Identificazione delle regole di composizione memorabili [chiuso]

0

Una singola parola può essere trasformata in tanti modi per creare la password. Con ogni parola di lunghezza l ci sono! diverse permutazioni. L'aggiunta di cifre e simboli alla parola crea una password alfanumerica. Anche le trasformazioni di leet (sostituendo a con @ etc) possono essere applicate per creare password. Il numero di tali trasformazioni è enorme ma solo poche sono memorabili e utilizzate. La perdita di perdite nel database delle password fornisce informazioni sui trucchi più comuni utilizzati dai creatori delle password. Ma alcune trasformazioni potrebbero essere complicate e non ancora note all'attaccante, perché potrebbero non essere popolari o potrebbero non essere disponibili nel database trapelato. Quindi la mia domanda è "Possono essere identificate trasformazioni così difficili e memorabili senza dipendere o analizzare i dati violati?"

Il mio punto è che la sicurezza attraverso l'oscurità non aiuterà. Alcune password create dall'uomo potrebbero essere sicure solo perché i trucchi sono sconosciuti. Comprendere una tale serie di trucchi, alla fine porterà a misuratori di forza migliori e quindi a un miglior senso di sicurezza. Aiuterà anche a capire se gli umani possono creare password sicure o no? e finisci il gioco del gatto e del topo tra gli attaccanti e noi? Può essere che possa anche implicare la sostituzione dello schema di password per l'autenticazione con altri schemi, non sono un esperto da dire, ma queste sono le mie preoccupazioni.

    
posta Curious 17.09.2014 - 16:39
fonte

2 risposte

2

No; per definizione, non è possibile identificare una tendenza senza dati.

Tuttavia, qualsiasi cosa che tu o io o qualcun altro riesca a trovare può anche essere pensata da un aggressore. In generale, non si può presumere che l'attaccante non possa o non possa scoprire quale metodo si sta utilizzando. Questo è chiamato "sicurezza attraverso l'oscurità" ed è una trappola comune in cui le persone cadono.

    
risposta data 17.09.2014 - 17:00
fonte
0

Mi stai chiedendo se puoi prevedere in che modo gli esseri umani medi trasmuterebbero una determinata parola sulla base di un insieme di regole di trasmutazione, per quanto posso capire.

Affinché tale previsione si verifichi, è necessario un presupposto precedente basato sull'evidenza o un modello predittivo valutato e il cui ambito comprende la domanda specifica. La prima strada è quella delle precedenti violazioni, da cui è possibile dedurre per lo stesso alfabeto e regola come le parole verranno trasformate. È quindi possibile utilizzare queste informazioni per descrivere l'effettiva entropia di uno spazio di immissione della password, piuttosto che un'entità "set" che non tiene conto della distribuzione di probabilità delle parole. In pratica non avrete dati sufficienti per coprire l'intero spazio di input di un alfabeto, quindi una tale metrica si basa ancora su un certo livello di estrapolazione (ad esempio "tutti i pattern non osservati hanno ugualmente probabilità di verificarsi"). Bonneau ha un documento sulle metriche di sicurezza per le password che riflettono meglio la realtà di come gli spazi per le password vengono utilizzati dagli utenti finali ( possibilmente questo ).

La seconda strada richiede di fare un bel po 'di esperimenti con soggetti umani e di elaborare regole generali su come le persone scelgono di trasmutare le parole in base ai simboli disponibili. Faresti più esperimenti per valutare quali simboli sono preferiti, come sono posizionati, dove e dovresti coprire un insieme ecologicamente valido di:

  • input alfabeti
  • ha proposto simboli e regole di trasmutazione
  • persone
  • interfacce per la paternità della password e la voce
  • impostazioni sociali (questo semplicemente sconfigge la sorprendente maggioranza di ricercatori della sicurezza che fanno soggetti umani ricerca)

Sarebbe estremamente difficile e costoso rendere tale modello completo (vale a dire la contabilità di tutti i possibili tipi di trasmutazione), valido e affidabile.

Soprattutto, credo che le interfacce abbiano un impatto maggiore sul modo in cui le persone si autenticano rispetto alle password (ma non ho né il tempo né la motivazione per argomentare in alcun modo scientifico :-)), e sarei disposto a scommettere che se tale modello è stato realizzato per es computer desktop con un certo tipo di tastiera non funzionerebbero per es. tablet con un layout di tastiera diverso (ad esempio se "@" è disponibile con un minore costo di interazione di "1" su una tastiera, può essere preferibile proprio per questo motivo).

Pensare a questo problema da una prospettiva di UX semplifica moltissimo la questione: perché le persone scelgono sempre trasformazioni molto semplici, ad esempio aggiungono un numero e un simbolo alla fine di una password esistente? Perché era economico e facile farlo con una password esistente. Cosa abbiamo imparato da questo? O rendiamo ugualmente dolorose tutte le opzioni all'utente in modo che scelgano casualmente una password, o smettiamo di chiedere loro un compito così ridicolmente difficile di selezionare fattori di autenticazione casuali ma memorabili.

    
risposta data 17.09.2014 - 17:52
fonte

Leggi altre domande sui tag