web-dev-qa-db-ja.com

Backspace、Arrows、Deleteのキーストロークを混在させると、パスワード入力にセキュリティが追加されますか?

キーボードの音を分析すると、パスワードが入力されたときにどのキーが押されたかを明らかにしたり、示唆したりできることがよく知られています。

間違った文字(パスワードに属さない)をバックスペース、矢印、削除、ホーム、終了などのストロークで混ぜると、最後にこれらの間違った文字が削除され、元のパスワードがフィールドに残ります。

1つの例:Sback-arrowをタンデムで入力できます(バック矢印の少し前にS)。キャレットはSの後ろにあります。 deleteを押すと、S文字が削除され、ゼロサムのストロークの組み合わせになります。

目視検査が不可能であると仮定すると(攻撃者はパスワード入力から「音のみ」のデータを持っている)、これによりセキュリティが強化されますか?

passwordssecurity-theaterobscurity
3
Mindwin

パスワードを入力するときにキーボードとマウスを組み合わせる人を知っています。彼らはパスワードの一部を入力してから、以前に入力した文字の間でカーソルをクリックして移動し、新しい文字を挿入します。

アイデアは、パスワード全体が順番に入力されないということです。キーロガーの効果を低下させることになっています。

もちろん、これはすべてのパスワードプロンプトで機能するわけではありません。

2
stuffy

音声のみの攻撃が心配な場合は、最初のステップとして、物理的な施設を保護するためにできることはすべて行います。

キーボードのスヌーピングを処理するときは、タイピングのリズムを使用できることを知っておいてください。特定のキーストロークや「単語」は、他のキーストロークよりも入力しやすいため、異なる速度で、または手の位置を変えて入力します(たとえば、ホームローやタッチタイピングではありません)。この手法は、whoがパスフレーズを入力している可能性があるかどうか、および可能性のある強迫があるかどうかを判断するために、特定のセットアップで使用されます。

キーロガーに対抗するには、ソフトキーボードを使用することをお勧めします。ソフトキーボードのウィンドウを定期的に移動します(クリップボードにパスフレーズの大きなチャンクを置かないでください!)気が散るので、パスフレーズのセグメント間にランダムテキストを入力するための別のウィンドウを用意します(必要はありません)テキストを受け入れる;ウェブサイトのパスワードボックスの外側をクリックするだけで十分です)。これらのテクニックは、オーディオのみのスヌーピングやパッ​​シブショルダーサーフィンに対しても適切に機能するはずです。

バックスペース、削除、および矢印キーを含むパスフレーズに関しては、それをうまく機能させる方法もあります。 正しい馬のバッテリーの定番 のようなWordベースのシステムを考えてみましょう。各ワードは約100kの可能性を表すため、これは安全です。したがって、パスワードには66ビットのエントロピー(log₂(100k⁴))があります。しかし、それらの単語を辞書にないものに操作すると、エントロピーが増加します。私は これらのいくつかを計算する方法 を別の回答で書きました(TL; DR:順列の数に2⁶を1回ずつ乗算します: L33t話す 、raNdOMの場合、およびエラー)。

このスキームを考えてみましょう:

  1. 完全に無関係な単語を含む4〜5ワードのパスフレーズを生成する
  2. を押す Home キー
  3. secondパスワードを入力し、各文字を所定の数で区切ります  キーを押す(例:1,1,1,1…; 0,2,0,2…; 1,3,1,3…; 1,2,3,1,2,3…;あるいは最初の3 1,2,1,2…)
  4. 最後に到達するまで2番目のパスワードを繰り返します

たとえば、_correct horse battery staple_と珍しいWord troubadorを組み合わせて_ctorrreoctu hborased boatrte ryt srtaoplue_にします(左矢印キーで始め、一度に2文字ずつ移動し、2つのインスタンスの間にスペースを入れました) of troubador)。

パスワードエントロピーを計算するときは、常に最悪のシナリオを想定してください。それは、攻撃者がパスワードスキームを知っているということです。つまり、このパスワードのエントロピーは5ワード(_100k⁵_)、最終コードを開始する場所の〜4オプション、×5オプションの移動パターンを掛けたものであり、87ビットを超えるエントロピー(log₂(100k⁵×4×5))。

_correct horse battery_プラスstapleを使用した簡単な例は、すぐに開始して一度に3文字移動すると、71ビットのエントロピーを持つ_scortrecat hporsle beatt erys_になります(vs _correct horse battery staple_の66)。

(このスキームはキーロガーをだますかもしれないし、しないかもしれません。あなたのタイピングパターンを台無しにするので、それはアコースティックレコーダーをだます必要がありますが、私はそれらの専門家ではありません。おそらくそれらは特定の一般的なキーを認識するのに十分敏感です?)

長さに制限がないことを確認してください!単語ベースのパスフレーズは、14文字以上でのみ機能します。

0
Adam Katz

パスワード編集のこのテクニックは、ノイズ盗聴からあなたを保護しません。キーボードから放出される音には、すべての編集キーが含まれます。

このテクニックは、電磁波の盗聴からあなたを保護しません。キーボードのマザーボードの電子バスには、すべての編集キーのキーコードが含まれています。

しかしこのテクニックは、肩越しに入力するパスワードをスパイしている隣人を保護します。この技術は、ビデオ監視カメラに気づいていて、入力しているものを隠す場合、ビデオ監視カメラから部分的に保護します。

0
dan