Question:
La synchronisation des touches peut-elle améliorer la sécurité d'un mot de passe?
Moo-Juice
2016-04-29 00:31:32 UTC
view on stackexchange narkive permalink

Quand j'étais jeune, et que je venais de commencer ma carrière de développement logiciel il y a 20 ans, j'ai écrit un petit bout de code sur mon Amiga qui prenait un mot de passe, mais aussi enregistré (dans un certain seuil), la vitesse à où chaque lettre d'un mot de passe était tapée.

Cela signifiait que, non seulement l'utilisateur devait taper le bon mot de passe, mais aussi chronométrer les touches. Pour le tester, j'avais un rythme dans ma tête et je pourrais toujours retaper le mot de passe à chaque fois. Cependant, si je le tapais régulièrement ou lentement, cela n'était pas accepté.

Je ne suis pas un expert en sécurité (ma programmation se situe dans des domaines moins difficiles, heureusement), mais j'ai soudainement pensé à ce programme J'ai écrit quand j'étais jeune et si c'était un ajout viable à la sécurité de nos jours, ou si cela ne valait même pas la peine d'y réfléchir.

Appuyez sur - Taptaptap - TapTap - Tap .

Préoccupation potentielle: accessibilité.
coursera.com, un site proposant des cours de niveau collégial gratuits / payants, fait exactement cela avant chaque examen pour s'assurer que la bonne personne passe l'examen.Les mots de passe peuvent être partagés, la synchronisation des touches ne peut pas _ (pas facilement, de toute façon) _
Bon pour les musiciens et garder les secrets de qualité militaire en sécurité, mauvais pour un usage quotidien.
Cela augmenterait certainement ma frustration car je saisis souvent les mots de passe d'une seule main, et aussi en cas d'échec de connexion, je ralentis et m'assure de ne pas gâcher.Aussi qV519 [YW; BAZE * qvjj11 ne se prête pas facilement à un rythme;) Oh et les gestionnaires de mots de passe bien sûr.
J'ai en fait mis en œuvre un tel système en utilisant l'apprentissage automatique, mais j'ai trouvé qu'il était beaucoup trop peu fiable pour des entrées courtes comme les mots de passe.Cependant, il peut être assez précis (jusqu'à 95% de taux de détection) lorsqu'on lui donne plus d'entrée (par exemple, un post facebook plus long).Ainsi, il peut être utilisé pour améliorer la sécurité * après * une connexion, par exemplepour vérifier si une personne non autorisée vient de commencer à utiliser l'ordinateur.Ensuite, vous pouvez demander à nouveau le mot de passe, juste pour être sûr.
KeePass, vous surfez sur ce site de temps en temps?J'espère que vous êtes prêt à implémenter un algorithme de frappe pour imiter ma frappe naturelle.Une fois que KeyPass a implémenté cette fonctionnalité (très probablement), comment diable suis-je censé taper `0 '=) 4S-, 5nB? # M76It" 1 "}? # C` avec une quelconque cohérence pour que KeePass imite?
Problèmes: 1) l'utilisateur doit le savoir à l'avance 2) la vitesse de frappe ** change ** avec le temps: si vous avez un mot de passe aléatoire la première fois, vous allez le taper assez lentement, mais après un certain temps, il devient plus musclé-mémoire et peut taper assez rapidement.3) Et si je me suis cassé un doigt / un bras et que pendant quelques jours / semaines je n'arrive pas à atteindre le même timing?4) Tous les utilisateurs de KeePass (ou d'autres outils de gestion de mots de passe) se ressembleraient ... probablement pas un problème car dans ce cas, les mots de passe sont susceptibles d'être suffisamment forts par eux-mêmes.5) La planche à voile peut devenir plus facile.
