Utilizzo di una tabula recta per memorizzare le password

Naviga le tue risposte
2

Leggendo una risposta ad un'altra domanda ("Esiste un metodo per generare password specifiche del sito che possono essere eseguito nella mia stessa testa? ") Mi sono imbattuto in questo link , che descrive un modo di usare un token fisico (un tabula recta con caratteri generati casualmente) per ricavare password diverse per siti diversi (scegli una cella usando il nome del sito e alcune regole, segui un'altra regola per ottenere i caratteri che compongono la tua password). Ero curioso di sapere se sarebbe una buona pratica.

L'autore sostiene di essere un esperto in sicurezza informatica, e per quanto posso dire il suo ragionamento sembra valido. Lui fa fa l'avvertenza che "la sicurezza di questo sistema si basa sulla casualità dei personaggi generati e sul pezzo di carta ." (enfasi mia) In altre parole, se un avversario ottiene l'accesso al token, è finita, che capisco (è facile dimostrare che un attacco di dizionario può essere eseguito con esso *).

Tuttavia, ho difficoltà a determinare se il rischio di perdere il token combinato con le conseguenze di questo evento renderebbe questa pratica irrealizzabile, o se tali può essere mitigato in qualche modo. Credo che il rischio di dimenticare una password (soprattutto se non riutilizzata attraverso i siti, come non dovrebbe) è molto maggiore di essere (personalmente) presa di mira da un avversario malevolo, e i gestori di password sono un po 'scomodi da usare. Mi piacerebbe conoscere i pro e i contro di questa tecnica, e forse i modi in cui può essere migliorata / resa fattibile (preferibilmente riguardo l'uso pratico , credo che l'aspetto crittografico dovrebbe essere evidente ).

* Per eseguire un attacco di dizionario, prendi semplicemente ogni cella del tuo token (a meno che non usi un pezzo di carta molto grande, non ci siano più di una dozzina o centinaia di celle) e segui ogni regola che un essere umano possa ragionevolmente seguire "a mano" (diagonali, spirali, cavalieri salti, ecc.). Non dovrebbero essercene molti (siamo ottimisti e diciamo cento), e dal momento che ci sarà esattamente 1 sequenza di N personaggi che iniziano da una singola cella e che seguono la stessa regola (indipendentemente da N), non rimane altro che 100k possibilità di testare ogni N (più debole di una password alfanumerica di 4 caratteri, a fini di confronto).

    
posta mgibsonbr 08.04.2012 - 08:32
fonte

2 risposte

3

Pro

Un token che genera password significa una password "decente" strong, rispetto ad altri metodi manuali / di memoria. Non si basa su un repository comune di password come un gestore di password. Il processo è portatile quanto il token, il che significa che potrebbe essere utilizzato in aree in cui i dispositivi personali o le connessioni Internet non sono disponibili, il che lo rende superiore ai gestori di password.

Contro

Non produrrebbe una password sufficientemente casuale rispetto ai generatori di password automatizzati, ma non andrei così lontano da dire "non sicurezza del suono". Una foto della carta è sufficiente per iniziare un attacco del dizionario, non solo il furto della carta. La perdita o il danneggiamento della carta comporta la perdita di tutte le password associate a quel token.

L'altro problema è che una volta che qualcuno ha il tuo token, possono eseguire quell'attacco di dizionario su tutti i tuoi account (e, forse con ottimizzazioni in corrispondenza di pattern / pathing una volta trovata la prima corrispondenza riuscita).

Mitigazione

Posizionare il token in una custodia polarizzata in modo che le foto non possano essere scattate e potrebbe essere utile collegare fisicamente il token in modo che non sia facilmente rubato. Mi stavo chiedendo di ottenere il token stampato su una carta di metallo con un foro perforato nell'angolo. Anche limitare il numero di account che utilizzano la carta potrebbe aiutare. Prendi in considerazione la possibilità di stampare su entrambi i lati di una carta con set di caratteri casuali diversi e di distribuire i conti su entrambi i set di caratteri.

Gestori password

Ho usato spesso i gestori di password e non li trovo difficili da usare o implementare.

Conclusione

Sia un token fisico che un gestore di password rappresentano un singolo punto di errore e un singolo punto di attacco e, in quanto tale, gli impatti devono essere attentamente considerati. Considerando la complessità della password che potrebbe essere generata da un token come tabula recta, potrebbe essere molto utile e più sicuro di affidarsi alla memoria di un utente in situazioni in cui altri promemoria di password non sono disponibili.

    
risposta data 13.04.2012 - 21:00
fonte
1

È un'idea interessante ma non la sicurezza del suono. È meglio installare un gestore di password e avere una password totalmente casuale per ciascun sito. Uso LastPass e ho usato RoboForm e non li ho trovati troppo complicati. Certamente molto meno di dover cercare la tua password su un grafico.

Il problema con questi metodi è che rende difficile cambiare la password o il token master: fare ciò significa cambiare le password su ogni sito basato su di esso.

    
risposta data 08.04.2012 - 10:47
fonte

Leggi altre domande sui tag

Quando si esegue l'hashing, i messaggi più lunghi hanno una maggiore probabilità di collisioni? OpenPGP: verifica del flusso di lavoro senza crittografia-decrittografia?