Комментарии 91
НЛО прилетело и опубликовало эту надпись здесь
Минусы:
Отличная от нуля верятность того, что человек, не прошедший авторизацию — именно тот, кому принадлежит данная учетная запись :-)
Сразу полезли в голову нехорошие мысли: что, если человек потерял палец в бою, и теперь не может так же вбарабанивать пароль; что, если он попал за маленькую клавиатуру (нетбук, телефон) и пытается вбить свой пароль на сайт…
В общем, метод, вроде бы, и неплохой, но не универсальный.
Отличная от нуля верятность того, что человек, не прошедший авторизацию — именно тот, кому принадлежит данная учетная запись :-)
Сразу полезли в голову нехорошие мысли: что, если человек потерял палец в бою, и теперь не может так же вбарабанивать пароль; что, если он попал за маленькую клавиатуру (нетбук, телефон) и пытается вбить свой пароль на сайт…
В общем, метод, вроде бы, и неплохой, но не универсальный.
ну можно просто не учитывать нажатие между кнопками (интервал).
«Даже истинный админ набирает текст 1 пальцем, когда создаёт пароль на сервере» (С)bash.org.ru
Что касается телефонов и устройств — да. Уже внёс в минусы.
Что касается телефонов и устройств — да. Уже внёс в минусы.
супер всё гениальное — просто.
Как продолжение идеи, предложить пользователю специально делать паузы в набирании пароля.
К примеру:
pas[пауза]sword
Где [пауза] четко обозначена интервалом времени (1-2с) и отлично воспринимается скриптами.
К примеру:
pas[пауза]sword
Где [пауза] четко обозначена интервалом времени (1-2с) и отлично воспринимается скриптами.
Я думал это я параноик ))
Хм, неплохой вклад в копилку идей глобальной паранойи.
Мастер паролей в браузере (для тех кто им пользуется) вы полагаете тоже будет это отслеживать?
Мастер паролей в браузере (для тех кто им пользуется) вы полагаете тоже будет это отслеживать?
Тем, кто им пользуется, идеи глобальной паранойи, очевидно, чужды.
Ну не скажи! Я параноик однозначно, но я пользую автономный менеджер паролей с автозаполнением. Кстати там есть возможность и паузы делать при вводе и стирать символы, но все равно в идее смысла особого не вижу — у меня и так пароли все ~20 символов сплошной абракадабры и контроль скорости/порядка ввода особой защиты не добавит!
НЛО прилетело и опубликовало эту надпись здесь
О каком брутфорсе речь?
Блин промазал…
Сам прикинь: 62 возможных символа (латинские буквы с учетом регистра + цифры) ^ 20 символов в пароле = 704423425546998022968330264616370176 возможных варианта, и это без учета кириллицы и спец. символов!
В случае реального взлома узким местом будет уж точно не брутфорс! К тому же разработчик внедряющий такую мудреную систему аутентификации наверняка предусмотрит ограничение на количество попыток ввода пароля.
Сам прикинь: 62 возможных символа (латинские буквы с учетом регистра + цифры) ^ 20 символов в пароле = 704423425546998022968330264616370176 возможных варианта, и это без учета кириллицы и спец. символов!
В случае реального взлома узким местом будет уж точно не брутфорс! К тому же разработчик внедряющий такую мудреную систему аутентификации наверняка предусмотрит ограничение на количество попыток ввода пароля.
Чем-то идея перекликается вот с этой, хотя там речь идёт о защите с другой стороны; ещё там же интересна ветка комментариев вот с этого и дальше. Но тамошняя проблема в том, что предложения разного рода идут к пользователю со строны реквестирующего пароль ресурса. Здесь же, наоборот, пользователь определяет механизм ввода при регистрации лишь единожды, что является плюсом для пользователя.
Как средство пропуска капчи — идеальная штука, но не более того.
А вообще получится так: сел за комп пьяный и думай — он тебя обманывает или ты его.
А вообще получится так: сел за комп пьяный и думай — он тебя обманывает или ты его.
