Quanto è sicuro il codice PIN + l'autenticazione sostitutiva?

3

Un sito Web mi fa scegliere un codice PIN a 4 cifre e quindi l'autenticazione viene eseguita sostituendo ogni cifra con la lettera corrispondente da un'immagine generata casualmente.

Quanto è sicuro questo tipo di autenticazione? Quali sono i possibili vantaggi di questa soluzione rispetto alla classica autenticazione con password?

    
posta Whysmerhill 07.12.2017 - 10:50
fonte

2 risposte

5

Non è sicuro, perché ci sono solo 26 ^ 4 possibili soluzioni. Questo può essere forzato brutalmente. Se l'immagine include maiuscole, possiamo aumentarla, ma anche 52 ^ 4 è uno spazio di ricerca molto piccolo.

Suppongo che ti dia un'immagine diversa ad ogni tentativo di accesso, ma ciò non riduce in modo efficace lo spazio di ricerca.

Tuttavia, c'è un vantaggio in questo schema: impedisce la riproduzione. Immetterai una combinazione di lettere diversa ogni volta, quindi se un intercettatore intercetta il tuo input, non possono usare nuovamente quella combinazione.

Sfortunatamente, questo presuppone che l'attaccante abbia il tuo input ma non l'immagine. Questo è uno scenario improbabile, è probabile che un intercettatore (che sia MITM o spalla-surf) sia in grado di ottenere entrambi. Offre una piccola protezione se tutto ciò che l'utente malintenzionato ha è un keylogger sul tuo sistema.

Quindi, questa è un'idea interessante per impedire la riproduzione, ma eseguita male.

    
risposta data 07.12.2017 - 11:02
fonte
4

Questo non è sicuro, un attacco richiederebbe solo tentativi 10 ^ 4 * (numero di tentativi per un captcha).

Passerai attraverso le opzioni (da 0000 a 9999) e poi proverai a leggere le cifre nelle posizioni.

Per la quantità di tentativi di un captcha, sembrerebbe che tu non ne abbia bisogno in molti secondo Non sono un umano: rompere il reCAPTCHA di Google . Supponendo che una difficoltà simile a reCaptcha e Facebook ci dia una stima di precisione dell'80% circa in 19 secondi.

Questo ci dà 10, 000 * 19 * 2 secondi per una probabilità del ~ 96% di correggerlo in ~ 105 ore.

L'attacco potrebbe essere parallelizzato, il che porterebbe a un ulteriore abbassamento.

    
risposta data 07.12.2017 - 11:15
fonte

Leggi altre domande sui tag