E riguardo le password fuzzy? Per la voce "corretta" entro un margine di errore?

Naviga le tue risposte
1

Mi chiedo se un sistema di password fuzzy sarebbe in qualche modo vantaggioso per gli utenti, o vale la pena implementarlo.

L'idea sarebbe che un certo margine di errore è accettabile per consentire all'utente di accedere.

Le cose verrebbero tenute al corrente di ciò che l'utente ricorda meglio della password originale e di ciò che, ovviamente, non sembrano mai ricordare.

L'utente sarebbe consentito e / o dovrebbe cambiare leggermente la propria password ad ogni tentativo.

Ci si aspetta che si attacchino al loro ricordo "sfocato" della password. Ci si potrebbe aspettare di tornare indietro in numerosi stadi, ma non ricordare la password in maniera grossolana.

Anche i numeri consentiti di tentativi al giorno cambiano gradualmente in base alla difficoltà dell'utente di accedere. Se l'utente è riuscito a raggiungere uno o più dei ricordi fuzzy precedentemente ricordati della password, allora si suppone che abbiano legittimamente stanno avendo "problemi", qualche margine di errore potrebbe essere temporaneamente aumentato e gli sarebbe stato chiesto di riprovare il giorno successivo. Con il margine di errore leggermente aumentato, potrebbero essere fortunati. Se continuano a fallire, potrebbero essere S.O.L.

L'idea è che agli utenti potrebbe mancare il livello solitamente atteso di sofisticazione o completezza nei loro cervelli, e quindi potrebbe essere necessario un risarcimento automatico per consentire loro di commettere errori nell'autenticazione della propria identità, pur mantenendo un normale accesso ai servizi .

    
posta Gabriel Arthur Petrie 01.03.2013 - 01:04
fonte

3 risposte

8

Un "sistema di password fuzzy" è un sistema che accetta diverse password distinte come valide (tutte le varianti su una password di base). Corrispondentemente, diminuisce la forza della password, quindi la sicurezza del sistema (un utente malintenzionato che cerca possibili password non ha bisogno di colpire la password esatta , un'approssimazione sarebbe sufficiente). In un sistema basato su password, la password è già il punto più debole, quindi renderla ancora più debole non sembra essere una buona idea.

Accettare che la password sia "sfocata" sarebbe buona se convinesse gli utenti a scegliere password più lunghe e più casuali (dal momento che non devono ricordarle esattamente, possono permettersi una maggiore complessità). Tuttavia, dubito strongmente che gli utenti tipici possano cogliere l'occasione e selezionare password così più potenti che potrebbero più che compensare la diminuzione della sicurezza implicita nell'accettazione di password con piccoli errori. Dubito persino che gli utenti cambino le loro abitudini di selezione delle password a tutti .

    
risposta data 01.03.2013 - 01:17
fonte
2

heise.de, un sito di notizie IT tedesco, ha appena implementato password sfocate nel loro forum.

Hanno valutato i loro log e capito che molti utenti che accedono da un dispositivo mobile necessitano di 2 o 3 tentativi per inserire la password corretta. Ciò è dovuto alle piccole tastiere su schermo sui dispositivi mobili, rendendo molto più complicato scrivere la password corretta. Dopo i tentativi falliti quasi ogni volta che è stata inserita la password corretta, è stata bloccata un'interruzione da un'altra persona in quell'account.

Per minimizzare i tentativi falliti, implementano il sistema di password fuzzy.

Qui il link all'articolo (tedesco): link

    
risposta data 05.04.2013 - 12:28
fonte
1

Supponendo di seguire le linee guida di base sulle password di hashing, l'implementazione del tuo concetto non è fattibile.

Puoi eseguire l'hash e memorizzare un gruppo di password per ciascun utente, oppure memorizzare l'hash effettivo e ricavare la password da solo per calcolare gli hash affiliati da confrontare. Nel primo caso, la quantità di spazio allocato è assurda; nel secondo caso, rende fondamentalmente il tuo server bruteforce i tuoi hash.

Inoltre, se si utilizza una funzione di derivazione di tasti basata su password e password salt come bcrypt, la verifica delle password "fuzzy" potrebbe richiedere alcuni secondi. Quando lo è, probabilmente lo vedrai inaccettabile in termini di carico del server.

Infine, l'intero concetto di una password fuzzy sembra strano. Una password è progettata per essere una conoscenza esatta che consente ai sistemi di autenticarti. Permettere a qualcuno di fornire una password approssimativa ridurrebbe solo la sicurezza.

    
risposta data 01.03.2013 - 01:23
fonte

Leggi altre domande sui tag

Sono diversi i domini di primo livello in qualche modo diversi per quanto riguarda la sicurezza? Perché preoccuparsi di certi tipi di 2fa se possono essere facilmente aggirati?