Que se passe-t-il lorsque je n'ai qu'une seule main pour taper ou que je suis vraiment malade / fatigué?Je ne peux pas entrer?Cool!
Fonctionne très bien jusqu'à ce que je décide que je souhaite me connecter à partir de mon appareil mobile et que je n'utilise pas du tout un clavier réel ...
@BlueRaja Donc, si je me blesse la main en jouant au handball la veille d'un examen, je serai signalé comme tricheur ou incapable de me connecter?Cela ressemble à une idée horrible qui est triviale à contourner par les personnes qui veulent réellement tricher (de nombreux claviers offrent une telle fonctionnalité prête à l'emploi; pas que l'écriture de code qui fasse la même chose prendrait plus d'une demi-heure).
@MathieuK.C'est un problème avec les mots de passe tels quels.Je connais des utilisateurs aveugles qui utilisent un logiciel de lecture d'écran pour lire ce qu'il y a à l'écran et / ou ce qu'ils tapent, et les mots de passe sont lus comme "astérisque astérisque astérisque ...".Ils parviennent à saisir les mots de passe, mais cela prend du temps si le mot de passe est compliqué ou s'ils ne savent pas où se trouvent les clés.
Le clavier du PC, le clavier du notebook et le clavier du smartphone créeraient certainement des mots de passe différents dans mon cas.
Sans oublier que vous devez implémenter ce côté client qui est _impossible_ pour le sécuriser.Si vous utilisez ceci comme mot de passe FDE, je peux simplement remplacer votre chargeur de démarrage (ce qui vous est présenté au démarrage si vous avez FDE est de toute façon une invite de force brute) et si vous êtes sur un site Web, c'est encore plus facile.
Puisque je change mes mots de passe de temps en temps (tout le monde devrait changer ses mots de passe de temps en temps), ma vitesse de frappe varie en fonction de l'âge du mot de passe.De plus en plus vite, jusqu'à ce que je reçoive à nouveau un nouveau mot de passe.Keyrate fonctionne pour des morceaux de texte moyens, mais pas pour des choses que vous avez mémorisées comme des mots de passe.
Si elle est utilisée comme une heuristique générale, cela m'empêcherait d'utiliser ma technique de sécurité par mot de passe par-dessus l'épaule la plus efficace: au fur et à mesure que je la saisis, je basculerai au hasard entre les dispositions qwerty et Dvorak afin que mes frappes utilisées aient une grande variabilité pourleur.La cadence des frappes dépend fortement des positions relatives des touches car les doigts utilisés pour chaque touche et les tendons activés pour chaque transition de touche diffèrent selon les dispositions.
La seule manière dont cela serait une pratique acceptable serait que ce ne soit pas une barrière difficile à l'entrée mais un élément déclencheur pour informer le titulaire du compte si le modèle de frappe ne correspond pas au seuil des données d'habituation.S'il était utilisé pour déclencher un message "Une connexion suspecte a été détectée à {14:56} le {20160503}."e-mail à moi, cela pourrait être acceptable, surtout si les informations dans le système contenaient mes PII ou mes données financières.Si je me connectais d'une seule main pendant que je prenais un verre ou que je conduisais une autre machine, je serais en mesure d'ignorer l'alerte tout en obtenant un accès légitime.
Vous pouvez demander le * coup secret * comme deuxième facteur.
Les navigateurs qui enregistrent et remplissent automatiquement les champs de mot de passe peuvent également poser des problèmes.
Quatorze réponses:
schroeder
2016-04-29 01:55:00 UTC
view on stackexchange narkive permalink

