Modifiche apportate al sistema proposto in Autenticazione a due fattori senza telefono :
- Nel sistema precedente, la navigazione a spalla rivelava l'immagine predefinita dell'utente. Nel sistema attuale, l'immagine finale non rivela alcuna informazione utile. L'immagine iniziale e il percorso dell'utente non possono essere retroceduti dall'immagine finale, poiché l'utente fa clic solo sull'immagine finale. Il sistema attuale non è vulnerabile alla navigazione a tracolla.
- Aumentata la dimensione della griglia da 28 a 40. 40 immagini possono essere visualizzate in dimensioni adeguate sullo schermo, senza che lo schermo sia troppo angusto e sia facile per l'utente trovare la sua immagine iniziale.
- Vulnerabilità legata all'enumerazione degli utenti rimossa aggiungendo la password al passaggio 1.
- Nel sistema precedente, l'utente aveva 3 possibilità di scrivere la password corretta relativa alla sua immagine. Ora è stato ridotto a un solo clic del mouse, diminuendo le possibilità offerte a un hacker per una singola sessione.
Ho sviluppato un sistema di autenticazione grafico, che consiste in un'autenticazione in due passaggi. Il primo passo è il normale ID utente: l'autenticazione della password e il secondo passaggio è l'autenticazione grafica. Ho cercato di mantenere il compromesso tra sicurezza e esperienza utente. Ho applicato un brevetto per questo sistema. L'autenticazione a due fattori fornisce sicuramente maggiore sicurezza, ma presenta anche alcuni problemi. Così, ho provato a sviluppare un sistema di autenticazione che fornisse una sicurezza extra senza perdite considerevoli nell'esperienza utente.
In breve, per il secondo passaggio, l'utente deve ricordare un'immagine di inizio e un percorso. Ogni volta che l'utente proverà ad accedere, l'immagine iniziale verrà posizionata in una posizione casuale valida, quindi applicando il percorso dall'immagine iniziale, l'utente potrebbe ottenere ogni volta un'immagine di fine diversa. L'utente deve solo fare clic sull'immagine Fine.
La descrizione dettagliata è la seguente:
Durante la registrazione, l'utente deve scegliere un ID utente e una password, necessari per il primo passaggio dell'autenticazione.
Quindidevesceglierelasuaimmaginediavvio.
Quindi la sua immagine di avvio verrà visualizzata in una griglia, dove dovrà scegliere il suo percorso per ottenere l'immagine finale.
Ora, dopo che l'account è stato creato, quando l'utente proverà ad accedere, per prima cosa inserirà il suo id utente e la sua password.
Dopoaversuperatoquestoprimopassaggio,verràvisualizzatalapaginadelsecondopassaggio.
Ilsecondopassoconsisteinunagrigliadi40immagini;ilnumerodiimmagininonètroppopiccolootroppogrande.L'immaginediavviodell'utenteverràposizionatainunaposizionecasualevalidanellagriglia,insiemeadaltre39immaginichesarannougualiperl'utenteperognisessionediaccesso,inmodochel'hackernonconoscal'immagineinizialeosservandopiùsessioni.L'utentedevetrovarelasuaimmaginediinizionellagrigliaeapplicareilpercorsodaesso,perottenerel'immaginefinale.L'utentedevesolofareclicsull'immaginefinale.Asecondadellaposizionedell'immagineiniziale,l'immaginefinalepotrebbeesserediversaognivolta.questapaginadelsecondopassaggioèvalidasoloper90secondiereindirizzaallapaginaprincipalesel'utentenonhasceltolafineimmagine.
L'utenteautenticacorrettamentesescegliel'immaginefinalecorrettaperlasessione.
Ilsistemafainmodochel'immagineStartvengaposizionatainunaposizionetaleche,dopoaverapplicatoilpercorso,laposizionedell'immaginefinalesianellagriglia.
Ora,sel'utentesidisconnetteetentanuovamentediaccedere,dovràpassareilpassaggio1equindinelpassaggio2,lapaginapotrebbeesserevisualizzatacome:
La griglia sarebbe stata mescolata.
Allo stesso modo, per il prossimo tentativo di accesso, la pagina del passaggio 2 potrebbe essere:
e così via ...
Vorrei avere alcuni commenti su entropia del sistema. L'unico modo in cui un hacker può aggirare questo, è quello di indovinare casualmente un'immagine ogni volta. C'è qualche altro modo? Questo sistema è utilizzabile in tempo reale?