Password sull'idea di accesso

Naviga le tue risposte
3

Oltre alle best practice standard sugli accessi password. Qualcuno ha considerato un sistema simile a un captcha, ma invece di digitare semplicemente quello che è nel captcha, il captcha sarà le indicazioni su cosa devi fare per la tua password durante il login.

Ad esempio se la mia password era "password123" nella pagina di accesso se ho usato quella password non funzionava. Se segui il messaggio, potresti dire qualcosa come aggiungere la lettera "E" dopo la seconda lettera nella tua password, quindi aggiungere un "!" simbolo alla fine. Quindi un log di successo richiederebbe "paEssword123!". I requisiti e la complessità delle modifiche alle password potrebbero variare notevolmente da una modifica a più modifiche ai tipi di modifiche. Ogni tentativo genererebbe un nuovo insieme casuale di requisiti di modifica della password. Quindi, se l'hanno digitato a wong, il prossimo login potrebbe dire in maiuscolo le prime 3 lettere e in minuscolo il resto della password, quindi aggiungere il numero 5 nel penultimo carattere (PASsword1253).

EDIT: non è possibile eseguire le modifiche maiuscole / minuscole perché poiché la password originale è sconosciuta, il sistema non è in grado di rimuovere le modifiche richieste prima di testare la password reale. Ma potresti comunque aggiungere aggiunte di caratteri.

Pertanto (altri poi quando hanno creato la password per la prima volta) la loro password non viene mai più inserita nel sito Web come password esatta. Quindi i keylogger non sarebbero in grado di copiare semplicemente ciò che digitano perché la password sarebbe tecnicamente diversa a ogni tentativo di accesso.

Se ci fosse keylogging, potrebbe avere il 90% della password reale (a seconda di quanto un utente doveva modificarlo durante gli accessi) ma renderebbe ancora più difficile indovinare e quindi scrivere software in grado di leggere le regole del captcha e modifica la password (e non saprebbero nemmeno quale sia la vera password a questo punto) ogni volta in un attacco di forza bruta.

Il salvataggio della password del browser o qualsiasi cosa che salva le password per te non funzionerebbe, sarebbe un po 'un problema ogni volta che dovessi fare il login, ma se questo fosse un dato importante come le informazioni bancarie sarei disposto a spendere qualche secondo in più accesso per ulteriore sicurezza, esp. contro cose come i keylogger.

Altri utenti che hanno problemi a seguire le regole durante il login, ci sono altri difetti a questa idea? Sembra che funzioni o non funzioni e perché?

Grazie per la tua opinione.

    
posta Danny 06.06.2013 - 18:28
fonte

2 risposte

6

Idea interessante, ma ci sono una serie di motivi per cui questo non aggiunge la sicurezza che speri.

In primo luogo, i keylogger basati su software in genere hanno il lusso di essere in grado non solo di ricevere ciò che si digita, ma anche di vedere ciò che si vede. In particolare, se una banca ha introdotto un tale sistema, poco dopo apparirà il malware che ha registrato ciò che hai digitato e quali erano le istruzioni di modifica. Si tratta di una situazione di armamenti continua con banche e sviluppatori di malware in questo momento, motivo per cui abbiamo "per favore invio seleziona il 2 °, 3 ° e 7 ° carattere della tua password".

In secondo luogo, dovresti anche aumentare in modo significativo il numero / frequenza consentiti di voci errate della password, rendendo più semplice forzatura bruta.

In terzo luogo, gli utenti che digitano la loro password con questo schema sarebbero molto più facili da spingere, poiché scriverebbero la password molto più lentamente.

(La domanda cattura già il fatto che un keylogger avrebbe già la maggior parte della password - qualcuno indovina quale sia la password non modificata di questo utente? "PassQword1"?)

Penso che tu abbia già catturato l'aspetto negativo principale: usabilità:

  • Non funzionerebbe con molti dispositivi di salvataggio password, incoraggiandoti a utilizzare una password semplice che potresti facilmente ricordare (e quindi potresti facilmente intuire).
  • Sarebbe frustrante e quindi allontanerebbe gli utenti (a meno che non fosse onnipresente - ma i primi utenti avrebbero dovuto superare questa barriera).

Considerati i limitati vantaggi in termini di sicurezza e l'impatto significativo sull'usabilità, questo schema non sarebbe probabilmente largamente adottato (il che, naturalmente, aumenterebbe i benefici per la sicurezza di chiunque lo adottasse - non ci sarebbe alcun malware progettato per leggere le istruzioni, né gli strumenti per invertire le modifiche).

    
risposta data 06.06.2013 - 18:55
fonte
0

Inoltre, non aggiungendo troppa sicurezza come affermato, le modifiche ai sistemi di password attuali per consentire al meccanismo di rendere la gestione delle password più debole.

I sistemi attuali non confrontano la tua risposta con la password salvata, ma confrontano la risposta crittografata con la password salvata crittografata (il sistema non è in grado di conoscere la tua password non elaborata). Questa crittografia non può essere fatta all'indietro. Se potessi farlo, avresti un sistema veramente debole.

Quindi quando aggiungi caratteri o modifichi la tua password, il sistema non ha idea di come confrontare la password modificata crittografata con quella salvata.

Ricorda che il sistema non conosce la tua password originale, e quindi dovrebbe essere al fine di mantenere la sicurezza degli algoritmi di crittografia.

    
risposta data 06.06.2013 - 20:21
fonte

Leggi altre domande sui tag

Qual è esattamente l'impatto sulla sicurezza quando si costringono le password degli utenti a contenere un determinato carattere? OpenSSL AES GCM è standardizzato?