Jump to content

Частичный пароль

Форма ввода частичного пароля в приложении мобильного банкинга

Частичный пароль — это режим по паролю аутентификации , предназначенный для того, чтобы сделать регистрацию нажатий клавиш и серфинг через плечо менее эффективными. [1]

Прося пользователя ввести только несколько определенных символов из своего пароля, [2] вместо всего пароля частичные пароли помогают защитить пользователя от кражи пароля. Поскольку сразу раскрывается только часть пароля, становится труднее получить пароль с помощью таких методов, как регистрация нажатий клавиш или передвижение по плечу .

В статье Дэвида Аспиналла и Майка Джаста подробно описаны частичные реализации паролей и атаки. [1]

Протестировано на 110 000 симуляциях с использованием паролей длиной более 8 символов, Джунаде Али отметил: [3]

  • 58% паролей раскрываются полностью после 7 входов в систему, 90% — после 12 и 99% — после 19 входов в систему.
  • Используя набор данных из 488 129 взломанных паролей, 58% протестированных трехсимвольных сегментов паролей были действительны только для этого пароля в базе данных. Кроме того, 28% могут быть связаны только с одним другим паролем, а 8% — с двумя другими паролями.

Проверка частичных паролей

[ редактировать ]

Считается хорошей практикой не хранить пароли в открытом виде . [4] Вместо этого при проверке всего пароля обычно сохраняется результат передачи пароля в криптографическую хеш-функцию . Поскольку пользователь не предоставляет полный пароль, его невозможно проверить по сохраненному дайджесту всего пароля. Некоторые предлагают хранить дайджест каждой комбинации букв, которая может быть запрошена, но отмечают, что это приводит к созданию и хранению большого количества дайджестов. [5] [6] Лучшим решением с точки зрения места для хранения и безопасности является использование схемы совместного использования секретов . [6] [7]

  1. ^ Jump up to: а б « Дайте мне буквы 2, 3 и 6!»: Частичная реализация пароля и атаки» (PDF) . Проверено 14 октября 2015 г.
  2. ^ «Что такое частичная проверка пароля?» . Кооперативный банк . Архивировано из оригинала 28 июня 2011 г. Проверено 3 марта 2011 г.
  3. ^ «Ввод учетных данных банковского уровня: тщетность частичной проверки пароля» . Блог Cloudflare . 20 декабря 2018 г.
  4. ^ Хранение паролей
  5. ^ «Частичные пароли и регистраторы нажатий клавиш» . Проверено 3 марта 2011 г.
  6. ^ Jump up to: а б «Частичные пароли сделаны правильно» . Проверено 30 декабря 2022 г.
  7. ^ Обновление частичных паролей
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 3dcfae7288de5c43e1907a1918117059__1720023300
URL1:https://arc.ask3.ru/arc/aa/3d/59/3dcfae7288de5c43e1907a1918117059.html
Заголовок, (Title) документа по адресу, URL1:
Partial password - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)