¿Cuál es la idea de las contraseñas con posición de botones aleatorios [duplicar]

Navega tus respuestas
43

Cada vez más sitios web utilizan para autentificar algunos teclados de dígitos con una posición aleatoria en lugar de una contraseña. Me gusta esto

¿Podría alguien explicarme la idea de este nombre de usuario y contraseña en lugar del habitual?

Tengo una idea de que parece ser más seguro porque si capturas el tráfico de alguien solo obtendrás las coordenadas pulsadas y estas coordenadas son diferentes cada vez.

Pero en este caso, el servidor debe transferir las posiciones de cada botón a un cliente para poder mostrarlo correctamente (4 es la esquina superior izquierda, 8 en la parte inferior izquierda, etc.)

Si se puede capturar el tráfico para que podamos capturar la posición de cada dígito y las coordenadas, haga clic después.

¿Por qué es más estable que el inicio de sesión / contraseña común con htts enscrition?

    
pregunta Vitalii 23.02.2017 - 12:53
fuente

5 respuestas

52

El uso de un teclado de software aleatorio para la introducción de contraseñas se basa en la idea errónea de que puede evitar que los registradores de claves. De alguna manera puede evitar que el registrador de claves de hardware capture los datos de inicio de sesión.

En un sentido débil, también evita que algunos registradores de claves de software ingenuos capturen datos de inicio de sesión, sin embargo, como usted mencionó correctamente, un keylogger ligeramente mejor puede tomar capturas de pantalla también para derrotar esta medida, y uno más sofisticado puede simplemente instalar un complemento del navegador para capturar la contraseña antes de que se envíe al servidor.

Dado que el registrador de claves de hardware es mucho más raro en comparación con los registradores de claves de software, en la mayoría de los sitios donde se implementa un teclado de software aleatorio, en realidad es solo una señal de que el desarrollador no tiene ni idea de que tales medidas son ineficaces contra la mayoría de los registradores de teclas.

    
respondido por el Lie Ryan 23.02.2017 - 13:04
fuente
55

Otras respuestas han hablado acerca de los registradores de claves, y cómo podrían derrotar este mecanismo, pero puedo pensar en otros ataques contra los que protegería:

  • Mirando las marcas de grasa en una pantalla táctil donde alguien ingresa regularmente el mismo código. Por ejemplo, el código para desbloquear un teléfono o un sistema de puerta de entrada donde la pantalla no se usa para nada más.
  • Navegación por el hombro, donde el atacante puede ver el movimiento de la mano del usuario, pero no lo que está en la pantalla. Podría ser alguien físicamente detrás del usuario cuya vista está parcialmente obstruida, o podría ser una cámara que no tenga la pantalla en su campo de visión.
respondido por el IMSoP 23.02.2017 - 14:28
fuente
6

Esto es comúnmente utilizado por los bancos. Como ya se explicó, proporciona una seguridad adicional contra los keyloggers. También evita que la contraseña se almacene directamente en el navegador, lo cual es una mala práctica de seguridad si no se utiliza una contraseña maestra. Debe tenerse en cuenta que, de todos modos, tiene un inconveniente importante: evita que el usuario utilice una contraseña aleatoria larga almacenada en un administrador de contraseñas.

La razón detrás de esto es que los bancos no confían en que los usuarios puedan elegir y administrar contraseñas seguras, por lo que al menos se aseguran de que el usuario no haya guardado su contraseña en el navegador sin una contraseña maestra.

TL / DR: no agrega seguridad para los usuarios realmente preocupados por las mejores prácticas de seguridad, pero limita las peores prácticas de seguridad que muchos usuarios aplicarían.

    
respondido por el Serge Ballesta 23.02.2017 - 15:25
fuente
3

Esto realmente es solo protección contra un keylogger, ya que los keyloggers ahora pueden capturar tanto las pulsaciones del teclado como la información del movimiento del mouse, por lo que al mover los dígitos alrededor cada vez que hace que los datos keylogged sean inútiles porque no estarán seguros de qué número presionado.

    
respondido por el Ryan Kelso 23.02.2017 - 13:00
fuente
0

1. Es más difícil automatizar la entrada

La última vez que vi esto fue en un sitio web del juego donde la gente tenía la tendencia a dejar que los robots triviales jugaran por ellos. Si tiene un lugar de entrada de pin tradicional, puede simplemente programar el bot para copiar el pin, o hacer clic en los puntos designados. Ahora, cualquiera tendría que hacer que su bot sea más inteligente (posiblemente incluso más inteligente que el mínimo necesario para jugar) antes de poder ejecutar el juego de forma totalmente automática.

Siguiendo la misma lógica, esto también podría usarse para hacer que el craqueo de fuerza bruta sea más difícil, pero la limitación debería hacer el truco, así que no creo que este sea el pensamiento subyacente.

2. Desalienta a las personas a elegir códigos de acceso triviales

Aunque no estoy seguro de si este es el objetivo clave, definitivamente ha sido un efecto para mí.

Hace poco usé una aplicación en la que realmente no me importaba mucho la seguridad, y consideré elegir 1111 como el código para cada cuenta porque sería fácil elegir e ingresar.

Sin embargo, la aleatorización de claves me hizo darme cuenta de que

  • Este pin importa (incluso si es solo un poco)
  • No sería más rápido ingresar 1111 que algo como 1835

Como resultado, terminé con un código pin algo menos trivial.

    
respondido por el Dennis Jaheruddin 24.02.2017 - 15:49
fuente

Lea otras preguntas en las etiquetas

¿Deben mantenerse en secreto los archivos de registro? ¿Debo molestarme en enseñar más los desbordamientos de búfer?