Soru:
Tuş vuruşu zamanlaması bir parolanın güvenliğini artırabilir mi?
Moo-Juice
2016-04-29 00:31:32 UTC
view on stackexchange narkive permalink

Gençken ve 20 yıl önce yazılım geliştirme kariyerime yeni başladığımda, Amiga'ma bir parola alan ancak aynı zamanda (belirli bir eşik dahilinde) hızı kaydeden küçük bir kod yazdım. bu, bir şifrenin her harfinin yazıldığı anlamına geliyordu.

Bu, kullanıcının yalnızca doğru şifreyi yazmak zorunda kalmadığı, aynı zamanda tuşlara basma zamanını da yapması gerektiği anlamına geliyordu. Bunu test etmek için kafamda bir ritim var ve her seferinde parolayı tutarlı bir şekilde yeniden yazabilirdim. Ancak, düzenli olarak veya yavaş yazarsam kabul edilmedi.

Güvenlik uzmanı değilim (şükürler olsun ki programlamam daha az zor alanlarda yatıyor), ancak aniden o programı düşündüm Gençken ve bu günlerde güvenliğe uygun bir katkı olup olmadığını veya düşünmeye bile değip değmeyeceğini yazdım.

Dokun - Taptaptap - TapTap - Dokun .

Olası endişe: erişilebilirlik.
Ücretsiz / ücretli üniversite düzeyinde kurslar sunan bir site olan coursera.com, sınava doğru kişinin girdiğinden emin olmak için bunu her sınavdan önce yapar.Parolalar paylaşılabilir, anahtar zamanlamaları _ (her halükarda kolay değil) _
Müzisyenler için iyidir ve askeri sınıf sırları güvende tutar, günlük kullanım için kötüdür.
Sık sık parolalarımı yalnızca tek elle yazdığım ve ayrıca oturum açma başarısız olduğunda yavaşladığım ve hata yapmadığımdan ekstra emin olduğum için kesinlikle hayal kırıklığımı artıracaktı.Ayrıca qV519 [YW; BAZE * qvjj11 kolay kolay bir ritme uymaz;) Oh ve elbette şifre yöneticileri.
Aslında böyle bir sistemi makine öğrenimi kullanarak uyguladım, ancak şifreler gibi kısa girdiler için çok güvenilmez olduğunu gördüm.Bununla birlikte, daha fazla girdi verildiğinde (örneğin daha uzun bir facebook gönderisi) oldukça doğru olabilir (% 95'e kadar algılama oranı).Dolayısıyla, bir oturum açma sonrasında * güvenliği artırmak için kullanılabilir, ör.Yetkisiz birinin bilgisayarı kullanmaya başlayıp başlamadığını kontrol etmek için.Daha sonra emin olmak için şifreyi tekrar isteyebilirsiniz.
KeePass, bu sitede zaman zaman geziniyor musunuz?Umarım benim doğal yazımı taklit etmek için bir tuş vuruşu algoritması uygulamaya hazırsınızdır.KeyPass bu özelliği uyguladığında (büyük olasılıkla), KeePass'ın taklit etmesi için herhangi bir tutarlılıkla `` 0 '=) 4S-, 5nB? # M76It "1"}? # C` yazmam gerekiyor mu?
Problemler: 1) kullanıcı bunu önceden bilmeli 2) yazma hızı ** zamanla değişiyor **: rastgele bir şifreniz varsa ilk seferinde oldukça yavaş yazacaksınız ama bir süre sonra kas gücüne geçiyor.bellek ve oldukça hızlı yazabilir.3) Bir parmağımı / kolu kırarsam ve bazı günler / haftalar aynı zamanlamayı elde edemezsem ne olur?4) Tüm KeePass kullanıcıları (veya diğer şifre yöneticisi araçları) aynı görünecektir ... bu durumda şifreler büyük olasılıkla kendi başlarına yeterince güçlü olduğundan muhtemelen bir problem değildir.5) Omuz sörfü daha kolay hale gelebilir.
