Autentizace: obskurní autentizační metody – 3. díl

V tomto seriálu se věnujeme obskurním autentizačním metodám, které se neuchytily a nejsou proto moc známé, tentokrát se podíváme na systém založený na rozpouznávání kategorií.

Autentizace v tomto případě funguje tak, že se vám na obrazovce zobrazí 12 obrázků, přičemž každý je z jiné kategorie. Vy si vyberete 3 obrázky. Na další obrazovce se vám zobrazí dalších 12 obrázků, opět každý z jiné kategorie. Vy si opět vyberete 3 obrázky, které odpovídají kategoriím, které jste si předtím zvolili. Tenhle krok slouží k tomu, aby uživatel potvrdil, že princip autentizace pochopil a pamatuje si kategorie, které si zvolil. To znamená, že jestliže si na první obrazovce vyberete např. kočku, psa a auto, pak na druhé obrazovce musíte opět vybrat kočku, psa a auto.

Pokud by chtěl útočník na tuto formu autentizace zaútočit, musel by získat screenshot obrazovky, stejně jako to dělá v případě, kdy se oběť autentizuje pomocí grafické klávesnice. Zde by však měl útok ztížený tím, že by jeho SW musel správně rozpoznat kategorii, do které vybraný obrázek patří. Jednou se na obrázku může nacházet hlava kočky mourovaté, a příště zase obrázek může zachycovat ležící černou kočku. Systém by měl disponovat obrovskou DB obrázků a zobrazit pokaždé, když se uživatel bude autentizovat, novou sadu náhodně vybraných obrázků. Tím by mělo vzniknout jednorázové heslo (One-Time Password, zkr. OTP). Zatímco pro člověka není problém rozeznat na obrázku kočku od psa nebo kočku v různých polohách, tak pro stroj je to poměrně náročná úloha.

Za určitou slabinu této formy autentizace lze považovat skutečnost, že volba uživatele je zobrazena na obrazovce spolu s textovým popisem kategorie. Možná by stačilo uživateli poskytnout jen hmatovou zpětnou vazbu. Pak by byl útočníkovi screenshot obrazovky k ničemu, neboť by nevěděl, kterou kategorii si uživatel vybral. Další slabinou, na kterou je nutné upozornit je, že oproti heslu lze poměrně snadno odpozorovat, na jaké obrázky uživatel klikl a není problém si je hned napoprvé zapamatovat. To u komplexního hesla může být těžší. Otázkou také je, jak velká ona databáze skutečně je, a zda by se nedaly použité obrázky nějakým způsobem získat, např. opakovanou autentizací. Daleko spíš se však u této formy autentizace dá předpokládat, že se útočník pokusí heslo uhádnout, protože 12^3 možností není mnoho. Z toho i vyplývá, že pokud bude mít systém, který tuto autentizaci využívá, několik tisíc uživatelů, mnoho z nich bude mít určitě i stejné heslo a bude moci být proveden stejný útok, jaký byl popsán v příspěvku Lámání hesel on-line.

Příklad: http://mobile-demo.confidenttech.com/demo.php

 


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page

Štítky:


K článku “Autentizace: obskurní autentizační metody – 3. díl” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: