LINUX.ORG.RU

Re: Самый секьюрный пароль

Выберите четыре запоминающиеся точки на фотке с телкой
Ниодин хакер не догадается :-)

sdio ★★★★★ ()

Re: Самый секьюрный пароль

У систем защиты с такими паролями криптостойкость заведомо небольшая на перебор вариантов, по сравнению с обычными.

anonymous ()

Re: Самый секьюрный пароль

Угу, в юмор это - а что еще ожидать от страны, чье патентное бюро выдает патенты на двойной клик мыши?

palach ()
Ответ на: Re: Самый секьюрный пароль от sdio

Re: Самый секьюрный пароль

Боюсь фотки с тёлками приведут к широкому распространению сенсорных экранов, а это чревато лёгким взломом подобных паролей :)

Lumi ★★★★★ ()

Re: Самый секьюрный пароль

Сразу видно гениев интуиции, которые прочитав только первую половину статьи, сразу составили мнение обо всей статье =)

anonymous ()
Ответ на: Re: Самый секьюрный пароль от Lumi

Re: Самый секьюрный пароль

> Боюсь фотки с тёлками приведут к широкому распространению сенсорных экранов, а это чревато лёгким взломом подобных паролей :)

Зато тупые америкосы перестанут забывать свои пароли каждый день. А к чувству ложной защищённости им не привыкать

anonymous ()
Ответ на: Re: Самый секьюрный пароль от anonymous

Re: Самый секьюрный пароль

> Сразу видно гениев интуиции, которые прочитав только первую половину статьи, сразу составили мнение обо всей статье =)

Домашнее задание по комбинаторике. Посчитай число вариантов, которые надо перебрать, если точность попадания +-10 пикселов, картинка - 1024x768.

anonymous ()
Ответ на: Re: Самый секьюрный пароль от anonymous

Re: Самый секьюрный пароль

Кстати, 102*76 это примерно 88^2, т.е. одна такая точка примерно эквивалентна двум символам пароля. Но вы ведь не используете даже 88 символов в своих паролях!

unDEFER ★★★★★ ()

Re: Самый секьюрный пароль

А вот касаемо второй половины (которую видимо далеко не фсе асилили) стало интересно, даже если кто будет подсматривать клики, то будет ли затем этой информации достаточно чтобы восстановить те самые три иконки? Т.е комп знает три иконки и после некоторого кол-ва кликов однозначно определяет знает ли их юзер, а возможна ли обратная задача,т.е зная места кликов при правильном логине однозначно восстановить три иконки?

W98 ()
Ответ на: Re: Самый секьюрный пароль от W98

Re: Самый секьюрный пароль

У авторизации по трем иконкам есть слабое место.
В классическом варианте с текстовым паролем, на компе, для проверки правильности пароля, он хранится зашифрованный необратимым алгоритмом. В этой же системе те самые три иконки должны где-то храниться в явном виде, ибо login manager должен знать их точно для проверки ввода юзера. Типа возвращаются времена cat /etc/passwd :)

W98 ()
Ответ на: Re: Самый секьюрный пароль от W98

Re: Самый секьюрный пароль

> возможна ли обратная задача,т.е зная места кликов при правильном логине однозначно восстановить три иконки?

Если мыслить логически, то да. Т.е., комбинация из 3-х правильных иконок должня быть единственной для данной последовательности кликов, иначе имеется вероятность того, что пользователь имел в виду другую комбинацию. Другой вопрос, какова вычислительная сложность данной задачи.

watashiwa_daredeska ★★★★ ()
Ответ на: Re: Самый секьюрный пароль от W98

Re: Самый секьюрный пароль

>А вот касаемо второй половины (которую видимо далеко не фсе асилили) стало интересно, даже если кто будет подсматривать клики, то будет ли затем этой информации достаточно чтобы восстановить те самые три иконки? Т.е комп знает три иконки и после некоторого кол-ва кликов однозначно определяет знает ли их юзер, а возможна ли обратная задача,т.е зная места кликов при правильном логине однозначно восстановить три иконки?