Le terme que vous recherchez est " dynamique de frappe" ou "biométrie de frappe" et est un domaine intéressant et en croissance.

L'idée est qu'un individu tape certaines clés d'une certaine manière qui ne change pas beaucoup avec le temps. Si vous pouvez mapper ces dynamiques, vous pouvez, potentiellement, supprimer complètement les mots de passe et simplement demander à l'utilisateur de taper n'importe quoi .

J'ai entendu dire que pendant la Seconde Guerre mondiale, les forces alliées ont espionné les Allemands avec un microphone caché dans la salle de message allemande.Il était interdit aux opérateurs de parler mais les décodeurs alliés pouvaient en fait reconnaître quel opérateur était en train de taper ainsi que la majorité de leurs messages au seul son de leur frappe!Ils ont donné à chaque opérateur un surnom car ils ne connaissaient pas leur identité réelle.
@CJDennis Cela semble logique.Ce genre d'attaques est même encore utilisé de nos jours.Par exemple: chronométrez les frappes des sessions SSH (juste en chronométrant les moments du trafic réseau, pas le contenu réel) et comparez-les avec les modèles de frappe courants de votre victime ... ou commencez à les analyser à partir de zéro.
@CJDennis Ils ont certainement utilisé des techniques similaires lors de l'écoute sur le trafic Morse chiffré ([voir Keystroke Dynamics sur Wiki] (https://en.wikipedia.org/wiki/Keystroke_dynamics#Origin_of_Keystroke_Dynamics) et [notes sur une station d'écoute] (http://www.harpenden-history.org.uk/page_id__103.aspx)).
Le seul inconvénient de ce système est que je viens de changer mon mot de passe professionnel.Je le tape lentement et délibérément maintenant pendant que je l'apprends.Dans une semaine ou deux, j'aurai développé une nouvelle mémoire musculaire et je pourrai la saisir beaucoup plus rapidement.La dynamique des frappes nécessiterait que je travaille dessus pendant les 90 prochains jours jusqu'à ce que je la change à nouveau, et ce serait très, très irritant, en plus de faciliter le surf.
La manière correcte de l'utiliser, comme pour tout marqueur biométrique * supplémentaire *, est d'enregistrer un niveau de confiance que la personne accédant au système est bien celle qu'elle représente.Si la confiance tombe en dessous d'un certain seuil, alertez-les via un canal de communication présélectionné (comme le courrier électronique) qu'il y a une certaine inquiétude qu'une personne non autorisée ait pu accéder à ses informations de connexion (au temps x via le système y, afin qu'ils aient un moyen de déterminer si celapeuvent avoir été eux).Ce serait déroutant pour la plupart des utilisations, mais je serais d'accord si (disons) ma banque faisait cela.
@CJDennis: Vous pensez probablement à des histoires selon lesquelles les collectionneurs alliés d'interceptions radio pourraient reconnaître le style de différents opérateurs radio allemands.L'envoi de code Morse * c'est * littéralement diffuser vos frappes télégraphiques par radio.Le modèle individuel d'un opérateur est connu sous le nom de «main», et c'est ce que les auditeurs alliés reconnaîtraient, pour aider à déterminer quelle transmission provenait du même endroit que la précédente.(Les messages radio ne sont pas livrés avec des en-têtes d'adresse source).(Je n'ai malheureusement pas pu trouver quoi que ce soit sur Google sur les "mains"; je me souviens l'avoir lu dans un livre.)
@FreeMan Il existe différentes manières de créer le seuil.Comme OP, j'ai expérimenté cela il y a des années et j'ai découvert qu'au moins pour moi, la longueur des pauses entre les caractères s'échelonnait proportionnellement entre la saisie lente d'un nouveau mot de passe et la saisie rapide d'un ancien mot de passe.Donc, si c'est vrai pour vous aussi, et que l'implémentation en a tenu compte, vous n'auriez pas ce problème.
@PeterCordes Je pense que vous pensez au * poing * d'un opérateur.En plus de suivre délibérément les poings des agents ennemis, les gens apprendront simplement à connaître le poing de ceux avec qui ils communiquent régulièrement (ou écoutent) tout comme ils le feraient avec la voix de quelqu'un à qui ils parlaient souvent, ou l'écriture de quelqu'un à qui ils correspondaient souvent.avec par cursive.De même, on peut avoir un poing bon ou mauvais, tout comme on peut avoir une diction ou une écriture bonne ou mauvaise.
Oui, merci.Quelqu'un d'autre m'a déjà rappelé le terme correct, mais les modérateurs semblent avoir supprimé nos commentaires au lieu de les déplacer pour discuter avec un lien.Alors maintenant, il n'y a que les incomplets / faux./soupir.
@Samthere J'ai nommé le champ et fourni comment il pourrait être utilisé pour augmenter la sécurité du mot de passe, ce qui a été demandé.98 personnes ont trouvé ma réponse correcte, y compris Moo-Juice.Tout le monde a une opinion, cependant.
@CJDenis - IIRC Dans le chapitre Codebreakers de Philip Kahn, One Day of Magic, il est mentionné que la flotte japonaise naviguant pour attaquer Pearl Harbor a laissé ses opérateurs radio habituels dans les eaux nationales pour prétendre que la flotte était toujours là.
@Izkata Je doute que cela soit vrai si vous passez à un clavier avec une disposition différente (par exemple qwerty / qwertz).J'ai dû souffrir cela hier et je soupçonne que cela a totalement cassé toute dynamique de frappe habituelle
Ben
2016-04-29 01:16:15 UTC
view on stackexchange narkive permalink

Je pense que ce serait très, très ennuyeux pour les utilisateurs légitimes de votre application ou site Web. Des choses comme un doigt cassé ou simplement tenir un sandwich dans une main rendraient votre connexion inutilisable. De plus, vous devez encourager l'utilisation de gestionnaires de mots de passe, qui enverront des frappes extrêmement rapidement ou n'enverront pas du tout. Votre système empêcherait probablement même les meilleurs gestionnaires de mots de passe de fonctionner.

