Frage:
Was ist die Idee von Passwörtern mit zufälliger Tastenposition
Vitalii
2017-02-23 17:53:07 UTC
view on stackexchange narkive permalink

Immer mehr Websites verwenden zur Authentifizierung einige Ziffern-Tastaturen mit zufälliger Position anstelle eines Kennworts. So

enter image description here

Könnte mir jemand die Idee dieses stattdessen üblichen Logins und Passworts erklären?

Ich habe ein Idee, dass es sicherer zu sein scheint, denn wenn Sie den Verkehr von jemandem erfassen, werden nur die Koordinaten angeklickt und diese Koordinaten sind jedes Mal anders.

In diesem Fall sollte der Server jedoch die Positionen der einzelnen Schaltflächen an übertragen Ein Client, der zuletzt dafür sorgt, dass er es korrekt anzeigen kann (4 ist die obere linke Ecke, 8 die untere linke Ecke usw.).

Wenn der Verkehr erfasst werden kann, können wir die Position jeder Ziffer und der angeklickten Koordinaten erfassen nachher.

Warum ist es stabiler als das gemeinsame Login / Passwort mit htts-Verschlüsselung?

Ich habe physische Ausweisleser mit Tastaturen gesehen, die die Position der Zahlen zufällig festlegen, vermutlich um zu verhindern, dass jemand feststellt, welche Tasten Sie gedrückt haben.Vielleicht basiert es auf diesem Konzept, obwohl es eigentlich nicht benötigt wird?
Siehe http://thehackernews.com/2016/11/hack-wifi-password.html
Ich denke, es ist auch hilfreich, wenn jemand Sie aus dem Augenwinkel beobachtet.Wenn die Zahlen nicht an ihrem üblichen Platz sind und die Person nicht klar sehen kann, ist dies hilfreich.
Pfui.Dies erinnert mich an die Zeit, als ich bei meiner Bank in der Bank eine PIN für eine neue Debitkarte eingegeben habe, wobei ich mir die Positionen der Tasten, die ich gedrückt habe, merke, nur damit die PIN nicht direkt am Geldautomaten funktioniert, weil die Schlüsselpositionen gespiegelt wurden.
http://security.stackexchange.com/q/29742/971, http://security.stackexchange.com/q/22774/971
Ich denke nicht, dass dies ein Duplikat ist, da es sich speziell um * zufällige * virtuelle Tastaturen handelt.Möglicherweise ist jedoch eine Neuformulierung erforderlich, um dies zu trennen.
Fünf antworten:
IMSoP
2017-02-23 19:28:20 UTC
view on stackexchange narkive permalink

Andere Antworten haben über wichtige Logger gesprochen und wie sie diesen Mechanismus besiegen würden, aber ich kann mir andere Angriffe vorstellen, vor denen er schützen würde:

  • Betrachten der Fettflecken auf einem Touchscreen wo jemand regelmäßig den gleichen Code eingibt. Zum Beispiel der Code zum Entsperren eines Telefons oder eines Türöffnungssystems, bei dem der Bildschirm für nichts anderes verwendet wird.
  • Schulter-Surfen, bei dem der Angreifer die Bewegung der Hand des Benutzers sehen kann, aber nicht Was ist auf dem Bildschirm. Dies kann jemand sein, der sich physisch hinter dem Benutzer befindet und dessen Sicht teilweise behindert ist, oder eine Kamera, bei der der Bildschirm nicht im Sichtfeld ist.
Ich denke, die relative Positionierung hat etwas Einfluss.Ich bin aber bei dir - scheint etwas zu sein, das ein "Filmhacker" ausnutzen würde.
Wenn z.B.Ein zehnstelliges Tastenfeld wird hauptsächlich zur Eingabe eines sechsstelligen Sicherheitscodes verwendet. Die Beobachtung, dass sechs Schlüssel getragen werden, würde den Suchraum von 1.000.000 Möglichkeiten auf 720 verringern. Wenn fünf getragen würden, würde die Anzahl der Möglichkeiten (unter der Annahme eines sechsstelligen Codes)) wäre 1800 oder 360, je nachdem, ob es offensichtlich war, welche Taste zweimal verwendet wurde.Ich weiß nicht, dass ein Touchscreen normalerweise unter solchen Problemen leidet, aber Tastaturen können dies sicherlich.
Das Verlangsamen von Personen und das Durchsuchen der Zahlen ist möglicherweise nicht der beste Schutz vor Schulter-Surfen.
@JonHanna Sicher, es ist nicht narrensicher, aber wenn Sie den Bildschirm nicht sehen können, spielt es keine Rolle, wie lange jemand braucht, um die richtigen Tasten darauf zu finden, da Sie immer noch nicht wissen, welche er gedrückt hat.Sie verbringen möglicherweise 5 Minuten und drücken auf die obere rechte Ecke. Wenn Sie jedoch zum Bildschirm gelangen, befindet sich in der oberen rechten Ecke eine andere Schaltfläche, sodass Sie nichts gelernt haben.
@IMSoP und bei den meisten Systemen halten sie möglicherweise ihre Brieftasche über die Hand und tippen sie schnell ein, und Sie haben noch weniger gelernt.
Lie Ryan
2017-02-23 18:04:32 UTC
view on stackexchange narkive permalink

