Frage:
Könnte das Timing von Tastenanschlägen die Sicherheit eines Passworts verbessern?
Moo-Juice
2016-04-29 00:31:32 UTC
view on stackexchange narkive permalink

Als ich jung war und gerade vor 20 Jahren meine Karriere als Softwareentwickler begonnen hatte, schrieb ich ein wenig Code auf meinen Amiga, der ein Passwort nahm, aber auch (innerhalb eines bestimmten Schwellenwerts) die Geschwindigkeit aufzeichnete Dabei wurde jeder Buchstabe eines Passworts eingegeben.

Dies bedeutete, dass der Benutzer nicht nur das richtige Passwort eingeben musste, sondern auch die Tastendrücke zeitlich festlegen musste. Um es zu testen, hätte ich einen Rhythmus im Kopf und könnte das Passwort jedes Mal neu eingeben. Wenn ich es jedoch nur regelmäßig oder langsam abtippte, wurde es nicht akzeptiert.

Ich bin kein Sicherheitsexperte (meine Programmierung liegt zum Glück in weniger schwierigen Bereichen), aber ich dachte plötzlich an dieses Programm Ich schrieb, als ich jung war und ob es heutzutage eine sinnvolle Ergänzung zur Sicherheit ist oder ob es sich nicht einmal lohnt, darüber nachzudenken.

Tippen Sie auf - Taptaptap - TapTap - Tap .

Mögliche Bedenken: Zugänglichkeit.
coursera.com, eine Website mit kostenlosen / kostenpflichtigen Kursen auf College-Ebene, führt genau dies vor jeder Prüfung durch, um sicherzustellen, dass die richtige Person die Prüfung ablegt.Passwörter können geteilt werden, Schlüsselzeiten können nicht _ (sowieso nicht einfach) _
Gut für Musiker und die Geheimhaltung von Geheimnissen in Militärqualität, schlecht für den täglichen Gebrauch.
Es würde sicherlich meine Frustration erhöhen, da ich Passwörter oft nur mit einer Hand eingebe und auch bei Anmeldefehlern langsam gehe und besonders sicher gehe, dass ich nichts falsch mache.Auch qV519 [YW; BAZE * qvjj11 eignet sich nicht leicht für einen Rhythmus;) Oh und Passwort-Manager natürlich.
Ich habe ein solches System tatsächlich durch maschinelles Lernen implementiert, aber ich fand, dass es für kurze Eingaben wie Passwörter viel zu unzuverlässig ist.Es kann jedoch ziemlich genau sein (bis zu 95% Erkennungsrate), wenn mehr Eingaben gemacht werden (z. B. ein längerer Facebook-Beitrag).So kann es verwendet werden, um die Sicherheit * nach * einem Login zu verbessern, z.um zu überprüfen, ob jemand, der nicht autorisiert ist, gerade mit der Verwendung des Computers begonnen hat.Dann können Sie erneut nach dem Passwort fragen, nur um sicherzugehen.
KeePass, surft ihr von Zeit zu Zeit auf dieser Seite?Ich hoffe, Sie sind bereit, einen Tastenanschlag-Algorithmus zu implementieren, um meine natürliche Eingabe nachzuahmen.Wenn KeyPass diese Funktion implementiert hat (höchstwahrscheinlich), wie zum Teufel soll ich dann "0" =) 4S-, 5nB? # M76It "1"}? # C` mit irgendeiner Konsistenz eingeben, die KeePass nachahmen soll?
Probleme: 1) Der Benutzer muss dies im Voraus wissen. 2) Die Schreibgeschwindigkeit ** ändert sich ** mit der Zeit: Wenn Sie das erste Mal ein zufälliges Passwort haben, werden Sie es ziemlich langsam eingeben, aber nach einer Weile geht es zu Muskel-.Speicher und kann es ziemlich schnell eingeben.3) Was ist, wenn ich mir einen Finger / Arm gebrochen habe und für einige Tage / Wochen nicht das gleiche Timing erreichen kann?4) Alle KeePass-Benutzer (oder andere Kennwortmanager-Tools) würden gleich aussehen ... wahrscheinlich kein Problem, da in diesem Fall Kennwörter für sich genommen wahrscheinlich stark genug sind.5) Schulternsurfen kann einfacher werden.