Et plus d'attaques sont probablement automatisées plutôt que manuelles, en tant que telle, la saisie est plus susceptible d'être similaire à un gestionnaire de mots de passe entrant le mot de passe ...
Un gestionnaire de mots de passe peut toujours générer un modèle de saisie aléatoire, mais cela ne résout pas le problème des supports de sandwich.
En plus de cela, il y a aussi le problème des différents périphériques d'entrée.Je parie que la plupart des gens saisissent des vitesses très différentes sur leur ordinateur portable, leur téléphone portable, leur tablette ou leur Xbox.
@dirkk - ils le font .. tout le monde utilise une grande variété de périphériques, et bien que ce sujet soit intéressant, il est finalement imparfait du fait que les gens utiliseront différents périphériques d'entrée pour les mots de passe.Une bonne idée cependant, peut-être comme deuxième facteur ou quelque chose comme ça ...
@dirkk Et puis vous avez les gens qui passent à des mises en page alternatives comme Dvorak qui obtiendront soit le mot de passe correct, soit le timing correct mais pas les deux lors de l'utilisation d'une machine différente avec une mise en page standard.
Ou même s'il s'agit d'un clavier standard mais pas le vôtre, votre timing peut être affecté.Je suis un dactylo de 80 mots par minute sur une configuration parfaite.Je ne suis pas aussi bon sur mon ordinateur portable, bien que je sois meilleur si je branche un clavier externe qui ressemble à mon système principal - mais même dans ce cas, le positionnement moins qu'idéal de ce clavier aura un impact sur ma frappe.
Un "sandwich", juste.
Il POURRAIT être utilisé pour filtrer les tentatives de force brute.C'est à dire.si les touches sont pressées de manière inhumaine et rapide.Droite?
Certaines entrées non humaines sont cependant valides et vous NE DEVRIEZ PAS les filtrer.Voir mon point sur les gestionnaires de mots de passe.
Robert Mennell
2016-04-29 02:17:29 UTC
view on stackexchange narkive permalink

Il y a du bon, du mauvais et du VRAIMENT laid ici.

Le bon
Cela augmente l'entropie des mots de passe et rend plus difficile la force brute

The Bad
Il est basé sur quelque chose qui peut être enregistré et chronométré de manière audible et qui nécessite des tolérances aux pannes, ce qui signifie que quelque chose doit seulement être suffisamment proche pour rendre ce problème

Le VRAIMENT laid
Les gens changent avec le temps. Pour une multitude de raisons (blessure, âge, oubli du modèle), ils peuvent ne plus être en mesure de le saisir à la même vitesse et fréquence exactes ou dans les limites des tolérances et cela nuit en fait à la capacité des utilisateurs à utiliser le service

Donc, bien que ce soit une bonne idée et un domaine intéressant, ce n'est vraiment rien de plus que difficile pour l'homme de maintenir l'entropie sur le mot de passe. Pire encore, il est facile de recréer le motif avec des machines. Cela rendra plus difficile le piratage sans connaissance préalable de la personne ou du modèle, mais cela pourrait également aggraver l'expérience d'un utilisateur avec votre service au fil du temps et faciliter la collecte d'informations locales sur l'entropie du mot de passe.

mais ce sont tous des avantages / inconvénients similaires pour toute biométrie, n'est-ce pas?
Proche.Le problème est qu'il ne s'agit pas seulement de bio-métriques, mais aussi de métriques audio (modèles sonores).Les métriques bio sont meilleures là-bas car il faut les voir pour les enregistrer.Cela doit juste être à proximité pour le modèle de synchronisation.
Cela apporte cependant une entropie vraiment cool au mot de passe, mais c'est facile à faire sans ajouter un système supplémentaire en premier lieu en augmentant simplement la longueur ou le jeu de caractères.
«Facile à intercepter / répliquer» et «facile à oublier» sont à peu près deux des pires caractéristiques d'un mot de passe.
Pour ajouter à VRAIMENT LAID: je tape souvent mon mot de passe lentement quand il ne se connecte pas et je suis sûr que j'utilise le bon, ce qui me porte à penser que j'ai raté une touche.
Vous pouvez également laisser un appareil mobile à côté du clavier pour capturer le motif.https://www.ted.com/talks/avi_rubin_all_your_devices_can_be_hacked?language=en, vers 12h55.
user1717828
2016-04-29 03:28:40 UTC
view on stackexchange narkive permalink

s'il s'agissait d'un ajout viable à la sécurité de nos jours

La seule raison pour laquelle je ne pense pas que ce serait viable est que les gens se connectent à partir de tant d'appareils différents ces jours-ci . Je peux vous promettre qu'il n'y a pas de corrélation avec le rythme avec lequel je saisis mon mot de passe sur mon bureau principal et le clavier Swype de ma tablette.

Même ordinateur portable ou ordinateur de bureau, ou vous utilisez une disposition de clavier différente (travail en anglais, système personnel dans une autre langue, ou vous aimez dvorak).
debout dans le bus avec votre téléphone vs assis à votre bureau devant le PC
D'ailleurs, j'ai différentes combinaisons souris / clavier pour le même appareil (ordinateur portable).Quand je voyage, j'utilise un mini-clavier, ou même celui qui est moulé dans l'ordinateur portable, quand je suis à mon bureau au travail, j'ai un clavier / souris différent de celui que je fais à la maison, etc.le timing sur mes frappes varie énormément en fonction de cela, en plus de l'heure de la journée (caféine / fatigué) et gawd ne sait quoi d'autre.La dynamique des frappes n'est qu'un choix fondamentalement médiocre pour une fonction de sécurité.
goncalopp
2016-04-29 06:29:19 UTC
view on stackexchange narkive permalink

Oui, c'est plus sûr. Cela rendrait un mot de passe chronométré à 8 caractères aussi fort qu'un mot de passe non chronométré d'environ 9,5 caractères.

