn)為這樣會讓每個手勢的復(fù)雜性加倍，但事實上并非如此。在這種情境下，共有 4 種可能的圓圈和 1 種可能的點擊，因此，共有 5 種唯一的手勢和 125 種序列。

假設(shè)我們選擇按照以下方式實施“隨機”方法：通過擲硬幣來確定使用點擊還是圓圈。如果是圓圈，我們將隨機選擇 4 種可能的手勢。雖然這種方法看上去實現(xiàn)了完美的隨機，但事實上其安全性低于僅使用圓圈的情況。這是因為在一半的概率下，我們都會選擇只有一種可能性的手勢（點擊）。攻擊者會將攻擊重點放在包含兩次或三次點擊的手勢上，并取得較高的成功率。理想的攻擊策略（也有其他概率相同的策略）為先測試 3 次點擊，然后在鎖定前依次測試 2 次點擊后跟 4 種圓圈的情況。雖然表觀 Odds1 為 4%（比之前的 7.81% 有所改善），攻擊者實際的 Odds1 將達到 25%，超過僅使用圓圈的情況 3 倍。統(tǒng)計數(shù)字有時也會騙人！

幸運的是，我們可以輕松地解決此情境所存在的問題。對于每種手勢，我們可以在 1 至 5 之間隨機選擇一個數(shù)字。如果為 1，則使用點擊。其他情況下，我們將根據(jù)該值選擇 4 種可能的圓圈之一。這樣 Odds1 將降低為 4%（幾乎好過第一種情境 2 倍），但 Odds100 仍為糟糕透頂?shù)?98.31%。

略加改進

讓我們在之前的方法上略加改進。此情境的圖片中僅包含 2 個興趣點（很難想象實際的照片會如此簡單，因此我們可以將其想象為黑色背景上的 2 個白點）。這種情景下，我們可以添加線條手勢，但該手勢只有兩種可能性：從第一個點繪制到第二個點，或從第二個點繪制到第一個點。

從之前的示例中我們已經(jīng)了解到，不能先隨機選擇手勢類型，然后再選擇手勢。我們會將所有可能的手勢匯總到一起，然后通過隨機數(shù)字進行映射，為每種可能的手勢提供均等的機會。共有 2 種可能的點擊，8 種可能的圓圈和 2 種可能的線條。手勢序列的總數(shù)為 123=1728。這種情況下的 Odds1 為 0.29%，而 Odds100 為 25.2%。通過只有 2 個興趣點的簡單圖片，即可將攻擊成功的概率降低到如此水平，的確令人印象深刻。即使 100 臺計算機同時遭到入侵，攻擊者也只有 1/4 的機會成功侵入至少一臺計算機。

逐步提高

假設(shè)圖片中現(xiàn)有 5 個興趣點。我現(xiàn)在可以想象出符合這一假設(shè)的一些非常簡單的圖片?，F(xiàn)在共有 5 種可能的點擊，20 種可能的圓圈和 20 種可能的線條。這種情況下，可能的序列數(shù)量達到了 453=91,125 種。Odds1 達到了微乎其微的 0.0055%，而 Odds100 也降低到了 0.55%。對于許多用戶，這樣的概率已經(jīng)足以保護他們的數(shù)據(jù)。

推至極致

假設(shè)您的安全意識極強，并選擇了具有 10 個興趣點的圖片。有人可能會懷疑一張照片中是否能存在如此多的興趣點。但是，興趣點不一定要非?！懊黠@”，您只需挑選 10 個自己可以辨認(rèn)的點，然后針對其隨機選擇使用的手勢。事實上，如果某些點并不明顯（但您仍能準(zhǔn)確定位它們），還將有助于進一步提高安全性。

現(xiàn)在共有 10 種可能的點擊，40 種可能的圓圈和 90 種可能的線條。可能的序列數(shù)量達到了驚人的 1403=2,744,000 種。Odds1 達到了微不足道的 0.0002%。事實上，當(dāng)圖片具有 10 個興趣點時，攻擊者與其嘗試入侵您的計算機，不如嘗試花 1 美元購買“華盛頓州 24 選 4 彩票”去贏取 10,000 美元的大獎，因為前者的成功概率還不到后者的 1/50！Odds100 下降到了 0.018%，甚至 Odds1000 也僅為 0.18%。

社交工程

社交工程對于所有登錄機制的安全性都構(gòu)成了巨大的威脅，無論密碼、PIN 碼或圖片密碼都難逃一劫。使用隨機方法來構(gòu)建您的登錄序列，對于這些登錄機制都大有幫助。

對于技術(shù)愛好者，可以通過簡單的編程或 Excel 來實施上述方案。但是，最好能為大多數(shù)受眾提供一種技術(shù)門檻較低的方式來幫助他們構(gòu)建手勢序列。當(dāng)然，如非站點管理員強制規(guī)定，我們從未幻想過選擇這些工具和流程的用戶人數(shù)會超過傾向于選擇復(fù)雜文字密碼的用戶。

擲骰子

作為一種異想天開的嘗試，我希望找到一種方法模擬生成隨機手勢序列的過程。為此，我選擇采用一個 6 面的骰子（骨灰級玩家通常用 D6 來表示這種骰子 :-)）來生成 6 興趣點的手勢序列。除了能夠完美地映射到骰子的每一面，6 興趣點圖片還具有一個有用的特性，可能的線條數(shù) (30) 恰好等于可能的點擊數(shù) (6) 與可能的圓圈數(shù) (24) 之和，因此可以輕松地劃分手勢類型。

針對三種手勢，重復(fù)以下步驟：

擲骰子。擲出的數(shù)字表示手勢要使用 6 個興趣點中的哪一個（對于線條來說，為起始興趣點）。

再次擲骰子。

如果為偶數(shù)，則手勢為線條再次擲骰子。

如果數(shù)字與第一次為選擇初始興趣點而擲出的數(shù)字相同，則需要反復(fù)擲骰子，直到出現(xiàn)不同的數(shù)字。

此數(shù)字為線條的第二個點。

如果骰子擲出奇數(shù)，則手勢為點擊或圓圈再次擲骰子。

使用下列擲出值來確定手勢。

1 - 手勢為點擊

2 - 手勢為順時針的小圓圈

3 - 手勢為逆時針的小圓圈

4 - 手勢為順時針的大圓圈

5 - 手勢為逆時針的大圓圈

6 - 重新擲骰子

不出所料，6 興趣點所提供的復(fù)雜度在 5 興趣點和 10 興趣點之間。Odds1 為 0.0023%，而 Odds100 為 0.23%。

我們在設(shè)計圖片密碼這一新的登錄機制時體驗到了諸多歡樂，祝福各位在使用該機制登錄時也能體驗到同等的歡樂！

免费视频淫片aa毛片_日韩高清在线亚洲专区vr_日韩大片免费观看视频播放_亚洲欧美国产精品完整版