Input della password osservabili

4

Un problema ovvio con le password è che se un osservatore vede un utente inserirla, allora l'utente ha perso la segretezza della password. Alcuni sistemi cercano di difendersi da questo con schermate scure o con schermi attorno agli ingressi dei pulsanti.

Mi chiedevo se ci sono implementazioni o ricerche su sistemi di password con "conoscenza completa". In altre parole, un osservatore può osservare e registrare tutte le cose osservabili dall'utente, come schermo, tastiera e suoni, e ancora non essere in grado di inserire una password valida.

Ad esempio, lo schermo potrebbe visualizzare X e l'utente potrebbe calcolare mentalmente Y = f (X) e inserire Y. F è una funzione nota solo all'utente; potrebbe essere una serie di cose come giochi di parole o trasformazioni grafiche o matematiche o una combinazione di tutti loro.

Alcuni problemi che vedo con questo: se f è troppo complesso, l'utente non sarà ricordato o calcolato. Se è troppo semplice, l'osservatore sarà in grado di indovinarlo. Inoltre, sembra molto più lavoro che oscurare fisicamente la vista.

Ancora mi chiedo se qualcuno fa ricerche su questo argomento, e se c'è una terminologia per questo. Grazie ~

PS Mi scuso se questa domanda è stata posta prima, non sono sicuro di quali siano i termini comuni per la ricerca di questo argomento. Inoltre, ho migrato questa domanda da UX stackexchange, da link

    
posta DanielV 17.01.2016 - 19:29
fonte

1 risposta

3

Non ricordo di aver sentito parlare di uno schema di autenticazione proposto in cui l'utente deve calcolare, in sostanza, una password monouso nella propria testa. Sono d'accordo con te sul fatto che la maggior parte degli utenti probabilmente non accetterà tale sistema, specialmente se è stato progettato con una sicurezza sufficiente per resistere alla possibilità di essere facilmente decodificato da un utente malintenzionato in grado di osservare le richieste e le risposte della sfida. Ecco un articolo che propone un sistema leggermente diverso per l'inserimento dei PIN: Come respingere gli spallacci .

Hai anche menzionato le password grafiche e so che c'è stato un lavoro prolungato in quest'area per combattere lo "spasso". Ma credo che anche loro non pretendono di essere impermeabili agli aggressori che hanno capacità di osservazione prolungate, solo più resistenti di altri sistemi di autenticazione. Posso indicarti alcuni documenti correlati se ti interessa approfondire l'argomento:

Per le situazioni in cui tutti i dati visivi e audio sono sensibili all'osservazione, di solito facciamo affidamento su un sistema di autenticazione in cui non vi sono dati osservabili trapelati. Questo può essere qualcosa come schede RFID, smart card, determinati tipi di dati biometrici, ecc. Quando queste opzioni non sono disponibili o sono combinate con conoscenze come un PIN ATM, in genere cerchiamo di implementare i controlli menzionati per ridurre la possibilità di osservazione illecita.

    
risposta data 22.01.2016 - 19:54
fonte

Leggi altre domande sui tag