Inna z metod polega na tym, że użytkownikowi pokazywany jest dowolny obraz (np. zdjęcie), na którym zaznacza cztery lub więcej (w zależności od rozwiązania) interesujących go szczegółów. Ta kombinacja staje się następnie hasłem. Podczas kolejnej próby logowania użytkownikowi przedstawiane jest to samo zdjęcie, na którym ponownie wskazuje wybrane przez siebie wcześniej szczegóły. Aby zmniejszyć prawdopodobieństwo skutecznego strzału na chybił trafił, stosowane są obrazy z bardzo dużą ilością potencjalnych punktów wyboru, np. zdjęcie parkingu zapełnionego samochodami lub też regał z książkami.

Ciekawe badania na ten temat prowadzone są na Rutgers University (projekt PassPoints -http://clam.rutgers.edu/~birget/grPssw/ ). Modyfikację tej metody prezentuje projekt Cued Click Points prowadzony na Carleton University (http://www.scs.carleton.ca ). Tutaj cały obraz poszatkowany jest liniami szachownicy. Użytkownik zamiast wskazywać na nim kilka punktów, wybiera tylko jeden. To z kolei prowadzi go do następnego obrazu, na którym znowu ma wybrać odpowiedni punkt. Aby zostać prawidłowo uwierzytelnionym, użytkownik musi poprawnie wskazać określoną wcześniej liczbę następujących po sobie prawidłowych punktów.

Hasła graficzne nie są tylko teorią. Z systemu SiteKey autorstwa firmy Passmark (obecnie części koncernu EMC będącego też właścicielem RSA Security) korzystają tacy potentaci, jak Bank of America (http://www.bankofamerica.com/privacy/sitekey/ ) czy Yahoo! Oczywiście nic nie jest idealne. Pojawiły się próby ataków phishingowych i MITM na rzeczony Bank of America (http://paranoia.dubfire.net/2007/04/deceit-augmented-man-in-middle-attack.html ).

O ile na pierwszy rzut oka pomysł haseł graficznych wydaje się ciekawy, o tyle warto zwrócić uwagę na możliwe problemy. Hasła graficzne są z reguły podatne na ataki typu "Shoulder surfing" (zaglądanie przez ramię). Poza tym wprowadzenie takiego hasła zajmuje znacznie więcej czasu niż hasła "zwykłego" i może zniechęcać użytkownika. W toku prowadzonych badań okazało się, że poziom błędów popełnianych podczas korzystania z takich haseł jest znacznie wyższy niż w przypadku haseł tradycyjnych. Niemniej jednak wdrożenie takiego rozwiązania nie wymaga dodatkowych nakładów na sprzęt - co ma niebagatelne znaczenie przy systemach typowo klienckich (np. aplikacje webowe z dużą liczbą użytkowników). Nie ma też konieczności instalacji dodatkowego oprogramowania po stronie użytkownika.

Tylko ten jeden raz!

Innym mechanizmem bardzo często wykorzystywanym w rozwiązaniach uwierzytelniania są systemy haseł jednorazowych (tzw. OTP - One-Time Password).

Hasła jednorazowe, jak sama nazwa wskazuje, mogą być wykorzystane tylko raz. Problem polega na tym, jak je wygenerować i bezpiecznie dostarczyć użytkownikowi. Pomysłów na rozwiązanie tych problemów jest wiele. Ogólnie rzecz ujmując wszelkie wynalazki w tej materii można podzielić na trzy grupy - w zależności od tego, co otrzymuje użytkownik.

Mogą to być bądź urządzenia, bądź wszelkiego rodzaju karty - np. zdrapki, bingo i wreszcie oprogramowanie np. instalowane na urządzeniach przenośnych (telefony, PDA). Zarówno w przypadku urządzeń, jak i rozwiązań software'owych kody jednorazowe są generowane albo w oparciu o czas i klucz symetryczny, albo jakieś zdarzenie (np. naciśnięcie przycisku). W przypadku haseł generowanych w oparciu o czas/zdarzenie dobrze sprawdzonym rozwiązaniem są tokeny. Przykładem może być np. token RSA SecurID 700 firmy RSA Security (http://www.rsa.com ), który ma postać breloczka wyświetlającego unikatowe sekwencje cyfr w odstępach 60-sekundowych generowane na podstawie czasu i tzw. seeda (symetrycznego klucza szyfrującego).

Numer ten nie jest jednak pełnym hasłem - wystarczyłoby bowiem ukraść token i po robocie. Konieczny jest jeszcze PIN, który użytkownik musi zapamiętać. Dopiero użycie PIN-u połączonego z wyświetlanym numerem tworzy hasło jednorazowe, tzw. passphrase, które porównywane jest do wartości generowanej w tym samym czasie przez serwer uwierzytelniania. Jeżeli wartości się zgadzają, użytkownik jest wpuszczany. Podobnie rzecz ma się z oprogramowaniem, funkcjonującym na zasadach podobnych do tokenów "breloczkowych", czyli tzw. soft-tokenami, które różnią się tym, że wymagają "nosiciela" w postaci np. PDA czy komórki.

Wybierając spośród rozwiązań tokenowych, mamy dostępne dwie podstawowe grupy technologii. Jedna stanowi niepodzielną własność firmy RSA Security (EMC). Druga skupiona jest wokół wytycznych i koncepcji formułowanych przez OATH (Initiative for Open AuTHentication -http://www.openauthentication.org ). OATH skupia m.in. takich dostawców, jak: ActivIdentity, Gemalto, Entrust, Alladin czy VeriSign.

Skorzystanie z produktów zarówno jednego, jak i drugiego obozu ma wady i zalety. Niewątpliwą zaletą RSA Security jest bardzo duża liczba gotowych rozwiązań "z pudełka", obsługujących tokeny RSA. Można powiedzieć, że w 90% przypadków wszędzie tam, gdzie producent przewidział możliwość uwierzytelnienia tokenem, znajdziemy obsługę RSA i linii SecurID. RSA Security ma również bardzo duży udział w rynku (kilkadziesiąt procent), co powinno wpływać na poziom dopracowania oferowanych produktów. Z drugiej jednak strony nie ma co ukrywać, że tokeny tej firmy są kosztowną "zabawką" w porównaniu z konkurencją. Szczególnie nieciekawie wypada to w zderzeniu z tokenami IdentityGuard firmy Entrust, która wprowadzając je w tym roku w cenie ok. 5 USD za sztukę zachwiała rynkiem. Trochę droższe, ale w dalszym ciągu tanie "breloczki" (w porównaniu z RSA, za które zapłacimy 20 USD) oferuje firma Vasco - kosztują ok. 8 USD.

Warto też wspomnieć o tokenach podpisujących, które oprócz tradycyjnych funkcji OTP służą do podpisywania transakcji bankowych, np. Vasco Digipass 250. Cały proces przebiega w ten sposób, że użytkownik uwierzytelnia się wykorzystując hasło jednorazowe. Następnie uwierzytelnia sesję, wpisując w tokenie np. wartość transakcji czy docelowy numer konta, które stanowią OTP. Następnie, po zweryfikowaniu tych danych, cała transakcja zostaje podpisana za pomocą klucza prywatnego użytkownika, a ten otrzymuje jako potwierdzenie transakcji dokument podpisany cyfrowo. Jeszcze innym pomysłem, w który zamieszane są tokeny, jest integracja ich funkcjonalności jako OTP z kartami płatniczym. Obecnie nad tą bardzo obiecującą i niewątpliwie perspektywiczną technologią pracuje kilka firm, m.in. InCard Technologies (http://www.incardtech.com ).