Un sistema di autenticazione in due passaggi grafico [duplicato]

-2

Modifiche apportate al sistema proposto in Autenticazione a due fattori senza telefono :

  1. Nel sistema precedente, la navigazione a spalla rivelava l'immagine predefinita dell'utente. Nel sistema attuale, l'immagine finale non rivela alcuna informazione utile. L'immagine iniziale e il percorso dell'utente non possono essere retroceduti dall'immagine finale, poiché l'utente fa clic solo sull'immagine finale. Il sistema attuale non è vulnerabile alla navigazione a tracolla.
  2. Aumentata la dimensione della griglia da 28 a 40. 40 immagini possono essere visualizzate in dimensioni adeguate sullo schermo, senza che lo schermo sia troppo angusto e sia facile per l'utente trovare la sua immagine iniziale.
  3. Vulnerabilità legata all'enumerazione degli utenti rimossa aggiungendo la password al passaggio 1.
  4. Nel sistema precedente, l'utente aveva 3 possibilità di scrivere la password corretta relativa alla sua immagine. Ora è stato ridotto a un solo clic del mouse, diminuendo le possibilità offerte a un hacker per una singola sessione.

Ho sviluppato un sistema di autenticazione grafico, che consiste in un'autenticazione in due passaggi. Il primo passo è il normale ID utente: l'autenticazione della password e il secondo passaggio è l'autenticazione grafica. Ho cercato di mantenere il compromesso tra sicurezza e esperienza utente. Ho applicato un brevetto per questo sistema. L'autenticazione a due fattori fornisce sicuramente maggiore sicurezza, ma presenta anche alcuni problemi. Così, ho provato a sviluppare un sistema di autenticazione che fornisse una sicurezza extra senza perdite considerevoli nell'esperienza utente.

In breve, per il secondo passaggio, l'utente deve ricordare un'immagine di inizio e un percorso. Ogni volta che l'utente proverà ad accedere, l'immagine iniziale verrà posizionata in una posizione casuale valida, quindi applicando il percorso dall'immagine iniziale, l'utente potrebbe ottenere ogni volta un'immagine di fine diversa. L'utente deve solo fare clic sull'immagine Fine.

La descrizione dettagliata è la seguente:

Durante la registrazione, l'utente deve scegliere un ID utente e una password, necessari per il primo passaggio dell'autenticazione.

Quindidevesceglierelasuaimmaginediavvio.

Quindi la sua immagine di avvio verrà visualizzata in una griglia, dove dovrà scegliere il suo percorso per ottenere l'immagine finale.

Ora, dopo che l'account è stato creato, quando l'utente proverà ad accedere, per prima cosa inserirà il suo id utente e la sua password.

Dopoaversuperatoquestoprimopassaggio,verràvisualizzatalapaginadelsecondopassaggio.

Ilsecondopassoconsisteinunagrigliadi40immagini;ilnumerodiimmagininonètroppopiccolootroppogrande.L'immaginediavviodell'utenteverràposizionatainunaposizionecasualevalidanellagriglia,insiemeadaltre39immaginichesarannougualiperl'utenteperognisessionediaccesso,inmodochel'hackernonconoscal'immagineinizialeosservandopiùsessioni.L'utentedevetrovarelasuaimmaginediinizionellagrigliaeapplicareilpercorsodaesso,perottenerel'immaginefinale.L'utentedevesolofareclicsull'immaginefinale.Asecondadellaposizionedell'immagineiniziale,l'immaginefinalepotrebbeesserediversaognivolta.questapaginadelsecondopassaggioèvalidasoloper90secondiereindirizzaallapaginaprincipalesel'utentenonhasceltolafineimmagine.

L'utenteautenticacorrettamentesescegliel'immaginefinalecorrettaperlasessione.

Ilsistemafainmodochel'immagineStartvengaposizionatainunaposizionetaleche,dopoaverapplicatoilpercorso,laposizionedell'immaginefinalesianellagriglia.

Ora,sel'utentesidisconnetteetentanuovamentediaccedere,dovràpassareilpassaggio1equindinelpassaggio2,lapaginapotrebbeesserevisualizzatacome:

La griglia sarebbe stata mescolata.

Allo stesso modo, per il prossimo tentativo di accesso, la pagina del passaggio 2 potrebbe essere:

e così via ...

Vorrei avere alcuni commenti su entropia del sistema. L'unico modo in cui un hacker può aggirare questo, è quello di indovinare casualmente un'immagine ogni volta. C'è qualche altro modo? Questo sistema è utilizzabile in tempo reale?

    
posta Engineer 24.08.2014 - 15:05
fonte

2 risposte

2

Sicurezza

Stai chiedendo agli utenti di ricordare:

  • una password sopra gli 8 caratteri
  • un'immagine
  • un percorso relativo a quell'immagine

E tutto questo per quale ulteriore sicurezza? Il secondo passo è un fattore di conoscenza, proprio come la password, viene esposto e fornito attraverso esattamente lo stesso canale, il che significa che attacchi come phishing, malware sul dispositivo o irruzione nel server funzioneranno altrettanto facilmente.

