Autentizace: Password CAPTCHA aka p-CAPTCHA
Pracovníci Max Planck Institute for the Physics of Complex Systems in Dresden tvrdí, že vymysleli zcela nový způsob autentizace a nazývají ho heslem-chráněná CAPTCHA (password-protected Captcha, zkr. p-CAPTCHA).
Poznámka: CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) je Turingův test, který slouží k odlišení člověka a stroje.
I zde se jedná o přihlášení pomocí hesla. V jejich pojetí se heslo skládá ze dvou částí, jednoduché a složité, přičemž vy si musíte zapamatovat tu jednodušší část. Samozřejmě, že i tu první část může představovat silné heslo. Daleko spíš se však dá předpokládat, že uživatel použije nějaké snadno prolomitelné heslo jako 123456.
Co se však děje s tou složitější částí? Složitější část hesla je převedena do CAPTCHA obrázku, a ten je tou jednodušší částí zašifrován za použití symetrické šifry AES. Při přihlašování tedy uživatel zadá tu první jednodušší část hesla, kterou si pamatuje a systém pomocí ní dešifruje tu druhou část, která se zobrazí jako CAPTCHA. Uživatel následně musí správně přepsat druhou část hesla, která je zobrazena na CAPTCHA obrázku.
Vtip je v tom, že pokud je první část zadána špatně, tak přesto k dešifrování dojde, a nějaký CAPTCHA obrázek se prostě vygeneruje. Ten však nemá smysl luštit. To ale robot neví, takže pokud by chtěl útočník vést na tuto formu autentizace útok hrubou silou, musel by postupně vyzkoušet nejen všechny možná hesla, ale luštit i pro ně vygenerované CAPTCHA obrázky. Vzhledem k unikátní technologii generování CAPTCHA obrázku se jeví útok hrubou silou jako velice náročný, ne-li nemožný.
Jistě si nyní říkáte, že pokud by to byla pravda, a program na lámání p-CAPTCHA kódu by nebyl schopen CPATCHA kódy efektivně lámat, pořád je zde možnost si najmout levnou pracovní sílu, která je ochotna a schopna vyluštit za 1$ až 1000 CAPTCHA kódů. Jistě, je to možné. Někteří poskytovatelé této služby disponují až několika stovkami brigádníků a předpokládá se, že je díky této lidské síle denně vyluštěno až několik miliónů kódů. V mnoha případech se však ani investice do lámání CAPTCHA kódu tímto způsobem útočníkovi nevyplatí a organizaci, která CAPTCHA kód jako bezpečnostní prvek používá, poskytuje přiměřenou ochranu.
S tvrzením autorů, že nikoliv ono jednoduché heslo, které si musí uživatel pamatovat, ale heslo ukryté v CAPTCHA představuje skutečnou ochranu, se nemohu ztotožnit. Můžeme se sice rozplývat nad použitým matematickým aparátem a unikátním způsobem generování CAPTCHA obrázku, nicméně v okamžiku, kdy útočník zjistí, že autentizace probíhá tímto způsobem, nebude se zcela jistě pokoušet prolomit heslo hrubou silou. Daleko spíš bude spoléhat na to, že se mu podaří počítač oběti nakazit malwarem, který odchytí obě hesla, které oběť zadává. Nezapomínejte, že vygenerovaný CAPTCHA obrázek je vždy stejný.
Závěr: Autentizace pomocí p-CAPTCHA představuje poměrně solidní ochranu před útokem hrubou silou, ale to je asi tak vše.
Štítky: autentizace, CAPTCHA
K článku “Autentizace: Password CAPTCHA aka p-CAPTCHA” se zde nachází 1 komentář.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
Nějak mi uniká smysl toho šifrování a použitého matematického aparátu. Bože, proč tak složitě? Předpokládejme, že se uživatel normálně autentizuje jménem a heslem. Bez ohledu na to, jestli uživatel zadal správné jméno a heslo, tak se mu prostě zobrazí CAPTCHA, která bude obsahovat náhodný řetězec znaků. Jen server ví, zda bylo jméno a heslo zadáno správně, nicméně tuto informaci uživateli nesdělí a nechá ho ještě vyluštit kód. Teprve poté, pokud bude jméno a heslo zadáno správně a správně bude vyluštěna i CAPTCHA, uživatele přihlásí. V opačném případě se omezí na lakonické prohlášení „Zadal jste nesprávné údaje, zkuste to prosím znovu“. Útočník neví, zda jméno a heslo bylo zadáno správně a tak musí luštit všechny CAPTCHA kódy, které navíc budou pokaždé obsahovat zcela jiné znaky. I v tomto případě bude útok hrubou silou prakticky nemožný. Oproti v článku prezentovaném řešení bude muset útočník i v případě odchycení přihlašovacích údajů provést autentizaci ručně, protože ta CAPTCHA bude pokaždé jiná.