Yazacak tek elim olduğunda ya da gerçekten hasta / yorgun olduğumda ne olur?İçeri giremiyorumGüzel!
Mobil cihazımdan giriş yapmak istediğime ve gerçek bir klavye kullanmadığıma karar verene kadar harika çalışıyor ...
@BlueRaja Yani bir sınavdan önceki gün hentbol oynarken elimi incitirsem, hile yapan olarak mı işaretleneceğim yoksa giriş yapamayacak mıyım?Bu, hile yapmak isteyen insanlar tarafından atlatılması önemsiz olan korkunç bir fikir gibi geliyor (cehennem birçok klavye kutudan böyle bir işlevsellik sunuyor; aynı şeyi yapan kod yazmak yarım saatten fazla sürer).
@MathieuK.Bu, parolalarla ilgili bir sorun.Ekranda ne olduğunu ve / veya ne yazdıklarını okumak için ekran okuyucu yazılım kullanan bazı kör kullanıcılar tanıyorum ve şifreler "yıldız işareti yıldız işareti yıldız işareti ..." olarak okunuyor.Parolaları yazmayı başarırlar, ancak parola karmaşıksa veya anahtarların nerede olduğunu bilmiyorlarsa zaman alıcıdır.
PC klavyesi, dizüstü bilgisayar klavyesi ve akıllı telefon klavyesi benim durumumda kesinlikle farklı parolalar oluşturacaktır.
Güvenli hale getirmek için _ imkansız olan bu istemci tarafını uygulamanız gerektiğinden bahsetmiyorum bile.Bunu FDE şifreniz olarak kullanıyorsanız, basitçe önyükleyicinizi değiştirebilirim (FDE'ye sahipseniz önyükleme sırasında size sunulan şey temelde kaba kuvvet istemidir) ve bir web sitesindeyseniz daha da kolay.
Parolalarımı arada bir değiştirdiğim için (herkes arada bir parolasını değiştirmelidir), yazma hızım parolanın yaşına göre değişiyor.Kendime tekrar yeni bir şifre alana kadar daha hızlı ve daha hızlı.Anahtar hızı, ortalama metin parçaları için işe yarar, ancak şifreler gibi ezberlediğiniz şeyler için geçerli değildir.
Genel bir buluşsal yöntem olarak kullanılırsa, bu benim en etkili omuz üzerinden şifre güvenlik tekniğimi engelleyecektir: Girerken, kullanılan tuş vuruşlarımın yüksek bir değişkenliğe sahip olması için qwerty ve Dvorak düzenleri arasında rastgele geçiş yapacağımonları.Tuş vuruşlarının kadansı, tuşların göreceli konumlarına yüksek bir bağımlılığa sahiptir çünkü her tuş için kullanılan parmaklar ve her tuş geçişi için etkinleştirilen tendonlar düzenler arasında farklılık gösterecektir.
Bunun kabul edilebilir bir uygulama olabileceği tek yol, girişin zor bir engeli olmaması, ancak tuş vuruşu modelinin alışkanlık verilerinin eşiğini karşılamaması durumunda hesap sahibini bilgilendirmek için bir tetikleyici olması olabilirdi."{14:56} {20160503} tarihinde şüpheli bir giriş algılandı" tetiklemek için kullanılmışsa.bana e-posta gönder, bu kabul edilebilir, özellikle sistemdeki bilgiler kişisel bilgilerimi veya finansal verilerimi içeriyorsa.Bir içki alırken veya başka bir makineyi çalıştırırken tek elle oturum açıyor olsaydım, uyarıyı görmezden gelebilir, ancak yine de yasal erişim elde edebilirdim.
İkinci faktör olarak * gizli vuruş * isteyebilirsiniz.
Tarayıcıların parola alanlarını kaydedip otomatik olarak doldurması da sorun yaratabilir.
On dört yanıtlar:
schroeder
2016-04-29 01:55:00 UTC
view on stackexchange narkive permalink

