Quanto è sicuro chiedere caratteri specifici di password invece dell'intera cosa?

28

In alcuni siti autenticati da password, ti viene chiesto di inserire una selezione casuale di caratteri specifici dalla tua password piuttosto che dall'intera parola / frase. Ad esempio, potrebbe indicare "Inserire la 1a, 4a e 8a lettera" e fornire tre caselle di input separate.

Da quel poco che so di meccanismi di sicurezza, mi sarei aspettato che questo fosse meno sicuro che inserire l'intera password, salatandola + facendo un hashing e confrontandola con l'hash memorizzato, dato che non c'è alcun testo chiaro da nessuna parte in vista.

Questo sistema viene utilizzato da (si spera) siti Web molto sicuri, anche se alcuni siti bancari nel Regno Unito.

Quindi la mia domanda in due parti è, è così sicuro come il confronto tradizionale tra sale e hash e perché è così?

    
posta Alex 23.09.2011 - 11:45
fonte

3 risposte

35

Questo metodo di immissione della password è popolare nei siti bancari in Polonia. Si chiama password mascherata. È pensato per proteggere dai keylogger e solo dai keylogger. La trasmissione della password stessa è protetta dallo sniffing con SSL, quindi il ragionamento è che se keylogger è installato sul dispositivo del client, non avrà mai accesso alla password completa.

Tuttavia, questa logica ha alcuni difetti:

  1. L'attaccante deve inserire un numero inferiore di caratteri (ad esempio solo 4 caratteri, spesso solo numeri) per un singolo tentativo. Quindi è più facile forzare questa fase di autenticazione. Ecco perché le password mascherate devono essere abbinate al criterio di blocco degli account.

  2. Con pochi personaggi noti in determinate posizioni (ad esempio, raccolti da un keylogger / screengrabber), l'attaccante può semplicemente provare ad accedere quando il server sceglie le posizioni che conosce e rinfresca quando gli altri vengono scelti. Spesso l'implementazione di password mascherate memorizza la posizione scelta per un account sul lato server per un certo periodo di tempo (ad es. Un giorno) fino all'autenticazione avvenuta con successo.

  3. Conoscere l'intera password richiede solo l'acquisizione di alcune autenticazioni corrette (ad es. quando la lunghezza della password è 12 e ci sono sempre 4 posizioni scelte, di solito richiede 8 tentativi ), quindi un keylogger / screengrabber lo otterrà - ci vorrà solo un po 'di più.

  4. La più grande minaccia per l'autenticazione di Internet banking è il malware (attacchi man-in-the-browser) come ZeUS o SpyEye e questo tipo di software di solito conduce attacchi di social engineering che superano totalmente lo schema delle password mascherate. Ad esempio, questo software può:

    • chiedi l'intera password
    • mostra un modulo di modifica della password falso dopo autenticazione falso
    • simula gli errori di inserimento della password e visualizza di nuovo il modulo con altre posizioni da riempire per ottenere la password completa in 2-3 tentativi

Le password mascherate sono difficili da gestire per gli utenti e difficili da implementare correttamente. Per lo meno gli sviluppatori devono aggiungere il criterio di blocco dell'account, la posizione scelta di archiviazione e gli hash parziali.

Contrariamente alla credenza popolare, la password mascherata, specialmente nei siti di e-banking, sebbene offra protezione dal keylogging di base, fallisce completamente in altre minacce più diffuse come il malware che utilizza l'ingegneria sociale.

    
risposta data 23.09.2011 - 23:56
fonte
10

Conosco un sito Web bancario online che richiede prima una password (numeri e caratteri), quindi devi inserire con il mouse due cifre di una seconda password a 6 cifre (solo numeri ). Ti viene presentato un tastierino sullo schermo e fai clic sui numeri.

Il ragionamento alla base di questo è che è (probabilmente) più difficile per il malware tracciare il movimento del mouse piuttosto che registrare i tasti premuti.

Nell'esempio precedente è ovviamente più sicuro di una singola password.

Nella situazione che descrivi, dove devi inserire solo caratteri specifici di una password tramite tastiera, il ragionamento potrebbe essere che se qualcuno registra o phishes il tuo input non ha ancora l'intera password.

I (posso solo) indovinare che il meccanismo utilizzato per convalidare l'input è sicuro, puoi ancora utilizzare l'hashing se memorizzi un hash di ogni combinazione di input possibile.

Ecco un breve articolo di wikipedia sulle password parziali , che menziona questo.

    
risposta data 23.09.2011 - 12:05
fonte
5

Una nota a margine sulla richiesta di caratteri specifici è che gli utenti potrebbero digitare password su carta o peggio - nel blocco note - per essere sicuri che entrano nelle lettere appropriate. In caso contrario, si verificherà un blocco dell'account.

Esempio:

  1. Le banche potrebbero avvisare gli utenti di utilizzare password complesse
  2. L'utente crea una password complessa, diciamo CorrectHorseBatteryStaple
  3. Ora chiedi il n. 4, il n. 10 e il n. 16 della password
  4. Anche se è facile su carta / blocco note, potrebbe essere difficile contare quale lettera è in memoria.

Di conseguenza gli utenti, invece di ricordare le password, li memorizzano su carta con lettere numerate :) (o nel file di testo!)

    
risposta data 03.01.2017 - 09:43
fonte

Leggi altre domande sui tag