archivo de imagen como alternativa a la contraseña

Navega tus respuestas
4

Busco orientación sobre tema interesante. Recientemente he estado buscando alternativas de contraseña, no por seguridad, sino para ser más fáciles de usar .

En uno de mis proyectos, el usuario recibe 128 bits base64 de sal codificada como token de seguridad, que podría transmitirse de forma segura a través de redes sociales, mensajeros, sms, etc. Cuando el usuario decide realizar ciertas acciones, ingresa a esta sal pública junto a con contraseña secreta. Ahora, este sal de 22 caracteres aleatorios parece desagradable y no tiene sentido para el usuario final, es difícil distinguir un token de seguridad de otro (el usuario puede tener muchos), pero es fácil de enviar, ya que es solo una cadena.

Mi idea general es:

  1. Al usar una imagen de 128x128, cada píxel de esta imagen está enlazado de alguna manera con valor correspondiente de base64 con referencia al siguiente píxel de un secuencia (detalles actualmente irrelevantes), para producir algo que parece el código QR de la sal;
  2. Agregando, digamos, gravatar como segunda capa sobre ella, para que sea reconocible visualmente.

Mis preguntas:

  1. ¿Es este enfoque razonable desde el punto de vista de la usabilidad? Sus Supongo que es más difícil enviar una imagen que una cadena.
  2. ¿Hay alguna otra manera de hacer que la sal se vea más fácil de usar?

Buscó por todas partes por respuesta. Apreciaría enormemente cualquier ayuda.

ACTUALIZACIÓN # 1

Encontré un ejemplo en Defuse Security , que generalmente refleja el esquema que se implementa en mi proyecto:

Como resultado del proceso de cifrado, el usuario final obtiene el enlace y la ruta en realidad representa salt - OwkXSVW8R5NTv3jGyAvnjy . Este es el material feo que quiero transformar en imagen, por lo que será seguro, pero aún así será fácilmente distinguible para los usuarios, por lo que mis preguntas seguirán siendo relevantes.

Espero que esto ayude a descubrir cómo.

ACTUALIZACIÓN # 2

Creo que esa pregunta es mal entendida.

En mi proyecto, el usuario tiene la contraseña habitual, y algo de sal, persistió en la base de datos, pero esa sal solo se usa como identificador. Entonces, la sal no es algo que deba mantenerse en secreto, y en general, la sal no es un secreto. De la respuesta de Andrew Hoffman , a menos que tenga memoria fotográfica, sal es algo que tiene , y la contraseña es algo que sabe .

Pero el problema es que la sal no es fácil de usar , parece pesada y es difícil distinguir varias de estas sales de un vistazo. Con eso creo que lo que la sal puede transformarse para que se vea y se sienta bien. Por ejemplo, como Google ReCaptcha de la versión 1 y la versión 2 : cumple la misma tarea, pero un simple clic es más fácil de usar que ingresar algunos símbolos de la imagen.

No quiero estar molesto con esa pregunta, pero, por favor, acepte el hecho de que no estoy inventando mi propio mecanismo de derivación de sal o sistema de seguridad.

    
pregunta Damaged Organic 05.03.2015 - 14:13
fuente

3 respuestas

4

Creo que estás confundiendo el propósito de una sal. Puedes obtener una sal de una cantidad infinita de formas, pero eso no cambia el propósito de la sal. Y para el propósito de la sal, no tiene por qué ser secreto.

Entonces, cuando revise las críticas sobre su derivación de sal, comprenda que está recibiendo estos comentarios basados en el propósito de la sal.

Aparte de eso, la autenticación del usuario puede generalizarse de manera muy generalizada por algo que sabes o algo que tienes . Una imagen cae dentro de la categoría de algo que tienes .

Teniendo esto en cuenta, es divertido experimentar y ser creativo con esquemas de autenticación personalizados, pero estos esquemas no se han fortalecido ni analizado para detectar debilidades, y por esa razón, no deben usarse en una aplicación de producción.

La industria de la seguridad es algo así como la FDA. No es que no pueda fabricar un medicamento nuevo, eficaz y seguro, sino que el suyo no ha pasado las inspecciones. Las inspecciones son costosas, y si el problema ya es un problema resuelto, no podemos ser evaluados para inspeccionar el suyo.

Y es por eso que generalmente respondemos, desafortunadamente de una manera temeraria, de no rodar tu propia seguridad . Es un problema resuelto.

    
respondido por el Andrew Hoffman 05.03.2015 - 21:52
fuente
0

Si está interesado en ver un método ya establecido que es similar a lo que sugiere: Dell Secure Works ya usa un código QR para la primera autenticación de los nuevos usuarios. Después de registrarse en su sitio y descargar un certificado, crean un código QR que, en coordinación con Duo Mobile, requiere que lea el código QR con su teléfono inteligente y, a continuación, Duo Mobile genera un código basado en ese código QR para que pueda entrar.

    
respondido por el Addison Wilson 05.03.2015 - 22:13
fuente
0

La propia sal se utiliza como un anexo a la contraseña, de modo que el texto cifrado de la contraseña es resistente a los intentos de descifrado habituales que utilizan palabras bien conocidas y amp; Frases para reducir el tamaño de la clave, por lo que la sal es una cadena aleatoria de algún tipo. En cualquier caso, lo que esto significa es que puede basar el sal en cualquier cosa, imágenes, archivos codificados con codificación b64, pero la advertencia aquí es que el uso de una imagen reconocible como sal puede confundir a un usuario de que la imagen es una indicación de algún tipo de validez / sello, aparte del hecho de que debería ser completamente aleatorio.

    
respondido por el munchkin 07.03.2015 - 19:26
fuente

Lea otras preguntas en las etiquetas

¿Es posible probar el contenido de un mensaje cifrado sin revelar la clave privada? ¿Problemas con el uso del ID de sesión TLS para la sesión de la aplicación web?