По сути, backspace становится таким же символом при подборе пароля, который, правда, тайком влияет на его длину. Вообще здорово, но я думаю, после отпуска без сброса пароля не обойтись :)
Иногда приходится давать свои пароли другим людям по различным причинам (посидеть в интернете, скачать торрент, и.т.д). На лицо проблема правильной передачи пароля другому человеку, многие латинские буквы то записать не могут правильно, а тут ещё нужно соблюсти правила ввода.
Ни один вменяемый специалист никогда не даст свой пароль другому человеку.
Это напрямик запрещено в принципе таким понятием как парольная защита.
Это напрямик запрещено в принципе таким понятием как парольная защита.
Что-то типа нотной грамоты вспоминается: набираем qwer в темпе, выдерживаем паузу, неспешно стираем два последних символа, после чего вводим 123 «на одном дыхании» =)
нужно ввести 2 типа пауз — маленькая и большая и предложить пользователю самому их расставлять во время выбора пароля. Тогда при наборе пароля нужно будет делать что-то вроде: П (
Мельком глянув на картинку — подумал — новый вид анимированной капчи — т.е. ты должен изменять текст как показано на картинке…
кстати гуд!!!
Если бы была у меня карма я бы тебе + поставил =)
Если бы была у меня карма я бы тебе + поставил =)
Блин, ну, неужели, нельзя без этих «Если бы да кабы»?
Комментарии «поставил бы плюс, да не могу», топики «перенес бы в блог, да кармы нет».
Намек, да не намек, а прямое требование «Дайте мне кармы». Я всего тут месяц, но не представляю, если подобное встречается тут уже не один год.
Комментарии «поставил бы плюс, да не могу», топики «перенес бы в блог, да кармы нет».
Намек, да не намек, а прямое требование «Дайте мне кармы». Я всего тут месяц, но не представляю, если подобное встречается тут уже не один год.
НЛО прилетело и опубликовало эту надпись здесь
Идея имеет право на существование, но конечно область применения весьма узка. Для массового пользования будет большой процент «ложных» предупреждений и отказов, а для «секретных» задач думаю легитимней использовать сертификаты/флешки/опечатки пальцев/зубов/глаза.
P.S.
Правда термо-ректальный криптоанализ никто не отменял тоже =)
P.S.
Правда термо-ректальный криптоанализ никто не отменял тоже =)
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
го еще проверку времени ввода символов! )
На любой пароль есть метод ректального криптоанализа или ампутации отпечатко-содержащего дигита.
Что-то в этот раз поздновато эта фраза появилась… Куда уж без нее в топике про пароли!
Кину мнение против: не на каждого подействует — это раз, не всегда известно, против кого применять, это два.
Кину мнение против: не на каждого подействует — это раз, не всегда известно, против кого применять, это два.
Ну-ну, с пояльников в… пользователь конечно точно также будет на клавиатуре набирать как и без пояльника.
Только не понятно это в данном случае плюс или минус :(
Только не понятно это в данном случае плюс или минус :(
Это просто к тому, что там где тонко — там и рвёцца.
И надо при построении периметра безопасности все звенья укреплять, а не только звено ИКС.
зы: Это скорее в минус :) Характер ввода явно меняется. Но с другой стороны мы можем поручить ввод другому человеку.
Да и вводе по-мойму особого почерка мало, кроме скорости ввода.
И надо при построении периметра безопасности все звенья укреплять, а не только звено ИКС.
зы: Это скорее в минус :) Характер ввода явно меняется. Но с другой стороны мы можем поручить ввод другому человеку.
Да и вводе по-мойму особого почерка мало, кроме скорости ввода.
В одной из текстовых RPG (мад), в которой я играл, очень успешно использовалась проверка людей по «почерку» действий в игре — набору команд и сокращений, которые использовались. Не знаю точно цифры, но передачу аккаунтов и дублирующие аккаунты таким методом определялись часто и надёжно. На сайтах, я думаю, тоже можно это использовать — выделить характерные действия пользователей — в каких местах нажимает на кнопки, на какие именно, какие из идентичных ссылок использует, с какой скоростью страницу скроллит и т.п.
Если правильно подобрать признаки — можно вполне успешно определять передачу аккаунтов, взломы и прочее. Конечно, поведение человека может отличаться на разных компьютерах и из-под разных браузеров, но это тоже можно либо учесть либо проводить дополнительные проверки при подозрении.