Die Verwendung einer zufälligen Softwaretastatur für die Passworteingabe basiert auf dem Missverständnis, dass sie Schlüsselprotokollierer verhindern kann. Es kann einigermaßen effektiv verhindern, dass der Hardware-Key-Logger die Anmeldedaten erfasst.

In einem schwachen Sinne verhindert es auch, dass einige naive Software-Key-Logger Anmeldedaten erfassen. Wie Sie jedoch richtig erwähnt haben, kann ein etwas besserer Keylogger dies Nehmen Sie trivialerweise auch Screencaps, um diese Maßnahme zu umgehen, und ein komplexeres kann einfach ein Browser-Add-On installieren, um das Kennwort zu erfassen, bevor es an den Server gesendet wird.

Da der Hardware-Schlüssel-Logger im Vergleich zu viel seltener ist Software-Key-Logger: An den meisten Standorten, an denen eine solche zufällige Software-Tastatur implementiert ist, ist dies nur ein Zeichen dafür, dass der Entwickler keine Ahnung hat, dass solche Maßnahmen gegen die meisten Keylogger unwirksam sind.

Es ist jedoch wirksam gegen "nicht privilegierte" Keylogger, d. H. Mobile Apps, die drahtlose Signalstärke- oder Beschleunigungsmesserinformationen verwenden, um Berührungspositionsinformationen abzuleiten.Viele Apps verfügen über ausreichende Berechtigungen, um eine oder beide abzufragen, und dies ist eine häufige Bedrohung in freier Wildbahn.
Dies kann auch ein Signalverhalten sein.Ahnungslose Benutzer können davon überzeugt werden, dass die Webseite Sicherheitsmaßnahmen viel einfacher hat, wenn sie so etwas verwendet als andere weniger sichtbare Maßnahmen.
Wenn Sie auf Telefonen häufig genug ein Passwort eingeben, können Sie das Fingeröl sehen, wenn Sie das Gerät genau richtig drehen.Dies gibt Ihnen nicht den tatsächlichen Code, aber es gibt Ihnen wahrscheinliche Zahlen.Diese Methode ignoriert dies (obwohl durch Behinderung)
@Martijn Das habe ich in meiner Antwort gesagt;Wenn ich es nicht getan hätte, hätten Sie es selbst als neue Antwort veröffentlichen können.Kommentare zu Antworten dienen dazu, diese bestimmte Antwort zu klären oder in Frage zu stellen, ohne die Frage im Allgemeinen zu diskutieren.
@SimonRichter Ich hatte keine Ahnung, dass das eine Sache war.Gibt es Android-Apps von "Good Guy", die dies demonstrieren?Ich würde es gerne in Aktion sehen.
Serge Ballesta
2017-02-23 20:25:15 UTC
view on stackexchange narkive permalink

Dies wird häufig von Banken verwendet. Wie bereits erläutert, bietet es eine zusätzliche Sicherheit gegen Keylogger. Außerdem wird verhindert, dass das Kennwort direkt im Browser gespeichert wird. Dies ist eine schlechte Sicherheitspraxis, wenn kein Hauptkennwort verwendet wird. Es sollte trotzdem beachtet werden, dass dies einen wichtigen Nachteil hat: Es verhindert, dass der Benutzer ein langes zufälliges Passwort verwendet, das in einem Passwort-Manager gespeichert ist.