Ce serait une forme de dynamique de frappe . C'est un domaine de recherche active depuis un certain temps - bien que les logiciels fonctionnant sur un Amiga soient probablement antérieurs à la plupart d'entre eux!

Il existe un package python pour cela, au cas où vous voudriez expérimenter dans un langage plus moderne (avertissement: je l'ai écrit) .

Certains services modernes utilisent effectivement cette technique - comme Coursera, qui utilise cela pour s'assurer que la personne qui répond à un test est bien l'utilisateur.

Explorons un peu la théorie pour répondre à votre question. Les options habituelles d'authentification humaine sont:

  • Quelque chose que vous savez (mot de passe, code PIN)
  • Quelque chose que vous avez (téléphone portable, matériel jeton, carte à puce)
  • Quelque chose que vous êtes (empreinte digitale, iris, démarche). En général, la biométrie.

La dynamique des frappes appartient à la troisième catégorie. Habituellement, les bons systèmes d'authentification reposent sur plusieurs d'entre eux. Lorsque vous utilisez deux systèmes différents, ceci est communément appelé authentification à deux facteurs.

En général, la biométrie comporte quelques mises en garde :

  • Ils peuvent changer avec le temps. Votre modèle de frappe changera avec l'heure de la journée, la hauteur de votre chaise et de votre bureau, le clavier que vous utilisez et de nombreux autres facteurs
  • Ils peuvent être irrémédiablement perdus. Si vous parvenez à perdre un doigt, vous ne pourrez jamais vous authentifier.

Votre conception, cependant, n'emploie pas une biométrie traditionnelle. Vous demandez à l'utilisateur de se souvenir d'un modèle de saisie. Cela tomberait dans la première catégorie ( quelque chose que vous connaissez ), donc, effectivement, vous pouvez mesurer le niveau de sécurité qu'il ajoute en utilisant l'entropie.

En supposant que votre système ait deux durées possibles de pression sur les touches (ce que votre exemple semble impliquer), cela ajoute un bit d'entropie par caractère - ainsi cela rendrait un mot de passe chronométré à 8 caractères aussi fort qu'un ~ 9,5 caractères non mot de passe chronométré.

Bien sûr, la conception a également des défauts, par rapport à la dynamique de frappe biométrique:

  • le fait que le motif est très distinctif fera il est plus vulnérable à un attaquant avec un enregistreur audio
  • Puisque le modèle est connu par l'utilisateur, il peut être contraint de le révéler. La dynamique de frappe traditionnelle peut être utilisée comme authentification implicite.
"cela ajoute un peu d'entropie par caractère - ainsi cela rendrait un mot de passe chronométré à 8 caractères aussi fort qu'un mot de passe non chronométré d'environ 9,5 caractères."Cela semble faux.Un bit supplémentaire par caractère devrait vous donner 8 bits supplémentaires.En supposant que vous ayez normalement 1,1 bits / caractère, vous auriez ~ 8,8 + 8 = 16,8, ce qui équivaut à 15,2 caractères, pas 9,5.De plus, je dirais que ce qui compte ce n'est pas le nombre de lettres, mais plutôt le nombre d'intervalles entre les lettres, donc ce serait 7, pas 8, mais c'est moins important.
@FabioTurati C'est dommage de ne pas avoir énoncé mes hypothèses :) ** J'ai supposé un mot de passe aléatoire avec un jeu de caractères de longueur 36 **, [ce qui vous donne 5,17 bits par caractère] (https://en.wikipedia.org/wiki/Password_strength#Random_passwords).«(5,17 * 8 + 8) / 5,17 ~ = 9,5».Je ne sais pas d'où vous obtenez les 1,1 bits / caractère, cela semble très faible - peut-être pour une broche numérique non aléatoire?
Ah, je vois.Je pensais à des mots anglais typiques, et en me basant sur [this] (http://what-if.xkcd.com/34/) ("Shannon a déterminé que le contenu informatif de l'anglais écrit typique était d'environ 1,0 à 1,2 bits par lettre") J'avais la valeur de 1,1 bits / caractère.Mais maintenant je vois ce que tu veux dire.Merci!
R.. GitHub STOP HELPING ICE
2016-04-29 02:50:58 UTC
view on stackexchange narkive permalink

Étant donné que cela exclut fondamentalement l'utilisation d'un gestionnaire de mots de passe, ce qui constitue les meilleures pratiques de base pour la sécurité des mots de passe, cela n'améliore pas mais nuit à la sécurité des mots de passe.