Если правильно подобрать признаки — можно вполне успешно определять передачу аккаунтов, взломы и прочее. Конечно, поведение человека может отличаться на разных компьютерах и из-под разных браузеров, но это тоже можно либо учесть либо проводить дополнительные проверки при подозрении.
Ага, и поэтому в мудах у меня были проблемы постоянно: потому что поведение меняется от перса к персу и от задания к заданию. Тот же набор клиенских скриптов и ботов делает поведение супервариативным. Разве что запретить использовать скриптов, ботов, пиво во время игры, курево, и просто отыгрывание роли в разных стилях.
Очень интересно где вы тут защиту от капчи углядели?
Люди скрипты пишут распознающие картинки быстрее и правильнее чем люди. Что мне мешаетсэмулировать нажатие клавишь, с генерировать и отослать информацию о моём псевдоручном наборе.
Далее, идея конечно прикольная, но так получается, что регистрироваться приходится, в неделю раз 5, и если регистрация ради 1-й мелочи, я использую пороль из серии 123. На более-менее важных сайтах, сервисах и т.п. я использую, что-то типа двойного пароля. Например у меня есть мой любимый 10 символьный рандомный пароль, который набираю за секунду, и на каждом новом ресурсе я к паролю добавляю слово.
Какие плюсы?
— Я имею 1 уникальный пароль(который мне ненужно дополнительно запоминать)
— Для каждого нового сайта, мне нужно запомнить одно простое ключевое слово, и его можно связать например с дизайном сайта или другим ключевым моментом ресурса. Например на кинопоиске у меня ключевое слово любимый жанр.
К чему я? К тому что можно такое реализовать при регистрации, по мимо пароля просить указать ключевое слово.
Люди скрипты пишут распознающие картинки быстрее и правильнее чем люди. Что мне мешает
Далее, идея конечно прикольная, но так получается, что регистрироваться приходится, в неделю раз 5, и если регистрация ради 1-й мелочи, я использую пороль из серии 123. На более-менее важных сайтах, сервисах и т.п. я использую, что-то типа двойного пароля. Например у меня есть мой любимый 10 символьный рандомный пароль, который набираю за секунду, и на каждом новом ресурсе я к паролю добавляю слово.
Какие плюсы?
— Я имею 1 уникальный пароль(который мне ненужно дополнительно запоминать)
— Для каждого нового сайта, мне нужно запомнить одно простое ключевое слово, и его можно связать например с дизайном сайта или другим ключевым моментом ресурса. Например на кинопоиске у меня ключевое слово любимый жанр.
К чему я? К тому что можно такое реализовать при регистрации, по мимо пароля просить указать ключевое слово.
Пароль и есть ключевое слово. Человеку, наверное, проще запомнить один пароль, чем два
Создавать каждый раз уникальный брудфорсостойки пароль, и запоминать его мне не по силам.
Это понятно, главное что и так и так приходится два пароля помнить (в Вашем случае), вот и возник вопрос, зачем их разделять…
О, пусть такие пароли сочиняют писатели!
У меня все пароли — это стихи.
И символов там редко где меньше 20, и набираются на одном духу. И очень сомнительно, что их кто-то когда-то подберет.
Правда, когда отвлекают посередине набора пароля — приходится набирать заново.
У меня все пароли — это стихи.
И символов там редко где меньше 20, и набираются на одном духу. И очень сомнительно, что их кто-то когда-то подберет.
Правда, когда отвлекают посередине набора пароля — приходится набирать заново.
уже есть такое
а как же быть с запоминалками паролей?
По сути, данный метод ничего не решает. Он НЕ делает коротким пароль, НЕ делает его сложнее. Сложность пароля остается той же, просто к «разрешенным» символам прибавляется символ бэкспэйса (+1 символ к алфавиту). И сложность запоминания/подбирания пароля все еще прямо зависит от качества «комбинации нажатий клавиш».
