Частичный пароль

Частичный пароль — это режим по паролю аутентификации , предназначенный для того, чтобы сделать регистрацию нажатий клавиш и серфинг через плечо менее эффективными. ^[1]

Прося пользователя ввести только несколько определенных символов из своего пароля, ^[2] вместо всего пароля частичные пароли помогают защитить пользователя от кражи пароля. Поскольку сразу раскрывается только часть пароля, становится труднее получить пароль с помощью таких методов, как регистрация нажатий клавиш или передвижение по плечу .

В статье Дэвида Аспиналла и Майка Джаста подробно описаны частичные реализации паролей и атаки. ^[1]

Протестировано на 110 000 симуляциях с использованием паролей длиной более 8 символов, Джунаде Али отметил: ^[3]

58% паролей раскрываются полностью после 7 входов в систему, 90% — после 12 и 99% — после 19 входов в систему.
Используя набор данных из 488 129 взломанных паролей, 58% протестированных трехсимвольных сегментов паролей были действительны только для этого пароля в базе данных. Кроме того, 28% могут быть связаны только с одним другим паролем, а 8% — с двумя другими паролями.

Проверка частичных паролей

Считается хорошей практикой не хранить пароли в открытом виде . ^[4] Вместо этого при проверке всего пароля обычно сохраняется результат передачи пароля в криптографическую хеш-функцию . Поскольку пользователь не предоставляет полный пароль, его невозможно проверить по сохраненному дайджесту всего пароля. Некоторые предлагают хранить дайджест каждой комбинации букв, которая может быть запрошена, но отмечают, что это приводит к созданию и хранению большого количества дайджестов. ^[5]^[6] Лучшим решением с точки зрения места для хранения и безопасности является использование схемы совместного использования секретов . ^[6]^[7]

Ссылки

^ Jump up to: ^а ^б « Дайте мне буквы 2, 3 и 6!»: Частичная реализация пароля и атаки» (PDF) . Проверено 14 октября 2015 г.
^ «Что такое частичная проверка пароля?» . Кооперативный банк . Архивировано из оригинала 28 июня 2011 г. Проверено 3 марта 2011 г.
^ «Ввод учетных данных банковского уровня: тщетность частичной проверки пароля» . Блог Cloudflare . 20 декабря 2018 г.
^ Хранение паролей
^ «Частичные пароли и регистраторы нажатий клавиш» . Проверено 3 марта 2011 г.
^ Jump up to: ^а ^б «Частичные пароли сделаны правильно» . Проверено 30 декабря 2022 г.
^ Обновление частичных паролей

[gml236-1] Jump up to: ^а ^б « Дайте мне буквы 2, 3 и 6!»: Частичная реализация пароля и атаки» (PDF) . Проверено 14 октября 2015 г.

[2] «Что такое частичная проверка пароля?» . Кооперативный банк . Архивировано из оригинала 28 июня 2011 г. Проверено 3 марта 2011 г.

[3] «Ввод учетных данных банковского уровня: тщетность частичной проверки пароля» . Блог Cloudflare . 20 декабря 2018 г.

[4] Хранение паролей

[5] «Частичные пароли и регистраторы нажатий клавиш» . Проверено 3 марта 2011 г.

[sa-pphow-6] Jump up to: ^а ^б «Частичные пароли сделаны правильно» . Проверено 30 декабря 2022 г.

[7] Обновление частичных паролей

[1]

[2]

[3]

[4]

[5]

[6]

[7]