Cela devrait fonctionner avec un gestionnaire de mots de passe à la vitesse de l'éclair, mais cela deviendrait le * seul * moyen de se connecter
Que faire si vous l'utilisez pour le mot de passe ** du ** gestionnaire de mots de passe?;)
Cela semble être un excellent moyen de se faire exclure de tout.
@R .. C'est amusant quand cela arrive;soit vous arrivez à déchiffrer le cryptage de votre gestionnaire de mots de passe, soit vous devez vous souvenir de vos mots de passe.Amusement amusant amusant.
@wizzwizz4: Avec une utilisation correcte d'un gestionnaire de mots de passe, vos mots de passe ne sont pas mémorisables parce que vous ne les avez jamais connus / vus pour commencer.Ce sont toutes de longues chaînes aléatoires.
@R .. Et avec un bon gestionnaire de mots de passe, vous ne pouvez pas déchiffrer le cryptage.Amusement amusant amusant.
TTT
2016-04-29 01:54:25 UTC
view on stackexchange narkive permalink

C'est une bonne idée, et l'effet net serait une augmentation de l'entropie du mot de passe. Par exemple, supposons que votre seuil soit de 1/4 de seconde et que la pause maximale soit de 1 seconde. À un moment donné, les pauses seraient converties en bits, ce qui augmenterait effectivement le jeu de caractères du mot de passe de 4X; par exemple. un jeu de 80 caractères deviendrait un jeu de 320 caractères. Un mot de passe à 10 chiffres avec 80 caractères possibles deviendrait 1 million de fois plus difficile à forcer en mettant en œuvre votre idée. Une autre façon de dire que votre mot de passe à 10 caractères deviendrait plus comme 13 ou 14 caractères.

En pratique, le principal avantage que je vois serait qu'il est probablement plus facile pour les humains de se souvenir du rythme d'une chanson combiné avec 10 caractères que pour retenir 14 caractères. Mais les meilleurs mots de passe sont ceux dont les humains ne se souviennent pas de toute façon, il serait donc probablement beaucoup plus simple (pour toutes les parties impliquées) d'ajouter simplement quelques caractères supplémentaires à votre mot de passe pour obtenir la même augmentation d'entropie.

Cela réduirait probablement * l'entropie en rendant difficile, voire impossible, l'utilisation d'un gestionnaire de mots de passe.Un utilisateur qui doit pouvoir se souvenir d'un mot de passe et le saisir de manière cohérente n'utilisera pas un mot de passe long ou complexe.L'augmentation de l'entropie résultant de l'enregistrement de la synchronisation du clavier d'un mot de passe à 10 chiffres est minuscule par rapport à l'entropie * perte * de l'encouragement de mots de passe plus courts par rapport aux mots de passe très longs et très complexes que les gestionnaires de mots de passe gèrent sans problème.
Vous ne comprenez pas mon point.Les gens * n'utiliseront pas * de gestionnaires de mots de passe dans un tel contexte, et vous décourageriez activement leur utilisation.Cela est particulièrement vrai lorsque vous indiquez à un utilisateur qu'il a besoin d'un mot de passe de * x * caractères, mais autorisez-le à ne contenir que des caractères * y * (où * x * <* y *) s'il le saisit à la main.Ceci sans parler des nombreux problèmes signalés par d’autres.
Je ne veux pas faire un va-et-vient parce que nous avons tous les deux déjà fait valoir nos arguments.Mais je pense que vous surestimez considérablement la valeur d'entropie des informations de synchronisation et la rationalité des utilisateurs, tout en sous-estimant la paresse des utilisateurs, la négligence avec laquelle les utilisateurs choisissent les mots de passe et les défis de la mise en œuvre d'un tel système d'une manière qui ne cause pasproblèmes majeurs.
Après avoir réfléchi à cela plus, je pense que nous pouvons supprimer ce fil de commentaire sauf pour votre premier commentaire (je vais supprimer le mien maintenant).Ma réponse aurait dû être simple: ma réponse et la question originale ne parlent pas de l'implémentation, seulement de l'effet mathématique de cette opération.Mon deuxième paragraphe est d'accord avec vous: nous devrions utiliser un gestionnaire pw et pourquoi s'embêter avec les tracas pour les développeurs et les utilisateurs si vous pouvez simplement ajouter quelques caractères au mot de passe et obtenir le même résultat.
Jozef Woods
2016-04-29 18:37:39 UTC
view on stackexchange narkive permalink

J'ai fait un peu de travail dans ce domaine, et dans certains domaines connexes, et ma réponse à la question dépend du temps dont vous disposez:

Réponse courte: Oui, avec un mais.

