È possibile utilizzare il disegno o scarabocchiare come metodo di autenticazione?

Naviga le tue risposte
5

Esiste un servizio chiamato link che autentica gli utenti in base alle loro abitudini di digitazione e funziona piuttosto bene, ma richiede comunque una password.

Per provare a sostituire la password, sarebbe possibile implementare una finestra di dimensioni simili a popup come la cosa di Google Recaptcha in cui un utente dovrebbe usare il proprio mouse o il dito per scrivere per autenticare, ogni utente deve scribacchiare in un altro modo? Quindi l'idea si basa su chiunque abbia il proprio scarabocchio unico che produrrebbe una corrispondenza per autenticare una nuova sessione su un sito web.

Questa idea è possibile? Se lo fosse, lo spazio "password" sarebbe enorme, corretto?

    
posta joego101 30.08.2018 - 12:59
fonte

2 risposte

3

Non conosco la letteratura accademica sui metodi tipo TypingDNA, ma posso dare alcune idee. In sostanza quello che stai descrivendo è Android Pattern Unlock, ma invece di una griglia 3x3, hai un'area di scrittura di 200x200 pixel, giusto?

If it was, the "password" space would be huge, correct?

Tecnicamente sì, ma fai attenzione a non confondere il numero teorico di possibilità con la distribuzione di ciò che le persone effettivamente selezionano. Ad esempio:

  • Il 90% degli scarabocchi delle persone saranno tratti continui al centro dell'area di scrittura anziché, ad esempio, salti casuali fino ai bordi.

  • Corrispondenza fuzzy: due tratti della stessa persona non saranno mai identici, quindi avrai bisogno di un algoritmo che accetti tratti "simili" come equivalenti. I chip di sblocco delle impronte digitali in iPhone e Android devono fare i conti con questo, quindi potresti leggere qualcosa lì.

Non ho numeri per fare un calcolo, ma la mia intuizione è che in pratica questo spazio per la password finirà per essere nello stesso campo di una password di 12 caratteri.

Cattura e riproduci gli attacchi: i keylogger sono un problema con le password; cosa impedisce a un programma dannoso di registrare i movimenti del mouse e riprodurli? Noterai che le sfide RECATPCHA sono progettate per essere registrate e resistenti alla riproduzione. Gli scanner di impronte digitali gestiscono la registrazione e la riproduzione dando al chip dello scanner la propria CPU; in caso di corrispondenza riuscita utilizza una chiave crittografica per firmare un messaggio al sistema operativo affermando che l'autenticazione è stata eseguita correttamente in modo che il sistema operativo e il software non vedano mai l'impronta digitale, ovvero nulla da registrare. Mi chiedo quale protezione TypingDNA abbia nei confronti di attacchi di registrazione e riproduzione.

Bottom line: Pensare attraverso le superfici di attacco è la parte più divertente del lavoro di sicurezza. Sospetto che questa idea non darebbe più sicurezza di una password tradizionale, ma è bello e divertente da pensare!

    
risposta data 30.08.2018 - 15:04
fonte
0

Il link è una soluzione che può sostituire le password digitate con firma digitale / disegno (supporta diversi tipi di dispositivi in modo che tu sia coperto). Funziona con 4 numeri, lettere o forme. Dopo tutto è ancora una password / segreta, ma usare questa soluzione potrebbe combinare qualcosa che conosci con qualcosa che sei (il modo in cui stai disegnando quel segreto).

    
risposta data 17.09.2018 - 11:47
fonte

Leggi altre domande sui tag

Ho bisogno di protezione CSRF in questa configurazione con un'API REST supportata da oauth2 e un server di autenticazione SSO di autenticazione di base? L2TP è sicuro come IPSEC per VPN?