Un sistema de autenticación gráfica de dos pasos [duplicado]

-2

Los cambios realizados en el sistema propuestos en Autenticación de dos factores sin teléfono móvil :

  1. En el sistema anterior, la navegación por los hombros revelaría la imagen predeterminada del usuario. En el sistema actual, la imagen final no revela ninguna información útil. La imagen de inicio y la ruta de acceso del usuario no pueden retroceder desde la imagen final, ya que el usuario solo hace clic en la imagen final. El sistema actual no es vulnerable al surf de hombro.
  2. Aumentó el tamaño de la cuadrícula de 28 a 40. Se pueden mostrar 40 imágenes con el tamaño adecuado en la pantalla, sin hacer que la pantalla sea demasiado estrecha y facilita que el usuario encuentre su imagen de inicio.
  3. Se eliminó la vulnerabilidad de enumeración del usuario agregando una contraseña en el Paso 1.
  4. En el sistema anterior, el usuario tenía 3 oportunidades para escribir la contraseña correcta relacionada con su imagen. Ahora se ha reducido a solo un clic del mouse, lo que reduce las posibilidades de un pirata informático en una sola sesión.

He desarrollado un sistema de autenticación gráfica, que consiste en una autenticación de dos pasos. El primer paso es la identificación de usuario normal: autenticación de contraseña y el segundo paso es la autenticación gráfica. He tratado de mantener el equilibrio entre la seguridad y la experiencia del usuario. He aplicado una patente para este sistema. La autenticación de dos factores seguramente proporciona seguridad adicional, pero también tiene algunos problemas. Por lo tanto, traté de desarrollar un sistema de autenticación que brindara cierta seguridad adicional sin una pérdida considerable en la experiencia del usuario.

En resumen, para el segundo paso, el usuario debe recordar una imagen de inicio y una ruta. Cada vez que el usuario intente iniciar sesión, la imagen de inicio se colocará en una posición aleatoria válida, por lo que al aplicar la Ruta de acceso desde la imagen de inicio, el usuario podrá obtener una imagen de final diferente cada vez. El usuario solo tiene que hacer clic en la imagen final.

La descripción detallada es la siguiente:

Al registrarse, el usuario debe elegir un ID de usuario y una contraseña, necesarios para el primer paso de la autenticación.

Luegotienequeelegirsuimagendeinicio.

Luego, su imagen de inicio se mostrará en una cuadrícula, donde tendrá que elegir su ruta para obtener la imagen final.

Ahora, después de crear la cuenta, cuando el usuario intentará iniciar sesión, primero ingresará su nombre de usuario y contraseña.

Despuésdepasaresteprimerpaso,semostrarálapáginadelsegundopaso.

Elsegundopasoconsisteenunacuadrículade40imágenes;elnúmerodeimágenesnoesdemasiadopequeñoodemasiadogrande.Laimagendeiniciodelusuariosecolocaráenunaposiciónaleatoriaválidaenlacuadrícula,juntoconotras39imágenesqueseránlasmismasparaelusuarioencadasesióndeiniciodesesión,demodoqueelpiratainformáticonoconozcalaimagendeinicioobservandovariassesiones.Elusuariodebeencontrarsuimagendeinicioenlacuadrículayaplicarlarutadeaccesoparaobtenerlaimagenfinal.Elusuariosolotienequehacerclicenlaimagenfinal.Dependiendodelaposicióndelaimagendeinicio,laimagenfinalpuedeserdiferentecadavez.Estasegundapáginadepasossoloesválidadurante90segundosyseredirigealapáginaprincipalsielusuarionohaelegidoelfinal.imagen.

Elusuarioseautenticacorrectamentesieligelaimagenfinalcorrectaparalasesión.

Elsistemaseencargadequelaimagendeiniciosecoloqueenunaposición,demodoquedespuésdeaplicarlaruta,laposicióndelaimagenfinalestéenlacuadrícula.

Ahora,sielusuariocierralasesióneintentainiciarsesiónnuevamente,tendráquepasarelpaso1yluego,enelpaso2,lapáginapodríamostrarsecomo:

La cuadrícula se habría barajado.

Del mismo modo, para el siguiente intento de inicio de sesión, la página del paso 2 podría ser:

y así sucesivamente ...

Me gustaría tener algunos comentarios sobre la entropía del sistema. La única forma en que un hacker puede evitar esto, es adivinar aleatoriamente una imagen cada vez. ¿Hay alguna otra manera? ¿Es este sistema utilizable en tiempo real?

    
pregunta Engineer 24.08.2014 - 15:05
fuente

2 respuestas

2

Seguridad

Estás pidiendo a los usuarios que recuerden:

  • una contraseña de más de 8 caracteres
  • una imagen
  • un camino relativo a esa imagen

¿Y todo eso por lo que añade seguridad? El segundo paso es un factor de conocimiento, al igual que la contraseña, se expone y se proporciona a través del mismo canal, lo que significa que los ataques como el phishing, el malware en el dispositivo o el acceso a su servidor funcionarán con la misma facilidad.

