La mia banca impiega un passo nel suo processo di autenticazione oltre [alla carta stessa e] alla normale password, in cui l'utente ha una password secondaria (3 piccole sequenze di lettere, come Hy X Ba
) precedentemente assegnate a lui (non scelte a volontà). Durante l'autenticazione, viene presentato con 8 opzioni come:
1) Vi - A - Ha - Re - K - Po Me - Ni - C - Da - X - Xo (5
2) F - V - Ce - Xi - Go - Ka Je - Va - Ko - Z - Qi - M (6
3) Sa - N - Bo - Pe - J - Wi Mi - Vo - Hy - Ta - Q - G (7
4) Lo - Ti - Y - Xa - Ne - D L - Mo - Ba - B - Zi - Le (8
E deve scegliere il gruppo che contiene la prima sequenza (in questo caso, il gruppo 7
contiene Hy
). Quindi viene visualizzato un nuovo gruppo di gruppi per trovare la seconda sequenza e un'altra per la terza sequenza. La prossima volta che l'utente tenta di autenticarsi, il processo si ripete, ma ogni volta con gruppi diversi. Questo di solito accade agli sportelli automatici.
Sono affascinato da questa tecnica e voglio saperne di più, ma non so nemmeno da dove cominciare. Qualcuno ha mai visto qualcosa del genere, ha un nome che potrei cercare? O se qualcuno lo conosce bene, potresti commentarlo?
Non so come funzioni precisamente, ma le mie prime impressioni su di esso (che potrebbero essere completamente errate) sono:
- Ogni volta che l'utente sceglie un gruppo prova la conoscenza della password, senza rivelarla però - se qualcuno sbircia mentre sta autenticando, l'attaccante può solo restringerlo ai simboli nel gruppo scelto (l'esempio sopra riportato ha 6 simboli in ogni gruppo, ma in pratica c'è di più, non riesco a ricordare esattamente quanti).
- Per apprendere correttamente il simbolo, un utente malintenzionato dovrebbe osservare più tentativi di autenticazione. Quanti esattamente, dipende da come i gruppi si formano ogni volta, indipendentemente dal fatto che dipendano da tentativi precedenti, ecc.
(Questa è solo una supposizione, non sono nemmeno sicuro che lo scopo di questa tecnica sia quello che penso sia ...)