funzionalità di sicurezza prompt password [duplicato]

1

Ottenuto questo quando richiesto per inserire la mia password. Com'è qualcosa di simile a migliorare la sicurezza? Raccoglie ogni volta un insieme casuale di posizioni dell'indice e lo confronta con l'hash di un database?

    
posta adam86 18.05.2017 - 13:10
fonte

1 risposta

2

È un tipo di protocollo challenge-response, il che significa che se un intercettatore riesce a leggere la comunicazione, avrà solo parte della password.
Allo stesso modo, offre un po 'di protezione contro il surf sulle spalle.

Se questo migliora davvero la sicurezza è aperto al dibattito. Le intercettazioni dovrebbero essere prevenute con l'uso appropriato di TLS.

Uno svantaggio è che il server deve conoscere almeno parte della password in chiaro. O hash di diverse parti del passowrd, che suddivide in modo efficace una lunga password in molte più piccole che sono più facili da usare per la forza bruta.

Inoltre, come sottolinea @Matthew nel commento , questo potrebbe dare via la lunghezza della password a un utente malintenzionato, se l'interfaccia password è mal implementata.

Sono generalmente favorevole ai protocolli challenge-response per l'autenticazione e l'identificazione, ma questa sembra una cattiva implementazione di uno.

    
risposta data 18.05.2017 - 13:28
fonte

Leggi altre domande sui tag