Was passiert, wenn ich nur eine Hand zum Tippen habe oder wirklich krank / müde bin?Ich kann nicht rein?Cool!
Funktioniert hervorragend, bis ich mich entscheide, dass ich mich von meinem Mobilgerät aus anmelden möchte und überhaupt keine Tastatur mehr verwende ...
@BlueRaja Wenn ich mir also am Tag vor einer Prüfung beim Handballspielen die Hand verletze, werde ich als Betrüger gekennzeichnet oder kann mich nicht anmelden?Das klingt nach einer schrecklichen Idee, die von Leuten, die tatsächlich schummeln wollen, trivial umgangen werden kann (verdammt viele Tastaturen bieten solche Funktionen sofort an; nicht das Schreiben von Code, der dasselbe tut, würde mehr als eine halbe Stunde dauern).
@MathieuK.Das ist ein Problem mit Passwörtern.Ich kenne einige blinde Benutzer, die Screenreader-Software verwenden, um zu lesen, was auf dem Bildschirm angezeigt wird und / oder was sie eingeben, und Passwörter werden als "Sternchen Sternchen Sternchen Sternchen ..." ausgelesen.Sie schaffen es, die Passwörter einzugeben, aber es ist zeitaufwändig, wenn das Passwort kompliziert ist oder wenn sie nicht wissen, wo sich die Schlüssel befinden.
Die PC-Tastatur, die Notebook-Tastatur und die Smartphone-Tastatur würden in meinem Fall definitiv unterschiedliche Passwörter erstellen.
Ganz zu schweigen davon, dass Sie diese Client-Seite implementieren müssen, die _impossible_ ist, um die Sicherheit zu gewährleisten.Wenn Sie dies als FDE-Passwort verwenden, kann ich einfach Ihren Bootloader ersetzen (was Ihnen beim Booten angezeigt wird, wenn Sie FDE haben, ist im Grunde sowieso eine Brute-Force-Eingabeaufforderung), und wenn Sie auf einer Website sind, ist es noch einfacher.
Da ich meine Passwörter von Zeit zu Zeit ändere (jeder sollte seine Passwörter von Zeit zu Zeit ändern), variiert meine Schreibgeschwindigkeit je nach Alter des Passworts.Schneller und schneller, bis ich wieder ein neues Passwort bekomme.Keyrate funktioniert für durchschnittliche Textteile, jedoch nicht für Dinge, die Sie auswendig gelernt haben, wie z. B. Passwörter.
Wenn ich es als allgemeine Heuristik verwende, würde dies mich von meiner effektivsten Technik zur Sicherheit von Passwörtern über die Schulter ausschließen: Während ich sie eingebe, wechsle ich zufällig zwischen QWERTY- und Dvorak-Layouts hin und her, sodass meine verwendeten Tastenanschläge eine hohe Variabilität aufweisenSie.Die Trittfrequenz von Tastenanschlägen hängt stark von den relativen Positionen der Tasten ab, da sich die für jede Taste verwendeten Finger und die für jeden Tastenübergang aktivierten Sehnen zwischen den Layouts unterscheiden.
Die einzige Art und Weise, in der dies eine akzeptable Praxis wäre, wäre, wenn es keine harte Eintrittsbarriere wäre, sondern ein Auslöser, um den Kontoinhaber zu benachrichtigen, wenn das Tastenanschlagmuster den Schwellenwert der Gewöhnungsdaten nicht erreicht.Wenn es verwendet wurde, um ein "Ein verdächtiges Login wurde um {14:56} am {20160503} erkannt."E-Mail an mich, das könnte akzeptabel sein, insbesondere wenn die Informationen im System meine PII oder meine Finanzdaten enthielten.Wenn ich mich mit einer Hand anmeldete, während ich etwas trank oder eine andere Maschine bediente, konnte ich die Warnung ignorieren und trotzdem legitimen Zugriff erhalten.
Sie könnten nach dem * geheimen Klopfen * als zweitem Faktor fragen.
Browser, die Kennwortfelder speichern und automatisch ausfüllen, können ebenfalls Probleme verursachen.
Vierzehn antworten:
#1
+100
schroeder
2016-04-29 01:55:00 UTC
view on stackexchange narkive permalink

