Nel sistema di autenticazione della passphrase, se i passfaces sono selezionati dagli utenti o assegnati dal sistema?
Questo sistema è sicuro? Come viene memorizzata la passphith dell'utente sul lato server?
Beh, tutto dipende dal numero di facce da cui puoi scegliere. Confrontiamolo con un altro meccanismo a due fattori spesso usato: le password monouso.
Una password monouso spesso contiene 6 numeri. Quindi, ci sono 10 ^ sesta possibilità: 1000000. La possibilità che un hacker indovini il tuo OTP è 1/1000000. Generalmente, questa è considerata una probabilità piuttosto alta, rispetto ad una buona password (minuscole, maiuscole, simboli, numeri). Le password possono essere una di, diciamo, 98 ^ 10 (poiché ci sono 98 possibili caratteri e nel caso in cui la password abbia una lunghezza di 10). 98 ^ 10 equivale a 81707280688754689024. 1/81707280688754689024 è una possibilità molto inferiore a 1/1000000. Tuttavia, le OTP sono sicure perché sono valide solo una volta e per un periodo di tempo limitato, puoi bloccare brute-forcers ecc. Ecc., Questo non è il punto della tua domanda.
Quindi, okay, considerando che dovremmo confrontare le mele con le mele, possiamo confrontare il sistema di passaggio con il sistema OTP. Ho fatto una demo sul sito web della passphrase e, per accedere, ho dovuto selezionare 1 su 9 facce e ripetere tre volte. Quindi la quantità di possibilità è 9 ^ 3 = 729. Un hacker ha quindi 1/729 possibilità di trovare la mia combinazione sin dalla prima volta, che è un'opportunità enormemente superiore a 1/1000000 e persino una possibilità infinita più alta di 1/81707280688754689024 .
Edit: Some sources note that the passface database contains more than 9 faces, and that they may dynamically change upon each try. Depending on how many faces there are in the database, the above calculation is thus not entirely correct. However, I want to point out that, in case the faces do change upon each try, that renders the system even less secure. The hacker could just retry a few times and see which faces change, and which faces remain the same (the ones that you chose have to remain in the faces set of course). Analysing this a bit more, the attacker could then easily reduce the search space. End of edit.
Quella possibilità è quindi ENORME rispetto ad altri sistemi conosciuti (come password, OTP, keyfile, ecc.). Quindi no, se la demo è un'implementazione realistica del sistema di passphrase, non lo ritengo sicuro. Certo, alcune altre misure contano:
Come nota di chiusura: ho visto che il sistema di passphrough è classificato come "sostitutivo" delle password e che la password "sovrascritta" può essere utilizzata solo dopo alcuni giorni. In tal caso, direi che è completamente insicuro, poiché il sistema di passaggio è quindi l'unico fattore.
A proposito, non sono entrato nei dettagli su come la Passface memorizza i volti. Probabilmente solo in un db, ma comunque, il mio punto è che anche se il sistema stesso è completamente sicuro, la matematica dietro di esso non lo è.
La risposta alla prima domanda. i passeparti sono assegnati dal sistema. Questo perché l'utente tende a selezionare facce o volti più attraenti delle persone della propria regione che possono essere sfruttate dall'indovina online.
Leggi altre domande sui tag authentication passwords