Формальный приоритет на авторизованный доступ посредством графической картинки принадлежит некоему Грегу Блондеру (Greg Blonder) и защищен американским патентом №5559961 от 1996 года. Однако знатоки фантастики могут вспомнить, что еще в 1981-м основоположник киберпанка Уильям Гибсон в рассказе «Джонни-Мнемоник» описал пароль в виде зрительного образа, открывающего доступ к зашифрованному архиву. Впрочем, ни Гибсона, ни Шахерезаду (с ее сказкой о пещере, закрытой акустическим кодом) не стоит считать первопроходцами — такие пароли наверняка использовались с незапамятных времен.
Идея Блондера за прошедшие десять лет не завоевала особой популярности, и в Университете Рутгерса решили ее доработать. Получив в рамках программы Trusted Computing грант на полтораста тысяч от Национального научного фонда США, профессор Жан-Камиль Бирже (Jean-Camille Birget) и команда его аспирантов создали сразу несколько алгоритмов графической авторизации, предельно простых для пользователя. Например, в системе PassPoints при генерации пароля вам показывают картинку, а вы выбираете на ней несколько мест и тыкаете в них мышью (если экран сенсорный, то стилом или пальцем). При вводе пароля вам показывают ту же самую картинку, и надо ткнуть в те же самые места. Вот и все.
От патента Блондера новая разработка отличается лучшим алгоритом определения «верности тыка». Иначе говоря, если пользователь ткнул не совсем точно, система лучше определяет, нечаянная это ошибка или попытка взлома. Кроме того, в новой системе разрешается использовать любую картинку и выбирать любые точки на ней, тогда как Блондер предлагал фиксированный набор того и другого. Фактически картинка сейчас вобще не играет роли. PassPoints реагирует только на координаты, в которых были сделаны клики, а картинка нужна, чтобы было легче запомнить эти места и при вводе пароля точнее их выбирать. Координаты кликов по картинке сворачиваются в зашифрованную последовательность, которая, по сути, и есть пароль новой системы. Иначе говоря, если у вас твердая рука и верный глаз — можете кликать на чистом белом фоне.
У PassPoints есть свои плюсы и минусы. Если в качестве подложки для «тычков» выбрать большую фотографию со множеством мелких деталей — например, городской пейзаж в высоком разрешении, то даже четыре клика на нем окажутся паролем, легким для запоминания, но очень трудным для грубого взлома. Если же, наоборот, выбрать небольшой портрет себя любимого, с двумя родинками и кольцом в носу, то взломщику не составит труда перебрать наиболее вероятные варианты.
Несомненно, такой графический пароль могли бы внедрить у себя сетевые сервисы, кровно заинтересованные в максимально простой, но надежной авторизации. Например, платежным системам не помешает предоставить клиентам выбор — закрывать кошелек кодовым словом или кликами по картинке. Помимо надежности, сыграет роль и необычность технологии — о факте внедрения наверняка напишут в сетевых медиа, что привлечет новых клиентов. Впрочем, скептики заметят, что большинство взломов электронных кошельков проводится шпионcкими программами, и если одна из них завелась в компьютере, то какая разница, что ей подсматривать и отсылать хозяину — комбинацию нажатых клавиш или координаты кликов?
Чтобы не опасаться троянских программ и разного рода «подглядывания из-за плеча», тот же коллектив разработал другую технологию графического пароля. Трудно поверить, но она делает бесполезным любое подсматривание за процессом авторизации, кроме самого первого ввода, когда пароль создается.
Как это возможно? Представьте, что вам показывают набор из множества (например, ста или двухсот) небольших, но запоминающихся иконок. Из них надо выбрать несколько штук (скажем, пять), которые вы не забудете и не спутаете с другими. Когда выбор сделан, пароль считается созданным. При последующей авторизации вам снова показывают большое поле, заполненное множеством значков, среди которых вы находите не менее трех ранее выбранных. Дальше нужно… думаете, кликнуть на эти значки? Ничего подобного! Надо мысленно образовать из трех иконок треугольник и кликнуть где-угодно внутри него!!!