Der gesuchte Begriff lautet " Tastendynamik" oder "Tastenanschlagbiometrie" und ist ein interessantes und wachsendes Feld.

Die Idee ist, dass eine Person bestimmte Schlüssel auf eine bestimmte Weise eingibt, die sich im Laufe der Zeit nicht wesentlich ändert. Wenn Sie diese Dynamik abbilden können, können Sie möglicherweise Kennwörter ganz weglassen und den Benutzer einfach dazu bringen, irgendetwas einzugeben.

Ich habe gehört, dass die Alliierten während des Zweiten Weltkriegs die Deutschen mit einem versteckten Mikrofon im deutschen Nachrichtenraum ausspioniert haben.Den Betreibern war es verboten zu sprechen, aber die alliierten Decoder konnten tatsächlich erkennen, welcher Bediener tippte, sowie den Großteil ihrer Nachrichten allein am Klang ihrer Eingabe!Sie gaben jedem Bediener einen Spitznamen, da sie ihre tatsächliche Identität nicht kannten.
@CJDennis Klingt logisch.Solche Angriffe werden heute noch eingesetzt.Beispiel: Zeit für die Tastenanschläge von SSH-Sitzungen (nur durch Timing der Momente des Netzwerkverkehrs, nicht des tatsächlichen Inhalts) und Vergleich mit den gängigen Tippmustern Ihres Opfers ... oder Analyse von Grund auf neu.
@CJDennis Sie verwendeten sicherlich ähnliche Techniken beim Abhören von verschlüsseltem Morse-Verkehr ([siehe Keystroke Dynamics im Wiki] (https://en.wikipedia.org/wiki/Keystroke_dynamics#Origin_of_Keystroke_Dynamics) und [Notizen zu einer Abhörstation] (http://www.harpenden-history.org.uk/page_id__103.aspx)).
Der einzige Nachteil dieses Systems ist, dass ich gerade mein Arbeitspasswort geändert habe.Ich schreibe es jetzt langsam und absichtlich, während ich es lerne.In ein oder zwei weiteren Wochen werde ich ein neues Muskelgedächtnis entwickelt haben und es viel schneller tippen können.Die Dynamik von Tastenanschlägen würde erfordern, dass ich die nächsten 90 Tage daran arbeite, bis ich sie wieder ändere. Das wäre sehr, sehr irritierend und würde das Surfen auf der Schulter erleichtern.
Der richtige Weg, dies zu verwenden, wie bei jedem * zusätzlichen * biometrischen Marker, besteht darin, ein Konfidenzniveau aufzuzeichnen, dass die Person, die auf das System zugreift, die Person ist, die sie darstellt, die sie sind.Wenn das Vertrauen unter einen bestimmten Schwellenwert fällt, benachrichtigen Sie ihn über einen vorgewählten Kommunikationskanal (z. B. E-Mail), dass Bedenken bestehen, dass jemand, der nicht autorisiert ist, auf seine Anmeldeinformationen zugegriffen hat (zum Zeitpunkt x über System y, damit er feststellen kann, ob dies der Fall ist)kann sie gewesen sein).Es wäre für die meisten Zwecke abstoßend, aber ich wäre in Ordnung, wenn (sagen wir) meine Bank das tun würde.
@CJDennis: Sie denken wahrscheinlich an Geschichten, die alliierte Funkabfangsammler den Stil verschiedener deutscher Funker erkennen könnten.Das Senden von Morsecode * sendet * Ihre Telegraphen-Tastenanschläge buchstäblich über das Radio.Das individuelle Muster eines Bedieners ist als "Hand" bekannt, und dies würden alliierte Zuhörer erkennen, um herauszufinden, welche Übertragung vom selben Ort wie eine vorherige kam.(Funknachrichten werden nicht mit Quelladress-Headern geliefert).(Ich konnte leider nichts über "Hände" googeln; ich erinnere mich, dass ich es in einem Buch gelesen habe.)
@FreeMan Es gibt verschiedene Möglichkeiten, den Schwellenwert zu erstellen.Wie bei OP habe ich vor Jahren damit experimentiert und festgestellt, dass zumindest für mich die Länge der Pausen zwischen Zeichen proportional zwischen der langsamen Eingabe eines neuen Kennworts und der schnellen Eingabe eines alten Kennworts skaliert.Wenn dies auch für Sie zutrifft und die Implementierung dies berücksichtigt, hätten Sie dieses Problem nicht.
@PeterCordes Ich denke, Sie denken an die * Faust * eines Bedieners.Die Leute verfolgen nicht nur absichtlich die Fäuste feindlicher Agenten, sondern lernen auch die Faust derer kennen, mit denen sie regelmäßig kommunizieren (oder die sie mithören), genauso wie die Stimme von jemandem, mit dem sie oft gesprochen haben, oder die Handschrift von jemandem, mit dem sie oft korrespondiert habenmit durch kursiv.Ebenso kann man eine gute oder schlechte Faust haben, genauso wie man eine gute oder schlechte Diktion oder Handschrift haben kann.
Ja, danke.Jemand anderes hat mich bereits an den richtigen Begriff erinnert, aber Moderatoren scheinen unsere Kommentare gelöscht zu haben, anstatt sie zum Chatten mit einem Link zu verschieben.Jetzt gibt es also nur noch die unvollständigen / falschen./Seufzer.
@Samthere Ich habe das Feld benannt und angegeben, wie es verwendet werden kann, um die Sicherheit des Passworts zu erhöhen, was gefragt wurde.98 Leute fanden meine Antwort in Ordnung, einschließlich Moo-Juice.Jeder hat jedoch eine Meinung.
@CJDenis - IIRC In Philip Kahns Kapitel Codebreakers, One Day of Magic wird erwähnt, dass die japanische Flotte, die zum Angriff auf Pearl Harbor segelt, ihre üblichen Funker in den heimischen Gewässern zurückgelassen hat, um so zu tun, als sei die Flotte noch da.
@Izkata Ich bezweifle, dass dies zutrifft, wenn Sie zu einer Tastatur mit einem anderen Layout wechseln (z. B. qwerty / qwertz).Ich musste das erst gestern erleiden und ich vermute, dass es jede übliche Schreibdynamik völlig gebrochen hat
#2
+87
Ben
2016-04-29 01:16:15 UTC
view on stackexchange narkive permalink

Ich denke, es wäre sehr, sehr ärgerlich, legitime Benutzer Ihrer Anwendung oder Website zu legitimieren. Dinge wie ein gebrochener Finger oder das Halten eines Sandwichs in einer Hand würden Ihr Login unbrauchbar machen. Darüber hinaus sollten Sie die Verwendung von Kennwortmanagern empfehlen, die entweder extrem schnell Tastenanschläge senden oder überhaupt keine Tastenanschläge senden. Ihr Schema würde wahrscheinlich verhindern, dass selbst die besten Passwortmanager funktionieren.

