¿Es posible usar dibujar o hacer garabatos como una forma de autenticación?

Navega tus respuestas
5

Hay un servicio llamado enlace que autentica a los usuarios según sus hábitos de escritura y funciona bastante bien, pero aún así requiere una contraseña.

Para intentar reemplazar la contraseña, ¿sería posible implementar una ventana emergente de tamaño similar a la de Google Recaptcha donde un usuario usaría su mouse o dedo para garabatear para autenticar, cada usuario debe garabatear? ¿de una manera diferente? Por lo tanto, la idea se basa en que todos tengan su propio garabato único que produciría una coincidencia para autenticar una nueva sesión en un sitio web.

¿Es posible esta idea? Si lo fuera, el espacio de "contraseña" sería enorme, ¿correcto?

    
pregunta joego101 30.08.2018 - 12:59
fuente

2 respuestas

3

No conozco la literatura académica sobre los métodos similares a TypingDNA, pero puedo aportar algunas ideas. En esencia, lo que estás describiendo es el desbloqueo de patrón de Android, pero en lugar de una cuadrícula de 3x3, tienes un área de escritura de 200x200 píxeles, ¿no?

  

Si lo fuera, el espacio de "contraseña" sería enorme, ¿correcto?

Técnicamente sí, pero tenga cuidado de no combinar el número teórico de posibilidades con la distribución de lo que las personas seleccionan. Por ejemplo:

  • El 90% de los garabatos de las personas serán trazos continuos en el centro del área de escritura en lugar de, digamos, hacer saltos aleatorios hacia los bordes.

  • Coincidencia aproximada: dos golpes por la misma persona nunca serán idénticos, por lo que necesitará un algoritmo que acepte golpes "similares" como equivalentes. Los chips de desbloqueo de huellas dactilares en iPhone y Android tienen que lidiar con esto, por lo que podrías leer un poco allí.

No tengo ningún número para hacer un cálculo, pero mi intuición es que, en la práctica, este espacio de contraseña terminará en el mismo campo de juego que una contraseña de 12 caracteres.

Captura y reproducción de ataques: los keyloggers son un problema con las contraseñas; ¿Qué impide que un programa malintencionado registre los movimientos de su mouse y los reproduzca? Notará que los desafíos de RECATPCHA están diseñados para ser grabados y a prueba de repetición. Los escáneres de huellas dactilares se ocupan de la grabación y reproducción al dar al chip del escáner su propia CPU; en una coincidencia exitosa, utiliza una clave criptográfica para firmar un mensaje al sistema operativo que dice que usted se ha autenticado correctamente para que el sistema operativo y el software nunca vean la huella digital, nada que registrar. Me pregunto qué protección tiene TypingDNA contra ataques de reproducción y reproducción.

Conclusión: Pensar a través de las superficies de ataque es la parte más divertida del trabajo de seguridad. Sospecho que esta idea no brindaría más seguridad que una contraseña tradicional, ¡pero es agradable y divertido pensar en ello!

    
respondido por el Mike Ounsworth 30.08.2018 - 15:04
fuente
0

enlace es una solución que puede reemplazar las contraseñas escritas con la firma / dibujo digital (admite diferentes tipos de dispositivos para que esté cubierto). Funciona con 4 números, letras o formas. Después de todo, sigue siendo una contraseña / secreto, pero usar esta solución combinaría algo que sabes con algo que eres (la forma en que estás dibujando ese secreto).

    
respondido por el CristianDNA 17.09.2018 - 11:47
fuente

Lea otras preguntas en las etiquetas

Linux Kernel ROP - ¿Regresando a la zona de usuario desde el contexto del kernel? ¿Necesito protección CSRF en esta configuración con una API REST respaldada con oauth2 y un servidor de autenticación SSO básico?