В идее нет смысла еще и потому, что кейлоггеры так или иначе УЖЕ не имеют сложности записать все клавиши (включая временные промежутки). Также, как вы сами догадались — без javascript (или встроенной поддержки в браузере) отслеживать дополнительную «неординарную» клавишу невозможно, следовательно залогиниться можно будет с ограниченного набора устройств.
Метод попроще (но им уже редко кто пользуется) — это переключать раскладку внутри пароля (и тем самым расширить алфавит на ~30 символов). Не пользуются, думаю, из-за боязни не зайти там где нет русской раскладки / наклеек на клавиатуре (т.е. ограниченный круг устройств).
В идее нет смысла еще и потому, что кейлоггеры так или иначе УЖЕ не имеют сложности записать все клавиши (включая временные промежутки). Также, как вы сами догадались — без javascript (или встроенной поддержки в браузере) отслеживать дополнительную «неординарную» клавишу невозможно, следовательно залогиниться можно будет с ограниченного набора устройств.
Метод попроще (но им уже редко кто пользуется) — это переключать раскладку внутри пароля (и тем самым расширить алфавит на ~30 символов). Не пользуются, думаю, из-за боязни не зайти там где нет русской раскладки / наклеек на клавиатуре (т.е. ограниченный круг устройств).
Мне кажется добавление одного символа в пароль повысит защищенность больше, нежели предлагаемая методика.
я бы минусанул. да кармы нету.
Не прокатит. Я, например, когда регистрируюсь, обычно придумываю новый пароль. Пароли у меня сложные, человеконеудобные, первый раз ввожу медленно. К пятому-шестому разу скорость набора обычно вырастает до почти пулеметной, процент опечаток тоже падает. Меня тогда ваша авторизация пускать перестанет.
Другой вариант: что скажет ваша проверка, если я опечатался и жму «Shift+Home, Del» либо «Ctrl+Shift+Left, Del», после чего вбиваю пароль заново? С большой вероятностью пошлёт нафиг. Естественно, любой после этого предаст анафеме ваш сервис.
Другой вариант: что скажет ваша проверка, если я опечатался и жму «Shift+Home, Del» либо «Ctrl+Shift+Left, Del», после чего вбиваю пароль заново? С большой вероятностью пошлёт нафиг. Естественно, любой после этого предаст анафеме ваш сервис.
С выходом семерки — пользуюсь сверх-удобной экранной клавиатурой, которая запускается значком рядом с языковой панелью. Клавиатуру из выезжающего лотка достаю очень редко, а на виртуальной клаве раз на раз не приходится — то быстро получается щелкать, то ошибка за ошибкой. Так что, идея хороша, но не вовремя =)
НЛО прилетело и опубликовало эту надпись здесь
Данные о порядке ввода пароля и времени, как я понял, отправляются на сервер, видимо, как дополнительные переменные, которые так же можно подделать…
Я думаю эта защита будет хороша до тех пор пока не пойдет в массу, а затем не так и сложно будет ее взломать.
Думаю, что этот подход плох, потому что сложен и неестественнен. И так уже критикуют звёздочки в поле пароля, а тут ещё и какой-то «хитрый» ввод, который сложно отслеживать и нужен только, пока другие вводы «нехитрые». Неопытные пользователи выпадут сразу. Это можно делать только для какого-нибудь игрового сайта, вроде интерактивной Школы Хогвардс.
А вот, вдохновившись идеей, сделать анимированную капчу — это дело. ;-)
А вот, вдохновившись идеей, сделать анимированную капчу — это дело. ;-)
Что только не придумают =).
Может проще выдать персональный ключ дополнительно к проверке пароля?
Может проще выдать персональный ключ дополнительно к проверке пароля?
О, идея ))
ARSA — Animated RSA.
Алгоритм заключается в том, что при входе на ресурс, нужно каждый раз генерировать ключ заново. Генерилка чтобы прозрачно работала на основании жестов мышкой, которые рисуются в ходе генерации. Ну и потом (с ключом в качестве посредника) будут сравниваться уже жесты мышкой. Ну и не RSA конечно =)
ARSA — Animated RSA.
