1. Accueil
  2. Question et réponse
  3. Quels mécanismes pourraient être utilisés pour générer facilement un mot de passe à entropie élevée sur un smartphone sans devoir recourir à une entrée alphanumérique?

Quels mécanismes pourraient être utilisés pour générer facilement un mot de passe à entropie élevée sur un smartphone sans devoir recourir à une entrée alphanumérique?

2010-07-29 21 views
3

Je travaille sur une version de Password Safe pour android. Password Safe utilise une phrase secrète pour crypter vos mots de passe, mais il peut être fastidieux de taper de longues phrases secrètes sur un smartphone, surtout s'il est masqué. Je voudrais étudier l'utilisation d'alternatives à une phrase secrète, telles que des tableaux d'images simples.Quels mécanismes pourraient être utilisés pour générer facilement un mot de passe à entropie élevée sur un smartphone sans devoir recourir à une entrée alphanumérique?

Y a-t-il de bons exemples de telles méthodes de mot de passe? Quels types d'images sont les meilleurs? Zener Cards semble être un bon choix, mais ne semble pas se prêter à des dispositifs mnémotechniques, certainement pas pour le nombre de valeurs dont vous auriez besoin pour obtenir une phrase de passe forte.

EDIT: Certains préceptes peuvent aider. Le point de mot de passe sécurisé est que le fichier contenant les mots de passe est crypté avec une clé forte qui n'est jamais stockée. Sur un PC, cette clé forte est un hachage cryptographique d'une phrase ou d'un mot que vous entrez lorsque vous voulez déverrouiller le coffre-fort. Le coffre-fort «oublie» automatiquement le mot de passe que vous lui avez donné et supprime toutes les versions non cryptées des données après X minutes afin que vous ne soyez pas vulnérable. Idéalement, je voudrais voir une version de mot de passe sécurisé qui peut être décryptée avec l'une des deux clés également fortes, avec l'une des touches étant adaptée à un clavier alphanumérique, tandis que l'autre serait la réponse à la question. Jusqu'à présent, la meilleure idée que j'ai trouvée est de permettre à un utilisateur d'entrer une phrase pour laquelle un rébus pourrait être créé, et d'avoir une entrée de rébus basée sur l'image comme méthode d'entrée résultante.

Source

2010-07-29 Jherico

Répondre

1

Si vous pouviez inventer une reconnaissance de forme physique, ce serait incroyable. J'ai toujours voulu ça.

Source

2010-07-29 19:05:27 mvds

+1

Je pensais dans le même sens."Tenez votre téléphone devant vous, puis faites votre mouvement de danse préféré";) – caf

0

Avez-vous vu le Droid lock screen? Vous pourriez l'utiliser comme base pour des idées.

Droid Lock Screen Image

Cette idée particulière utilise une série de points reliés entre eux comme une phrase de passe, mais une simple option pourrait être un ensemble de cases à cocher (bascule) semblables à des serrures de vélo.

P.S. Une bonne chose à propos de ce type de méthode de sécurité (Droid Lock Screen) est que l'entrée est très rapide. Vous pouvez passer à travers un seul coup (bien que l'image montre une très complexe.)

Source

2010-07-29 19:13:06

+0

Oui, j'ai. Ce genre de serrure est bon pour garder les enfants hors d'un téléphone. Ce n'est pas le genre de chose que vous voulez utiliser pour protéger les mots de passe sur les sites financiers. Le point ici est d'avoir un mot de passe fort qui pourrait résister à une forte attaque. Un seul écran utilisant l'entrée de modèle a seulement quelques centaines de milliers de permutations possibles, et tomberait dans une attaque de force brute par un ordinateur en quelques minutes, voire secondes. – Jherico

+1

Comment anticipez-vous que quelqu'un le brise avec un ordinateur? S'ils ont pris votre téléphone à part, vous avez déjà perdu: ils peuvent attacher des sondes aux traces et faire ce qu'ils veulent. –

+0

Nick, j'ai mis à jour la question, mais pour répondre directement, le but du mot de passe est sûr même s'il tombe entre les mains d'un attaquant car l'information critique nécessaire pour obtenir les mots de passe n'est jamais stockée sur l'appareil . – Jherico

0

Est-ce que le but est de prouver son identité à un programme ou un appareil qui peut enregistrer de fausses tentatives, ou de fournir un secret qui pourrait être validé? sans informer une partie de confiance? Le niveau d'entropie requis pour le premier scénario est beaucoup moins élevé que pour le second.

Source

2010-07-29 19:37:52 supercat

+0

Ce dernier. L'idée est de remplacer la longue entropie fournie par une phrase de passe utilisée pour déverrouiller un mot de passe basé sur PC en toute sécurité avec quelque chose de plus facile à entrer, mais offrant la même sécurité. La sécurité devrait être basée sur un attaquant capable d'obtenir le fichier de mot de passe lui-même et de le soumettre à des attaques sur son matériel. – Jherico

1

Un gros problème que vous devez surmonter est que les écrans tactiles ont tendance à laisser des traces lorsqu'ils sont utilisés, et sans précaution, ceux-ci donneront des informations sur le mot de passe. Une technique courante pour éviter cela est de réorganiser les touches sur chaque entrée, mais cela ralentit beaucoup l'entrée, car les utilisateurs doivent regarder attentivement pour savoir où se trouve le chiffre requis. L'alternative, que je suggérerais, serait d'utiliser un mot de passe long avec un nombre relativement restreint d'options, de sorte que toute phrase secrète donnée utilisera la plupart ou toutes les options, ce qui signifie que vous ne pouvez rien dire d'utile des taches.

Ce que ce mécanisme exact est encore une très bonne question, mais je ne pense pas qu'une longue broche numérique serait hors de question.

Source

2010-07-31 09:20:48

 Questions connexes

  • Aucun problème connexe^_^