it-swarm.com.de

Was ist die Idee von Passwörtern mit zufälliger Tastenposition

Immer mehr Websites verwenden zur Authentifizierung einige Ziffern-Tastaturen mit zufälliger Position anstelle des Passworts. So was

(enter image description here

Könnte mir jemand die Idee dieses stattdessen üblichen Logins und Passworts erklären?

Ich habe die Idee, dass es sicherer zu sein scheint, denn wenn Sie den Verkehr von jemandem erfassen, werden nur die Koordinaten angeklickt und diese Koordinaten sind jedes Mal anders.

In diesem Fall sollte der Server die Positionen der einzelnen Schaltflächen an einen Client übertragen, damit sie zuletzt korrekt angezeigt werden können (4 ist die obere linke Ecke, 8 die untere linke Ecke usw.).

Wenn der Verkehr erfasst werden kann, können wir die Position jeder Ziffer und der darauf angeklickten Koordinaten erfassen.

Warum ist es stabiler als das gemeinsame Login/Passwort mit htts enscrition?

44
Vitalii

Die Verwendung einer zufälligen Softwaretastatur für die Passworteingabe basiert auf dem Missverständnis, dass sie Schlüsselprotokollierer verhindern kann. Es kann einigermaßen effektiv verhindern, dass der Hardware-Schlüsselprotokollierer die Anmeldedaten erfasst.

In einem schwachen Sinne verhindert es auch, dass einige naive Software-Key-Logger Anmeldedaten erfassen. Wie Sie jedoch richtig erwähnt haben, kann ein etwas besserer Keylogger auch trivial Screencaps verwenden, um diese Maßnahme zu umgehen, und ein komplexerer kann einfach einen Browser hinzufügen -on, um das Kennwort zu erfassen, bevor es an den Server gesendet wird.

Da der Hardware-Key-Logger im Vergleich zu Software-Key-Loggern viel seltener ist, ist dies an den meisten Standorten, an denen eine solche zufällige Software-Tastatur implementiert ist, nur ein Zeichen dafür, dass der Entwickler keine Ahnung hat, dass solche Maßnahmen gegen die meisten Keylogger unwirksam sind.

52
Lie Ryan

Andere Antworten haben über Schlüssellogger gesprochen und wie sie diesen Mechanismus besiegen würden, aber ich kann mir andere Angriffe vorstellen, vor denen er schützen würde:

  • Betrachten Sie die Fettflecken auf einem Touchscreen, auf dem regelmäßig jemand denselben Code eingibt. Zum Beispiel der Code zum Entsperren eines Telefons oder eines Türöffnungssystems, bei dem der Bildschirm für nichts anderes verwendet wird.
  • Schulter-Surfen, bei dem der Angreifer die Bewegung der Hand des Benutzers sehen kann, aber nicht, was auf dem Bildschirm angezeigt wird. Dies kann jemand sein, der sich physisch hinter dem Benutzer befindet und dessen Sicht teilweise behindert ist, oder es kann sich um eine Kamera handeln, die den Bildschirm nicht im Sichtfeld hat.
55
IMSoP

Dies wird üblicherweise von Banken verwendet. Wie bereits erläutert, bietet es eine zusätzliche Sicherheit gegen Keylogger. Außerdem wird verhindert, dass das Kennwort direkt im Browser gespeichert wird. Dies ist eine schlechte Sicherheitspraxis, wenn kein Hauptkennwort verwendet wird. Es sollte trotzdem beachtet werden, dass dies einen wichtigen Nachteil hat: Es verhindert, dass der Benutzer ein langes zufälliges Passwort verwendet, das in einem Passwort-Manager gespeichert ist.

Das Grundprinzip dahinter ist, dass Banken kein Vertrauen in Benutzer haben, um sichere Passwörter auswählen und verwalten zu können. Sie stellen daher zumindest sicher, dass der Benutzer sein Passwort nicht ohne Hauptpasswort im Browser gespeichert hat.

TL/DR: Es bietet keine Sicherheit für Benutzer, die tatsächlich von den besten Sicherheitspraktiken betroffen sind, begrenzt jedoch die schlechtesten Sicherheitspraktiken, die zu viele Benutzer anwenden würden.

6
Serge Ballesta

Dies ist wirklich nur ein Schutz gegen einen Keylogger, da Keylogger jetzt sowohl Ihre Tastenanschläge als auch Ihre Mausbewegungsinformationen erfassen können. Wenn Sie also die Ziffern jedes Mal verschieben, werden die Keylogger-Daten unbrauchbar, da sie nicht sicher sind, welche Nummer Sie gedrückt haben.

3
Ryan Kelso

1. Es ist schwieriger, die Eingabe zu automatisieren

Das letzte Mal, dass ich das sah, war auf einer Spielewebsite, auf der die Leute die Tendenz hatten, triviale Bots für sie spielen zu lassen. Wenn Sie einen herkömmlichen Ort für die Pin-Eingabe haben, können Sie den Bot einfach so programmieren, dass er den Pin kopiert, oder auf die angegebenen Stellen klicken. Jetzt müsste jemand entweder seinen Bot schlauer machen (möglicherweise sogar schlauer als minimal, um das Spiel zu spielen), bevor er das Spiel vollautomatisch ausführen kann.

Nach der gleichen Logik könnte dies auch verwendet werden, um das Knacken von Brute Force zu erschweren, aber dort sollte das Drosseln den Trick machen, damit ich nicht denke, dass dies der zugrunde liegende Gedanke ist.

2. Es hält Leute davon ab, triviale Passwörter zu wählen

Obwohl ich nicht sicher bin, ob dies das Hauptziel ist, war dies definitiv ein Effekt für mich.

Ich habe kürzlich eine Anwendung verwendet, bei der mir die Sicherheit nicht wirklich wichtig war, und überlegt, 1111 als Code für jedes Konto zu wählen, da dies einfach auszuwählen und einzugeben wäre.

Die Schlüssel-Randomisierung hat mir dies jedoch klar gemacht

  • Dieser Pin ist wichtig (auch wenn es nur ein bisschen ist)
  • Es wäre nicht schneller, 1111 einzugeben als 1835

Infolgedessen erhielt ich einen etwas weniger trivialen PIN-Code.

0