Ahora, el objetivo de agregar pasos de autenticación en lugar de factores (de diferentes tipos e intercambiados / verificados a través de diferentes canales) no es aumentar la seguridad, sino aumentar la usabilidad. El primer paso sería permitir que los usuarios tengan una contraseña más sencilla a cambio del dolor adicional que usted les impone.

Experiencia de usuario

En este momento, me toma unos buenos 5 segundos adicionales para iniciar sesión en su sitio de lo que lo haría sin esta imagen. ¿Suena bien? Este es un sistema único, he creado mi factor de autenticación justo antes y está fresco en mi mente! Aun así, si tuviera que usarlo 20 veces al día, perdería 6 minutos de trabajo productivo. Intentando una segunda vez cinco minutos después, ¡no pude autenticar ya!

Dice que "equilibró las compensaciones entre la seguridad y la experiencia del usuario", ¿cómo se juega con una cuadrícula de imágenes y el número de filas y columnas para ayudarme? ¿Puedes entender cómo aumenta la frustración por una autenticación fallida después de un uso tan reflexivo de tu IU? No solo cometí un error tipográfico al escribir mi contraseña demasiado rápido, era demasiado estúpido para hacer clic. ¡La imagen correcta aunque vacilé y conté!

La experiencia del usuario no es: "Puse algunos colores elegantes y di instrucciones para que el usuario esté bien", es más "El usuario hizo un esfuerzo, ellos merecen , pero aún fallan las tarifas y los tiempos de inicio de sesión son más altos que el sistema anterior que solo tenía contraseñas ".

Lo que debes esperar a escala

¿Sabe qué sucede si los usuarios tienen que manejar varias contraseñas gráficas? El rendimiento disminuye al igual que con las contraseñas . Aunque varios estudios de laboratorio sugieren que la disminución es menos radical que con los PIN o las contraseñas de texto, todavía está aquí y todavía tenemos que ver el trabajo de campo adecuado que muestra cómo los usuarios manejan muchas contraseñas gráficas, ya que están limitadas en la expresividad de sus contraseñas y en sus estrategias de reutilización.

También vale la pena tener en cuenta que, independientemente de las contraseñas que un usuario elija en una condición de laboratorio para probar su software, tienen una posibilidad justa de ser completamente diferentes de lo que normalmente elegirían: eso afecta a cualquier estudio sobre la memorabilidad de las contraseñas.

En resumen, es muy bueno encontrar nuevas soluciones para el viejo problema de las contraseñas, pero realmente debería tener en cuenta que casi no hay evidencia de algo que realmente funcione mejor a escala , y debe intentar comprender no las debilidades sino las fortalezas de las contraseñas si Quiere diseñar algo mejor para la mayoría de las autenticaciones de usuarios.

No puedes proponer algo que demore más. Tampoco puede proponer algo que sea más difícil de recordar cuando tengo más de diez instancias que administrar. Además, es una muy buena idea entender dónde está bien su sistema y dónde está mal, y investiga para qué prácticas es adecuada . Por ejemplo, las contraseñas son malas para la autenticación poco frecuente (dos veces al año) porque olvidas la contraseña que usaste. Los PIN son mejores que las contraseñas y los gestos que los PIN para la autenticación de IU táctil en términos del tiempo para ingresarlos. Y, finalmente, el problema de las contraseñas es no solo un problema de factores , sino que tiene que ver principalmente con la acumulación de ellas y con los procesos disponibles para manejarlos como un todo. ¡Hay una razón por la que los administradores de contraseñas son tan populares!

Edit 1: si se toma en serio la experiencia del usuario y la facilidad de uso, deje de lado todo el tema de "seguridad utilizable" por un tiempo y obtenga capacitación en HCI y diseño. Realmente necesitas una perspectiva más consciente de cómo trabajas, debes aprender a pensar como un diseñador / experto en ergonomía / experto en usabilidad en lugar de solo "equilibrar las compensaciones" o "pensar en el usuario".

Edición 2: ¿con qué frecuencia los delincuentes cibernéticos se aprovechan de ti y con qué frecuencia te engañan o atacan el servidor donde se almacenan tus datos? ¡Conozca sus amenazas! La navegación por el hombro solo es relevante para algunos tipos de servicios, por ejemplo, Facebook, UI de autenticación móvil ... no es el caso general en la Web.

    
respondido por el Steve DL 24.08.2014 - 16:10
fuente
1

Si las imágenes se colocan al azar, a excepción de una imagen, entonces la imagen y el desplazamiento pueden determinarse. (Si ve la pantalla de selección de imagen suficientes veces, la imagen nunca estará al lado de la esquina donde el "camino final" le impide hacerlo)

Esto también es muy confuso para un usuario final, ya que impide que las personas que desea en el sistema obtengan acceso.

Una solución más segura y sencilla es simplemente elegir la imagen directamente.

    
respondido por el random65537 24.08.2014 - 15:18
fuente

Lea otras preguntas en las etiquetas