Pull to refresh

Пиктографический пароль. Результат

Reading time 3 min
Views 2.8K
Это конец, вот начало.
В базе использования пиктопароля собралось 4000 записей,—спасибо всем участникам. Посмотрим статистику и заодно выскажу соображения, какие возникли у меня и у комментаторов.
Просто числа: средняя длина пароля—3.5 символа, среднее время ввода пароля—26 секунд, средняя ошибка—63%! Эксперимент можно считать успешным, плохой результат ведь тоже результат.


Время ввода в зависимости от длины пароля


Процент ошибок от длины пароля, единственный логичный график

Следующие два графика чётко символизируют убывание энтузиазма участников эксперимента.


Время ввода в зависимости от числа попыток


Процент ошибок от числа попыток

Статистику можно взять здесь.
Думаю, итоги эксперимента не показательны, т.к. сильно зависят от конкретной реализации, да и мотивация увидеть надпись «Теперь вы в системе» слишком низка, чтобы приложить усилия к запоминанию пароля. Требуются полевые исследования на реальных системах,—идее этой ещё предстоит созреть. Самый серьёзный аргумент против, с которым я согласен—непривычно. Второе сильное возражение, следствие из первого,—пиктограммы запоминаются хуже чем буквы-цифры,—думаю они запоминаются хуже чем слова, но лучше чем просто символы. Нужно иметь навык к их запоминанию,—ведь когда мы пользуемся пиктограммами (иконками) в программах с GUI мы все прекрасно помним, что они значат и какие последовательности нужно нажимать.

Вот некоторые мысли.—
  • Не следует поворачивать пиктограммы. Согласно информации из этой хорошей статьи (в которой речь идет о распознании лиц человеком, но к другим изображениям это тоже должно относиться) поворот изображения сильно снижает способность человека к его распознанию, в то время как для компьютера это только ещё одна переменная. От туда же следует, что масштабирование по вертикали и горизонтали, размытие, наложение шума и маленьких объектов, вырезание или замена небольших частей изображения, изменение цвета и яркости слабо ухудшают распознание человеком, а машине доставляют значительные проблемы. Увы, точно установить пределы и методы искажения можно только опытным путем.
  • Пиктопароль может выступать как дополнительный способ входа в системах с текстовым паролем. Как блокировка от автоматического доступа он особенно хорош. Также годится для использования на публичных компьютерах, в качестве мастер-пароля или для блокировки устройства.
  • Это не панацея,—в чем действительно метод имеет преимущество,—невозможность массовой обработки. Т.е. в ситуации, когда пароли взламывают тысячами, «злодеи» получают большой объем данных требующих ручной обработки и взлом становится слишком дорогим.
  • Для выяснения выбранной пользователем пиктограммы я использовал простое измерение расстояния между центром пиктограммы и координатами клика, если расстояние не превышало радиус пиктограммы (16px), то true. Возможно, стоит использовать менее четкий метод: если расстояние меньше радиуса, то назначать вес 1.0, а если больше радиуса, но меньше диаметра, то вес—0.5, считаем арифметическое среднее весов, если больше 0.5, то true.
  • В техническом плане реализовать пиктопароль на отдельно взятом сайте проблематично. Я уж было начал писать контрол для asp.net, но вдруг (в очередной раз) обнаружил, что у моего хостера gdi+ на сервере не работает, может я что-то не так делаю, но в любом случае обрабатывать графику на cpu плохое решение, а отдать на клиент это в данном случае нельзя. Правильно будет создать сервис на отдельном сервере с графической картой.


А теперь десерт. В комментариях высказывалась, да и мне приходила в голову мысль, что капча из пиктограмм (пиктокапча?) замечательная получается.
А именно: как вам такая капча, проходимая за один клик?


Или понадежнее за два:

Можно и так:

—Вот о капче стоит, ещё подумать.
Tags:
Hubs:
+21
Comments 17
Comments Comments 17

Articles