Und mehr Angriffe werden wahrscheinlich eher automatisiert als manuell ausgeführt, da die Eingabe eher einem Passwort-Manager ähnelt, der das Passwort eingibt ...
Ein Passwort-Manager könnte zwar immer ein zufälliges Tastendruck-Eingabemuster generieren, aber das löst das Problem der Sandwichhalter nicht.
Hinzu kommt das Problem der verschiedenen Eingabegeräte.Ich wette, die meisten Leute geben auf ihrem Laptop, Handy, Tablet oder Xbox sehr unterschiedliche Geschwindigkeiten ein.
@dirkk - sie tun es. Jeder verwendet eine Vielzahl von Geräten, und obwohl dieses Thema interessant ist, ist es letztendlich fehlerhaft, da die Leute unterschiedliche Eingabegeräte für Passwörter verwenden.Eine nette Idee, vielleicht als zweiter Faktor oder so.
@dirkk Und dann haben Sie die Leute, die zu alternativen Layouts wie Dvorak wechseln, die entweder das richtige Passwort oder das richtige Timing erhalten, aber nicht beide, wenn Sie einen anderen Computer mit Standardlayout verwenden.
Oder selbst wenn es sich um eine Standardtastatur handelt, aber nicht um Ihre eigene, kann Ihr Timing beeinflusst werden.Ich bin eine 80-wpm-Schreibkraft mit einem perfekten Setup.Ich bin auf meinem Laptop bei weitem nicht so gut, obwohl ich besser bin, wenn ich eine externe Tastatur anschließe, die meinem Hauptsystem ähnelt - aber selbst dann wirkt sich die nicht ideale Positionierung dieser Tastatur auf meine Eingabe aus.
Ein "Sandwich", klar.
Es könnte verwendet werden, um Brute-Force-Versuche herauszufiltern.Das heißt,wenn die Tasten unmenschlich schnell gedrückt werden.Recht?
Einige nicht menschliche Eingaben sind jedoch gültig und Sie sollten sie NICHT herausfiltern.Siehe meinen Punkt über Passwort-Manager.
#3
+38
Robert Mennell
2016-04-29 02:17:29 UTC
view on stackexchange narkive permalink

Hier gibt es einige gute, einige schlechte und einige WIRKLICH hässliche.

Das Gute
Es erhöht die Entropie von Passwörtern und erschwert die brutale Gewalt

The Bad
Es basiert auf etwas, das hörbar aufgezeichnet und zeitgesteuert werden kann und Fehlertoleranzen benötigt, was bedeutet, dass etwas nur nahe genug sein muss, um diesen Streit zu machen

Die WIRKLICH hässlichen
Menschen verändern sich im Laufe der Zeit. Aus einer Vielzahl von Gründen (Verletzung, Alter, Vergessen, wie das Muster abläuft) können sie es möglicherweise nicht mehr mit derselben Geschwindigkeit und Häufigkeit oder innerhalb von Toleranzen eingeben, und dann beeinträchtigt dies tatsächlich die Fähigkeit eines Benutzers, den Dienst zu nutzen

Obwohl es eine coole Idee und ein interessantes Feld ist, ist es für den Menschen wirklich nur schwierig, die Entropie des Passworts aufrechtzuerhalten. Schlimmer noch, es ist einfach, das Muster mit Maschinen neu zu erstellen. Dies erschwert das Hacken ohne vorherige Kenntnis der Person oder des Musters, kann jedoch auch die Erfahrung eines Benutzers mit Ihrem Dienst im Laufe der Zeit verschlechtern und das Sammeln lokaler Informationen über die Kennwortentropie erleichtern.

Aber das sind alles ähnliche Vor- und Nachteile für jede biometrische, richtig?
Schließen.Das Problem ist, dass dies nicht nur Bio-Metriken sind, sondern auch Audio-Metriken (Klangmuster).Bio-Metriken sind dort besser, weil man sie sehen muss, um sie aufzuzeichnen.Dies muss nur für das Timing-Muster in der Nähe sein.
Es bringt zwar eine wirklich coole Entropie in das Passwort, aber das ist einfach, ohne zunächst ein zusätzliches System hinzuzufügen, indem man nur die Länge oder den Zeichensatz erhöht.
"Leicht abzufangen / zu replizieren" und "leicht zu vergessen" sind so ziemlich zwei der schlechtesten Funktionen für ein Passwort.
Um es WIRKLICH HÄSSLICH hinzuzufügen: Ich gebe mein Passwort oft langsam ein, wenn es sich nicht anmeldet, und ich bin sicher, dass ich das richtige verwende, was mich zu der Annahme führt, dass ich eine Taste falsch drücke.
Sie können auch ein mobiles Gerät neben der Tastatur lassen, um das Muster zu erfassen.https://www.ted.com/talks/avi_rubin_all_your_devices_can_be_hacked?language=de, ungefähr 12:55.
#4
+18
user1717828
2016-04-29 03:28:40 UTC
view on stackexchange narkive permalink

ob es heutzutage eine praktikable Ergänzung zur Sicherheit war

Der einzige Grund, warum ich es nicht für realisierbar halte, ist, dass sich Leute heutzutage von so vielen verschiedenen Geräten aus anmelden . Ich kann Ihnen versprechen, dass es keine Korrelation mit dem Rhythmus gibt, mit dem ich mein Passwort auf meinem Hauptarbeitsdesktop und der Swype-Tastatur auf meinem Tablet eingebe.

Sogar Laptop oder Desktop, oder Sie verwenden ein anderes Tastaturlayout (arbeiten auf Englisch, persönliches System in einer anderen Sprache oder Sie mögen dvorak).
Stehen Sie mit Ihrem Telefon im Bus und sitzen Sie an Ihrem Schreibtisch vor dem PC
Im Übrigen habe ich verschiedene Maus- / Tastaturkombinationen für dasselbe Gerät (Laptop).Wenn ich auf Reisen bin, benutze ich eine Minitastatur oder sogar die, die in den Laptop eingegossen ist. Wenn ich bei der Arbeit an meinem Schreibtisch bin, habe ich ein anderes Tastatur- / Mausset als zu Hause usw. DieDas Timing meiner Tastenanschläge variiert entsprechend stark, zusätzlich zur Tageszeit (Koffein / müde) und Gawd weiß nur was noch.Die Dynamik von Tastenanschlägen ist nur eine grundsätzlich schlechte Wahl für ein Sicherheitsmerkmal.
#5
+13
goncalopp
2016-04-29 06:29:19 UTC
view on stackexchange narkive permalink

Ja, es ist sicherer. Ein zeitgesteuertes Kennwort mit 8 Zeichen ist so stark wie ein nicht zeitgesteuertes Kennwort mit einer Länge von ~ 9,5 Zeichen.

