Autenticazione anche con password incompleta

1

Quando si inserisce una password per accedere al proprio account online, si deve digitare la password completa e inviarla per essere autenticata. Se la password è molto lunga e se si accede regolarmente all'account, sarà molto stancante digitare la password completa più e più volte.

Esistono schemi in cui l'utente digita una lunga password e, a ogni pressione del tasto, il server verifica se la password fornita è soddisfacente o meno? Se è soddisfacente, il sistema registra l'utente prima che l'utente finisca di digitare la password.

Esistono schemi di questo tipo?

    
posta Flux 06.12.2016 - 00:55
fonte

4 risposte

2

Non sono sicuro di aver capito esattamente cosa stai proponendo. Ma a meno che non ti fraintendano completamente, sarebbe un disastro per la sicurezza:

  • Se il server fornisce qualsiasi tipo di indicazione (se solo nel tempo richiesto per rispondere) se un singolo personaggio era corretto o meno, rende la password molto più facile alla forza bruta, dato che puoi semplicemente farlo per lettera. Finisci per dover fare l*n tentativi invece di l^n , dove l è la lunghezza e n è la dimensione dell'alfabeto.
  • Se il server ti fa entrare dopo solo una mezza password hai negato l'intero vantaggio di avere una lunga password. Come commenti techraf : lo schema è chiamato "password più breve".
  • Non puoi hash le password se vuoi essere in grado di controllali carattere per carattere. Ciò rende impossibile l'archiviazione sicura delle password. (Beh, potresti unirli un po 'alla volta ma poi siamo di nuovo al problema del forzante bruto.)
risposta data 05.01.2017 - 10:37
fonte
1

Non c'è motivo per cui non possa essere implementato. Sul lato server, basta troncare la password su N caratteri prima di eseguirne il hashing. Sul lato client, prova ad accedere quando il carattere Nth è stato digitato.

Qual è il punto però? Un tale schema segnala agli utenti che non rispetti la loro scelta del livello di sicurezza quando la loro password è lunga.

Inoltre, che succede se un utente ha una passphrase che inizia con una parola lunga e tronchi per, diciamo, 8 caratteri? Quindi può essere attaccato dal dizionario.

    
risposta data 06.12.2016 - 06:08
fonte
0

Sì, tali sistemi esistono, ma in un modo leggermente diverso rispetto a una tipica password utente. Microsoft utilizza un sistema di codici Product Key di 25 caratteri, con caratteri raggruppati in gruppi di 5 caratteri. Ogni gruppo di 5 ha un checksum come ultimo carattere. Questo checksum consente all'app di notificare all'utente se ha commesso un errore di battitura in quel gruppo, senza rivelare all'utente se il gruppo stesso fa parte o meno del codice prodotto richiesto per attivare quel particolare prodotto.

Tuttavia, non è possibile avere un sistema di verifica password sicuro che convalida in base al personaggio. Altrimenti ci vuole un pochino di iterazioni per scoprire il segreto.

    
risposta data 06.12.2016 - 06:36
fonte
-1

it will be very tiring to type out the full password over and over again.

Che ne dici di utilizzare la crittografia a chiave pubblica per questo? Proteggi il modulo di autenticazione con una fantasiosa chiave RSA a 2048 bit, configuralo una volta e proteggi la password con una password più facile da ricordare. Un utente malintenzionato dovrebbe avere accesso al tuo sistema per ottenere la tua chiave privata e autenticarsi. Aggiungi un altro livello di sicurezza, che compensa la forza della tua passphrase.

Personalmente ritengo che questa soluzione sia più sicura della password salvata da qualche parte.

(Nota a margine: ovviamente è necessario portare le chiavi con te ovunque tu voglia accedere da)

    
risposta data 05.01.2017 - 11:21
fonte

Leggi altre domande sui tag