Aradığınız terim " tuş vuruşu dinamikleri" veya "tuş vuruşu biyometrisi" dir ve ilginç ve büyümekte olan bir alandır.

Buradaki fikir, bir bireyin belirli anahtarları zaman içinde pek değişmeyen belirli bir şekilde yazmasıdır. Bu dinamikleri haritalayabiliyorsanız, potansiyel olarak şifreleri tamamen ortadan kaldırabilir ve kullanıcının herhangi bir şey yazmasını sağlayabilirsiniz.

İkinci Dünya Savaşı sırasında Müttefik kuvvetlerin Alman mesaj odasında gizli bir mikrofonla Almanları gözetlediğini duydum.Operatörlerin konuşması yasaktı, ancak Müttefik kod çözücüler gerçekte hangi operatörün yazdığını ve mesajlarının çoğunu yalnızca yazdıklarının sesiyle tanıyorlardı!Gerçek kimliklerini bilmedikleri için her operatöre bir takma ad verdiler.
@CJDennis Kulağa mantıklı geliyor.Bu tür saldırılar günümüzde bile hala kullanılmaktadır.Örneğin: SSH oturumlarının tuş vuruşlarını zamanlayın (yalnızca ağ trafiği anlarını zamanlayarak, gerçek içerikleri değil) ve bunları kurbanınızın ortak yazma modelleriyle karşılaştırın ... veya sıfırdan analiz etmeye başlayın.
@CJDennis Şifrelenmiş Mors trafiğini dinlerken kesinlikle benzer teknikler kullandılar ([Wiki'de Keystroke Dynamics'e bakın] (https://en.wikipedia.org/wiki/Keystroke_dynamics#Origin_of_Keystroke_Dynamics) ve [dinleme istasyonundaki notlar] (http://www.harpenden-history.org.uk/page_id__103.aspx)).
Bu sistemin tek dezavantajı, iş parolamı yeni değiştirmiş olmam.Şimdi öğrenirken yavaşça ve kasıtlı olarak yazıyorum.Bir veya iki hafta sonra, yeni kas hafızası geliştirmiş olacağım ve çok daha hızlı yazabileceğim.Tuş vuruşu dinamikleri, onu tekrar değiştirene kadar önümüzdeki 90 gün boyunca üzerinde çalışmamı gerektirecek ve bu çok, çok rahatsız edici ve omuzda sörf yapmayı kolaylaştıracak.
Herhangi bir * tamamlayıcı * biyometrik belirteçte olduğu gibi, bunu kullanmanın doğru yolu, sisteme erişen kişinin temsil ettiği kişi olduğuna dair bir güven düzeyini kaydetmektir.Güven bir eşiğin altına düşerse, önceden seçilmiş bir iletişim kanalıyla (e-posta gibi) onları yetkisiz birinin oturum açma bilgilerine erişmiş olabileceğine dair bazı endişeler olduğu konusunda onları uyarın (x zamanında sistem y yoluyla, böylece bunun olup olmadığını belirlemenin bir yolu vardır.onlar olabilir).Çoğu kullanım için çıkış olur, ancak (söyleyin) bankam bunu yaparsa sorun olmaz.
@CJDennis: Muhtemelen, müttefik radyo dinleme toplayıcılarının farklı Alman radyo operatörlerinin tarzını tanıyabileceği hikayeler düşünüyorsunuz.Mors Kodu * göndermek, * telgraf tuş vuruşlarınızı tam anlamıyla radyo üzerinden yayınlamaktır.Bir operatörün bireysel modeli "eli" olarak bilinir ve bu, Müttefik dinleyicilerinin hangi iletimin bir önceki ile aynı yerden geldiğini anlamaya yardımcı olması için fark edeceği şeydir.(Radyo mesajları kaynak adres başlıklarıyla gelmez).(Maalesef "eller" hakkında hiçbir şeyi Google'da arayamadım; onu bir kitapta okuduğumu hatırlıyorum.)
@FreeMan Eşiği oluşturmanın çeşitli yolları vardır.OP gibi, bunu yıllar önce denedim ve en azından benim için karakterler arasındaki duraklamaların uzunluğunun, yeni bir şifreyi yavaşça yazmakla eski bir şifreyi hızlıca yazmak arasında orantılı olarak ölçeklendiğini keşfettim.Yani bu sizin için de doğruysa ve uygulama bunu açıklasa, bu sorunu yaşamazdınız.
@PeterCordes Bir operatörün * yumruğunu * düşündüğünüzü düşünüyorum.İnsanlar, düşman ajanlarının yumruklarını kasıtlı olarak takip etmenin yanı sıra, tıpkı sık konuştukları birinin sesi ya da sık sık yazıştıkları birinin el yazısıyla olduğu gibi, düzenli olarak iletişim kuranların (ya da dinleyenlerin) yumruğunu öğrenecekler.el yazısı ile.Aynı şekilde biri iyi ya da kötü bir diksiyon ya da el yazısına sahip olabileceği gibi iyi ya da zayıf bir yumruğa sahip olabilir.
Evet, teşekkürler.Başka biri bana zaten doğru terimi hatırlattı, ancak moderatörler yorumlarımızı bir bağlantıyla sohbete taşımak yerine silmiş görünüyor.Öyleyse şimdi sadece eksik / düzmece olanlar var./iç çekmek.
@Samthere Alana isim verdim ve şifrenin güvenliğini artırmak için nasıl kullanılabileceğini sağladım, sorulan buydu.Moo-Juice dahil 98 kişi cevabımın iyi olduğunu düşündü.Yine de herkesin bir fikri var.
@CJDenis - IIRC Philip Kahn'ın Codebreakers, One Day of Magic bölümünde, Pearl Harbor'a saldırı için yelken açan Japon filosunun, filonun hala oradaymış gibi davranmak için her zamanki radyo operatörlerini ev sularında bıraktığından bahsediliyor.
@Izkata Farklı bir düzene sahip bir klavyeye geçerseniz (örneğin, qwerty / qwertz) doğru olduğunu sanmıyorum.Bundan daha dün acı çekmek zorunda kaldım ve olağan yazım dinamiklerini tamamen bozduğundan şüpheleniyorum.
Ben
2016-04-29 01:16:15 UTC
view on stackexchange narkive permalink

Uygulamanızın veya web sitenizin yasal kullanıcıları için çok çok can sıkıcı olacağını düşünüyorum. Kırık bir parmak veya bir elinizde bir sandviç tutmak gibi şeyler, giriş bilgilerinizi kullanılamaz hale getirir. Ek olarak, tuş vuruşlarını çok hızlı gönderecek veya tuş vuruşlarını hiç göndermeyecek parola yöneticilerinin kullanılmasını teşvik etmelisiniz. Planınız muhtemelen en iyi şifre yöneticilerinin bile çalışmasını engelleyecektir.