Dies wäre eine Form der Tastendynamik . Es ist seit einiger Zeit ein Bereich in der aktiven Forschung - obwohl Software, die auf einem Amiga ausgeführt wird, wahrscheinlich älter ist als das meiste davon!

Dafür gibt es ein Python-Paket, falls Sie experimentieren möchten in einer moderneren Sprache (Haftungsausschluss: Ich habe es geschrieben) .

Einige moderne Dienste verwenden diese Technik tatsächlich - wie Coursera, der sie verwendet Um sicherzustellen, dass die Person, die einen Test beantwortet, der tatsächliche Benutzer ist.


Lassen Sie uns ein wenig Theorie untersuchen, um Ihre Frage zu beantworten. Die üblichen Optionen für die menschliche Authentifizierung sind:

  • Etwas, das Sie wissen (Passwort, PIN-Code)
  • Etwas, das Sie haben (Handy, Hardware) Token, Smartcard)
  • Etwas, das Sie sind (Fingerabdruck, Iris, Gang). Normalerweise Biometrie.

Die Dynamik von Tastenanschlägen gehört zur dritten Kategorie. Gute Authentifizierungssysteme setzen normalerweise mehr als eines davon voraus. Bei Verwendung von zwei verschiedenen Systemen wird dies allgemein als Zwei-Faktor-Authentifizierung bezeichnet.


In der Regel weist die Biometrie einige Einschränkungen auf: :

  • Sie können sich im Laufe der Zeit ändern. Ihr Tippmuster ändert sich mit der Tageszeit, Ihrer Stuhl- und Schreibtischhöhe, der verwendeten Tastatur und vielen anderen Faktoren.
  • Sie können unwiederbringlich verloren gehen. Wenn Sie einen Finger verlieren, können Sie sich nie authentifizieren.

In Ihrem Design wird jedoch keine herkömmliche Biometrie verwendet. Sie fordern den Benutzer auf, sich an ein Tippmuster zu erinnern. Dies würde in die erste Kategorie fallen ( etwas, das Sie wissen ), sodass Sie die hinzugefügte Sicherheit mithilfe von Entropie effektiv messen können.

Angenommen, Ihr System verfügt über zwei mögliche Tastendruckdauern (was Ihr Beispiel zu implizieren scheint), fügt dies ein Bit Entropie pro Zeichen hinzu. Dies würde ein zeitgesteuertes Kennwort mit 8 Zeichen ungefähr so ​​stark machen wie ein nicht langes Kennwort mit einer Länge von ~ 9,5 Zeichen. zeitgesteuertes Passwort.


Natürlich weist das Design im Vergleich zur biometrischen Tastenanschlagdynamik auch Mängel auf:

  • Die Tatsache, dass das Muster sehr charakteristisch ist, macht es möglich Es ist anfälliger für einen Angreifer mit einem Audiorecorder.
  • Da das Muster dem Benutzer bekannt ist, kann er gezwungen werden, es aufzudecken. Die herkömmliche Tastendynamik kann als implizite Authentifizierung verwendet werden.
"Dies fügt ein Bit Entropie pro Zeichen hinzu - daher würde ein zeitgesteuertes Passwort mit 8 Zeichen ungefähr so stark sein wie ein nicht zeitgesteuertes Passwort mit einer Länge von ~ 9,5 Zeichen."Das klingt falsch.Ein zusätzliches Bit pro Zeichen sollte Ihnen 8 zusätzliche Bits geben.Angenommen, Sie haben normalerweise 1,1 Bit / Zeichen, dann haben Sie ~ 8,8 + 8 = 16,8, was 15,2 Zeichen entspricht, nicht 9,5.Außerdem würde ich sagen, dass es nicht auf die Anzahl der Buchstaben ankommt, sondern auf die Anzahl der Intervalle zwischen den Buchstaben. Es wäre also 7, nicht 8, aber das ist weniger wichtig.
@FabioTurati Ich bin schlecht, weil ich meine Annahmen nicht angegeben habe :) ** Ich habe ein zufälliges Passwort mit einem Zeichensatz von 36 ** angenommen [das ergibt 5,17 Bit pro Zeichen] (https://en.wikipedia.org/wiki/Password_strength)#Random_passwords)."(5,17 * 8 + 8) / 5,17 ~ = 9,5".Ich bin mir nicht sicher, woher Sie die 1,1 Bits / Zeichen beziehen. Es klingt sehr leise - vielleicht für einen nicht zufälligen numerischen Pin?
Ah ich sehe.Ich dachte an typische englische Wörter und basierte auf [this] (http://what-if.xkcd.com/34/) ("Shannon stellte fest, dass der Informationsgehalt von typischem geschriebenem Englisch etwa 1,0 bis 1,2 Bit pro Buchstabe betrug") Ich hatte den Wert 1,1 Bit / Zeichen.Aber jetzt verstehe ich, was du meinst.Vielen Dank!
#6
+7
R.. GitHub STOP HELPING ICE
2016-04-29 02:50:58 UTC
view on stackexchange narkive permalink

Da dies grundsätzlich die Verwendung eines Kennwortmanagers ausschließt, der als Best Practices für die Kennwortsicherheit gilt, wird die Kennwortsicherheit nicht verbessert, sondern beeinträchtigt.

