Quali sono alcune idee esistenti o dove è possibile sostituire l'uso di una password per accedere a un servizio? [chiuso]

2

La password è stata un metodo di autenticazione per molto tempo ormai e abbiamo sempre sentito parlare di violazioni in cui le password degli utenti vengono rubate e talvolta non sono neppure cancellate o corrette. Inoltre ci sono molti altri problemi con le persone che usano la password come riutilizzo, forzatura troppo semplice o bruta ecc.

Quindi la mia domanda è quali sono alcune idee in cui possiamo sostituire il processo di utilizzo di una password per accedere a un servizio o un'applicazione? So che abbiamo 2FA ma sono interessato a idee esistenti o future per sostituire completamente la password per l'utente.

Un buon esempio di ciò di cui sto parlando è una specie di alternativa che sta scrivendo DNA: link ma utilizza ancora il idea di una password per l'utente.

Penso che l'idea sia di renderla semplice e comoda come la password ma più sicura e facile da usare per l'utente come metodo di accesso.

    
posta joego101 30.08.2018 - 10:24
fonte

4 risposte

1

Un'opzione potrebbe essere l'autenticazione biometrica (ad esempio l'impronta digitale). Questa è una cattiva idea in molti casi. Soprattutto non perché il dito potrebbe essere danneggiato o qualcuno lo usa in un modo non sicuro, ma perché se il tuo segreto (impronta digitale) viene pubblicamente conosciuto: avrai il tempo difficile a cambiarlo.

Un'altra opzione potrebbe essere una password temporanea. Ad esempio inserisci il tuo nome utente e il servizio ti invia un sms che ti verrà richiesto di inserire. È come un secondo fattore, ma come primo fattore. Può anche essere molto più elegante, ad es. ti verrà richiesto da un'app sul tuo dispositivo mobile per toccare un pulsante e questo semplicemente autorizza la tua sessione in un client web su un'altra macchina.

Un'opzione diversa sarebbe l'autenticazione via email. In questo caso, un servizio genera un indirizzo e-mail univoco ([email protected]) che l'utente deve inviare una mail a utilizzando un indirizzo speciale o contenente una stringa speciale.

In linea di massima ogni secondo fattore potrebbe essere utilizzato come primo fattore. Come un token hardware collegato o che genera chiavi offline per te.

    
risposta data 30.08.2018 - 10:33
fonte
1

In realtà ci sono diversi modi in cui è possibile utilizzare qualcosa di diverso da una password. Tutti cadono sotto l'ombrello dei metodi di autenticazione.

I principali sono qualcosa che sei, qualcosa che hai, qualcosa che conosci, qualcosa che fai e da qualche parte. Spiegherò ciascuno di essi in dettaglio più in dettaglio.

Qualcosa che sei

È qui che entrano in gioco i dati biometrici, ad es. Scanner di impronte digitali, lettori di diaframma, riconoscimento facciale, ecc. Ecc. Fondamentalmente cose da fare con il tuo corpo.

Qualcosa che hai

Qualcosa che hai include cose come smart card, yubikeys, chip RFID, praticamente qualsiasi cosa fisica che possiedi o hai sulla tua persona.

Qualcosa che conosci

Questo è il metodo tradizionale di autenticazione, quindi cose come numeri di pin, password, ecc. rientrano qui. Queste sono le risposte a una domanda.

Qualcosa che fai

Questo è probabilmente quello che è visto di meno (almeno nella mia esperienza). Questo è ciò che fai fisicamente, il modo in cui digiti, il modo in cui cammini, ecc.

Da qualche parte sei

Si tratta di posizione / ora e si basa sul fatto che ti trovi in una posizione normale a un'ora ragionevole per accedere, ad es. non in Asia e l'accesso alle 4.30, quando vivi negli Stati Uniti.

L'autenticazione 2FA o multifattore utilizza due o più di queste categorie per aumentare la sicurezza, ad es. Una password e una scansione dell'iride. Una smart-card e una password, ecc. Ecc.

Gli yubikeys stanno diventando più comuni al giorno d'oggi e sono stati implementati da Google a tutti i loro dipendenti, sebbene la maggior parte dei metodi di autenticazione rientrino in una di queste cinque categorie che ho elencato sopra. Al giorno d'oggi l'autenticazione basata su tempo con i token sta diventando più comune.

Se hai domande lascia un commento e cercherò di rispondere nel miglior modo possibile.

    
risposta data 30.08.2018 - 11:42
fonte
1

Lo stato dell'arte per l'autenticazione remota è l'utilizzo di un certificato client. Ha persino un valore legale alcuni paesi (Francia e altri paesi europei) perché è resistente alla forza bruta e quando un certificato viene consegnato con procedure corrette, la chiave privata è sempre sotto il controllo esclusivo del suo destinatario. Inoltre, un certificato può essere revocato se compromesso. È abbastanza facile per l'uso normale, ma presenta 2 principali svantaggi:

  • la consegna corretta del certificato è piuttosto complessa (*)
  • se soffre di un problema di uovo e pollo: poiché pochi utenti hanno certificati client, pochi servizi offrono un'autenticazione del certificato e, dato che pochi servizi offrono l'autenticazione del certificato, pochi utenti sono pronti a pagare per un certificato client serio

(*) il client dovrebbe generare una coppia di chiavi e una richiesta di firma del certificato (contenente solo la chiave pubblica). Quindi l'Autorità dovrebbe firmare il CSR e restituirlo al client in modo da garantire che possa essere consegnato al destinatario appropriato . Il modo consigliato è una procedura faccia a faccia in cui il cliente mostra una carta d'identità. Idealmente per una smart card, il client dovrebbe quindi installare il certificato firmato sulla scheda in cui è stata generata la coppia di chiavi, o per uno smartphone o un computer personale, la coppia di chiavi dovrebbe essere generata sul dispositivo, e di nuovo solo il client dovrebbe installare il certificato firmato Non è così facile per molti utenti non tecnologici ...

    
risposta data 17.09.2018 - 16:25
fonte
0

"Senza password" (non usando una password che devo ricordare) metodi ed esempi che ho sperimentato personalmente:

  1. Medio - per accedere a Medium, puoi farlo con il tuo account di social media o accedere con la posta elettronica. Scegliendo quest'ultimo, ti inviano un'email con un link OTP disponibile per 15 minuti. Fondamentalmente, non esiste un'opzione password (solo se lo fai tramite i social media ma questa non è una password per il tuo account Medium).
  2. Ebay: puoi accedere al tuo account con una password temporanea generata da Ebay e inviata tramite codice SMS. Questo metodo si basa ancora su un secondo dispositivo per convalidare la tua identità.

Come per l'opzione TypingDNA che hai menzionato, l'autenticazione con digit biometrics funziona su tutti i tipi di testi (identici: password, carta di credito, ecc. e qualsiasi testo: testo dinamico in una chat e così via). Potresti effettivamente verificare tutti gli utenti in base a un breve testo come "Sto usando la mia digitazione per accedere". O magari mostrare un testo diverso a ciascuna persona. Tuttavia, non è raccomandato in quanto questo è solo un fattore.

Se non devi proteggere qualcosa di sensibile, allora questa potrebbe essere solo un'opzione. Quando si autenticano le persone digitando dati biometrici tramite l'API TypingDNA, si ottiene un punteggio corrispondente ed è possibile impostare una soglia per consentire alle persone di basarsi sul livello di sicurezza preferito (è possibile anche bilanciare FAR / FRR per la propria piattaforma). Divulgazione: faccio parte del progetto TypingDNA

    
risposta data 17.09.2018 - 15:20
fonte