En termes simples, comme vous l'avez découvert précédemment, il existe des similitudes dans les frappes observées (ou d'autres modèles biométriques comportementaux). Ceux-ci peuvent, en théorie, être utilisés pour une sécurité supplémentaire, mais les taux de faux positifs et de faux négatifs sont encore relativement élevés, donc la convivialité est discutable, et il n'y a pas de bibliothèques pré-construites que je recommanderais comme fiables.

Réponse plus longue: Non, avec un cependant.

Le problème avec la biométrie comportementale dans le contexte de la sécurité est qu'elle ne correspond pas à nos modèles actuels. Si on vous donne un mot de passe, c'est soit correct, soit faux. Si quelque chose mesure votre iris, c'est une correspondance ou non. Il n'y a pas de marge de manœuvre ou de marge de manœuvre, l'une ou l'autre authentification binaire.

Les comportements ne font pas cela. Les comportements changent en fonction de l'heure de la journée, de l'heure du mois, du temps qu'il fait à l'extérieur. Vous pouvez dire "cela ressemble à cette personne", mais il n'y a pas de réponse "oui / non" simple, ce qui les rend mauvais pour l'authentification traditionnelle, en particulier avec des échantillons courts comme les mots de passe.

D'un autre côté, il existe beaucoup d'analyses comportementales qui peuvent être mesurées (utilisation du réseau, frappe, utilisation de la souris, mouvement et bien d'autres). Ces peuvent être combinés pour donner une indication de confiance durable sur une période prolongée. Ainsi, par exemple, vous pouvez vous connecter à votre machine et cela ne vous permettra pas d'accéder à votre banque car elle ne vous a pas encore vérifié. Faites quelques autres choses dont vous avez besoin, travaillez pendant un certain temps, et les algorithmes renvoient une bonne valeur de confiance, et l'accès est accordé aux systèmes privilégiés.

Essentiellement, les routes d'authentification binaire actuellement en place ne sont pas bonnes adapté à la biométrie comportementale, mais il y a beaucoup de promesses pour l'authentification basée sur la confiance plus tard.

Chris H
2016-04-29 13:25:18 UTC
view on stackexchange narkive permalink

Une autre raison pour non: supposez que votre utilisateur saisit parfois son mot de passe par erreur. Vous pouvez le taper parfaitement, mais le reste d’entre nous a parfois de gros doigts. Ils le taperont probablement plus lentement à la deuxième tentative et bousilleront vos métriques. Cela est particulièrement vrai s'il y a un timeout / retard détectable (limitation de débit ou juste un serveur de connexion lent) car ils ne voudraient pas attendre un autre délai ayant déjà été ennuyé par le premier

caveman
2016-04-29 09:11:38 UTC
view on stackexchange narkive permalink

Appelons cette saisie de mot de passe chronométrée .

En gros, ce que vous faites est la suivante:

  • Essayer d'augmenter l'entropie du mot de passe.

Cela a quelques inconvénients, comme le fait que les gens changent, et cela pourrait vous mordre après quelques années.

La question est: est-ce que cette méthode pour augmenter l'entropie du mot de passe en vaut la peine? Pour répondre correctement, vous devez d'abord mesurer l'entropie totale obtenue en exigeant une entrée de mot de passe chronométrée.

Je dirais que vous ne gagnerez pas beaucoup d'entropie, car la plupart des gens utilisent généralement des claviers de la même manière. Ainsi, lorsque vous savez que la plupart des gens utilisent généralement des claviers à peu près de la même manière, vous saurez qu'il n'y a pas beaucoup d'entropie (ou d'informations) dans la connaissance de la saisie chronométrée.

Par conséquent, je suggère que:

  • Les entrées de mot de passe chronométrées ne valent pas les risques.
  • Si vous avez besoin de plus d'entropie, utilisez simplement des mots de passe de meilleure qualité (plus longs avec des lettres plus aléatoires).
"la plupart des gens utiliseraient généralement des claviers de la même manière" Avez-vous une référence pour cela?Je m'attendrais à ce que les gens utilisent les claviers de manière particulièrement différente.
Non, c'est juste mon observation.Ce que j'ai observé, c'est qu'il existe quelques classes de méthodes d'utilisation du clavier.J'imagine au plus 5 classes, et il est très probable qu'il soit distribué d'une manière qui n'est pas uniforme.Par exemple.certaines classes ont une énorme base d'utilisateurs, tandis que d'autres se rasent peu.Par conséquent, si vous mesurez l'entropie gagnée par ces 5 classes distribuées non uniformément, cela devrait être moins d'entropie que simplement ajouter 2,3 bits.
Dylan Larsen
2016-05-03 07:17:01 UTC
view on stackexchange narkive permalink

C'est une très bonne idée, mais si elle n'était pas mise en œuvre correctement comme tout le monde l'a dit, cela ne fonctionnerait pas car les gens changent et la tolérance aux pannes devrait être mise en œuvre correctement.

