Esistono schemi di autenticazione di tipo challenge-response umano?

5

Per quanto ne so, gli schemi di autenticazione sfida-risposta utilizzano un segreto condiviso (o due metà di una coppia di chiavi) e una funzione irreversibile che combina il segreto e una sfida in una risposta che dimostra che il cliente conosce il segreto, ma in realtà non espone il segreto a un intercettatore.

Esiste un tale segreto e funzione che sarebbe possibile calcolare la risposta a una sfida nella propria testa?

    
posta matega 21.09.2016 - 18:39
fonte

1 risposta

2

Potrei sbagliarmi ma molto spontaneamente:
Lo schema di autenticazione della password ha un difetto evidente: il soggetto autenticatore deve inviare un segreto in testo chiaro per provare la sua identità. Tuttavia, l'autenticazione della password è ampiamente accettata. Perché? Perché è pratico da usare e facile da capire. Se esistessero alternative valide, nessuna userebbe più l'autenticazione della password. Tutto ciò che corregge il difetto di cui sopra richiede la crittografia che richiede matematica e potenza di calcolo.

L'unico a cui riesco a pensare sono meccanismi che non rivelano il pieno segreto in una corsa. Pensa a un'autenticazione del 2 ° fattore in cui il server ti chiede le cifre 2 e 7 di un numero di 10 cifre e la prossima volta ti chiederà 1 e 3. Un intercettatore deve registrare un sacco di tentativi di autenticazione prima di (s) che ha una ragionevole possibilità di accedere con successo. Ma questo non è proprio quello che stai cercando.

Qualche tempo fa, qualcuno ha pubblicato questo su security @ stackexchange. Forse è più vicino a quello che stai cercando, ma non penso che possa funzionare, come qualcuno ha commentato

Security at the expense of usability comes at the expense of security

    
risposta data 21.09.2016 - 19:35
fonte

Leggi altre domande sui tag