Частичный пароль
Частичный пароль — это режим по паролю аутентификации , предназначенный для того, чтобы сделать регистрацию нажатий клавиш и серфинг через плечо менее эффективными. [1]
Прося пользователя ввести только несколько определенных символов из своего пароля, [2] вместо всего пароля частичные пароли помогают защитить пользователя от кражи пароля. Поскольку сразу раскрывается только часть пароля, становится труднее получить пароль с помощью таких методов, как регистрация нажатий клавиш или передвижение по плечу .
В статье Дэвида Аспиналла и Майка Джаста подробно описаны частичные реализации паролей и атаки. [1]
Протестировано на 110 000 симуляциях с использованием паролей длиной более 8 символов, Джунаде Али отметил: [3]
- 58% паролей раскрываются полностью после 7 входов в систему, 90% — после 12 и 99% — после 19 входов в систему.
- Используя набор данных из 488 129 взломанных паролей, 58% протестированных трехсимвольных сегментов паролей были действительны только для этого пароля в базе данных. Кроме того, 28% могут быть связаны только с одним другим паролем, а 8% — с двумя другими паролями.
Проверка частичных паролей
[ редактировать ]Считается хорошей практикой не хранить пароли в открытом виде . [4] Вместо этого при проверке всего пароля обычно сохраняется результат передачи пароля в криптографическую хеш-функцию . Поскольку пользователь не предоставляет полный пароль, его невозможно проверить по сохраненному дайджесту всего пароля. Некоторые предлагают хранить дайджест каждой комбинации букв, которая может быть запрошена, но отмечают, что это приводит к созданию и хранению большого количества дайджестов. [5] [6] Лучшим решением с точки зрения места для хранения и безопасности является использование схемы совместного использования секретов . [6] [7]
Ссылки
[ редактировать ]- ^ Jump up to: а б « Дайте мне буквы 2, 3 и 6!»: Частичная реализация пароля и атаки» (PDF) . Проверено 14 октября 2015 г.
- ^ «Что такое частичная проверка пароля?» . Кооперативный банк . Архивировано из оригинала 28 июня 2011 г. Проверено 3 марта 2011 г.
- ^ «Ввод учетных данных банковского уровня: тщетность частичной проверки пароля» . Блог Cloudflare . 20 декабря 2018 г.
- ^ Хранение паролей
- ^ «Частичные пароли и регистраторы нажатий клавиш» . Проверено 3 марта 2011 г.
- ^ Jump up to: а б «Частичные пароли сделаны правильно» . Проверено 30 декабря 2022 г.
- ^ Обновление частичных паролей