¿La combinación de combinaciones de teclas Retroceso, Flechas y Eliminar agrega seguridad a la escritura de contraseñas?

3

Es bien sabido que el análisis del sonido del teclado puede revelar / sugerir qué teclas se presionaron cuando se ingresa una contraseña.

Uno podría mezclar caracteres incorrectos (que no pertenecen a la contraseña) con trazos de Retroceso, Flechas, Eliminar, Inicio, Fin, etc. que al final eliminaría estos caracteres incorrectos y dejaría la contraseña original en el campo.

Un ejemplo: puedo escribir S y back-arrow en tándem (ok, S un poco antes de la flecha hacia atrás). El caret ahora está detrás del S . Cuando presiono delete , el carácter S se elimina, haciendo de esta una combinación de trazo de suma cero.

Suponiendo que la inspección visual es imposible (el atacante tiene datos "solo de sonido" de la escritura de la contraseña), ¿esto agrega alguna seguridad?

    
pregunta Mindwin 28.09.2016 - 19:45
fuente

3 respuestas

2

Conozco a algunas personas que combinan el teclado y el mouse al escribir contraseñas. Escribirían una parte de la contraseña y luego harían clic para mover el cursor entre los caracteres escritos previamente e insertar nuevos caracteres.

La idea es que toda la contraseña no se escribe en secuencia. Se supone que hace que los keyloggers sean menos efectivos.

Obviamente, esto no funciona con todas las solicitudes de contraseña.

    
respondido por el stuffy 28.09.2016 - 20:17
fuente
0

Esta técnica de edición de contraseñas no lo protegerá contra la interceptación de ruidos. Los sonidos emitidos por el teclado llevarán todas las teclas de edición.

Esta técnica no lo protegerá contra las ondas electromagnéticas que escuchan. El bus electrónico de la placa base del teclado llevará todos los códigos de clave de edición.

Pero esta técnica lo protegerá de que el vecino espíe su contraseña escribiendo sobre su hombro. Esta técnica lo protegerá parcialmente contra las cámaras de videovigilancia si las conoce y se esconde. lo que estás escribiendo.

    
respondido por el daniel Azuelos 28.09.2016 - 20:54
fuente
0

Si le preocupa un ataque de solo audio, el primer paso es hacer todo lo posible para asegurar sus instalaciones físicas.

Cuando se trata de fisgonear con el teclado, sepa que se puede usar la cadencia de escritura; ciertas pulsaciones de teclas y "palabras" son más fáciles de escribir que otras, por lo que puede escribir a una velocidad diferente o con una posición diferente de sus manos (por ejemplo, en lugar de la fila de inicio y la escritura de teclas). Esta técnica se usa en ciertas configuraciones para determinar quién está ingresando la frase de contraseña y si existe alguna posibilidad de coacción.

Para combatir key loggers, sugiero usar un teclado suave. Mueva la ventana del teclado virtual de manera periódica (¡y no coloque fragmentos significativos de su frase de contraseña en el portapapeles!) Como distracción, tenga una ventana separada para ingresar texto aleatorio entre los segmentos de su frase de contraseña (no es necesario aceptar texto; hacer clic fuera del cuadro de contraseña en un sitio web debería ser suficiente). Estas técnicas también deberían funcionar bastante bien contra el espionaje solo de audio y la navegación pasiva con el hombro.

En cuanto a las frases de paso que contienen espacios en blanco, eliminaciones y teclas de flecha, hay formas de hacer que el trabajo también sea favorable. Considere un sistema basado en palabras como corrector de batería del caballo correcto . Esto es seguro porque cada palabra representa aproximadamente 100k posibilidades, por lo que la contraseña tiene 66 bits de entropía ( log₂(100k⁴) ). Sin embargo, si manipulas esas palabras en cosas que no están en los diccionarios, tu entropía aumenta. Escribí sobre cómo algunos de estos pueden calcularse en otra respuesta (TL; DR: multiplique el número de permutaciones por 2⁶ una vez por cada para: L33t hablar , caso raNdOM y errrorz).

Considera este esquema:

  1. Genere una frase de paso de 4-5 palabras con palabras completamente no relacionadas
  2. Presione la tecla Inicio
  3. Ingrese una contraseña segunda con cada carácter delimitado por un número prescrito de teclas (por ejemplo, 1,1,1,1 ...; 0,2,0, 2…; 1,3,1,3…; 1,2,3,1,2,3…; o incluso una inicial de 3 y luego 1,2,1,2…)
  4. Repita la segunda contraseña hasta que haya llegado al final

Por ejemplo, correct horse battery staple más la palabra rara troubador se combinan para convertirse en ctorrreoctu hborased boatrte ryt srtaoplue (comencé presionando la flecha izquierda, moví dos caracteres a la vez y puse un espacio entre las dos instancias de troubador ).

Al calcular la entropía de la contraseña, asuma siempre el peor de los casos: que el atacante conoce su esquema de contraseña. Eso significa que la entropía de esta contraseña proviene de cinco palabras ( 100k⁵ ), multiplicada por las ~ 4 opciones para comenzar el código final, multiplicada por las ~ 5 opciones de patrones de movimiento, con un rendimiento de más de 87 bits de entropía ( log₂(100k⁵×4×5) ).

Un ejemplo más simple utilizando correct horse battery más staple que comienza de inmediato y mover tres caracteres a la vez se convierte en scortrecat hporsle beatt erys con 71 bits de entropía (en comparación con el correct horse battery staple 's).

(Este esquema puede engañar o no a un registrador de teclas. Debido a que se mete con sus patrones de escritura, debería engañar a un grabador acústico, pero no soy un experto en eso, tal vez son lo suficientemente sensibles como para reconocer ciertas teclas comunes ?)

¡Asegúrate de que no haya límite de longitud! Las frases de contraseña basadas en palabras solo funcionan con más de 14 caracteres.

    
respondido por el Adam Katz 03.10.2016 - 23:17
fuente

Lea otras preguntas en las etiquetas