Алгоритм заключается в том, что при входе на ресурс, нужно каждый раз генерировать ключ заново. Генерилка чтобы прозрачно работала на основании жестов мышкой, которые рисуются в ходе генерации. Ну и потом (с ключом в качестве посредника) будут сравниваться уже жесты мышкой. Ну и не RSA конечно =)
Ну такое в какой то степени уже внедрено. Если слишком долго набирать PIN пластиковой карточки в банкомате то проследует сообщение от последнего — «Слишком долго набираете PIN» и карточка выплюнется.
в информационной безопасности есть такое множество подходов к обнаружению вторжений — называется оно поиском аномалий. То что вы предложили и относится к этому подходу. но на практике, я боюсь, он применения иметь не будет, учитывая всякие независящие от пользователя временные задержки, тут слишком маленькая выборка (в среднем 10 символов).
Нереально.
Некоторое время поразмышляв, я нашел как минимум 1 аргумент, который делает данный подход малореальным.
Это раскладка клавиатура и способ ее переключения:
Допустим что пароль состоит как из русский так и, к примеру, английских букв, символов и так далее — в при работе с разными ПК время переключения раскладки будет различным, поскольку используются разные варианты переключения. Это раз.
При введении пароля мы будем обязаны перед самой формой для ввода пароля переключить раскладку на ту, которая у нас была установлена при его введении в первый раз, иначе система засчитает доп комбинации клавиш, которых в пароле нет. Более того, если перед первоначальным введением пароля мы меняли раскладку с русского на английскую, чтобы авторизироваться мы должны:
1. Перед формой установить Русскую раскладку
2. перейти на форму и установить раскладку на Английскую, и это необходимо делать именно при фокусе на поле пароля.
3. Мы обязаны переключить раскладку за то же время, что и при регистрации.
Это два.
Еще причина по которой это малореальный вариант — человек, работающий с ПК постоянно постепенно увеличивает скорость работы с клавиатурой — у него естественным образом изменяется «почерк». Это три
Даже если разработать систему Искусственного интеллекта, которая будет отслеживать естественное изменение «почерка», она вряд ли будет в состоянии отреагировать на такие параметры как:
1. Коммандировка с интенсивным обучением на другом ПК.
2. Переход на слепой набор
3. Простейшая замена клавиатуры несколько измененного формата.
Это четыре.
Это еще и нарушение законов ряда стран — сбор приватной информации, и создание системы, которая по-сути в состоянии обучиться имитировать «почерк»(в том числе и нашей — закон о конфиденциальности и нераспространении конфиденциальной информации, который вступает в силу с нового года).
Это пять.
Человеку будет весьма сложно в точности повторить временно-комбинаторную схему, приводящую к паролю, а вот системам, тупо перехватывающим твой ввод это проблемы не составит абсолютно.
Это шесть.
И последнее — гораздо легче вместо всех этих танцев с бубном, мощнейшей аналитикой, сбором и анализом большого объема данных и обучения этой системы, гораздо легче просто отказаться от паролей в принципе а в клавиатуру встроить сканер отпечатков пальцев, что на нынешний момент гарантирует большую безопасность и, наверняка, обойдется дешевле в практическом внедрении.
Как постскриптум: Система в первую очередь должна увеличивать безопасность и осложнять взлом.
Осложняет ли взлом данный подход?
Нет, поскольку все стандартные методики, кроме тупого перебора остаются в строю, с мелкими косметическими изменениями в несколько строчек кода (почерк можно снять перехватом ввода? да. Почерк должен быть в базе шифрованных паролей? да).
Облегчает ли он взаимодействие с системой?
Нет — однозначно затрудняет.
Это раскладка клавиатура и способ ее переключения:
Допустим что пароль состоит как из русский так и, к примеру, английских букв, символов и так далее — в при работе с разными ПК время переключения раскладки будет различным, поскольку используются разные варианты переключения. Это раз.
При введении пароля мы будем обязаны перед самой формой для ввода пароля переключить раскладку на ту, которая у нас была установлена при его введении в первый раз, иначе система засчитает доп комбинации клавиш, которых в пароле нет. Более того, если перед первоначальным введением пароля мы меняли раскладку с русского на английскую, чтобы авторизироваться мы должны:
1. Перед формой установить Русскую раскладку
2. перейти на форму и установить раскладку на Английскую, и это необходимо делать именно при фокусе на поле пароля.
