Cambio de imagen como caracteres ingresados en la contraseña

Hay información sobre esta página difunta . Aparentemente, la idea de que la "imagen en movimiento" está ahí para distraer a hombro surfistas es generalizada y errónea. Así no es como funciona esta imagen; lo que hace es en realidad peor , aunque procede de buenas intenciones .

Cuando escribe las letras de la contraseña, Lotus emplea un algoritmo "bastante complicado" pero determinístico para asignar la contraseña como se ingresó en una imagen; esta es básicamente una función hash con un tamaño de salida muy pequeño (la salida es un "valor" en el conjunto de imágenes posibles). Es posible que dicha función hash incluya algún secreto específico del servidor, pero no importará mucho. El punto real es que, como observas, cuando ingresas tu contraseña, siempre obtienes la misma imagen para una contraseña determinada . La buena intención es lograr las dos propiedades siguientes:

• Dé una advertencia visual temprana sobre si la contraseña se ingresó correctamente o no; el usuario pronto aprenderá la secuencia de imágenes para su propia contraseña y, por lo tanto, si la imagen cambia, entonces el usuario sabe que escribió la tecla incorrecta en ese punto (o posiblemente algunos caracteres antes).

• Un atacante que intente imitar esta ventana emergente de inicio de sesión y haga que el usuario escriba su contraseña en una ventana emergente falsa, supuestamente le resultará "difícil" volver a calcular las imágenes y mostrarlas correctamente.

La segunda razón es pura tontería, cuando lo piensas: el "algoritmo complicado" no se puede mantener en secreto ( especialmente si la ventana emergente falsa es en realidad un ataque Man-in-the-middle y la verdadera ventana emergente se usa debajo de las cubiertas para obtener las imágenes reales), y hacer imágenes que se mueven en la pantalla es realmente fácil: de eso se trata el 99.9% de la Web.

La primera razón, sin embargo, incluye las semillas de la destrucción: esto filtra información en la contraseña . Las imágenes están en la pantalla y son muy visibles; bastante prominente, incluso. El "surfista de hombro" puede verlos desde lejos. Y él puede usarlos para eliminar contraseñas potenciales. De hecho, si hay cuatro imágenes posibles, entonces esto filtra 2 bits por carácter : para una contraseña de 8 caracteres, que tendría, de manera realista, unos 30 bits de entropía, esto se reduce a una cantidad escasa. 14 bits.

De hecho, esta característica es análoga a un sistema que escribiría en la pantalla, en letras grandes, y para cada carácter de contraseña: "este carácter es un dígito" / "este carácter es una letra mayúscula entre A y M" / ...

Por lo tanto, este sistema de "imagen" es francamente peligroso y debe ser prohibido.

En cuanto a la contraseña longitud , es muy fácil obtener el número de caracteres para el atacante, ya que cada golpe de tecla es altamente audible . El internauta solo debe estar al alcance del oído de la víctima, y podría grabar fácilmente la secuencia con su teléfono inteligente para escucharla más tarde, con la velocidad adecuada y obtener la longitud de la contraseña. En estas condiciones, ocultar la longitud al propio usuario no tiene sentido.

No , la imagen a la izquierda del campo de contraseña no tiene nada que ver con la seguridad del proceso de inicio de sesión. Esto es, lamentablemente, una característica de "utilidad" . Se llama Visual Hash ( aquí hay un ejemplo ). En realidad, el avatar que estás usando actualmente es un ejemplo de hashes visuales.

Debido a que Lotus Notes muestra un número aleatorio de X en el campo de la contraseña, el "ingenioso" equipo de R & D en Lotus (y posteriormente, IBM) pensó que mostrar una imagen de acuerdo con la contraseña ingresada ayudará al usuario a mantener seguimiento de la contraseña introducida hasta ahora.

Esa imagen es el resultado de la aplicación de hash especialmente en la contraseña a medida que la escribes y de la elección de la imagen correspondiente. Por ejemplo, si su contraseña es MyPass1sAwesomeY3ah , al ingresar MyPass1s verá una imagen determinada correspondiente a esa contraseña, y cuando ingrese el siguiente carácter, su contraseña se convertirá en MyPass1sA verá una diferente, y etc.

Cuanto más te conectas, más comienza a notar y memorizar los patrones y secuencias de esas imágenes en tu cerebro, por lo que más tarde sabrás de forma instintiva cuándo hay algo mal. Por ejemplo, después de escribir MyPass1s , accidentalmente escribe un B , se le mostrará una imagen diferente y sabrá, en el nivel subconsciente, que hay algo incorrecto y que haría una copia de seguridad y cambiaría eso. carta.

Personalmente , creo que es estúpido.

En un lugar de trabajo anterior estábamos usando Lotus. Recuerdo que le pregunté al tipo que lo instaló acerca de esa característica exacta. Dijo que "esto te ayudará a saber cuándo ingresas el carácter incorrecto antes de enviar la contraseña".