Il missaggio delle sequenze di tasti di Backspace, Frecce e Elimina aggiunge sicurezza alla digitazione della password?

3

È risaputo che l'analisi del suono della tastiera può rivelare / suggerire quali tasti sono stati premuti quando si digita una password.

Si potrebbero mescolare caratteri errati (non appartenenti alla password) con tratti di Backspace, frecce, cancella, home, fine, ecc che alla fine rimuovono questi caratteri errati e lasciano la password originale nel campo.

Un esempio: posso digitare S e back-arrow in tandem (ok, S un po 'prima della freccia indietro). Il punto di inserimento ora è dietro il S . Quando premo delete , il carattere S viene rimosso, rendendo questa una combinazione di tratti a somma zero.

Supponendo che l'ispezione visiva sia impossibile (l'utente malintenzionato ha dati "solo audio" dalla digitazione della password), questo aggiunge sicurezza?

    
posta Mindwin 28.09.2016 - 19:45
fonte

3 risposte

2

Conosco alcune persone che combinano tastiera e mouse durante la digitazione delle password. Dovrebbero digitare una parte della password e quindi fare clic su spostando il cursore tra caratteri digitati in precedenza e inserire nuovi caratteri.

L'idea è che l'intera password non venga digitata in sequenza. Dovrebbe rendere i keylogger meno efficaci.

Ovviamente questo non funziona con tutti i prompt della password.

    
risposta data 28.09.2016 - 20:17
fonte
0

Questa tecnica di modifica della password non ti proteggerà dai rumori di intercettazione. I suoni emessi dalla tastiera porteranno tutti i tasti di modifica.

Questa tecnica non ti proteggerà dalle onde elettromagnetiche che intercettano. Il bus elettronico della scheda madre della tastiera conterrà tutti i codici chiave dei tasti di modifica.

Ma questa tecnica ti proteggerà dal vicino spiando la tua password digitandoti sopra la spalla. Questa tecnica ti proteggerà in parte dalle telecamere di videosorveglianza se ne conosci e le nascondi cosa stai scrivendo.

    
risposta data 28.09.2016 - 20:54
fonte
0

Se sei preoccupato per un attacco solo audio, il primo passo è fare tutto il possibile per proteggere i tuoi edifici fisici.

Quando si ha a che fare con lo snooping della tastiera, sappi che è possibile utilizzare la cadenza di digitazione; alcune sequenze di tasti e "parole" sono più facili da digitare rispetto ad altri, quindi digitando a una velocità diversa o con una posizione diversa delle tue mani (ad esempio anziché la riga di casa e il tocco). Questa tecnica viene utilizzata in alcune configurazioni per determinare chi sta inserendo la frase di accesso e se esiste una possibile coercizione.

Per combattere i keylogger, ti suggerisco di usare una tastiera virtuale. Sposta periodicamente la finestra della tastiera morbida (e non mettere pezzi significativi della tua passphrase negli appunti!) Come distrazione, hai una finestra separata per inserire il testo casuale tra i segmenti della tua passphrase (non è necessario accettare il testo, fare clic all'esterno della casella della password su un sito Web dovrebbe essere sufficiente). Queste tecniche dovrebbero anche essere decentemente valide rispetto allo snooping solo audio e alla passivazione passiva delle spalle.

Per quanto riguarda le frasi di passaggio che contengono i backspaces, le eliminazioni e i tasti freccia, ci sono modi per farlo funzionare altrettanto bene. Prendi in considerazione un sistema basato su parole come punto ferri batteria corretto . Questo è sicuro perché ogni parola rappresenta circa 100k possibilità, quindi la password ha 66 bit di entropia ( log₂(100k⁴) ). Tuttavia, se si manipolano quelle parole in cose che non sono nei dizionari, la tua entropia aumenta. Ho scritto su come alcuni di questi possono essere calcolati in un'altra risposta (TL; DR: moltiplica il numero di permutazioni di 2⁶ una volta per: L33t parla , raNdOM case e errrorz).

Considera questo schema:

  1. Genera una frase di passaggio di 4-5 parole con parole completamente indipendenti
  2. Premi il tasto Home
  3. Immettere una password seconda con ciascun carattere delimitato da un numero predefinito di tasti (ad esempio, 1,1,1,1 ...; 0,2,0, 2 ...; 1,3,1,3 ...; 1,2,3,1,2,3 ... o anche un iniziale 3 quindi 1,2,1,2 ...)
  4. Ripeti la seconda password fino a raggiungere la fine

Ad esempio, correct horse battery staple più la parola rara troubador si combinano per diventare ctorrreoctu hborased boatrte ryt srtaoplue (ho iniziato con una freccia sinistra, ho spostato due caratteri alla volta e ho inserito uno spazio tra le due istanze di troubador ).

Quando si calcola l'entropia della password, assumere sempre lo scenario peggiore: l'autore dell'attacco conosce lo schema della propria password. Ciò significa che l'entropia di questa password deriva da cinque parole ( 100k⁵ ), volte le ~ 4 opzioni per dove iniziare il codice finale, volte i ~ 5 pattern di movimento delle opzioni, producendo oltre 87 bit di entropia ( log₂(100k⁵×4×5) ).

Un esempio più semplice che utilizza correct horse battery più staple che inizia immediatamente e lo spostamento di tre caratteri alla volta diventa scortrecat hporsle beatt erys con 71 bit di entropia (rispetto a correct horse battery staple di 66).

(Questo schema può o non può ingannare un keylogger, perché è un pasticcio con i tuoi schemi di battitura, dovrebbe ingannare un registratore acustico, ma io non sono un esperto in questi, forse sono abbastanza sensibili da riconoscere certe chiavi comuni ?)

Assicurati che non ci siano limiti di lunghezza! Le passphrase basate su parole funzionano solo con più di 14 caratteri.

    
risposta data 03.10.2016 - 23:17
fonte

Leggi altre domande sui tag