Таки да не фсе вторую половину асилили.. Иконок не три, а десять, появляются каждый раз из них на экран рандомно 3-4 иконки из тех десяти, представляешь, сколько возможно вариантов набора из 3-х 4-х иконок даже для одного клика? А таких у тебя будет десять, т.е. суммарное число вариантов будет примерно кол-во вариантов набора иконок для одного клика в десятой степени. На самом деле меньше, но тут уже роли не играет, для оценки пойдет.

>У авторизации по трем иконкам есть слабое место. В классическом варианте с текстовым паролем, на компе, для проверки правильности пароля, он хранится зашифрованный необратимым алгоритмом. В этой же системе те самые три иконки должны где-то храниться в явном виде, ибо login manager должен знать их точно для проверки ввода юзера. Типа возвращаются времена cat /etc/passwd :)

А вот тут, пожалуй, да.. Хотя речь в статейке шла о том, чтобы никто из рядом стоящих, даже снимая на камеру, не смог потом узнать твой пароль.

kvit ()
Ответ на: Re: Самый секьюрный пароль от watashiwa_daredeska

Re: Самый секьюрный пароль

>Т.е., комбинация из 3-х правильных иконок должня быть единственной для данной последовательности кликов, иначе имеется вероятность того, что пользователь имел в виду другую комбинацию.

Дык суть метода-то в том-то и состоит, что набор иконок для данного набора кликов далеко не единственный, да и иконок там не три.. Посему, по одному набору кликов точно пароль невозможно восстановить. Примерно так же, как нельзя восстановить файл по его контрольной сумме.

kvit ()
Ответ на: Re: Самый секьюрный пароль от watashiwa_daredeska

Re: Самый секьюрный пароль

По моему вы не совсем правильно поняли второй метод ввода пароля. Правильных иконок 10. Каждый раз ты можешь выбрать из этих десяти иконок 3 (или 4) и кликнуть в середину фигуры. В каждом проходе (из 10) ты можешь выбирать комбинацию из любых "правильных" 3 иконок.

sarulezzz ()
Ответ на: Re: Самый секьюрный пароль от sarulezzz

Re: Самый секьюрный пароль

Нет, не так, там все написано.

>система выдаёт на экран сразу огромное панно из иконок, перемешанных случайным образом. Среди них обязательно будут три или четыре "ваши".

хе-хе, ну, блин, совсем какая-то трудная для восприятия статья попалась :)

W98 ()
Ответ на: Re: Самый секьюрный пароль от W98

Re: Самый секьюрный пароль

Может я не совсем корректно выразился :)

Да, каждый раз будет три или четыре "наших" иконки отображаться. Но всего "наших" иконок десять:

>При создании пароля пользователю предлагается выбрать и запомнить десять иконок примерно из 200-400 возможных

sarulezzz ()
Ответ на: Re: Самый секьюрный пароль от sarulezzz

Re: Самый секьюрный пароль

> Но всего "наших" иконок десять:

На самом деле, суть не сильно меняется :) В идеале, клики пользователя должны _однозначно_ указывать на "его" набор иконок, иначе имеется вероятность того, что пользователь имел в виду другие иконки и попал случайно.

Правда, вычислительная сложность взлома велика, даже если записать на камеру не одну сессию ввода пароля.

watashiwa_daredeska ★★★★ ()

Re: Самый секьюрный пароль

а теперь внимание, вопрос по 2-му варианту: что делает пользователь, мысленно пытаясь построить фигуру на выбранных им точках? правильно.. последовательно проводит мышкою над своими картинками пытаясь очертить требуемую область, чтобы туда попасть :)

// wbr

klalafuda ★☆☆ ()
Ответ на: Re: Самый секьюрный пароль от W98

Re: Самый секьюрный пароль

> У авторизации по трем иконкам есть слабое место. > В классическом варианте с текстовым паролем, на компе, для проверки правильности пароля, он хранится зашифрованный необратимым алгоритмом. В этой же системе те самые три иконки должны где-то храниться в явном виде, ибо login manager должен знать их точно для проверки ввода юзера. Типа возвращаются времена cat /etc/passwd :)

Можно снабдить каждую иконку символом, а потом зашифровать их тем же самым алгоритмом. Если вспомнить, что там на самом деле 10 иконок и 200-400 "символов", получится неплохой десятисимвольный пароль.