Das Grundprinzip dahinter ist, dass Banken kein Vertrauen in Benutzer haben, um in der Lage zu sein Um sichere Kennwörter auszuwählen und zu verwalten, stellen sie zumindest sicher, dass der Benutzer sein Kennwort nicht ohne Hauptkennwort im Browser gespeichert hat.

TL / DR: Es bietet keine Sicherheit für Benutzer, die tatsächlich am besten betroffen sind Sicherheitspraktiken, aber es begrenzt die schlimmsten Sicherheitspraktiken, die zu viele Benutzer anwenden würden.

Ich könnte sehen, dass dies hilfreich ist, wenn es sich um die PIN in einem Passwort + PIN-Ansatz handelt, bei dem Sie beide kennen müssen.Machen Sie dies zum Fallback, wenn der Benutzer sich weigert, echte Zwei-Faktor-Funktionen zu aktivieren.Zumindest würde es etwas anderes geben, das etwas schwieriger zu erfassen ist.In einer Welt, in der Benutzer Kennwörter ständig wiederverwenden, reicht es möglicherweise aus, ein Bankkonto vor einem freigegebenen Kennwort zu schützen, das an einem anderen Standort kompromittiert wurde.
Ryan Kelso
2017-02-23 18:00:15 UTC
view on stackexchange narkive permalink

Dies ist wirklich nur ein Schutz gegen einen Keylogger, da Keylogger jetzt sowohl Ihre Tastenanschläge als auch Ihre Mausbewegungsinformationen erfassen können. Wenn Sie also die Ziffern jedes Mal verschieben, werden die Keylogger-Daten unbrauchbar, da sie nicht sicher sind, welche Nummer Sie haben gedrückt.

Wie Sie sagen - nur wirksam gegen Key Logger, wenn Sie tatsächlich eine Maus verwenden.Nur besser ein OTP oder 2FA zu verwenden.
Dennis Jaheruddin
2017-02-24 20:49:29 UTC
view on stackexchange narkive permalink

1. Es ist schwieriger, den Eintrag zu automatisieren.

Das letzte Mal, als ich dies sah, war es auf einer Spielewebsite, auf der die Leute die Tendenz hatten, triviale Bots für sie spielen zu lassen. Wenn Sie einen herkömmlichen Platz für die Pin-Eingabe haben, können Sie den Bot einfach so programmieren, dass er den Pin kopiert, oder auf die angegebenen Stellen klicken. Jetzt müsste entweder jemand seinen Bot schlauer machen (möglicherweise sogar schlauer als minimal, um das Spiel zu spielen), bevor er das Spiel spielt wäre in der Lage, das Spiel vollautomatisch auszuführen.

Nach der gleichen Logik könnte dies auch verwendet werden, um das Knacken von Brute Force zu erschweren, aber dort sollte das Drosseln den Trick machen, also denke ich nicht, dass dies das ist zugrunde liegender Gedanke.

2. Es hält Leute davon ab, triviale Passcodes zu wählen.

Obwohl ich nicht sicher bin, ob dies das Hauptziel ist, war dies definitiv ein Effekt für mich.

Ich habe kürzlich eine Anwendung verwendet, in der ich sie verwendet habe Die Sicherheit ist mir eigentlich egal, und ich habe überlegt, 1111 als Code für jedes Konto zu wählen, da dies einfach auszuwählen und einzugeben wäre.

Durch die zufällige Zufallsgenerierung wurde mir jedoch klar, dass

  • Dieser Pin ist wichtig (auch wenn es nur ein bisschen ist)
  • Es wäre nicht schneller, 1111 einzugeben als so etwas wie 1835.

Infolgedessen Am Ende hatte ich einen etwas weniger trivialen PIN-Code.

Die Prüfungen sind clientseitig, daher gilt Nummer 1 nur für die clientseitige Automatisierung.Der Prozess verlangsamt auch die Eingabe von Kennwörtern durch Benutzer, sodass sie ihr Kennwort mit größerer Wahrscheinlichkeit vereinfachen (daher ist # 2 nicht wahr).
Punkt 2 basiert auf einer Anforderung fester Länge (z. B. 4-stelliger Stift).


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...