2FA: Perché non usare le frasi del dizionario invece dei numeri?

10

Questa domanda è ispirata a questa: Per quanto tempo dovrebbero essere i codici di autenticazione a 2 fattori?

Fondamentalmente, esiste un limite inferiore e superiore pratico della lunghezza del codice 2FA. Non può essere troppo breve in modo tale che un utente malintenzionato con tutte le password possa rafforzare la percentuale significativa di account. Ma anche non può essere troppo lungo tale che è difficile impegnarsi nella memoria a breve termine.

Quindi perché non usare una frase dizionario / diceware? Qualcosa come puppy banana galapagos moose è altrettanto facile da ricordare come 327229 , ma offre molto più entropia.

L'unico svantaggio potrebbe essere che richiede più tempo per scrivere, ma con le tastiere mobili con completamento automatico, ci vorrebbe solo un secondo o due in più riducendo drasticamente la percentuale di account che potrebbero essere rinforzati.

    
posta 21.08.2017 - 22:20
fonte

3 risposte

11

Sì, stai aumentando l'entropia ma stai diminuendo l'usabilità.

Per prima cosa devi ottenere un buon dizionario. Le cose a cui devi pensare sono accessibilità (quanto è leggibile? Ci sono b, d o q, p o cl, d o I, l confusioni? Non puoi avere click e dick nel dizionario) Le parole sono facili da incantesimo dalla memoria? Non posso scrivere 2/4 delle parole che hai usato e ho una laurea. Non puoi avere nessuno che sia troppo tecnico o culturalmente insensibile (ad esempio Taiwan)

In secondo luogo, si parla di tastiera mobile con correzione automatica. La correzione automatica non funziona, è necessario controllare che tutte le parole del dizionario siano presenti a lungo (se le banane si estinguono domani la parola sarà ancora in un errore automatico in 30 anni?) E lo state rendendo più difficile per quelli con tastiere con dimensioni difficili

In terzo luogo stai tagliando tutti quelli che non parlano la lingua, i numeri funzionano in tutte le lingue. Ci sono pochissimi altri sistemi numerici usati al di fuori dei 123 numeri.

Quarto come li visualizzerai? Un numero di 6 cifre può essere su un display a 7 segmenti a 6 cifre, 4 parole devono almeno un display complesso a 20 cifre o migliore. "Ma possono essere al telefono" ti sento dire, ma ci sono posti in cui non puoi avere un telefono perché non ci sono dispositivi wireless consentiti (è un inferno sulla terra, non funziona mai in un posto come questo) e questo sarebbe frammentato il mercato per quelli con dispositivi mobili e quelli senza i quali porta in

Infine, frammenterebbe il mercato. Per la tecnologia come questa frammentazione è cattiva, ci fidiamo perché è stata testata molto e molto. A meno che la vecchia cosa non sia rotta o la nuova cosa sia migliore del 1000.000% dell'originale, non prenderà mai la rotta. Dato che abbiamo ancora rotto i metodi di crittografia ora perché potrebbero frenare qualcosa di peggio se rimossi e le banche che usano ancora qualcosa che conosci e qualcosa che conosci (2 password)

Il miglioramento che possono apportare ai dispositivi 2fa è quello di essere in grado di impostare per quanto tempo il codice è sullo schermo fino a 60 secondi max (10 secondi per numero per motivi di accessibilità) e avere la casella che si digita in taggato come numero casella in modo che le tastiere morbide visualizzino la riga numerica o meglio un tastierino numerico.

    
risposta data 22.08.2017 - 03:26
fonte
3

Da aggiungere a @ topher-brink awnser.

2fa sono utilizzati in più situazioni rispetto alle comunicazioni uomo-macchina.  ci sono implementazioni dell'uso di un 2fa in alcuni dispositivi hardware (che usano qualcosa come se fosse un dongle).

Questi dispositivi non possono funzionare con stringhe di caratteri (e in quale schema di codifica potrebbero essere) ma per i numeri non ci sono problemi di questo tipo.

Come esempio per un sistema del genere, pensiamo a un dispositivo medico che deve comunicare con un servizio, ma anche a garantire l'intento e la riservatezza. (quindi utilizza un certificato lato client e un meccanismo 2fa) Il dispositivo può presentare al client una finestra di dialogo accetta rifiuto ma non un numero o una stringa testuale per il suo 2fa.

    
risposta data 22.08.2017 - 10:20
fonte
0

Questa risposta ha già indicato i problemi di usabilità con il tuo schema.

Un altro problema che vale la pena menzionare è l'implementazione. Gli schemi OTP più attuali utilizzano gli algoritmi HOPT / TOTP specificati da IETF. Questi sono molto facili da implementare e occupano solo un piccolo spazio di codice rendendolo adatto per piccoli dispositivi embedded (come i token OTP). Se si desidera convertire la password numerica calcolata in un elenco di parole, il codice dovrebbe includere una lunga lista di parole predefinite (probabilmente di 2 cifre in kilobyte). Oltre a rendere le cose più complicate, questo potrebbe dimostrare un fermo di scena per i dispositivi vincolati.

    
risposta data 28.08.2017 - 15:29
fonte

Leggi altre domande sui tag