Jini ★★ ()
Ответ на: Re: Самый секьюрный пароль от Jini

Re: Самый секьюрный пароль

> Можно снабдить каждую иконку символом, а потом зашифровать их тем же самым алгоритмом. Если вспомнить, что там на самом деле 10 иконок и 200-400 "символов", получится неплохой десятисимвольный пароль.

нет.

мы уже договорились что цель -- это чтобы по одной (и даже по большому кол-ву) сессий ввода пароля НЕЛЬЗЯ было определить точный набор выбранных иконок. Это означает что после сессии ввода пароля ты не знаешь точное слово и не можешь его захэшировать и сравнить с образцом.

dilmah ★★★★★ ()
Ответ на: Re: Самый секьюрный пароль от watashiwa_daredeska

Re: Самый секьюрный пароль

>даже если записать на камеру не одну сессию ввода пароля.

IMO если записывать движение глаз - будет сильно проще в обоих вариантах.

DonkeyHot ★★★★★ ()
Ответ на: Re: Самый секьюрный пароль от DonkeyHot

Re: Самый секьюрный пароль

> если записывать движение глаз - будет сильно проще в обоих вариантах.

Для записи движения глаз уж больно камера должна быть хорошая. Я думаю, что действительно, пользователь в большинстве случаев будет:

a) либо водить мышой по экрану, как писал klalafuda,

б) либо тыкать приблизительно в центр фигуры, что может существенно сократить число вариантов.

Но в общем и целом, идея занятная - недостаточно просто перехватить нажатия - надо еще и попотеть опосля, хотя необходимость хранить пароли секретно в недоступном месте несколько портит картину - надо доработать схему :)

watashiwa_daredeska ★★★★ ()
Ответ на: Re: Самый секьюрный пароль от watashiwa_daredeska

Re: Самый секьюрный пароль

>необходимость хранить пароли секретно в недоступном месте несколько портит картину

Я не слышал об challenge-response методах, не требующих для проверки открытого "пароля".

DonkeyHot ★★★★★ ()
Ответ на: Re: Самый секьюрный пароль от watashiwa_daredeska

Re: Самый секьюрный пароль

Если я правильно понимаю, паролем в этом случае является хеш - "правильный" клиент им и воспользуется.

DonkeyHot ★★★★★ ()
Ответ на: Re: Самый секьюрный пароль от watashiwa_daredeska

Re: Самый секьюрный пароль

>В идеале, клики пользователя должны _однозначно_ указывать на "его" набор иконок, иначе имеется вероятность того, что пользователь имел в виду другие иконки и попал случайно.

Опять же нет. При чем тут какие-то идеалы? Принцип как раз в _неоднозначности_. Да и невозможно создать условия, при которых набор кликов определял бы единственно возможную комбинацию, либо такой набор иконок вычисляется элементарно.

Проще всего в такой ситуации рандомным набором кликов угадать пароль (хотя это тоже надо постараться), но ты при этом только один раз залогинишься в систему и даже не сможешь поменять пароль -- иконок ты так и не узнаешь.

kvit ()
Ответ на: Re: Самый секьюрный пароль от watashiwa_daredeska

Re: Самый секьюрный пароль

>Правда, вычислительная сложность взлома велика, даже если записать на камеру не одну сессию ввода пароля.

Как раз при однозначности достаточно было бы снять одну сессию, дальше дело техники.

kvit ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.