Es sollte mit einem blitzschnellen Passwort-Manager funktionieren, aber das wäre die * einzige * Möglichkeit, sich anzumelden
Was ist, wenn Sie es für das Passwort ** des Passwort-Managers verwenden?;)
Klingt nach einer großartigen Möglichkeit, sich von allem fernzuhalten.
@R .. Es macht Spaß, wenn das passiert;Sie können entweder die Verschlüsselung Ihres Passwort-Managers knacken oder sich Ihre Passwörter merken.Spaß Spaß Spaß.
@wizzwizz4: Bei ordnungsgemäßer Verwendung eines Passwort-Managers können Sie sich Ihre Passwörter nicht merken, da Sie sie von Anfang an nie gekannt / gesehen haben.Es sind alles lange zufällige Saiten.
@R .. Und mit einem richtigen Passwort-Manager können Sie die Verschlüsselung nicht knacken.Spaß Spaß Spaß.
#7
+5
TTT
2016-04-29 01:54:25 UTC
view on stackexchange narkive permalink

Es ist eine nette Idee, und der Nettoeffekt wäre eine Erhöhung der Passwortentropie. Angenommen, Ihr Schwellenwert beträgt 1/4 Sekunde und die maximale Pause beträgt 1 Sekunde. Irgendwann würden die Pausen in Bits umgewandelt, und dies würde den Passwortzeichensatz effektiv um das Vierfache erhöhen. z.B. Ein 80-Zeichen-Satz würde zu einem 320-Zeichen-Satz. Ein 10-stelliges Passwort mit 80 möglichen Zeichen wäre durch die Umsetzung Ihrer Idee 1 Million Mal schwieriger zu erzwingen. Eine andere Möglichkeit zu sagen, dass Ihr 10-stelliges Passwort eher 13 oder 14 Zeichen entspricht.

In der Praxis besteht der Hauptvorteil darin, dass es für Menschen wahrscheinlich einfacher ist, sich an den Rhythmus eines Songs zu erinnern kombiniert mit 10 Zeichen, als es ist, sich an 14 Zeichen zu erinnern. Die besten Passwörter sind jedoch diejenigen, an die sich Menschen sowieso nicht erinnern können. Daher wäre es wahrscheinlich viel einfacher (für alle Beteiligten), Ihrem Passwort nur ein paar weitere Zeichen hinzuzufügen, um die gleiche Entropiezunahme zu erzielen.

Es würde wahrscheinlich die Entropie * verringern *, indem es schwierig oder unmöglich wird, einen Passwort-Manager zu verwenden.Ein Benutzer, der sich ein Kennwort merken und es konsistent eingeben muss, verwendet kein langes oder komplexes Kennwort.Der Entropie-Boost durch das Aufzeichnen des Tastatur-Timings eines 10-stelligen Passworts ist winzig im Vergleich zum Entropie-Verlust * durch das Ermutigen kürzerer Passwörter im Vergleich zu den sehr langen, sehr komplexen Passwörtern, die Passwort-Manager problemlos verarbeiten.
Du verstehst meinen Standpunkt falsch.Leute * werden * in einem solchen Kontext keine Passwort-Manager verwenden, und Sie würden ihre Verwendung aktiv entmutigen.Dies gilt insbesondere dann, wenn Sie einem Benutzer mitteilen, dass er ein Kennwort mit * x * Zeichen benötigt, dieses jedoch nur * y * Zeichen lang sein darf (wobei * x * <* y *), wenn er es manuell eingibt.Dies ist nicht zu erwähnen, auf welche vielen Probleme andere hingewiesen haben.
Ich möchte nicht hin und her gehen, weil wir beide bereits unsere Punkte gemacht haben.Ich glaube jedoch, dass Sie den Entropiewert der Timing-Informationen und die Rationalität der Benutzer erheblich überschätzen und gleichzeitig die Faulheit der Benutzer, die Schlamperei, mit der Benutzer Kennwörter auswählen, und die Herausforderungen bei der Implementierung eines solchen Systems auf eine Weise unterschätzen, die keine Ursachen hatgroße Probleme.
Nachdem wir mehr darüber nachgedacht haben, können wir diesen Kommentarthread bis auf Ihren ersten Kommentar löschen (ich werde meinen jetzt löschen).Meine Antwort hätte einfach sein sollen: Meine Antwort und die ursprüngliche Frage sprechen nicht von der Implementierung, sondern nur von der mathematischen Wirkung.Mein zweiter Absatz stimmt mit Ihnen überein: Wir sollten einen pw-Manager verwenden und warum sollten wir uns um Entwickler und Benutzer kümmern, wenn Sie dem Kennwort nur ein paar Zeichen hinzufügen und das gleiche Ergebnis erzielen können.
#8
+5
Jozef Woods
2016-04-29 18:37:39 UTC
view on stackexchange narkive permalink

Ich habe ein wenig in diesem und einigen verwandten Bereichen gearbeitet, und meine Antwort auf die Frage hängt davon ab, wie viel Zeit Sie haben:

Kurze Antwort: Ja, mit einem Aber.

Einfach ausgedrückt, wie Sie zuvor festgestellt haben, gibt es Ähnlichkeiten bei beobachteten Tastenanschlägen (oder anderen verhaltensbiometrischen Mustern). Diese können theoretisch für zusätzliche Sicherheit verwendet werden, aber die falsch-positiven und falsch-negativen Raten sind immer noch vergleichsweise hoch, sodass die Benutzerfreundlichkeit fraglich ist und es keine vorgefertigten Bibliotheken gibt, die ich als zuverlässig empfehlen würde.