Ma L'idée d'un bon moyen de mettre en œuvre cela serait de voir si l'utilisateur saisit son mot de passe dans un certain temps.Si ce n'est pas le cas et que le mot de passe est correct, vous pouvez utiliser ces informations pour rendre la demande un peu suspecte et demandez peut-être à l'utilisateur d'envoyer un SMS sur son téléphone pour s'assurer qu'il s'agit bien de lui.

Les avantages: l'utilisateur entre normalement son mot de passe, s'il est hors de temps alors vous pouvez passer aux mesures secondaires d'authentification. Cela ne dérangerait l'utilisateur que s'il le tapait anormalement ou s'il s'agissait d'une personne essayant d'accéder à son compte.

Les inconvénients: il pourrait s'agir de faux positifs qui pourraient agacer le l'utilisateur essayant de se connecter, et les horaires pourraient être vus et / ou enregistrés par quelqu'un regardant par-dessus votre épaule.

Dennis Jaheruddin
2016-05-03 14:56:14 UTC
view on stackexchange narkive permalink

Oui, cela peut fonctionner, s'il est géré correctement

Les avantages sont évidents: il est plus difficile pour quelqu'un d'autre de se connecter avec votre mot de passe. Deviner devient plus difficile, et même si quelqu'un a (une partie de) votre mot de passe, il n'a pas encore fini.

Donc, je vais répondre aux préoccupations:

Oui, vous pouvez toujours vous connecter avec un doigt cassé

Bien sûr, le mot de passe peut être «perdu» lorsque vous vous cassez le doigt, mais cela peut être corrigé en rendant disponible un mot de passe principal (plus fort). Si jamais vous avez des circonstances qui ne vous permettent pas de garder votre rythme, vous pouvez toujours utiliser le mot de passe principal pour entrer. (Et changer le rythme si nécessaire).

Oui, vous pouvez toujours utiliser plusieurs appareils

De toute évidence, différents types de périphériques auront des rythmes différents, mais si vous les utilisez fréquemment, le rythme par périphérique devrait être suffisamment stable. En tant que tel, vous pouvez autoriser les utilisateurs à avoir plusieurs rythmes valides.

Oui, vous pouvez toujours utiliser des gestionnaires de mots de passe

Évidemment, des gestionnaires de mots de passe pourraient être amenés à soumettre le rythme ainsi que les frappes. Bien que cela puisse être difficile, il pourrait être très facile d'utiliser simplement le mot de passe principal supprimé lors de la connexion avec le gestionnaire de mots de passe.

T.S
2016-04-30 16:44:57 UTC
view on stackexchange narkive permalink

Plutôt que de le faire bloquer / autoriser brutalement l'utilisateur, vous pourriez lui faire "apprendre" la méthode de l'utilisateur sur une période de 10 à 20 connexions et prendre la médiane avec une légère marge de temps.

Régulier login: - Mot de passe + connexion à deux facteurs par lien app / sms / email

Après un certain temps, vous connaîtrez son modèle et pourrez donner à l'utilisateur la possibilité d'activer la sécurité supplémentaire, puis de réduire le montant de fois, il doit se connecter avec la connexion à deux facteurs. (en supposant que la même adresse IP a été utilisée)

Lorsque la sécurité ajoutée est active, vous pouvez alors autoriser l'utilisateur à se connecter avec juste le mot de passe tant que la source IP est la même. Et lorsque vous détectez que l'utilisateur fait beaucoup varier sa vitesse de connexion, vous pouvez demander à nouveau la connexion à deux facteurs et mettre à jour la liste. (prenez toujours la médiane sur 5 tentatives de connexion, en éliminant les extrêmes)

Chris Johns
2016-05-03 04:39:50 UTC
view on stackexchange narkive permalink

Je pense que cela aurait le plus de potentiel pour les situations où un mot de passe est souvent utilisé et où l'entrée ne permet pas une grande variété de caractères. Un exemple évident serait quelque chose comme un code d'entrée de porte. Cela présente également l'avantage que même si quelqu'un est capable de voir le code lui-même par-dessus votre épaule, il doit toujours avoir le bon rythme. Cela vous permet également d'obtenir plus d'entropie d'un périphérique d'entrée très basique.

Vous pourriez même imaginer une situation où il n'y a qu'un seul bouton et le rythme est la seule entrée, après tout c'est une version numérique du «coup secret».

Si rien d'autre, cela peut avoir une valeur de nouveauté pour les applications de sécurité de bas niveau et peut même avoir une niche plus sérieuse pour, par exemple, les musiciens professionnels qui devraient avoir un sens très précis du timing.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...