Un Pattern Lock è più sicuro di una tipica password testuale? [duplicare]

Naviga le tue risposte
0

Ho cercato di trovare un modo per proteggere una pagina web che sia facile da fare (ad esempio ottenere l'accesso), ma comunque abbastanza sicura. Quindi, anche se una password di 4 caratteri sarebbe abbastanza veloce da inserire, non sarebbe molto sicura, e un simbolo di 4 caratteri alfanumerici + richiederebbe più tempo per entrare, ma potenzialmente sarebbe molto più sicuro ...

Quindi ho iniziato a esaminare i blocchi del modello. Se non sei sicuro di ciò che sono o lo chiami diversamente, guarda questo: link

L'articolo sopra riportato mostra alcuni buoni punti. Vale a dire la differenza di ordine di grandezza tra le possibili permutazioni del blocco del modello e il numero di combinazioni di caratteri di un blocco di testo ...

Quindi, un blocco di pattern è intrinsecamente più o meno sicuro di una password di testo?

Il mio pensiero iniziale è che il blocco del pattern sarà più sicuro poiché non è un metodo di ingresso tradizionale, che richiede all'umano di entrare nello schema corretto rispetto a un programma che può solo forzare la password digitata ... (A meno che non , puoi scrivere un programma che simula l'inserimento dell'utente. Non riuscivo a capire come scrivere un'app per simulare l'input dell'utente, ma questo non significa nulla ...)

Ho allegato un esempio che è un work in progress. Nota, NON funziona. Dimostra semplicemente di cosa sto parlando.

link

EDIT:

Grazie a tutti per i commenti! Sono d'accordo con te per quanto riguarda la complessità della password rispetto al modello. (specialmente sul cellulare quando puoi vedere i segni della striscia!). Per quanto riguarda la complessità, i modelli non possono davvero competere.

Pensavo che sarebbe stato quasi impossibile usare la forza bruta in quanto richiede a una persona di entrare nello schema. Dovresti davvero riuscire ad accedere per provarlo in questo modo ...

Quanto sopra è ovviamente un'ipotesi. Sono sicuro che ci sono modi per ottenere un computer per farlo se sei abbastanza determinato. Immagino che questa sia una domanda per un altro forum ...

    
posta Dave 23.01.2014 - 20:01
fonte

3 risposte

2

La password è migliore, per il futuro prevedibile.

La password ora è migliore, perché

Il blocco del pattern può essere utile per comodità, e potrebbe essere sufficiente per contrastare gli attaccanti che non hanno visto di averlo disegnato. Tuttavia, il numero di combinazioni è significativamente inferiore per Pattern Lock rispetto alla password tipica. Anche se si limita la password per utilizzare solo caratteri e utilizzare la password di 4 lettere, sono disponibili oltre 400000 combinazioni valide. Tuttavia, in base a questa domanda precedente combinazione di password per lo smartphone , il numero di le combinazioni di blocco del modello sono più piccole. D'altra parte, il pattern ha più combinazioni rispetto al pin di 4-5 cifre.

Se usi una password relativamente lunga e segui le buone pratiche di selezione della password, è sicuramente più strong.

Nota: Password / PIN è più facile da usare come segreto per le funzioni di derivazione della chiave. Per questo motivo, su alcuni sistemi, come Android, se si intende utilizzare "Encrypt phone / tablet", è necessario utilizzare la password o il PIN; non modello. (Pertanto, se si cura della sicurezza dei dati sul dispositivo, si finisce spesso per utilizzare una password di entropia alta o mediocre).

Blocchi modello futuro

I blocchi del modello corrente sono inferiori alla password, ma è così intrinsecamente così? La quantità di scelta favorisce le password. Nella password ci sono comunque decine di caratteri che puoi scegliere in ogni schermata. Nel modello, puoi scegliere tra poche possibilità (diverse direzioni). Anche se ingrandisci la griglia, è difficile rendere il pattern efficiente quanto la password.

Uno dei vantaggi importanti della password è che sono rappresentabili in un formato abbastanza universale e, quindi, sono una soluzione che può essere applicata in molti luoghi, come login di computer, smartphone, tablet, sito Web ecc. Soprattutto per servizi remoti utilizzabili (come password WLAN, password di rete, password del sito Web), il blocco del modello sarebbe scomodo in quanto il blocco del modello è in gran parte legato al dispositivo di input.

    
risposta data 23.01.2014 - 21:09
fonte
1

A parità di condizioni, la sicurezza è la stessa. Ma, naturalmente, tutto il resto è non uguale.

Potresti semplicemente tradurre i blocchi del modello in blocchi numerici (come tipicamente avviene internamente), solo numerare le posizioni del pattern e registrare la loro sequenza. Se numeriamo le posizioni come in una tastiera del telefono, un pattern che va in alto e in basso equivale alla sequenza 1-2-3-6-9 . E come passano le password, è più o meno la stessa sicurezza della password 12369 .

Tranne che non del tutto, poiché la tipica implementazione del pattern non consente di ripetere le cifre. Quindi la password 1-3-5-1-2-1 semplicemente non è consentita come modello. Questo limita notevolmente lo spazio della password, poiché esiste un limite rigido di 9 cifre e lo spazio di ricerca è combinatorio anziché permutativo.

Ma partendo dal presupposto che si limiti artificialmente lo spazio di ricerca dello schema di password per corrispondere a quello dello schema di pattern, allora sì, la sicurezza dei due è esattamente identica al blocco degli attacchi di canale laterale (analisi dei pattern di sbavature, ecc.). p>     

risposta data 23.01.2014 - 22:44
fonte
1

Uno dei miei amici ha indovinato il blocco del pattern sul mio telefono in base alle strisce lasciate sul grasso sullo schermo (sembra grossolano, lo so). Quindi non hai nemmeno bisogno di guardare qualcuno tracciare il modello se si dimentica di pulire lo schermo.

    
risposta data 23.01.2014 - 22:45
fonte

Leggi altre domande sui tag

A che punto si verifica un exploit contro TAILS? L'attacco alla vecchia vulnerabilità OpenSSL / Debian non funziona su una casella vulnerabile