Ora, l'obiettivo di aggiungere passaggi di autenticazione piuttosto che fattori (di tipi diversi e scambiati / verificati attraverso canali diversi) non significa aumentare la sicurezza, ma aumentare l'usabilità. Il primo passo sarebbe quello di consentire agli utenti di avere una password più semplice in cambio del dolore extra che li fai passare.

Esperienza utente

Al momento, sono necessari 5 secondi in più per accedere al tuo sito piuttosto che senza questa immagine. Suona bene? Questo è un singolo sistema, ho creato il mio auth factor appena prima ed è fresco nella mia mente! Tuttavia, se dovessi usarlo 20 volte al giorno, perderei 6 minuti di lavoro produttivo. Cercando una seconda volta cinque minuti dopo, non sono riuscito a autenticarmi già!

Dici di "bilanciare i compromessi tra sicurezza e esperienza utente", come si gioca con una griglia di immagini e il conteggio dei numeri di righe e colonne pensate per aiutarmi? Riesci a capire in che modo la frustrazione aumenta da un'autenticazione fallita subito dopo un uso così riflessivo dell'interfaccia utente? Non ho fatto errori di battitura digitando troppo velocemente la mia password, ero troppo dannatamente stupido per fare clic l'immagine giusta anche se ho esitato e contato!

L'esperienza utente non è: "Ho messo alcuni colori fantasiosi e ho dato istruzioni in modo che l'utente dovrebbe essere ok", è più "L'utente ha fatto uno sforzo, loro meritano per passare, ma ancora fallimento le tariffe e i tempi di accesso sono superiori rispetto al sistema precedente che aveva solo password ".

Cosa dovresti aspettarti in scala

Sai cosa succede se gli utenti devono gestire più password grafiche? Il rendimento diminuisce proprio come con le password . Sebbene diversi studi di laboratorio suggeriscano che la diminuzione sia meno radicale rispetto ai PIN o alle password di testo, è ancora qui e dobbiamo ancora vedere il corretto lavoro sul campo che mostra come gli utenti gestiscono molte password grafiche, poiché sono limitate nell'espressività delle loro password e nelle loro strategie di riutilizzo.

È anche degno di nota il fatto che qualsiasi password che un utente sceglierà in una condizione di laboratorio per testare il tuo software ha una buona possibilità di essere completamente diversa da quella che sceglieresti normalmente: ciò influisce su qualsiasi studio sulla memorabilità delle password.

In breve, è molto utile trovare nuove soluzioni al vecchio problema delle password, ma dovresti davvero notare che non c'è quasi nessuna prova di qualcosa che funzioni effettivamente su scala e dovresti provare a capire non i punti deboli ma i punti di forza delle password se vuoi progettare qualcosa di meglio per la maggior parte delle autenticazioni degli utenti.

Non puoi proporre qualcosa che richiede più tempo. Inoltre, non puoi proporre qualcosa che è più difficile da ricordare quando ne ho più di dieci da gestire. Inoltre, è un'ottima idea capire dove il tuo sistema è buono e dove è male, e indagare su quali pratiche sono adatte per . Ad esempio le password sono cattive per l'autenticazione poco frequente (paio di volte all'anno) perché si dimentica quale password si è utilizzata. I PIN sono migliori delle password e dei gesti meglio dei PIN per l'autenticazione dell'interfaccia utente touch in termini di tempo di inserimento. Infine, il problema delle password è non solo un problema di fattori , deve essere fatto principalmente con l'accumulo di questi e con i processi disponibili per gestirli nel loro complesso. C'è un motivo per cui i gestori di password sono così popolari!

Modifica 1: se ritieni seriamente l'esperienza utente e l'usabilità, lascia da parte per un po 'l'intera sicurezza "utilizzabile" e segui un corso di formazione su HCI e progettazione. Hai davvero bisogno di una prospettiva più consapevole su come lavori, hai bisogno di insegnare a te stesso a pensare come un designer / esperto di ergonomia / esperto di usabilità piuttosto che solo "bilanciare compromessi" o "pensare all'utente".

Modifica 2: con quale frequenza i criminali informatici ti trascinano in spalla e quanto spesso ti fanno phishing o attaccano il server in cui sono archiviati i tuoi dati? Conosci le tue minacce! La spallatura è rilevante solo per alcuni tipi di servizi, ad es. Facebook, UI di autenticazione mobile ... non il caso generale sul Web.

    
risposta data 24.08.2014 - 16:10
fonte
1

Se le immagini sono posizionate in modo casuale, ad eccezione di un'immagine, è possibile determinare l'immagine e l'offset. (se vedi quella schermata di selezione delle immagini abbastanza volte, l'immagine non si troverà mai vicino all'angolo dove il "percorso finale" gli impedisce di farlo)

Questo è anche molto confuso per un utente finale, impedendo alle persone che vuoi nel sistema di ottenere l'accesso.

Una soluzione più semplice e sicura è scegliere l'immagine direttamente.

    
risposta data 24.08.2014 - 15:18
fonte

Leggi altre domande sui tag