Ve daha fazla saldırı, muhtemelen manuelden ziyade otomatikleştirilmiştir, çünkü bu tür girişlerin, şifreyi giren bir şifre yöneticisine benzemesi daha olasıdır ...
Bir şifre yöneticisi her zaman rastgele bir tuş vuruşlu giriş modeli oluşturabilir, ancak bu sandviç tutucular sorununu çözmez.
Üstelik farklı giriş cihazları sorunu da var.Bahse girerim çoğu insan dizüstü bilgisayarlarında, cep telefonlarında, tabletlerinde veya Xbox'larında çok farklı hızlarda yazar.
@dirkk - yaparlar .. herkes çok çeşitli cihazlar kullanır ve bu konu ilginç olsa da, insanların şifreler için farklı giriş cihazları kullanacak olması nedeniyle sonuçta kusurludur.Yine de güzel bir fikir, belki 2. faktör veya başka bir şey olarak ..
@dirkk Ve sonra Dvorak gibi ya doğru parolayı VEYA doğru zamanlamayı alacak, ancak standart düzene sahip farklı bir makine kullanırken ikisini birden alamayacak alternatif düzenlere geçiş yapan kişiler var.
Ya da standart bir klavye olsa bile, ancak kendi zamanlamanız etkilenebilir.Mükemmel bir kurulumda 80 wpm'lik bir daktiloyum.Dizüstü bilgisayarımda neredeyse o kadar iyi değilim, ancak ana sistemime benzeyen harici bir klavye takarsam daha iyi olurum - ama o zaman bile klavyenin idealden daha az konumlandırılması yazmamı etkileyecektir.
Bir "sandviç", riiiiight.
Kaba kuvvet girişimlerini filtrelemek için KULLANILABİLİR.Yanituşlara insanlık dışı bir şekilde hızlı basılırsa.Sağ?
Bazı insan dışı girdiler de geçerlidir ve bunları filtrelememelisiniz.Parola yöneticileriyle ilgili düşünceme bakın.
Robert Mennell
2016-04-29 02:17:29 UTC
view on stackexchange narkive permalink

Burada bazıları iyi, bazıları kötü ve bazıları GERÇEKTEN çirkin var.

İyi
Parola entropisini artırır ve kaba kuvvet yapmayı zorlaştırır

Kötü
Sesli olarak kaydedilebilen ve zamanlanabilen bir şeye dayanır ve hata toleransları gerektirir, yani bir şeyin yalnızca bu tartışmayı ortaya çıkarmak için yeterince yakın olması gerekir

GERÇEKTEN çirkin
İnsanlar zamanla değişir. Çok sayıda nedenden dolayı (yaralanma, yaş, modelin nasıl gittiğini unutmak) artık aynı hız ve frekansta veya toleranslar dahilinde giremeyebilirler ve bu durumda kullanıcının hizmeti kullanma yeteneğine gerçekten zarar verir

Yani, güzel bir fikir ve ilginç bir alan olsa da, bir insan için parola üzerinde entropiyi sürdürmek gerçekten zor. Daha da kötüsü, kalıbı makinelerle yeniden oluşturmak kolaydır. Kişi veya kalıp hakkında önceden bilgi sahibi olmadan hacklemeyi zorlaştıracak, ancak aynı zamanda bir kullanıcının hizmetinizle ilgili deneyimini zaman içinde kötüleştirebilir ve şifre entropisi hakkında yerel bilgi toplamayı kolaylaştırabilir.

ama bunların hepsi herhangi bir biyometrik için benzer artılar / eksiler, değil mi?
Kapat.Sorun şu ki, bu sadece biyo-metrikler değil, aynı zamanda ses ölçümleri (ses modelleri).Biyo metrikler orada daha iyidir çünkü onları kaydetmek için görmeniz gerekir.Bu sadece zamanlama düzeni için yakın olmalı.
Yine de şifreye gerçekten harika bir entropi getiriyor, ancak sadece uzunluğu veya karakter kümesini artırarak ilk etapta fazladan bir sistem eklemeden bunu yapmak kolaydır.
"Kesilmesi / kopyalanması kolay" ve "unutulması kolay", bir parola için en kötü iki özelliktir.
GERÇEKTEN ÇİRKİN'ye eklemek için: Oturum açmadığında genellikle parolamı yavaşça yazıyorum ve doğru olanı kullandığımdan eminim, bu da beni bir tuşa eksik bastığımı düşünmeye sevk ediyor.
Deseni yakalamak için klavyenin yanında bir mobil cihaz da bırakabilirsiniz.https://www.ted.com/talks/avi_rubin_all_your_devices_can_be_hacked?language=en, yaklaşık 12:55.
user1717828
2016-04-29 03:28:40 UTC
view on stackexchange narkive permalink

bu günlerde güvenliğe uygun bir katkı olup olmadığı

Uygulanabilir olacağını düşünmememin tek nedeni, insanların bugünlerde pek çok farklı cihazdan giriş yapması . Ana çalışma masaüstümde parolamı yazdığım ritimle ve tabletimdeki Swype klavyesiyle hiçbir ilgisi olmadığına söz verebilirim.

Hatta dizüstü veya masaüstü bilgisayar veya farklı klavye düzeni kullanıyorsunuz (İngilizce çalışın, başka bir dilde kişisel sistem veya dvorak'ı seviyorsunuz).
Telefonunuzla otobüste ayakta durmak veya bilgisayarın önünde masanızda oturmak
Bu konuda, aynı cihaz (dizüstü bilgisayar) için farklı fare / klavye kombinasyonlarım var.Seyahat ederken, bir mini klavye kullanıyorum, hatta dizüstü bilgisayarda kalıplanmış olanı kullanıyorum, işte masamdayken, evde kullandığımdan farklı bir klavye / fare setim var vs.Tuş vuruşlarımdaki zamanlama, günün saatine (kafein / yorgun) ek olarak buna göre çılgınca değişiyor ve gawd yalnızca başka ne olduğunu biliyor.Tuş vuruşu dinamikleri, bir güvenlik özelliği için temelde zayıf bir seçimdir.
goncalopp
2016-04-29 06:29:19 UTC
view on stackexchange narkive permalink

Evet, daha güvenlidir. Bu, 8 karakterlik bir zamanlanmış şifreyi ~ 9,5 karakter uzunluğunda, zamanlanmamış bir şifre kadar güçlü hale getirir.

