Scegliere un gruppo di simboli che contiene una password

2

La mia banca impiega un passo nel suo processo di autenticazione oltre [alla carta stessa e] alla normale password, in cui l'utente ha una password secondaria (3 piccole sequenze di lettere, come Hy X Ba ) precedentemente assegnate a lui (non scelte a volontà). Durante l'autenticazione, viene presentato con 8 opzioni come:

1)  Vi - A - Ha - Re - K - Po        Me - Ni - C - Da - X - Xo  (5
2)  F - V - Ce - Xi - Go - Ka        Je - Va - Ko - Z - Qi - M  (6
3)  Sa - N - Bo - Pe - J - Wi        Mi - Vo - Hy - Ta - Q - G  (7
4)  Lo - Ti - Y - Xa - Ne - D        L - Mo - Ba - B - Zi - Le  (8

E deve scegliere il gruppo che contiene la prima sequenza (in questo caso, il gruppo 7 contiene Hy ). Quindi viene visualizzato un nuovo gruppo di gruppi per trovare la seconda sequenza e un'altra per la terza sequenza. La prossima volta che l'utente tenta di autenticarsi, il processo si ripete, ma ogni volta con gruppi diversi. Questo di solito accade agli sportelli automatici.

Sono affascinato da questa tecnica e voglio saperne di più, ma non so nemmeno da dove cominciare. Qualcuno ha mai visto qualcosa del genere, ha un nome che potrei cercare? O se qualcuno lo conosce bene, potresti commentarlo?

Non so come funzioni precisamente, ma le mie prime impressioni su di esso (che potrebbero essere completamente errate) sono:

  • Ogni volta che l'utente sceglie un gruppo prova la conoscenza della password, senza rivelarla però - se qualcuno sbircia mentre sta autenticando, l'attaccante può solo restringerlo ai simboli nel gruppo scelto (l'esempio sopra riportato ha 6 simboli in ogni gruppo, ma in pratica c'è di più, non riesco a ricordare esattamente quanti).
  • Per apprendere correttamente il simbolo, un utente malintenzionato dovrebbe osservare più tentativi di autenticazione. Quanti esattamente, dipende da come i gruppi si formano ogni volta, indipendentemente dal fatto che dipendano da tentativi precedenti, ecc.

(Questa è solo una supposizione, non sono nemmeno sicuro che lo scopo di questa tecnica sia quello che penso sia ...)

    
posta mgibsonbr 25.04.2015 - 17:15
fonte

1 risposta

2

Hai ragione!

Questa tecnica consente di impedire le password da Spallamento . Come hai detto, consente a un utente di provare la conoscenza della sua password senza rivelarla alla persona che sta facendo surf all'utente. Esistono molte altre soluzioni proposte per il problema della navigazione a spalla, inclusi alcuni schemi di password grafica. Questo sondaggio sulle password grafiche contiene alcuni schemi che possono essere utilizzati per impedire la navigazione a tracolla.

    
risposta data 25.04.2015 - 18:27
fonte

Leggi altre domande sui tag