Al lavoro utilizziamo un sistema di autenticazione chiamato Swivel Secure senza implementazione specifica quando ci colleghiamo ai dispositivi dei nostri clienti come: router, switch, firewall, ecc. Dobbiamo fornire un OTC (per 2FA ovviamente)
Ad esempio se mi connetto a uno switch devo fornire: username, password & un OTC per ottenere un OTC dobbiamo visitare un link che genera un'immagine (vedi sotto l'esempio)
Un link in genere ha il seguente aspetto: link
Senonhaifamiliaritàconun'immagineturing,inpraticaogniutentehaunpin(chepuòesseremodificato)inumeriinaltocorrispondonoainumerichepossonoessereutilizzatiinunpin&inumeriinbassosonoinumeririchiestiperl'autenticazioneriuscita.
Adesempio:seilmiospilloè1234utilizzandol'immaginesoprailmioOTCperl'autenticazioneriuscitasarebbe3087.
InSwivelc'èun'opzionechetipermettediconfigurareSCImagecomeunasemplicestringasostituendoSCIMageconSCText,hochiestoaunosviluppatorediSwivelsuquestoehadetto:"è disabilitato di default in quanto intrinsecamente insicuro" Ho trovato questa affermazione molto vaga e sfortunatamente non ha mai risposto alla mia richiesta di espansione.
In che modo è più insicuro generare la stringa di sicurezza come testo? Mi rendo conto che è più leggibile in termini di introdurlo nel computer, EG si potrebbe semplicemente raschiare l'HTML per ottenere la stringa di sicurezza mentre con l'immagine si dovrebbe usare una sorta di software OCR / libreria per ottenere i caratteri nell'immagine che può essere difficile soprattutto se l'immagine è molto confusa.
Quindi, come è meno sicuro generare questa stringa di sicurezza come testo? Non è nemmeno come si potrebbe scorrere tutte le combinazioni perché c'è un meccanismo di blocco su troppi tentativi, quindi non si può ottenere il pin di qualcuno senza essenzialmente indovinarlo, ecc.
Se qualcuno potesse chiarirlo, sarebbe fantastico. Mi aspetto che mi manchi qualcosa e non sto pensando correttamente.
EDIT A seguito di una discussione che ho avuto con DMB sulla base del fatto che uno dei suoi commenti era poco chiaro. Siamo giunti alla conclusione che l'unica vera differenza qui è il tempo che sarebbe trascorso da un aggressore.
Il suo punto è che ci vuole molto meno tempo per ottenere il tag del paragrafo dall'HTML di quanto non faccia per usare il software OCR per ottenere le cifre richieste dall'immagine, che sono d'accordo con (Di qui perché l'ho menzionato nel mio post)
SE qualcun altro ha qualcos'altro da aggiungere, per favore fallo, altrimenti scriverò una risposta e la contrassegnerò come risposta. Sarei interessato a sapere quali ALTRI rischi ci sarebbero quando si ottiene la stringa di sicurezza come TESTO anziché come IMMAGINE, grazie.