Domanda:
Qual è l'idea delle password con la posizione dei pulsanti casuali
Vitalii
2017-02-23 17:53:07 UTC
view on stackexchange narkive permalink

Sempre più siti web utilizzano per l'autenticazione tastiere a cifre con posizione casuale al posto della password. In questo modo

enter image description here

Qualcuno potrebbe spiegarmi l'idea di questo invece di solito login e password?

Ho un l'idea che sembra essere più sicuro perché se catturi il traffico di qualcuno otterrai solo le coordinate cliccate e queste coordinate sono ogni volta diverse.

Ma in questo caso il server dovrebbe trasferire le posizioni di ogni pulsante a un client per fare l'ultimo essere in grado di visualizzarlo correttamente (4 è l'angolo in alto a sinistra, 8 in basso a sinistra, ecc.)

Se il traffico può essere catturato così possiamo catturare la posizione di ogni cifra e le coordinate cliccate dopo.

Perché è più stabile quel comune login / password con htts enscrition?

Ho visto lettori di badge fisici con tastiere che randomizzano la posizione dei numeri, presumibilmente per impedire a qualcuno di determinare quali pulsanti hai premuto.Forse era basato su questo concetto, anche se non è effettivamente necessario?
Vedi http://thehackernews.com/2016/11/hack-wifi-password.html
Immagino sia utile anche se qualcuno ti sta guardando con la coda dell'occhio;se i numeri non sono al loro posto abituale e la persona non può vedere chiaramente, questo è utile.
ugh.questo mi ricorda la volta che ho inserito un PIN per una nuova carta di debito presso la mia banca in banca, memorizzando le posizioni dei tasti che ho premuto, solo per non far funzionare il PIN al bancomat proprio fuori perché le posizioni delle chiavi erano rispecchiate.
http://security.stackexchange.com/q/29742/971, http://security.stackexchange.com/q/22774/971
Non penso che questo sia un duplicato, poiché si tratta specificamente di tastiere virtuali * randomizzate *.Potrebbe essere necessario un po 'di riformulazione per separarlo, però.
Cinque risposte:
IMSoP
2017-02-23 19:28:20 UTC
view on stackexchange narkive permalink

Altre risposte hanno parlato di keylogger e di come avrebbero sconfitto questo meccanismo, ma posso pensare ad altri attacchi da cui proteggerebbe:

  • Guardando i segni di unto su un touch screen dove qualcuno inserisce regolarmente lo stesso codice. Ad esempio, il codice per sbloccare un telefono o un impianto citofonico in cui lo schermo non viene utilizzato per nient'altro.
  • Navigazione a spalla, in cui l'aggressore può vedere il movimento della mano dell'utente, ma non cosa c'è sullo schermo. Potrebbe trattarsi di qualcuno fisicamente dietro l'utente la cui visuale è parzialmente ostruita, oppure potrebbe essere una videocamera che non ha lo schermo nel suo campo visivo.
Penso che il posizionamento relativo abbia qualche rilevanza.Sono con te, però, sembra qualcosa di cui un "hacker cinematografico" trarrebbe vantaggio ..
Se ad es.una tastiera a dieci cifre viene utilizzata principalmente per inserire un codice di sicurezza a sei cifre, osservare che sei chiavi sono indossate ridurrebbe lo spazio di ricerca da 1.000.000 a 720. Se ne fossero indossate cinque, il numero di possibilità (assumendo un codice a sei cifre) sarebbe 1800 o 360, a seconda che fosse ovvio quale pulsante è stato utilizzato due volte.Non so che un touch screen normalmente soffrirebbe di tali problemi, ma le tastiere certamente possono.
Rallentare le persone e farle scorrere i numeri potrebbe non essere il modo migliore per proteggersi dal surf con le spalle.
@JonHanna Certo, non è infallibile, ma se non riesci a vedere lo schermo, non importa quanto tempo qualcuno impiega per trovare i pulsanti giusti su di esso, perché ancora non sai quali hanno premuto.Potrebbero passare 5 minuti e premere l'angolo in alto a destra, ma quando arrivi allo schermo, un pulsante diverso sarà nell'angolo in alto a destra, quindi non hai imparato nulla.
@IMSoP e con la maggior parte dei sistemi potrebbero tenere il portafoglio in mano e digitarlo rapidamente e tu hai imparato ancora meno.
Lie Ryan
2017-02-23 18:04:32 UTC
view on stackexchange narkive permalink

L'utilizzo di una tastiera software randomizzata per l'inserimento della password si basa sull'idea sbagliata che possa impedire i keylogger. Può in qualche modo impedire efficacemente al registratore di chiavi hardware di acquisire i dati di accesso.

In un senso debole, impedisce anche ad alcuni registratori di chiavi software ingenui di acquisire i dati di accesso, tuttavia, come hai detto correttamente, un registratore di tasti leggermente migliore può prendere banalmente anche screencaps per sconfiggere questa misura, e uno più sofisticato può semplicemente installare un componente aggiuntivo del browser per acquisire la password prima che venga inviata al server.

