File immagine come alternativa alla password

Naviga le tue risposte
4

Cerco una guida su un argomento interessante. Recentemente ho cercato alternative alla password, non a causa della sicurezza, ma per essere più user-friendly .

In uno dei miei progetti l'utente riceve 128 bit base64 encoded salt come token di sicurezza, che può essere tranquillamente trasmesso su social network, messaggeri, sms, ecc. Quando l'utente decide di eseguire determinate azioni, entra in questa sala pubblica a fianco con passphrase segreta. Ora, questo 22 caratteri casuali salt sembra sgradevole e crudo per l'utente finale, è difficile distinguere un token di sicurezza da un altro (l'utente può averne molti), ma è facile da inviare, poiché è solo una stringa.

La mia idea generale è:

  1. Usando l'immagine 128x128, ogni pixel di questa immagine è in qualche modo associato valore corrispondente da base64 con riferimento al prossimo pixel di a sequenza (dettagli attualmente irrilevanti), per produrre qualcosa di simile assomiglia al codice QR di salt;
  2. Aggiungendo, per esempio, gravatar come secondo livello su di esso, per renderlo visivamente riconoscibile.

Le mie domande:

  1. Questo approccio è ragionevole dal punto di vista dell'usabilità? Suo più difficile inviare l'immagine rispetto alla stringa, suppongo.
  2. C'è un altro modo per rendere l'aspetto di Salt più user-friendly?

Cercasi in tutto per trovare una risposta. Apprezzerei molto qualsiasi aiuto.

UPDATE # 1

Ho trovato un esempio su Defuse Security , che generalmente riflette lo schema implementato nel mio progetto:

Come risultato del processo di crittografia, l'utente finale ottiene il collegamento e il percorso in realtà rappresenta il sale - OwkXSVW8R5NTv3jGyAvnjy . Questa è la brutta roba che voglio trasformare in immagine, quindi sarà protetta ma ancora facilmente distinguibile per gli utenti, quindi le mie domande rimangono pertinenti.

Spero che questo ti aiuti a scoprire come.

UPDATE # 2

Credo che la domanda sia fraintesa.

Nel mio progetto, l'utente ha la solita password, e un po 'di sale, persistente nel DB, ma quel sale è appena usato come identificatore. Quindi, il sale non è qualcosa che dovrebbe essere tenuto segreto, e in generale, il sale non è segreto. Dalla risposta Andrew Hoffman , a meno che tu non abbia memoria fotografica, salt è qualcosa che ha e la password è qualcosa che conosce .

Ma il problema è che salt non è user-friendly , sembra pesante, ed è difficile distinguere più di uno di questi sali a colpo d'occhio. Con quello penso che il sale può essere trasformato in quello sembrerà e starà bene. Ad esempio, come Google ReCaptcha della versione 1 e versione 2 - svolge la stessa attività, ma un semplice clic è più user-friendly che inserire alcuni simboli dalla foto.

Non voglio essere noioso con quella domanda, ma per favore, accetta il fatto che non sto inventando il mio meccanismo di derivazione salina o il tuo sistema di sicurezza.

    
posta Damaged Organic 05.03.2015 - 14:13
fonte

3 risposte

4

Credo che tu stia confondendo lo scopo di un sale. Puoi ricavare un sale da una quantità infinita di modi, ma ciò non cambia lo scopo del sale. E per lo scopo del sale, non deve essere segreto.

Quindi, quando rivedi le recensioni sulla derivazione salina, capisci semplicemente che stai ricevendo questo feedback in base allo scopo del sale.

Oltre a ciò, l'autenticazione dell'utente può essere ampiamente generalizzata da qualcosa che conosci , o qualcosa che hai . Un'immagine rientra nella categoria di qualcosa che hai .

Tenendo questo a mente, è divertente sperimentare e essere creativi con schemi di autenticazione personalizzati, ma questi schemi non sono stati rafforzati o analizzati per debolezze e, per questo motivo, non dovrebbero essere utilizzati in un'applicazione di produzione.

L'industria della sicurezza è un po 'come la FDA. Non è che non puoi fare una nuova, efficace, sicura droga, è solo che la tua non ha superato le ispezioni. Le ispezioni sono costose e se il problema è già un problema risolto, non possiamo essere incaricati di ispezionare il tuo.

E questo è il motivo per cui generalmente rispondiamo, sfortunatamente in modo sfacciato, di che non tiri la tua sicurezza . È un problema risolto.

    
risposta data 05.03.2015 - 21:52
fonte
0

Se sei interessato a osservare un metodo già consolidato che è simile a quello che stai suggerendo: Dell Secure Works utilizza già un codice QR per l'autenticazione di prima volta per i nuovi utenti. Dopo essersi registrati sul proprio sito e aver scaricato un certificato, creano un codice QR che, in coordinamento con Duo Mobile, richiede di leggere il codice QR con il proprio smartphone e quindi Duo Mobile genera un codice basato su quel codice QR per consentirgli di digitare.

    
risposta data 05.03.2015 - 22:13
fonte
0

Il sale stesso viene usato come addendum alla password in modo tale che il testo cifrato della password sia resistente ai soliti tentativi di cracking che usano parole ben conosciute e amp; frasi per abbassare il keysize, motivo per cui il sale è una stringa casuale di qualche tipo. In ogni caso, questo significa che puoi basare il sale su qualsiasi cosa, immagini, file di parole codificati codificati in b64, ma l'avvertimento qui è l'uso di un'immagine riconoscibile come un salino potrebbe confondere un utente che l'immagine è un'indicazione di qualche tipo di validità / sigillo, a parte il fatto che dovrebbe essere del tutto casuale.

    
risposta data 07.03.2015 - 19:26
fonte

Leggi altre domande sui tag

L'emittente del certificato è una società di rete È possibile provare il contenuto di un messaggio crittografato senza rivelare la chiave privata?