Vantaggi dell'autenticazione del codice PIN in cui le cifre sono collocate in posizioni casuali?

Naviga le tue risposte
1

Ho notato che molti siti Web ad alto rischio, come le piattaforme bancarie e di pagamento, non utilizzano una password per l'autenticazione (come al solito), ma utilizzano un codice PIN in cui i numeri vengono posizionati in posizioni casuali ogni volta, come su questo:

Che senso ha questo metodo di autenticazione? Eventuali vantaggi o svantaggi rispetto alle password tradizionali?

Le mie ipotesi sono:

  • L'attacco con il keylogger non è possibile.
  • L'attacco di bruteforce / rainbow tables / social engineering è più difficile.
posta Mxsky 06.05.2016 - 13:26
fonte

2 risposte

2

Questo genere di cose ha molto più senso su un touchscreen di qualche tipo o un'interfaccia fisica. Ho visto le immagini dei pad PIN sulle porte che eseguono un simile rimescolamento utilizzando i numeri di luce sotto ogni chiave invece di lettere stampate o stampate fisicamente. Non sono in una posizione nella mia vita in cui ho effettivamente incontrato quel livello di sicurezza al di fuori delle immagini, però.

Ad ogni modo, in quei luoghi, può impedire che impronte digitali o macchie sullo schermo diano via il passcode, poiché non c'è modo di sapere quali numeri erano sotto le impronte digitali o le macchie quando sono stati premuti i "tasti" definiti dal software. È meno utile su un PC con un mouse, tuttavia dal momento che il mondo di Internet sta diventando "mobile" e con i tablet o i dispositivi ibridi stanno diventando sempre più popolari, le possibilità che il tuo sito venga caricato su uno schermo tattile stanno migliorando.

    
risposta data 06.05.2016 - 16:46
fonte
5

Questo è in larga misura solo un teatro di sicurezza. Costringe gli utenti a saltare attraverso un paio di cerchi in nome della sicurezza, e quindi a farli sentire sicuri poiché hanno speso sforzi in nome della sicurezza.

Detto questo, infatti, sconfigge un semplice registratore di tasti (poiché non viene premuto alcun tasto) o un registratore di clic del mouse (poiché conoscere le coordinate di un clic del mouse non ti darà alcuna informazione su quale numero è stato cliccato). / p>

Tuttavia non protegge da attacchi più sofisticati. Se qualcuno è riuscito a installare un keylogger sul tuo computer, è effettivamente game over. Non è più il tuo computer. Se qualcuno può installare un keylogger, può anche installare un programma che si aggancia al browser e registra tutto ciò che viene immesso in un campo di testo o password o tutte le richieste HTTP e HTTPS in uscita prima che vengano crittografate con TLS. Proprio come un keylogger, malware come questo non ha bisogno di essere mirato a un sito specifico per funzionare.

Inoltre, presentano una serie di aspetti negativi della sicurezza (oltre all'usabilità):

  • Sono più vulnerabili alla "navigazione a spalla", poiché lo schermo è più difficile da nascondere rispetto alla tastiera.
  • Poiché in questo caso sono consentiti solo numeri, limita il numero di password possibili e quindi rende più facili gli attacchi di forza bruta. Esistono circa 2000 milioni di password diverse con sei caratteri alfanumerici. Esistono 10 milioni di password diverse con sei caratteri numerici.

Un lato positivo, come menzionato da techraf nei commenti, è che si evita di rivelare segni di sbavature sui dispositivi touch.

    
risposta data 06.05.2016 - 13:59
fonte

Leggi altre domande sui tag

Il mio router e il mio sistema operativo "conoscono" quali URL visitare, se SSL viene utilizzato? Che vantaggio c'è per mascherare il numero di telefono di Craigslist?