Entradas de contraseña observables

4

Un problema obvio con las contraseñas es que si un observador ve que un usuario ingresa, entonces el usuario ha perdido el secreto de la contraseña. Algunos sistemas intentan defenderse contra esto con pantallas oscuras o con escudos alrededor de las entradas de los botones.

Me preguntaba si hay implementaciones o investigaciones sobre sistemas de contraseña de "conocimiento completo". En otras palabras, un observador puede observar y registrar todas las cosas observables para el usuario, como la pantalla, el teclado y los sonidos, y aún así no poder ingresar una contraseña válida.

Por ejemplo, la pantalla podría mostrar X, y el usuario podría calcular mentalmente Y = f (X), y la entrada Y. F es una función que solo conoce el usuario; Podría ser una serie de cosas como juegos de palabras o transformaciones gráficas o matemáticas o una combinación de todas ellas.

Algunos problemas que veo con esto: si f es demasiado complejo, el usuario no lo recordará ni lo calculará. Si es demasiado simple, el observador podrá adivinarlo. Además, parece mucho más trabajo que ocultar físicamente la vista.

Todavía me pregunto si alguien investiga sobre este tema y si existe alguna terminología al respecto. Gracias ~

PD Me disculpo si esta pregunta se ha hecho antes, no estoy seguro de cuáles son los términos comunes para la búsqueda de este tema. Además, he migrado esta pregunta desde el UX stackexchange, desde enlace

    
pregunta DanielV 17.01.2016 - 19:29
fuente

1 respuesta

3

No recuerdo haber escuchado sobre un esquema de autenticación propuesto donde el usuario tiene que computar, esencialmente, una contraseña única en su cabeza. Estoy de acuerdo con usted en que la mayoría de los usuarios probablemente no acepten un sistema de este tipo, especialmente si se diseñó con suficiente seguridad para resistirse a la ingeniería inversa de un atacante que puede observar las preguntas y respuestas del desafío. Aquí hay un documento que propone un sistema ligeramente diferente para ingresar PIN: Cómo defenderse de los surfistas de hombro .

También menciona contraseñas gráficas, y sé que ha habido un trabajo sostenido en esta área para combatir el "surfeo de hombro". Pero creo que incluso ellos no afirman ser insensibles a los atacantes que tienen capacidades de observación prolongada, solo más resistentes que otros sistemas de autenticación. Puedo señalarle algunos documentos relacionados si le interesa profundizar más en el tema:

Para situaciones en las que todos los datos visuales y de audio son susceptibles de observación, generalmente dependemos de un sistema de autenticación donde no se filtran datos observables. Esto puede ser algo como tarjetas RFID, tarjetas inteligentes, ciertos tipos de datos biométricos, etc. Cuando estas opciones no están disponibles o se combinan con conocimientos como un PIN de cajero automático, generalmente intentamos implementar los controles que mencionó para reducir la posibilidad de observación ilícita.

    
respondido por el PwdRsch 22.01.2016 - 19:54
fuente

Lea otras preguntas en las etiquetas