¿Cómo estimar el número de bits de entropía y espacio de búsqueda de un sistema de firma como passtouch?

Navega tus respuestas
2

Le pido disculpas si estoy usando el léxico incorrecto, solo estoy leyendo sobre sistemas de contraseñas por interés.

Después de ver la tira xkcd en las frases de contraseña y encontrar el sistema passtouch ( demostración de youtube ) que usa una firma abstracta para iniciar sesión en los sitios, simplemente me pregunto cómo la compañía o cualquier persona puede estimar o predecir la aleatoriedad de las firmas que las personas usarían.

Desde lo alto de mi cabeza, parecía algo que podría tener una gran cantidad de posibilidades teóricas (¿espacio de búsqueda?), pero debido a la psicología humana, en realidad hay mucha gente que dibuja firmas notablemente limitadas y tan pocos bits de entropía (? ).

Entonces, ¿cómo se podría hacer una estimación de esto (utilizando teoría psicológica o estudios previos o matemáticas o lo que sea)?

EDITAR ********

Bien, me doy cuenta de que, sin conocer el sistema exacto que implementa Passtouch, no podemos saber cuán grande es el espacio de búsqueda con precisión. Pero en teoría, ¿podemos adivinar qué posibilidades de juego podría generar un sistema similar basado en firmas?

Imaginando que la pantalla está dividida en una cuadrícula de 20 x 20, a cada cuadrado se le asigna una identificación única y, al tocar una determinada casilla, esa identificación se agrega a su "clave de acceso personal".

  • Desde cualquier casilla de inicio, su próximo movimiento puede ir hacia arriba, hacia abajo, hacia la izquierda o hacia la derecha, siempre y cuando no esté en un lado o en una esquina.
  • Cuando te mueves en diagonal, asumo que realmente tocas otra casilla primero, así que muévete en forma de L.
  • No puedes retroceder inmediatamente a la misma casilla de la que acabas de llegar, pero puedes volver más tarde.

A partir de una prueba rápida en mi bloc de notas, calculé una firma para cubrir aproximadamente 40 cuadrados (edición: al menos 40 cuadrados, ya que originalmente estaba permitiendo movimientos diagonales también).

Entonces, ¿cómo podemos calcular la cantidad de "firmas" únicas de 40 cuadrados en una cuadrícula de 20x20?

Hice algunos cálculos muy aproximados y obtuve algo como 2 ^ 113 posibilidades (edición: eso permitía movimientos en diagonal) pero no pude averiguar cómo lidiar con las limitaciones de tamaño de la cuadrícula. Aún así, supongo que un sistema de este tipo podría fácilmente dar más de 2 ^ 100 posibilidades ...

¿Alguien tiene una mejor estimación?

    
pregunta Curiouzo 21.03.2012 - 22:34
fuente

1 respuesta

1

Sus cálculos muy aproximados parecen ser una sobrestimación bruta, ya que la línea tiene que ser continua. Para simplificar, primero descuidemos las líneas curvas.

Entonces, dado que es una línea continua, imaginémosla como una cuadrícula continua de 10x10 (el ancho de mis dedos en un ipad; dudo que sea más sensible al rechazar contraseñas hasta que tenga un error de más de medio dedo) sobre La sección cubierta por el logo passtouch. Una posible contraseña es entonces una serie de puntos (punto de inicio y cada punto donde cambia de dirección). De modo que todo lo importante es comenzar la ubicación y luego viajar a unos pocos puntos. Por ejemplo, al dejar caer el círculo al final del video de demostración, la contraseña de la demostración había 5 puntos. Si los puntos fueran elegidos al azar (probablemente una mala suposición ya que los humanos son malos generadores de números aleatorios), tendrías ~ 2 ^ 33 posibilidades.

Ahora está la pregunta de cuánta entropía agrega una curva. Podría aproximarse ya que cada nueva dirección de una curva (cambio en la concavidad) es igual a un nuevo punto adicional (el punto por el que debe pasar la curva para ir desde el punto de inicio hasta el punto final) como si solo tuviera una línea recta. Así que la contraseña de demostración con la curva al final cuenta como 7 puntos con ~ 2 ^ 46. Esto es aproximadamente igual a una contraseña con 8 letras mayúsculas / minúsculas elegidas al azar. Personalmente, no confiaría en cifrar otras contraseñas (espero que se cifren) protegiendo con una clave que sea tan débil. Hay más debilidad en que las personas probablemente no elegirán al azar los anchos de los círculos; pero en su lugar, elija el ancho para rodear / tejer alrededor de los círculos que ya se encuentran en la figura.     

respondido por el dr jimbob 22.03.2012 - 22:47
fuente

Lea otras preguntas en las etiquetas

Riesgo legal para servidores no parcheados ¿Cómo medir la integridad del sistema operativo (Linux)?