Längere Antwort: Nein, mit einem jedoch.

Das Problem mit der Verhaltensbiometrie im Kontext der Sicherheit ist, dass sie nicht zu unseren aktuellen Modellen passt. Wenn Sie ein Passwort erhalten, ist es entweder richtig oder falsch. Wenn etwas Ihre Iris misst, ist es ein Match oder nicht. Es gibt keinen Spielraum oder Spielraum, die eine oder andere binäre Authentifizierung.

Verhaltensweisen tun dies nicht. Das Verhalten ändert sich je nach Tageszeit, Monatszeit und Wetter draußen. Sie können sagen, dass "dieses wie diese Person aussieht", aber es gibt keine abgeschnittene und trockene "Ja / Nein" -Reaktion, was sie bei der herkömmlichen Authentifizierung schlecht macht, insbesondere bei kurzen Stichprobengrößen wie Passwörtern. P. >

Auf der anderen Seite können viele Verhaltensanalysen gemessen werden (Netzwerknutzung, Tastenanschlag, Mausnutzung, Bewegung und eine Vielzahl anderer). Diese können kombiniert werden, um über einen längeren Zeitraum eine anhaltende Vertrauensanzeige zu erhalten. So könnten Sie sich beispielsweise auf Ihrem Computer anmelden und nicht auf Ihre Bank zugreifen, da Sie noch nicht überprüft wurden. Wenn Sie ein paar andere Dinge tun, die Sie tun müssen, arbeiten Sie eine Weile, und die Algorithmen geben einen guten Vertrauenswert zurück, und privilegierten Systemen wird Zugriff gewährt.

Im Wesentlichen sind die derzeit vorhandenen binären Authentifizierungsrouten nicht gut Geeignet für Verhaltensbiometrie, aber es gibt vielversprechende Möglichkeiten für eine vertrauensbasierte Authentifizierung.

#9
+4
Chris H
2016-04-29 13:25:18 UTC
view on stackexchange narkive permalink

Ein weiterer Grund für Nein: Angenommen, Ihr Benutzer gibt sein Kennwort gelegentlich falsch ein. Sie können es perfekt tippen, aber der Rest von uns hat manchmal dicke Finger. Sie werden es wahrscheinlich beim zweiten Versuch langsamer eingeben und Ihre Metriken vermasseln. Dies gilt insbesondere dann, wenn eine Zeitüberschreitung / Verzögerung erkennbar ist (Ratenbegrenzung oder nur ein langsamer Anmeldeserver), da sie nicht auf eine weitere Verzögerung warten möchten, die bereits durch die erste

gestört wurde
#10
+1
caveman
2016-04-29 09:11:38 UTC
view on stackexchange narkive permalink

Nennen wir diesen zeitgesteuerten Kennworteintrag .

Im Wesentlichen tun Sie Folgendes:

  • Der Versuch, die Kennwortentropie zu erhöhen.

Dies hat einige Nachteile, wie die Tatsache, dass sich Menschen ändern, und es könnte Sie nach einigen Jahren zurückbeißen.

Die Frage ist: Ist diese Methode der Steigerung Passwort Entropie lohnt sich? Um dies richtig zu beantworten, müssen Sie zuerst die Gesamtentropie messen messen, die durch die Eingabe eines zeitgesteuerten Kennworts erzielt wurde.

Ich würde argumentieren, dass Sie nicht viel Entropie gewinnen werden, da die meisten Menschen dies tun würden Verwenden Sie Tastaturen in der Regel ähnlich. Wenn Sie also wissen, dass die meisten Leute Tastaturen im Allgemeinen ähnlich verwenden, werden Sie wissen, dass es nicht viel Entropie (oder Informationen) gibt, wenn Sie die zeitgesteuerte Eingabe kennen.

Daher schlage ich Folgendes vor:

  • Zeitgesteuerte Passworteingaben sind das Risiko nicht wert.
  • Wenn Sie mehr Entropie benötigen, verwenden Sie einfach Passwörter mit höherer Qualität (länger mit mehr zufälligen Buchstaben).
"Die meisten Leute würden Tastaturen im Allgemeinen ähnlich verwenden." Haben Sie eine Referenz dafür?Ich würde erwarten, dass die Leute Tastaturen auf eine Weise verwenden, die sich deutlich unterscheidet.
Nein, es ist nur meine Beobachtung.Was ich beobachtet habe, ist, dass es einige Klassen von Tastaturverwendungsmethoden gibt.Ich würde mir höchstens 5 Klassen vorstellen, und es ist sehr wahrscheinlich, dass es auf eine Weise verteilt wird, die nicht einheitlich ist.Z.B.Einige Klassen haben eine riesige Benutzerbasis, während andere sich wenig rasieren.Wenn Sie also die Entropie messen, die durch diese 5 ungleichmäßig verteilten Klassen gewonnen wird, sollte sie weniger Entropie sein als nur das Hinzufügen von 2,3 Bits.
#11
+1
Dylan Larsen
2016-05-03 07:17:01 UTC
view on stackexchange narkive permalink

Es ist eine sehr coole Idee, aber wenn sie nicht korrekt implementiert wurde, wie alle anderen gesagt haben, würde sie nicht funktionieren, weil sich die Leute ändern und die Fehlertoleranz korrekt implementiert werden müsste.

