En el sistema de autenticación de la interfaz de paso, ¿las interfaces de paso son seleccionadas por los usuarios o asignadas por el sistema?
¿Este sistema es seguro? ¿Cómo se almacena la interfaz de usuario en el servidor?
Bueno, todo depende de la cantidad de caras que puedas elegir. Comparémoslo con otro mecanismo de dos factores que se usa con frecuencia: contraseñas de un solo uso.
Una contraseña de un solo uso a menudo contiene 6 números. Por lo tanto, hay 10 ^ 6 posibilidades: 1000000. La posibilidad de que un hacker adivine su OTP es 1/1000000. En general, esto se considera una posibilidad bastante alta, en comparación con una buena contraseña (minúsculas, mayúsculas, símbolos, números). Las contraseñas pueden ser una de, digamos, 98 ^ 10 (hay 98 caracteres posibles, y en caso de que la contraseña tenga una longitud de 10). 98 ^ 10 es igual a 81707280688754689024. 1/81707280688754689024 es una probabilidad mucho menor que 1/1000000. Sin embargo, las OTP son seguras porque solo son válidas una vez y una cantidad de tiempo limitada, puede bloquear a los forzados brutos, etc., ese no es el punto de su pregunta.
Bien, considerando que deberíamos comparar manzanas con manzanas, podemos comparar el sistema Passface con el sistema OTP. Hice una demostración en el sitio web de Passface y, para iniciar sesión, tuve que seleccionar 1 de cada 9 caras y repetirlo tres veces. Entonces, la cantidad de posibilidades es 9 ^ 3 = 729. Por lo tanto, un hacker tiene 1/729 de probabilidad de encontrar mi combinación desde el primer momento, lo cual es una probabilidad enormemente mayor que 1/1000000 e incluso una posibilidad infinita más alta que 1/81707280688754689024 .
Editar : algunas fuentes señalan que la base de datos de passface contiene más de 9 caras y que pueden cambiar dinámicamente en cada intento. Dependiendo de cuántas caras haya en la base de datos, lo anterior Por lo tanto, el cálculo no es del todo correcto. Sin embargo, quiero señalar que, en caso de que las caras cambien en cada intento, eso hace que el Sistema aún menos seguro. El hacker podría volver a intentarlo unas cuantas veces y ver qué caras cambian y qué caras siguen siendo las mismas (las que Usted elige tener que permanecer en el conjunto de caras, por supuesto). Analizando esto un Poco más, el atacante podría entonces reducir fácilmente el espacio de búsqueda. Fin de la edición.
Esa posibilidad es, por lo tanto, ENORME en comparación con otros sistemas conocidos (como contraseñas, OTP, archivos de claves, etc.). Entonces, no, si la demostración es una implementación en la vida real del sistema passface, no lo consideraría seguro. Por supuesto, algunas otras medidas son importantes:
Como nota final: vi que el sistema de interfaz de paso se comercializa como un "reemplazo" de las contraseñas, y que la contraseña de "reemplazo" solo se puede usar después de unos días. Si ese es el caso, diría que es completamente inseguro, ya que el sistema passface es el único factor.
Por cierto, no entré en detalles sobre cómo Passface almacena las caras. Probablemente solo en una base de datos, pero de todos modos, mi punto es que incluso si el sistema en sí es completamente seguro, las matemáticas detrás no lo son.
La respuesta a la primera pregunta. Las interfaces de paso son asignadas por el sistema. Esto se debe a que los usuarios tienden a seleccionar caras más atractivas o caras de las personas de su propia región que pueden ser explotadas por el buscador en línea.
Lea otras preguntas en las etiquetas passwords authentication