Un sitio web me hace elegir un código PIN de 4 dígitos y luego la autenticación se realiza mediante la sustitución de cada dígito con la letra correspondiente de una imagen generada al azar.
¿Qué tan seguro es este tipo de autenticación? ¿Cuáles son los posibles beneficios de esta solución en comparación con la autenticación de contraseña clásica?
No es seguro, porque solo hay 26 ^ 4 soluciones posibles. Esto puede ser de fuerza bruta. Si la imagen incluye mayúsculas, podemos aumentar esto, pero incluso 52 ^ 4 es un espacio de búsqueda muy pequeño.
Supongo que te da una imagen diferente en cada intento de inicio de sesión, pero eso no hace que el espacio de búsqueda sea más pequeño.
Sin embargo, este esquema tiene una ventaja: evita la reproducción. Ingresará una combinación de letras diferente cada vez, por lo que si un intruso intercepta su entrada, no podrá usar esa combinación nuevamente.
Desafortunadamente, eso supone que el atacante recibe su entrada pero no la imagen. Este es un escenario improbable, es probable que un intruso (ya sea MITM o surf de hombro) consiga ambos. Ofrece una pequeña protección si todo el atacante tiene un keylogger en su sistema.
Entonces, esta es una idea interesante para evitar la repetición, pero mal ejecutada.
Esto no es seguro, un ataque solo tomaría 10 ^ 4 * (número de intentos para un captcha) intentos.
Pasarías por las opciones (0000 - 9999) y luego tratarías de leer los dígitos en las ubicaciones.
Para la cantidad de intentos de un captcha, parece que no necesita tantos como No soy un humano: Rompiendo el Google reCAPTCHA . Suponiendo una dificultad que es similar a reCaptcha y Facebook, nos da una estimación de aproximadamente el 80% de precisión en 19 segundos.
Eso nos da 10, 000 * 19 * 2 segundos para una probabilidad de ~ 96% de hacerlo correctamente en ~ 105 horas.
El ataque podría ser paralelo, lo que reduciría aún más esto.
Lea otras preguntas en las etiquetas passwords authentication