Identificación de reglas de composición memorables [cerrado]

Navega tus respuestas
0

Una sola palabra se puede transformar de muchas maneras para crear la contraseña. Con cualquier palabra de longitud l hay l! Diferentes permutaciones. Anexar dígitos y símbolos a la palabra crea una contraseña alfanumérica. Incluso las transformaciones leet (reemplazando a con @ etc) se pueden aplicar para crear contraseñas. El número de tales transformaciones es enorme, pero solo algunas son memorables y usadas. La filtración de fugas en la base de datos de contraseñas proporciona información sobre los trucos más comunes utilizados por los creadores de las contraseñas. Pero algunas transformaciones pueden ser difíciles y desconocidas para el atacante, ya que pueden no ser populares o no estar disponibles en la base de datos filtrada. Así que mi pregunta es "¿Se pueden identificar transformaciones tan difíciles y memorables sin depender de la información o el análisis de los datos violados?"

Mi punto es que la seguridad a través de la oscuridad no va a ayudar. Algunas contraseñas creadas por humanos pueden ser seguras solo porque los trucos son desconocidos. La comprensión de este conjunto de trucos conducirá finalmente a mejores medidores de fuerza y, por lo tanto, a una mejor sensación de seguridad. ¿También ayudará a identificar si los humanos pueden crear contraseñas seguras o no? ¿Y terminar el juego del gato y el ratón entre los atacantes y nosotros? Puede ser que también implique el reemplazo del esquema de contraseña para autenticarse con otros esquemas, no soy un experto, pero estas son mis preocupaciones.

    
pregunta Curious 17.09.2014 - 16:39
fuente

2 respuestas

2

No; Por definición, no se puede identificar una tendencia sin datos.

Sin embargo, cualquier cosa que usted o yo o cualquier otra persona pueda hacer puede ser pensada por un atacante. En general, no puede asumir que el atacante no puede o no descubrirá qué método está utilizando. Esto se llama "seguridad a través de la oscuridad" y es una trampa común en la que las personas caen.

    
respondido por el Chris Murray 17.09.2014 - 17:00
fuente
0

Está preguntando si puede predecir cómo los seres humanos promedio transmutarían una palabra determinada en base a un conjunto de reglas de transmutación, hasta donde puedo entender.

Para que se produzca una predicción de este tipo, necesita un supuesto previo basado en evidencia o un modelo predictivo que haya sido evaluado y cuyo alcance comprenda su pregunta específica. El primer camino es el de las violaciones anteriores, de las cuales puedes inferir para el mismo alfabeto y las reglas sobre cómo se transformarán las palabras. Luego, puede utilizar esta información para describir la entropía real de un espacio de entrada de contraseña, en lugar de una entropía "establecida" que no tiene en cuenta las distribuciones de probabilidad de las palabras. En la práctica, no tendrá suficientes datos para cubrir todo el espacio de entrada de un alfabeto, por lo que dicha métrica aún se basa en algún nivel de extrapolación (es decir, "todos los patrones no observados tienen la misma probabilidad de ocurrir"). Bonneau tiene un documento sobre métricas de seguridad para contraseñas que refleja mejor la realidad de cómo los usuarios finales utilizan los espacios de contraseña ( posiblemente este ).

El segundo camino requeriría que realices muchos experimentos con sujetos humanos y que diseñes reglas generales sobre cómo las personas eligen transmutar palabras según los símbolos disponibles. Haría múltiples experimentos para evaluar qué símbolos son preferidos, cómo se colocan, dónde, y tendría que cubrir un conjunto ecológicamente válido de:

  • alfabetos de entrada
  • símbolos y reglas de transmutación propuestos
  • personas
  • interfaces para la autoría y entrada de contraseñas
  • configuración social (este solo derrota a la asombrosa mayoría de los investigadores de seguridad que están haciendo un tema humano investigación)

Sería extremadamente difícil y costoso completar este modelo (es decir, tener en cuenta todos los tipos posibles de transmutaciones), válido y confiable.

Especialmente, creo que las interfaces tienen un mayor impacto sobre cómo se autentican las personas que las contraseñas (pero no tengo el tiempo ni la motivación para argumentar esto de ninguna manera científica :-)), y estaría dispuesto a apostar eso Si tal modelo se hizo para, por ejemplo, las computadoras de escritorio con un cierto tipo de teclado fallarían, por ejemplo. Las tabletas con una distribución de teclado diferente (por ejemplo, si "@" está disponible con un costo de interacción menor que "1" en un teclado, puede ser preferible por esa misma razón).

Pensar en este problema desde una perspectiva de UX simplifica el asunto en gran medida: ¿por qué la gente siempre elige transformaciones muy básicas, por ejemplo, agrega un número y un símbolo al final de una contraseña existente? Porque era barato y fácil de hacerlo con una contraseña existente. ¿Qué aprendimos de esto? O hacemos que todas las opciones sean igualmente dolorosas para el usuario para que elijan una contraseña al azar, o dejamos de pedirles una tarea tan ridículamente difícil de seleccionar factores de autenticación aleatorios pero memorables.

    
respondido por el Steve DL 17.09.2014 - 17:52
fuente

Lea otras preguntas en las etiquetas

¿Es esta una demostración de que el parche de shellshock no está funcionando? ¿Es seguro el sistema de autenticación PassFace?