Bu, bir tuş vuruşu dinamikleri olabilir. . Bir süredir aktif bir araştırma alanıydı - bir Amiga üzerinde çalışan yazılım muhtemelen çoğundan önce olsa da!

Bunun için bir python paketi var, denemek isterseniz diye daha modern bir dilde (sorumluluk reddi: yazdım) .

Bazı modern hizmetler aslında bu tekniği kullanır - Coursera gibi, bir testi cevaplayan kişinin gerçek kullanıcı olduğundan emin olmak için.

Sorunuzu cevaplamak için biraz teori inceleyelim. insan kimlik doğrulaması için olağan seçenekler şunlardır:

  • Bildiğiniz bir şey (şifre, pin kodu)
  • Sahip olduğunuz bir şey (cep telefonu, donanım jeton, akıllı kart)
  • Olduğunuz bir şey (parmak izi, iris, yürüyüş). Genellikle biyometri.

Tuş vuruşu dinamikleri üçüncü kategoriye girer. Genellikle, iyi kimlik doğrulama sistemleri bunlardan birden fazlasına sahip olmaya dayanır. İki farklı sistem kullanıldığında, bu genellikle iki faktörlü kimlik doğrulama olarak bilinir.

Genellikle biyometri birkaç uyarı ile birlikte gelir :

  • Zamanla değişebilir. Yazma düzeniniz günün saatine, sandalyenize ve masanızın yüksekliğine, kullandığınız klavyeye ve diğer birçok faktöre göre değişecektir
  • Geri dönüşü olmayan bir şekilde kaybolabilir. Bir parmağınızı kaybetmeyi başarırsanız, asla kimliğinizi doğrulayamazsınız.

Bununla birlikte, tasarımınız geleneksel bir biyometrik kullanmıyor. Kullanıcıdan bir yazım kalıbını hatırlamasını istiyorsunuz. Bu ilk kategoriye girer ( bildiğiniz bir şey ), bu nedenle entropi kullanarak eklediği güvenlik miktarını etkili bir şekilde ölçebilirsiniz.

Sisteminizin iki olası tuşa basma süresine sahip olduğunu varsayarsak (örneğinizin ima ettiği gibi), bu karakter başına bir bit entropi ekler - böylece yaklaşık 9,5 karakter uzunluğunda bir 8 karakterlik zamanlanmış parola yapar. zamanlanmış şifre.

Elbette, biyometrik tuş vuruşu dinamikleriyle karşılaştırıldığında tasarımın da kusurları vardır:

  • modelin çok farklı olması gerçeği ses kaydediciye sahip bir saldırgana karşı daha hassastır
  • Model kullanıcı tarafından bilindiği için, onu ifşa etmeye zorlanabilir. Geleneksel tuş vuruşu dinamikleri, örtük kimlik doğrulama olarak kullanılabilir.
"Bu, karakter başına bir bitlik entropi ekler - böylece yaklaşık 9,5 karakter uzunluğundaki zamanlanmamış bir parola kadar güçlü olan 8 karakterli zamanlanmış bir parola oluşturur.Bu kulağa yanlış geliyor.Karakter başına ek bir bit size 8 ekstra bit vermelidir.Normalde 1.1 bit / karaktere sahip olduğunuzu varsayarsak, 9.5 değil, 15.2 karaktere eşdeğer ~ 8.8 + 8 = 16.8 olursunuz.Dahası, önemli olanın harf sayısı değil, harfler arasındaki aralıkların sayısı olduğunu söyleyebilirim, bu nedenle 8 değil 7 olacaktır, ancak bu daha az önemli.
@FabioTurati Varsayımlarımı belirtmediğim için hatam :) ** 36 ** uzunluğunda bir karakter kümesine sahip rastgele bir şifre varsaydım, [bu size karakter başına 5,17 bit verir] (https://en.wikipedia.org/wiki/Password_strength#Random_passwords).`(5,17 * 8 + 8) / 5,17 ~ = 9,5 '.1.1 bit / karakteri nereden aldığınızdan emin değilim, kulağa çok düşük geliyor - belki de rastgele olmayan sayısal bir pin için?
Ah, anlıyorum.Tipik İngilizce kelimeleri düşünüyordum ve [buna] dayanarak (http://what-if.xkcd.com/34/) ("Shannon, tipik yazılı İngilizcenin bilgi içeriğinin harf başına yaklaşık 1.0 ila 1.2 bit olduğunu belirledi") 1.1 bit / karakter değerine sahiptim.Ama şimdi ne demek istediğini anlıyorum.Teşekkür ederim!
R.. GitHub STOP HELPING ICE
2016-04-29 02:50:58 UTC
view on stackexchange narkive permalink

Bu, temelde şifre güvenliği için temel en iyi uygulamalar olan bir şifre yöneticisinin kullanımını engellediğinden, iyileştirmez ancak şifre güvenliğine zarar verir.

