Modifica dell'immagine come caratteri inseriti nella password

Naviga le tue risposte
33

Quando Lotus Notes richiede la password, viene visualizzata una schermata con un'immagine che sembra cambiare dopo l'immissione di un nuovo carattere dopo il quinto carattere.

Ho notato che la sequenza di immagini è la stessa tra la chiusura e la riapertura di Lotus Notes. E 'questo per distrarre un attaccante dal guardare la tastiera mentre qualcuno scrive? E 'mai stato dimostrato efficace? Inoltre, per quanto posso dire, una somma casuale di x viene aggiunta dopo che ogni carattere è stato digitato. Suppongo che sia così che un utente malintenzionato non può vedere la lunghezza della password, ma c'è un punto in cui non ha nulla perché l'utente non lo fa sapere quanti caratteri sono stati digitati?

EDIT: per quello che vale non ho nemmeno realizzato che le immagini erano le stesse ogni volta che ho digitato una password.

    
posta Celeritas 26.08.2013 - 18:41
fonte

3 risposte

49

Ci sono alcune informazioni su questa pagina defunta . Apparentemente, l'idea che la "immagine in movimento" sia lì per distrarre spalla surf è diffusa e sbagliata. Non è così che funziona questa immagine; ciò che fa è in realtà peggio , sebbene provenga da buone intenzioni .

Quando si digitano le lettere della password, Lotus utilizza un algoritmo "abbastanza complicato" ma deterministico per mappare la password inserita in un'immagine; questa è fondamentalmente una funzione hash con una dimensione di output molto piccola (l'output è un "valore" nell'insieme di possibili immagini). È possibile che la suddetta funzione di hash includa alcuni segreti specifici del server, ma non avrà molta importanza. Il punto reale è che, come si osserva, quando si inserisce la password si finisce sempre con la stessa immagine per una determinata password . La buona intenzione consiste nel conseguire le due seguenti proprietà:

  • Fornire un primo avvertimento visivo sul fatto che la password sia stata inserita correttamente o meno; l'utente imparerà presto la sequenza di immagini per la sua password, e quindi se una foto cambia, allora l'utente sa che ha digitato la chiave sbagliata in quel punto (o possibile qualche carattere prima).

  • Un utente malintenzionato che tenta di imitare questo popup di accesso e fa in modo che l'utente digiti la sua password in un falso popup avrebbe trovato "difficile" ricalcolare le immagini e visualizzarle correttamente.

La seconda ragione è pura sciocchezza, quando ci pensi: il "complicato algoritmo" non può essere tenuto segreto ( specialmente se il falso popup è in realtà un attacco man-in-the-middle e il vero popup è usato sotto le copertine per ottenere le immagini reali, e fare foto che si muovono sullo schermo è davvero semplice: questo è il 99,9% del Web.

Il primo motivo, tuttavia, include i semi della distruzione: questa fuga di informazioni sulla password . Le immagini sono sullo schermo e molto visibili; abbastanza prominente, anche. Il "surfista sulla spalla" può vederli da lontano. E può usarli per eliminare potenziali password. In effetti, se ci sono quattro possibili immagini, questo perde 2 bit per carattere : per una password di 8 caratteri, che avrebbe, realisticamente, circa 30 bit di entropia, questo viene quindi ridotto a un magro 14 bit.

In effetti, questa funzione è analoga a un sistema che scriverebbe sullo schermo, a caratteri cubitali, e per ogni carattere di password: "questo carattere è una cifra" / "questo carattere è una lettera maiuscola tra A e M" / ...

Pertanto, questo sistema "immagine" è decisamente pericoloso e dovrebbe essere bannato.

Per quanto riguarda la password lunghezza , il numero di caratteri è molto facile da ottenere per l'utente malintenzionato, poiché ciascun tratto chiave è altamente udibile . Il surfista deve solo essere a portata d'orecchio della vittima e potrebbe facilmente registrare la sequenza con il suo smartphone per ascoltarla in seguito, adatta a rallentare, e quindi ottenere la lunghezza della password. In queste condizioni, nascondere la lunghezza all'utente stesso è inutile.

    
risposta data 26.08.2013 - 19:13
fonte
47

No , l'immagine a sinistra del campo della password non ha nulla a che fare con la sicurezza del processo di accesso. Questa è, purtroppo, una funzione di "usabilità" . Si chiama un Visual Hash ( ecco un esempio ). In realtà, l'avatar che stai utilizzando è un esempio di hash visuale.

Poiché Lotus Notes visualizza un numero casuale di X nel campo della password, il "geniale" team di R & D presso Lotus (e in seguito IBM) ha pensato che la visualizzazione di un'immagine in base alla password inserita aiuterà l'utente a mantenere traccia della password inserita finora.

Quell'immagine è il risultato di un hashing speciale della password mentre la si digita e si sceglie l'immagine corrispondente in base a quell'hash. Ad esempio, se la tua password è MyPass1sAwesomeY3ah , quando inserisci MyPass1s vedrai una certa immagine corrispondente a quella password, e quando inserisci il prossimo carattere la tua password diventa MyPass1sA ne vedrai una diversa, e così via.

Più accedi, più il tuo cervello inizia a notare e memorizza i pattern e le sequenze di quelle immagini, quindi più tardi capirai istintivamente quando c'è qualcosa di sbagliato. Ad esempio, dopo aver digitato MyPass1s , digiti casualmente B , ti verrà mostrata un'immagine diversa e saprai, a livello di subconscio, che c'è qualcosa di sbagliato e che avresti eseguito il backup e modificato quello lettera.

Personalmente , penso che sia stupido.

    
risposta data 26.08.2013 - 19:03
fonte
3

In un posto di lavoro precedente stavamo usando Lotus. Ricordo di aver chiesto al tizio che l'aveva installato per quella caratteristica esatta. Ha detto "questo ti aiuterà a sapere quando inserisci il carattere sbagliato prima di inviare la password".

    
risposta data 26.08.2013 - 19:17
fonte

Leggi altre domande sui tag

Perché TLS richiede TCP? Come evitare le corrispondenze di username e password quando si modifica un nome utente?