Poiché il logger delle chiavi hardware è molto più raro rispetto a keylogger software, nella maggior parte dei siti in cui è implementata tale tastiera software randomizzata, è davvero solo un segno che lo sviluppatore non ha idea che tali misure sono inefficaci contro la maggior parte dei keylogger.

Tuttavia, è efficace contro i keylogger "non privilegiati", ovvero le app mobili che utilizzano la potenza del segnale wireless o le informazioni dell'accelerometro per dedurre le informazioni sulla posizione del tocco.Molte app hanno privilegi sufficienti per interrogare una o entrambe le cose e questa è una minaccia comune in natura.
Questo può anche essere un comportamento di segnalazione.Gli utenti incapaci possono essere convinti che la pagina web abbia misure di sicurezza molto più facili usando qualcosa di simile che con altre misure meno visibili.
Sui telefoni, se inserisci una password abbastanza spesso, puoi vedere l'olio delle dita se ruoti il dispositivo appena a destra.Questo non ti dà il codice effettivo, ma ti dà i numeri probabili.Questo metodo disgusta che (sebbene tramite ostruzione)
@Martijn Questo è quello che ho detto nella mia risposta;se non l'avessi fatto, avresti potuto pubblicarla tu stesso come nuova risposta.I commenti sulle risposte servono per chiarire o mettere in discussione quella particolare risposta, non per discutere la domanda in generale.
@SimonRichter Non avevo idea che fosse una cosa.Esistono app Android "bravi ragazzi" che lo dimostrano?Mi piacerebbe vederlo in azione.
Serge Ballesta
2017-02-23 20:25:15 UTC
view on stackexchange narkive permalink

Questo è comunemente usato dalle banche. Come già spiegato, fornisce una sicurezza aggiuntiva contro i keylogger. Impedisce inoltre che la password venga memorizzata direttamente nel browser, il che è una cattiva pratica di sicurezza se non viene utilizzata la password principale. Va notato comunque che ha un importante svantaggio: impedisce all'utente di utilizzare una lunga password casuale memorizzata in un gestore di password.

La logica alla base di ciò è che le banche non hanno fiducia che gli utenti siano in grado di per scegliere e gestire password complesse, in modo che almeno si assicurino che l'utente non abbia memorizzato la sua password nel browser senza una password principale.

TL / DR: non aggiunge alcuna sicurezza per gli utenti effettivamente interessati al meglio pratiche di sicurezza, ma limita le peggiori pratiche di sicurezza che troppi utenti applicherebbero.

Potrei vederlo utile se è il PIN in un approccio password + PIN, in cui è necessario conoscerli entrambi.Rendi questo il fallback se l'utente rifiuta di abilitare i due fattori reali;almeno ci sarebbe qualcos'altro che è un po 'più difficile da catturare.In un mondo in cui le persone riutilizzano sempre le password, potrebbe essere sufficiente proteggere un conto bancario da una password condivisa che è stata compromessa in un altro sito.
Ryan Kelso
2017-02-23 18:00:15 UTC
view on stackexchange narkive permalink

Questa è in realtà solo una protezione contro un keylogger, poiché ora i keylogger possono acquisire sia le tue battiture che le informazioni sul movimento del mouse, quindi spostando le cifre ogni volta che i dati del keylogger diventano inutili perché non sono sicuri di quale numero tu premuto.

Come dici tu, efficace contro il key logger solo se usi effettivamente un mouse.Solo meglio usare un OTP o 2FA.
Dennis Jaheruddin
2017-02-24 20:49:29 UTC
view on stackexchange narkive permalink

1. È più difficile automatizzare l'inserimento

L'ultima volta che l'ho visto è stato su un sito web di giochi in cui le persone avevano la tendenza a far giocare banali bot. Se disponi di una posizione di immissione del pin tradizionale, puoi semplicemente programmare il bot per copiare il pin o fare clic sui punti designati.Ora qualcuno avrebbe bisogno di rendere il proprio bot più intelligente (forse anche più intelligente del minimo necessario per giocare) prima di sarebbe in grado di eseguire il gioco completamente automatizzato.

Seguendo la stessa logica, questa potrebbe essere utilizzata anche per rendere più difficile il cracking della forza bruta, ma il throttling dovrebbe fare il trucco, quindi non credo che questo sia pensiero sottostante.

2. Scoraggia le persone dallo scegliere codici di accesso banali

Anche se non sono sicuro che questo sia l'obiettivo chiave, questo è stato sicuramente un effetto per me.

Recentemente ho usato un'applicazione dove l'ho fatto non si preoccupava molto della sicurezza e ho pensato di scegliere 1111 come codice per ogni account perché sarebbe stato facile sceglierlo e inserirlo.

Tuttavia, la randomizzazione chiave mi ha fatto capire che

  • Questo pin è importante (anche se è solo un po ')
  • Non sarebbe più veloce inserire 1111 di qualcosa come 1835

Di conseguenza Mi sono ritrovato con un codice pin un po 'meno banale.

I controlli sono lato client, quindi # 1 si applica solo all'automazione lato client.Il processo rallenta anche gli utenti che immettono la password, quindi è più probabile che semplifichi la password (quindi il punto 2 non è vero).
Il punto 2 si basa su un requisito di lunghezza fissa (ad es. Pin a 4 cifre).


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...