3. Мы обязаны переключить раскладку за то же время, что и при регистрации.
Это два.
Еще причина по которой это малореальный вариант — человек, работающий с ПК постоянно постепенно увеличивает скорость работы с клавиатурой — у него естественным образом изменяется «почерк». Это три
Даже если разработать систему Искусственного интеллекта, которая будет отслеживать естественное изменение «почерка», она вряд ли будет в состоянии отреагировать на такие параметры как:
1. Коммандировка с интенсивным обучением на другом ПК.
2. Переход на слепой набор
3. Простейшая замена клавиатуры несколько измененного формата.
Это четыре.
Это еще и нарушение законов ряда стран — сбор приватной информации, и создание системы, которая по-сути в состоянии обучиться имитировать «почерк»(в том числе и нашей — закон о конфиденциальности и нераспространении конфиденциальной информации, который вступает в силу с нового года).
Это пять.
Человеку будет весьма сложно в точности повторить временно-комбинаторную схему, приводящую к паролю, а вот системам, тупо перехватывающим твой ввод это проблемы не составит абсолютно.
Это шесть.
И последнее — гораздо легче вместо всех этих танцев с бубном, мощнейшей аналитикой, сбором и анализом большого объема данных и обучения этой системы, гораздо легче просто отказаться от паролей в принципе а в клавиатуру встроить сканер отпечатков пальцев, что на нынешний момент гарантирует большую безопасность и, наверняка, обойдется дешевле в практическом внедрении.
Как постскриптум: Система в первую очередь должна увеличивать безопасность и осложнять взлом.
Осложняет ли взлом данный подход?
Нет, поскольку все стандартные методики, кроме тупого перебора остаются в строю, с мелкими косметическими изменениями в несколько строчек кода (почерк можно снять перехватом ввода? да. Почерк должен быть в базе шифрованных паролей? да).
Облегчает ли он взаимодействие с системой?
Нет — однозначно затрудняет.
Хм… Интересно сколько опций будет у программы для перебора паролей при такой системе?
Интервал между 1-м и 2-м символом, мс
Интервал между 2-м и 3-м символом, мс
Интервал между (N-1)-м и N-м символом, мс
Интервал между 1-м и 2-м символом, мс
Интервал между 2-м и 3-м символом, мс
Интервал между (N-1)-м и N-м символом, мс
Для не важных паролей использую запоминалку lastpass, для важных — локальный робоформ. Отсутствие необходимости вводить пароли ручками позволило генерировать пароли даже на не нужную ерунду по 20 случайных символов… Вот и всё
По теме:
Теоретически, зная психологию пользователя, можно предположить, что пароли набираемые ручками не будут содержать пауз больше 3 секунд между буквами + погрешность проверяльщика еще более уменьшает количество вариантов. Так что тот же брутфорс, к примеру…
Если технология (что вряд ли) станет популярной — теория взлома так же несложна как и существующая
По теме:
Теоретически, зная психологию пользователя, можно предположить, что пароли набираемые ручками не будут содержать пауз больше 3 секунд между буквами + погрешность проверяльщика еще более уменьшает количество вариантов. Так что тот же брутфорс, к примеру…
Если технология (что вряд ли) станет популярной — теория взлома так же несложна как и существующая
Программисты объясните, меня давно мучает один вопрос:
Возможно ли для защиты от брутфорса, банально, при проверке пароля вставить задержку (около 1ой секунды)? То есть скорость перебора составит максимум 1 вариант/секунду, и при этом смысл брутфорса потеряется.
Возможно ли для защиты от брутфорса, банально, при проверке пароля вставить задержку (около 1ой секунды)? То есть скорость перебора составит максимум 1 вариант/секунду, и при этом смысл брутфорса потеряется.
Проще пароль сложный придумать, чем сидеть с секундомером перед клавой
И еще один момент: а если пароль не набирается, а копипастится? Например многие хранят сложные пароли в текстовых файлах «под замком». Ведь все пароли хранить в голове просто не реально.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Третье измерение защиты паролей