Contraseña en la idea de inicio de sesión

Navega tus respuestas
3

Además de las mejores prácticas estándar en los inicios de sesión de contraseña. Alguien ha considerado un sistema similar a captcha pero en lugar de simplemente escribir lo que está en el captcha, el captcha será una guía de lo que debe hacer con su contraseña durante el inicio de sesión.

Por ejemplo, si mi contraseña era "password123" en la página de inicio de sesión, si usé esa contraseña no funcionaría. Si sigue el mensaje, podría decir algo como agregar la letra "E" después de la segunda letra de su contraseña y luego agregar un "!" símbolo al final. Por lo tanto, un registro exitoso requeriría "paEssword123!". Los requisitos y la complejidad de las modificaciones de la contraseña podrían variar mucho de un cambio a varios cambios a los tipos de cambios. Cada intento generaría un nuevo conjunto aleatorio de requisitos de alteración de contraseña. Entonces, si lo escribieron en wong, el siguiente inicio de sesión podría decir poner en mayúscula las 3 primeras letras y minúsculas en el resto de la contraseña, luego agregar el número 5 en el segundo lugar del último carácter (PASsword1253).

EDITAR: no puede realizar cambios de mayúsculas o minúsculas porque, como se desconoce la contraseña original, el sistema no pudo eliminar las modificaciones solicitadas antes de probar la contraseña real. Pero todavía podrías hacer adiciones de caracteres.

Por lo tanto (aparte de cuando crearon la contraseña por primera vez), su contraseña nunca volverá a ingresarse en el sitio web como la contraseña exacta. Así que los keyloggers no podrían simplemente copiar lo que escriben porque la contraseña sería técnicamente diferente en cada intento de inicio de sesión.

Por supuesto, si hubiera keylogging, podrían tener el 90% de la contraseña real (dependiendo de cuánto tuvo que modificarlo un usuario durante los inicios de sesión) pero aún así sería mucho más difícil de adivinar y luego escribir un software que pudiera leer las reglas. del captcha y modifique la contraseña (y ni siquiera sabrían cuál es la contraseña real en este punto) cada vez que se produzca un ataque de fuerza bruta.

El ahorro de contraseña del navegador o cualquier cosa que guarde las contraseñas para usted no funcionaría, sería un poco molesto cada vez que tuviera que iniciar sesión, pero si esto fuera información importante como información bancaria, estaría dispuesto a pasar unos segundos más. iniciar sesión para mayor seguridad, esp. contra cosas como los keyloggers.

Además de los usuarios que tienen problemas para seguir las reglas durante el inicio de sesión, ¿existen otras fallas en esta idea? ¿Parece que funcionaría o no funcionaría y por qué?

Gracias por tu opinión.

    
pregunta Danny 06.06.2013 - 18:28
fuente

2 respuestas

6

Idea interesante, pero hay varias razones por las que esto no agrega tanta seguridad como espera.

Primero, los keyloggers basados en software suelen tener el lujo de poder no solo recibir lo que escribes, sino también ver lo que ves. En particular, si un banco introdujera un sistema de este tipo, un poco más tarde aparecería un malware que registraba lo que escribía y cuáles eran las instrucciones de modificación. Esta es una situación actual de la carrera de armamentos con los bancos y los desarrolladores de malware en este momento, por lo que tenemos que "por favor ingresar seleccione el segundo, tercer y séptimo carácter de su contraseña".

En segundo lugar, también tendrías que aumentar significativamente el número / frecuencia permitidos de entradas de contraseña incorrectas, lo que facilita el forzamiento de la fuerza bruta.

En tercer lugar, los usuarios que escriben su contraseña con este esquema serían mucho más fáciles de navegar, ya que escribirían su contraseña mucho más lentamente.

(La pregunta ya captura el hecho de que un keylogger ya tendría la mayoría de la contraseña, ¿alguien adivina cuál fue la contraseña no modificada de este usuario? ¿"PassQword1"?)

Creo que ya has capturado el principal inconveniente: la facilidad de uso:

  • No funcionaría con muchos dispositivos para guardar contraseñas, lo que lo alienta a usar una contraseña simple que pueda recordar fácilmente (y por lo tanto podría adivinar fácilmente).
  • Frustraría y, por lo tanto, alejaría a los usuarios (a menos que fuera ubicuo, pero los primeros usuarios tendrían que superar esta barrera).

Dado el beneficio de seguridad limitado y el impacto significativo de la usabilidad, este esquema probablemente no se adoptará ampliamente (lo que, por supuesto, aumentará los beneficios de seguridad para cualquier persona que lo haya adoptado; es poco probable que haya algún malware diseñado para leer) las instrucciones; ni herramientas para revertir las modificaciones).

    
respondido por el Michael 06.06.2013 - 18:55
fuente
0

Además, al no agregar demasiada seguridad como se indica, los cambios en los sistemas de contraseñas actuales para permitir que su mecanismo debilite la administración de contraseñas.

Los sistemas actuales no comparan su respuesta con la contraseña guardada, pero comparan la respuesta cifrada con la contraseña guardada cifrada (el sistema no puede conocer su contraseña sin procesar). Este cifrado no se puede hacer al revés. Si pudieras hacerlo, tendrías un sistema muy débil.

Por lo tanto, cuando agrega caracteres o modifica su contraseña, el sistema no tiene idea de cómo comparar la contraseña modificada cifrada con la guardada.

Recuerde que el sistema no conoce su contraseña original, por lo que debe ser para mantener la seguridad de los algoritmos de cifrado.

    
respondido por el user26798 06.06.2013 - 20:21
fuente

Lea otras preguntas en las etiquetas

SPF y artículos de sitios de noticias ¿Es esta seguridad de inicio de sesión aceptable?