Meine Eine gute Möglichkeit, dies zu implementieren, besteht darin, zu prüfen, ob der Benutzer sein Kennwort in einem bestimmten Zeitmuster eingibt. Wenn dies nicht der Fall ist und das Kennwort korrekt ist, können Sie diese Informationen verwenden, um die Anforderung etwas verdächtig erscheinen zu lassen und andere Dinge wie vielleicht den Benutzer bitten, einen Text auf sein Telefon zu bekommen, um sicherzustellen, dass es wirklich sie sind.

Die Vorteile: Der Benutzer gibt sein Passwort normal ein, wenn dies der Fall ist Ist die Zeit abgelaufen, können Sie zu sekundären Authentifizierungsmaßnahmen übergehen. Dies würde den Benutzer nur dann stören, wenn er es abnormal eingibt oder wenn jemand versucht, in sein Konto zu gelangen.

Die Nachteile: Es kann sich um falsch positive Ergebnisse handeln, die das Problem stören könnten Benutzer, der versucht, sich anzumelden, und die Zeiten können von jemandem gesehen und / oder aufgezeichnet werden, der über Ihre Schulter schaut.

#12
+1
Dennis Jaheruddin
2016-05-03 14:56:14 UTC
view on stackexchange narkive permalink

Ja, es kann funktionieren, wenn es richtig gehandhabt wird.

Die Vorteile liegen auf der Hand: Es ist für andere Personen schwieriger, sich mit Ihrem Passwort anzumelden. Das Erraten wird schwieriger, und selbst wenn jemand (einen Teil) Ihres Passworts hat, ist er noch nicht fertig.

Also werde ich auf die Bedenken eingehen:

Ja, Sie können sich trotzdem anmelden ein gebrochener Finger

Sicher, das Passwort kann "verloren" gehen, wenn Sie sich den Finger brechen. Dies kann jedoch behoben werden, indem ein (stärkeres) Hauptpasswort zur Verfügung gestellt wird. Wenn Sie jemals Umstände haben, die es Ihnen nicht ermöglichen, Ihr Rhythmus zu behalten, können Sie immer das Hauptkennwort verwenden, um einzusteigen. (Und das Rhythmus bei Bedarf ändern.)

Ja, Sie können immer noch mehrere Geräte verwenden

Offensichtlich haben verschiedene Arten von Geräten unterschiedliche Rhythmen, aber wenn Sie sie häufig verwenden, sollte der Rhythmus pro Gerät stabil genug sein. Auf diese Weise können Sie Benutzern erlauben, mehrere gültige Rhythmen zu haben.

Ja, Sie können weiterhin Kennwortmanager verwenden.

Natürlich können Kennwortmanager erstellt werden, um sowohl den Rhythmus als auch die Tastenanschläge zu senden. Obwohl dies eine Herausforderung sein kann, kann es sehr einfach sein, das oben genannte Hauptkennwort zu verwenden, wenn Sie sich mit dem Kennwortmanager anmelden.

#13
  0
T.S
2016-04-30 16:44:57 UTC
view on stackexchange narkive permalink

Anstatt es den Benutzer brutal blockieren / zulassen zu lassen, könnten Sie es die Methode des Benutzers über einen Zeitraum von 10 bis 20 Anmeldungen "lernen" lassen und den Median mit einem geringen Zeitrahmen nehmen.

Normal Login: - Passwort + Zwei-Faktor-Login per App / SMS / E-Mail-Link

Nach einer Weile kennen Sie sein Muster und können dem Benutzer die Option geben, die zusätzliche Sicherheit zu aktivieren und dann den Betrag zu senken Oft muss er sich mit dem Zwei-Faktor-Login anmelden. (unter der Annahme, dass dieselbe IP verwendet wurde)

Wenn die hinzugefügte Sicherheit aktiv ist, können Sie dem Benutzer erlauben, sich nur mit dem Kennwort anzumelden, solange die IP-Quelle identisch ist. Geben Sie ihm eine einfachere / schnellere Anmeldemethode. Wenn Sie feststellen, dass der Benutzer seine Anmeldegeschwindigkeit stark von früheren Registrierungen abweicht, können Sie erneut nach der Zwei-Faktor-Anmeldung fragen und die Liste aktualisieren. (Nehmen Sie immer den Median über 5 Anmeldeversuche, um die Extreme zu beseitigen)

#14
  0
Chris Johns
2016-05-03 04:39:50 UTC
view on stackexchange narkive permalink

Ich denke, dass dies das größte Potenzial für Situationen hat, in denen häufig ein Kennwort verwendet wird und die Eingabe keine große Anzahl von Zeichen zulässt. Ein naheliegendes Beispiel wäre so etwas wie ein Türöffnungscode. Dies hat auch den Vorteil, dass jemand, der den Code selbst über die Schulter sehen kann, den richtigen Rhythmus finden muss. Auf diese Weise können Sie auch mehr Entropie aus einem sehr einfachen Eingabegerät herausholen.

Sie können sich sogar eine Situation vorstellen, in der es nur eine Taste gibt und deren Rhythmus die einzige Eingabe ist, schließlich handelt es sich um eine digitale Version des "geheimen Klopfens".

Wenn nichts anderes, hat dies möglicherweise einen neuen Wert für Sicherheitsanwendungen mit niedrigem Level und möglicherweise sogar eine ernstere Nische für professionelle Musiker, von denen erwartet wird, dass sie ein sehr genaues Timing-Gefühl haben.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...