Yıldırım hızında yazarak şifre yöneticisi ile çalışmalıdır, ancak bu giriş yapmanın * tek * yolu olacaktır.
Ya şifre yöneticisinin ** şifresi ** için kullanırsanız?;)
Her şeyden mahrum kalmanın harika bir yolu gibi görünüyor.
@R .. Bu olduğunda eğlencelidir;ya parola yöneticinizin şifrelemesini kırarsınız ya da parolalarınızı hatırlamanız gerekir.Eğlence eğlence Eğlence.
@wizzwizz4: Bir şifre yöneticisinin doğru kullanımı ile şifreleriniz hatırlanamaz çünkü başlangıçta onları asla bilemezsiniz / görmezsiniz.Hepsi uzun rastgele dizelerdir.
@R .. Ve uygun bir şifre yöneticisi ile şifrelemeyi kıramazsınız.Eğlence eğlence Eğlence.
TTT
2016-04-29 01:54:25 UTC
view on stackexchange narkive permalink

Güzel bir fikir ve net etki şifre entropisindeki artış olacaktır. Örneğin, eşiğinizin 1/4 saniye ve maksimum duraklamanın 1 saniye olduğunu varsayalım. Bir noktada duraklamalar bitlere dönüştürülür ve bu, 4X ile ayarlanan şifre karakterini etkili bir şekilde arttırır; Örneğin. 80 karakterlik bir set 320 karakterlik bir set olur. 80 olası karakter içeren 10 basamaklı bir şifre, fikrinizi uygulayarak kaba kuvvet uygulamak 1 milyon kat daha zor hale gelir. Bunu söylemenin bir başka yolu da, 10 karakterlik şifrenizin daha çok 13 veya 14 karakter gibi olacağıdır.

Pratik olarak konuşursak, gördüğüm ana fayda, insanların bir şarkının ritmini hatırlamasının muhtemelen daha kolay olmasıdır. 14 karakteri hatırlamaktan daha 10 karakterle birleştirilir. Ancak en iyi şifreler, insanların zaten hatırlayamadıkları şifrelerdir, bu nedenle, entropide aynı artışı sağlamak için şifrenize birkaç karakter daha eklemek muhtemelen çok daha kolay olacaktır (dahil olan tüm taraflar için).

Parola yöneticisi kullanmayı zorlaştırarak veya imkansız hale getirerek entropiyi büyük olasılıkla * azaltır *.Bir parolayı hatırlaması ve tutarlı bir şekilde yazması gereken bir kullanıcı, uzun veya karmaşık bir parola kullanmayacaktır.10 basamaklı bir parolanın klavye zamanlamasını kaydetmenin entropi artışı, parola yöneticilerinin sorunsuz bir şekilde ele aldığı çok uzun, çok karmaşık parolalara karşı daha kısa parolaları teşvik etmekten kaynaklanan entropi * kaybına * kıyasla çok küçüktür.
Demek istediğimi yanlış anlıyorsun.İnsanlar böyle bir bağlamda parola yöneticilerini * kullanmazlar * ve onların kullanımını aktif olarak caydırırsınız.Bu, özellikle bir kullanıcıya * x * karakter uzunluğunda bir parolaya ihtiyaç duyduklarını söylediğinizde, ancak elle yazmaları halinde yalnızca * y * karakter uzunluğunda olmasına izin verdiğinizde geçerlidir (burada * x * <* y *).Bu, diğerlerinin işaret ettiği birçok sorundan bahsetmek değildir.
Bir ileri bir geri gitmek istemiyorum çünkü ikimiz de zaten puanımızı verdik.Ancak, kullanıcıların tembelliğini, kullanıcıların şifreleri seçmesindeki dikkatsizliği ve böyle bir sistemi neden olmayacak şekilde uygulamanın zorluklarını küçümseyerek, zamanlama bilgisinin entropi değerini ve kullanıcıların rasyonelliğini önemli ölçüde abarttığınıza inanıyorum.ana problemler.
Bunu biraz daha düşündükten sonra, sanırım bu yorum dizisini ilk yorumunuz dışında silebiliriz (şimdi benimkini sileceğim).Cevabım basit olmalıydı: cevabım ve orijinal soru uygulama hakkında değil, sadece bunu yapmanın matematiksel etkisinden bahsediyor.İkinci paragrafım size uyuyor: bir pw yöneticisi kullanmalıyız ve şifreye sadece birkaç karakter ekleyip aynı sonucu elde edebiliyorsanız neden hem geliştiriciler hem de kullanıcılar için güçlükle uğraşalım.
Jozef Woods
2016-04-29 18:37:39 UTC
view on stackexchange narkive permalink

Bu ve ilgili bazı alanlarda küçük bir çalışma yaptım ve soruya vereceğim yanıt ne kadar zamanınız olduğuna bağlı:

Kısa cevap: Evet, ama ile.

