Все дело в том, что владельцу транспорта, если брать ваш пример, намного проще оградить свой же транспорт кои-то защитой, чем защищать весь канал.
Другое дело, если канал уже будет защищен (т.е. новые протоколы и т.д.).
А зачем вам центр? Кликнули в бок, сравнивается, я так думаю, расстояние от центра до вашего клика. Если оно меньше какой-то величины (там...5 пх) — вы выбрали фигуру. Т.е. заморачиваться с попаданием в центр не стоит…
Пусть набор иконок состоит из 3х штук, но на каждой новой картинке они располагаются в новом месте. Каким образом компьютер будет отправлять на сервер координаты нужных картинок в нужной последовательности без распознавания образов иконок ??
ID картинок хранятся на сервере, как и их соответствие новым координатам, которые показываются пользователю.
Пользователь на сервер посылает лишь массив с введенными координатами (и они для каждой новой картинки разные). Далее на сервере по координатам выкупаются ID реальных картинок и сравниваются с введенными при рег-ции.
Таким образом, даже если злоумышленник получит текущие коорд-ты, при следующей генерации нового пароля — коорд-ты будут другими.
Единственный плюс, который можно извлечь из снифа — это текущая картинка + коорд. кликов пользователя — чтоб потом глазками на картинку посмотреть и определить, какие иконки выбрал человек.
Ну и по поводу хранения — не вижу ничего сложного. В базе хранится хеш из ID реальных картинок. На сервер передаются координаты на пиктопароле, по ним определяются ID картинок, из них хеш, по нему сравнивается.
А если я реально хочу простой пароль завести?
Т.е. есть, к примеру, у меня черновое мыло, которое я использую только для рег-ции на ких-то ресурсах\форумах, где я буду 1 раз логинится.
И начинать вводить для этого 10-ти символьный пароль — не очень хочется.
Не вижу большого смысла страховаться.
Из-за взлома страдает имя компании и, в что важнее, ее пользователи.
И страховка никак не поможет вернуть данные пользователей.
Да, денег немного они получат, но не будут же они их раздавать всем своим клиентам…
Нашел для себя один плюс во всех этих взломах + циклу статей от sic:
1) Буду себе генерить пароли позаковыристей
2) Буду у себя строить хитромудрые схемы для защиты чужих паролей.
Ну, я ведь и гарантий никаких не даю, что это не так ;)
Делал для себя + как демку к статье. Но пользуюсь.
Даже для генерации случайных паролей подходит — вбиваю ерунду в фразу и цель — на выходе получаю псевдослучайный пароль.
Во всей этой ситуации одна печаль: как только такие рекомендации становятся общедоступными и используемыми — они сразу попадают в «дефолтные charset'ы средств подбора хэшей»
Очень часто != всегда. Очень часто и солью пренебрегают. Мы же с вами говорим о случае, когда все настроено как надо…
К тому же, чтоб сделать LOAD FILE, надо еще узнать путь к файлу. А получив доступ только к БД, сделать это достаточно сложно (при условии, что сорцы не светятся на каждом углу).
Хотя, признаюсь честно, не приходилось слышать о LOAD FILE, полез читать, спасибо.
Другое дело, если канал уже будет защищен (т.е. новые протоколы и т.д.).
Пользователь на сервер посылает лишь массив с введенными координатами (и они для каждой новой картинки разные). Далее на сервере по координатам выкупаются ID реальных картинок и сравниваются с введенными при рег-ции.
Таким образом, даже если злоумышленник получит текущие коорд-ты, при следующей генерации нового пароля — коорд-ты будут другими.
Единственный плюс, который можно извлечь из снифа — это текущая картинка + коорд. кликов пользователя — чтоб потом глазками на картинку посмотреть и определить, какие иконки выбрал человек.
Ну и по поводу хранения — не вижу ничего сложного. В базе хранится хеш из ID реальных картинок. На сервер передаются координаты на пиктопароле, по ним определяются ID картинок, из них хеш, по нему сравнивается.
habrahabr.ru/blogs/infosecurity/122119/#comment_3996200
Т.е. есть, к примеру, у меня черновое мыло, которое я использую только для рег-ции на ких-то ресурсах\форумах, где я буду 1 раз логинится.
И начинать вводить для этого 10-ти символьный пароль — не очень хочется.
Из-за взлома страдает имя компании и, в что важнее, ее пользователи.
И страховка никак не поможет вернуть данные пользователей.
Да, денег немного они получат, но не будут же они их раздавать всем своим клиентам…
1) Буду себе генерить пароли позаковыристей
2) Буду у себя строить хитромудрые схемы для защиты чужих паролей.
Делал для себя + как демку к статье. Но пользуюсь.
Даже для генерации случайных паролей подходит — вбиваю ерунду в фразу и цель — на выходе получаю псевдослучайный пароль.
А там пришли дядьки, заграбастали 10 серваков, слили базы и вернули обратно =(
К тому же, чтоб сделать LOAD FILE, надо еще узнать путь к файлу. А получив доступ только к БД, сделать это достаточно сложно (при условии, что сорцы не светятся на каждом углу).
Хотя, признаюсь честно, не приходилось слышать о LOAD FILE, полез читать, спасибо.