Elegir un grupo de símbolos que contenga una contraseña

2

Mi banco emplea un paso en su proceso de autenticación además de [la propia tarjeta y] la contraseña normal, donde el usuario tiene una contraseña secundaria (3 pequeñas secuencias de letras, como Hy X Ba ) que le dieron anteriormente (no elegida a voluntad). Al autenticarse, se le presentan 8 opciones tales como:

1)  Vi - A - Ha - Re - K - Po        Me - Ni - C - Da - X - Xo  (5
2)  F - V - Ce - Xi - Go - Ka        Je - Va - Ko - Z - Qi - M  (6
3)  Sa - N - Bo - Pe - J - Wi        Mi - Vo - Hy - Ta - Q - G  (7
4)  Lo - Ti - Y - Xa - Ne - D        L - Mo - Ba - B - Zi - Le  (8

Y debe elegir el grupo que contiene la primera secuencia (en este caso, el grupo 7 contiene Hy ). Luego aparece un nuevo grupo de grupos para que encuentre la segunda secuencia y otro para la tercera secuencia. La próxima vez que el usuario intente autenticarse, el proceso se repite, pero con diferentes grupos cada vez. Esto suele ocurrir en los cajeros automáticos.

Estoy intrigado por esta técnica y quiero aprender más, pero ni siquiera sé por dónde empezar. ¿Alguien ha visto algo como esto antes, tiene un nombre que pueda buscar? O si alguien lo sabe bien, ¿podría comentarlo?

No sé cómo funciona precisamente, pero mis primeras impresiones al respecto (que podrían ser totalmente incorrectas) son:

  • Cada vez que el usuario elige un grupo, comprueba que conoce la contraseña, pero no la revela. Si alguien se asoma mientras se autentica, el atacante solo puede restringirla a los símbolos del grupo elegido (el ejemplo creado anteriormente tiene 6 símbolos en cada grupo, pero en la práctica hay más, no puedo recordar exactamente cuántos).
  • Para aprender correctamente el símbolo, un atacante debería observar varios intentos de autenticación. Cuántos exactamente, dependería de cómo se formen los grupos cada vez, de si dependen o no de los intentos anteriores, etc.

(Esto es solo una conjetura, ni siquiera estoy seguro de que el propósito de esta técnica sea lo que creo que es ...)

    
pregunta mgibsonbr 25.04.2015 - 17:15
fuente

1 respuesta

2

Tienes razón!

Estas técnicas están ahí para evitar sus contraseñas de Shoulder Surfing . Como usted dijo, le permite a un usuario probar el conocimiento de su contraseña sin revelarla a la persona que está navegando por el usuario. Hay muchas otras soluciones propuestas para el problema de la navegación de hombro, incluyendo algunos esquemas de contraseña gráfica. Esta encuesta sobre Contraseñas gráficas contiene algunos esquemas que se pueden usar para evitar la navegación por los hombros.

    
respondido por el Rahil Arora 25.04.2015 - 18:27
fuente

Lea otras preguntas en las etiquetas