Basitçe söylemek gerekirse, daha önce de keşfettiğiniz gibi, gözlemlenen tuş vuruşlarında (veya diğer davranışsal biyometrik modeller) benzerlikler vardır. Bunlar teorik olarak ek güvenlik için kullanılabilir, ancak yanlış pozitif ve yanlış negatif oranları hala nispeten yüksektir, bu nedenle kullanılabilirlik sorgulanabilir ve güvenilir olarak önereceğim önceden oluşturulmuş kitaplıklar yoktur.

Daha Uzun Cevap: Hayır, yine de.

Güvenlik bağlamında davranışsal biyometri ile ilgili sorun, mevcut modellerimizle uyuşmamasıdır. Size bir şifre verilmişse, ya doğru ya da yanlış. İrisinizi ölçen bir şey varsa, bu bir eşleşmedir veya değildir. Biri veya diğeri, ikili kimlik doğrulaması için boşluk veya kıpırdama yeri yoktur.

Davranışçılar bunu yapmaz. Davranışlar günün saatine, ayın saatine, dışarıdaki hava durumuna göre değişir. "Bu bu kişiye benziyor " diyebilirsiniz, ancak kesik kesik bir "evet / hayır" yanıtı yoktur, bu da onları, özellikle şifreler gibi kısa örnek boyutlarıyla geleneksel kimlik doğrulamada kötü yapar.

Öte yandan, ölçülebilen çok davranış analizi vardır (ağ kullanımı, tuş vuruşu, fare kullanımı, hareket ve diğerleri). Bunlar , uzun bir süre boyunca sürekli bir güven göstergesi sağlamak için birleştirilebilir. Örneğin, makinenizde oturum açabilirsiniz ve bu, henüz sizi doğrulamadığı için bankanıza erişmenize izin vermez. Yapmanız gereken birkaç şeyi daha yapın, bir süre çalışın ve algoritmalar iyi bir güven değeri verir ve ayrıcalıklı sistemlere erişim izni verilir.

Esasen, şu anda mevcut olan ikili kimlik doğrulama yolları iyi değil davranışsal biyometriye uygun, ancak daha ileride güvene dayalı kimlik doğrulama için pek çok vaat var.

Chris H
2016-04-29 13:25:18 UTC
view on stackexchange narkive permalink

Hayır için başka bir neden: Kullanıcınızın bazen şifresini yanlış yazdığını varsayın. Siz mükemmel yazabilirsiniz, ancak geri kalanımızın bazen parmakları şişman olur. Muhtemelen ikinci denemede daha yavaş yazacaklar ve ölçümlerinizi alt üst edecekler. Bu, özellikle tespit edilebilir bir zaman aşımı / gecikme (hız sınırlayıcı veya sadece yavaş bir giriş sunucusu) varsa, ilkinden rahatsız olmuş bir başka gecikmeyi beklemek istemeyecekleri için geçerlidir

caveman
2016-04-29 09:11:38 UTC
view on stackexchange narkive permalink

Buna zamanlı şifre girişi diyelim.

Esasen, yaptığınız şey şudur:

  • Şifre entropisini artırmaya çalışmak.

Bunun, insanların değişmesi gibi bazı dezavantajları vardır ve sizi birkaç yıl sonra geri alabilir.

Soru şu: bu artırma yöntemi mi? parola entropisine değer mi? Bunu doğru bir şekilde yanıtlamak için, önce zamanlanmış bir şifre girişi gerektirerek kazanılan toplam entropiyi ölçmeniz gerekir.

Pek çok entropi kazanmayacağınızı çünkü çoğu insan genellikle benzer şekilde klavye kullanır. Dolayısıyla, çoğu insanın genellikle benzer şekilde klavye kullandığını bildiğinizde, zamanlanmış yazmayı bilmede fazla entropi (veya bilgi) olmadığını anlarsınız.

Bu nedenle şunu öneririm:

  • Zamanlanmış şifre girişleri riske değmez.
  • Daha fazla entropiye ihtiyacınız varsa, daha yüksek kaliteli şifreler kullanın (daha uzun, rastgele harflerle).
"çoğu insan genellikle benzer şekilde klavye kullanır" Bunun için bir referansınız var mı?İnsanların klavyeleri oldukça farklı şekillerde kullanmasını beklerdim.
Hayýr. Bu sadece benim gözlemim.Gözlemlediğim şey, birkaç klavye kullanım yöntemi sınıfının olduğudur.En fazla 5 sınıf hayal ediyorum ve büyük olasılıkla tek tip olmayan bir şekilde dağıtılacak.Örneğin.bazı sınıfların büyük bir kullanıcı tabanı varken, diğerleri çok az tıraş eder.Bu nedenle, tekdüze dağıtılmamış bu 5 sınıf tarafından kazanılan entropiyi ölçüyorsanız, 2.3 bit eklemekten daha az entropi olmalıdır.
Dylan Larsen
2016-05-03 07:17:01 UTC
view on stackexchange narkive permalink

Bu çok güzel bir fikir, ancak herkesin söylediği gibi doğru bir şekilde uygulanmasaydı işe yaramaz çünkü insanlar değişir ve hata toleransının doğru bir şekilde uygulanması gerekir.

