Qual è l'idea delle password con la posizione dei pulsanti casuali [duplicato]

43

Sempre più siti Web utilizzano per l'autenticazione alcune tastiere di cifre con posizione casuale anziché password. In questo modo

Qualcuno potrebbe spiegarmi l'idea di questo login e password al solito?

Ho un'idea che sembra essere più sicuro perché se catturi il traffico di qualcuno otterrai solo le coordinate cliccate e queste coordinate sono diverse ogni volta.

Ma in questo caso il server dovrebbe trasferire le posizioni di ciascun pulsante a un client per far sì che l'ultima sia in grado di visualizzarlo correttamente (4 è in alto a sinistra, 8 in basso a sinistra, ecc.)

Se il traffico può essere catturato in modo da poter catturare la posizione di ogni cifra e coordinate cliccati dopo.

Perché è più stabile quel login / password comune con enscrition htts?

    
posta Vitalii 23.02.2017 - 12:53
fonte

5 risposte

52

L'uso di una tastiera software randomizzata per l'immissione della password si basa sull'idea erronea di impedire i keylogger. Può in qualche modo impedire efficacemente al key logger hardware di acquisire i dati di accesso.

In un certo senso, impedisce anche a qualche ingenuo key logger di acquisire i dati di accesso, tuttavia, come hai giustamente menzionato, un keylogger leggermente migliore può banalmente catturare anche screencaps per sconfiggere questa misura, e uno più sofisticato può semplicemente installare un componente aggiuntivo del browser per acquisire la password prima che venga inviata al server.

Dato che il keylogger hardware è molto più raro rispetto ai keylogger software, nella maggior parte dei siti dove viene implementata una tastiera software randomizzata, è davvero solo un segno dello sviluppatore che non sa che tali misure sono inefficaci contro la maggior parte dei keylogger.

    
risposta data 23.02.2017 - 13:04
fonte
55

Altre risposte hanno parlato di keylogger e di come avrebbero potuto sconfiggere questo meccanismo, ma posso pensare ad altri attacchi da proteggere contro:

  • Osservando i segni del grasso su uno schermo tattile in cui qualcuno inserisce regolarmente lo stesso codice. Ad esempio, il codice per sbloccare un telefono o un sistema di porta in cui lo schermo non viene utilizzato per nient'altro.
  • Spalla di navigazione, in cui l'attaccante può vedere il movimento della mano dell'utente, ma non quello che appare sullo schermo. Questo potrebbe essere qualcuno fisicamente dietro l'utente la cui vista è parzialmente ostruita, o potrebbe essere una telecamera che non ha lo schermo nel suo campo visivo.
risposta data 23.02.2017 - 14:28
fonte
6

Questo è comunemente usato dalle banche. Come già spiegato, fornisce un'ulteriore sicurezza contro i keylogger. Impedisce inoltre che la password venga memorizzata direttamente nel browser, il che è una cattiva pratica di sicurezza se non si utilizza una password principale. Va notato comunque che ha un importante svantaggio: impedisce all'utente di utilizzare una password casuale lunga memorizzata in un gestore di password.

La logica alla base di ciò è che le banche non hanno fiducia negli utenti di poter scegliere e gestire password complesse, quindi almeno si assicurano che l'utente non abbia memorizzato la sua password nel browser senza una password principale.

TL / DR: non aggiunge sicurezza per gli utenti effettivamente interessati dalle migliori pratiche di sicurezza, ma limita le peggiori pratiche di sicurezza che verrebbero applicate da troppi utenti.

    
risposta data 23.02.2017 - 15:25
fonte
3

Questa è in realtà solo una protezione contro un keylogger, in quanto i keylogger ora possono catturare sia le tue battute che le informazioni sul movimento del mouse, quindi spostando le cifre ogni volta rende inutili i dati keylogg perché non sono sicuri di quale numero si premuto.

    
risposta data 23.02.2017 - 13:00
fonte
0

1. È più difficile automatizzare la voce

L'ultima volta che l'ho visto era su un sito web di giochi in cui le persone avevano la tendenza a far giocare dei robot insignificanti. Se si dispone di una posizione di inserimento pin tradizionale, è possibile programmare il bot per copiare il pin o fare clic sui punti designati. Ora qualcuno avrebbe dovuto rendere il proprio robot più intelligente (forse anche più intelligente del minimo necessario per giocare) prima che fosse in grado di eseguire il gioco completamente automatico.

Seguendo la stessa logica, questo potrebbe anche essere usato per rendere più brusca la forza bruta, ma la strozzatura dovrebbe fare il trucco quindi non penso che questo sia il pensiero sottostante.

2. Scoraggia le persone dalla scelta di codici di accesso banali

Anche se non sono sicuro che questo sia l'obiettivo chiave, questo è stato sicuramente un effetto per me.

Recentemente ho usato un'applicazione in cui non mi importava molto della sicurezza e ho preso in considerazione la possibilità di scegliere 1111 come codice per ogni account, perché sarebbe facile scegliere e inserire.

Tuttavia, la randomizzazione chiave mi ha fatto capire che

  • Questo pin è importante (anche se è solo un po ')
  • Non sarebbe più rapido inserire 1111 di qualcosa come 1835

Come risultato ho finito con un codice pin un po 'meno banale.

    
risposta data 24.02.2017 - 15:49
fonte

Leggi altre domande sui tag