Benim Bunun uygulanmasının iyi bir yolu, kullanıcının şifresini belirli bir zaman düzeninde girip girmediğini görmek ve eğer değilse ve şifre doğruysa, isteğin biraz şüpheli görünmesini sağlamak için bu bilgiyi kullanabilirsiniz. ve belki de kullanıcıdan telefonuna mesaj göndererek gerçekten kendisinin olduğundan emin olmasını istemek gibi başka şeyler olabilir.

Artıları: Kullanıcı, eğer varsa zaman aşımına uğrarsa ikincil kimlik doğrulama önlemlerine geçebilirsiniz. Bu, kullanıcıyı yalnızca anormal bir şekilde yazması veya hesabına girmeye çalışan biri olması durumunda rahatsız eder.

Eksileri: , kullanıcıları rahatsız edebilecek yanlış pozitifler olabilir. kullanıcı giriş yapmaya çalışıyor ve zamanlamalar omzunuzun üzerinden bakan biri tarafından görülebiliyor ve / veya kaydedilebiliyor.

Dennis Jaheruddin
2016-05-03 14:56:14 UTC
view on stackexchange narkive permalink

Doğru kullanılırsa, işe yarayabilir

Faydaları açıktır: bir başkasının şifrenizle oturum açması daha zordur. Tahmin etmek zorlaşıyor ve birisi şifrenizin (bir kısmının) sahip olmasına rağmen, henüz işini bitirmiş değil.

Bu yüzden endişelerinizi belirteceğim:

Evet, yine de kırık parmak

Elbette, parmağınızı kırdığınızda parola 'kaybolabilir', ancak (daha güçlü) bir ana parola kullanıma açılarak bu durum düzeltilebilir. Eğer ritimlerinizi korumanıza imkan vermeyen durumlarınız olursa, içeri girmek için her zaman ana şifreyi kullanabilirsiniz. (Ve gerekirse şifreleri değiştirin).

Evet, yine de birden fazla cihaz kullanabilirsiniz

Açıktır ki, farklı türdeki cihazların farklı ritimleri olacaktır, ancak bunları sık kullanıyorsanız, cihaz başına ritim yeterince kararlı olmalıdır. Bu nedenle, kullanıcıların birden fazla geçerli ritmine sahip olmasına izin verebilirsiniz.

Evet, yine de şifre yöneticilerini kullanabilirsiniz

Açıktır ki, şifre yöneticileri hem şifreleri hem de tuş vuruşlarını göndermek için yapılabilir. Bu zor olsa da, şifre yöneticisiyle oturum açarken yukarıda belirtilen ana şifreyi kullanmak çok kolay olabilir.

T.S
2016-04-30 16:44:57 UTC
view on stackexchange narkive permalink

Kullanıcıyı acımasızca engellemesine / izin vermesine izin vermek yerine, 10-20 oturum açma dönemi boyunca kullanıcının yöntemini "öğrenmesini" ve küçük bir zamanlama payıyla medyanı almasını sağlayabilirsiniz.

Normal giriş: - Şifre + uygulama / sms / e-posta bağlantısıyla iki faktörlü giriş

Bir süre sonra modelini öğrenecek ve kullanıcıya ek güvenliği etkinleştirme seçeneği sunabilir ve ardından tutarı düşürebilirsiniz Çoğu zaman iki faktörlü giriş ile giriş yapması gerekir. (aynı IP'nin kullanıldığını varsayarsak)

Eklenen güvenlik etkin olduğunda, IP kaynağı aynı olduğu sürece kullanıcının yalnızca şifreyle oturum açmasına izin verebilirsiniz. Ve kullanıcının daha önceki kayıtlara göre oturum açma dokunma dokunma hızını çok değiştirdiğini tespit ettiğinizde, tekrar iki faktörlü oturum açmayı isteyebilir ve listeyi güncelleyebilirsiniz. (aşırılıkları ortadan kaldırarak her zaman medyanı 5'in üzerinde giriş denemesinden geçirin)

Chris Johns
2016-05-03 04:39:50 UTC
view on stackexchange narkive permalink

Şifrenin sık kullanıldığı ve girişin çok çeşitli karakterlere izin vermediği durumlar için en fazla potansiyele sahip olacağını düşünüyorum. Bariz bir örnek, kapı giriş kodu gibi bir şey olabilir. Bu aynı zamanda, birisi kodu omzunuzun üzerinden görebilecek olsa bile, yine de ritmi doğru bir şekilde alması gerektiğine sahiptir. Bu aynı zamanda çok basit bir giriş cihazından daha fazla entropi elde etmenizi sağlar.

Tek bir düğmenin olduğu ve tek girdinin ritim olduğu bir durumu bile hayal edebilirsiniz, sonuçta bu "gizli vuruş" un dijital bir versiyonu.

Başka hiçbir şey olmasa da, bunun düşük seviyeli güvenlik uygulamaları için bir yenilik değeri olabilir ve hatta çok doğru bir zamanlama hissine sahip olması beklenen profesyonel müzisyenler için daha ciddi bir yeri olabilir.



Bu Soru-Cevap, otomatik olarak İngilizce dilinden çevrilmiştir.Orijinal içerik, dağıtıldığı cc by-sa 3.0 lisansı için teşekkür ettiğimiz stackexchange'ta mevcuttur.
Loading...