Moo-Juice
2016-04-29 00:31:32 UTC
當我年輕的時候,剛開始20年前的軟件開發生涯時,我在Amiga上寫了一些代碼,雖然密碼了,但是還記錄了(在一定閾值內)速度,
這意味著,不僅用戶必須輸入正確的密碼,而且他們還必須對按鍵進行計時。為了測試它,我的腦子裡有節奏,可以每次都不斷地重新輸入密碼。但是,如果我只是定期或緩慢地輸入它,那麼它就不會被接受。
我不是安全專家(值得慶幸的是,我的程序位於不太困難的區域),但是我突然想到了該程序我年輕時寫的書,這些天是否對安全性是可行的補充,或者甚至不值得考慮。
Tap - Taptaptap - TapTap - Tap 。
潛在問題:可訪問性。
具有免費/付費大學水平課程的網站coursera.com會在每次考試之前進行此操作,以確保正確的人參加了考試。可以共享密碼,不能選擇鍵定時(無論如何都不容易)_
對音樂家有利,並確保軍事級機密的安全,對日常使用不利。
這肯定會增加我的挫敗感,因為我經常只用一隻手輸入密碼,而且在登錄失敗時,我會變慢並確保我不會弄亂。同樣,qV519 [YW; BAZE * qvjj11也不容易使節奏變暗;)當然,還有密碼管理器。
我實際上是使用機器學習來實現這樣的系統的,但是我發現它對於密碼之類的簡短輸入來說太不可靠了。但是,如果提供更多的輸入(例如更長的Facebook帖子),它可能會相當準確(檢測率高達95%)。因此,它可以*在*登錄後用於增強安全性,例如檢查是否有人剛剛開始使用計算機。然後,可以確保再次輸入密碼。
KeePass,你們不時瀏覽該網站嗎?我希望您已準備好實施擊鍵算法來模仿我的自然打字。一旦KeyPass確實實現了此功能(很有可能),我該如何鍵入KesPass模仿某種一致性的'0'=)4S-,5nB?#M76It“ 1”}?#C`?
問題:1)用戶必須事先知道這一點2)輸入速度**會隨著時間而變化:如果您第一次輸入的是隨機密碼,則第一次輸入時會非常緩慢,但過一會兒就會變得很肌肉-內存,並且可以快速輸入。3)如果我斷了一根手指/手臂,並且幾天甚至幾週都無法達到相同的時間,該怎麼辦?4)所有KeePass用戶(或其他密碼管理器工具)看起來都一樣...可能不是問題,因為在這種情況下,密碼本身可能足夠牢固。5)肩膀衝浪可能會變得更容易。
當我只有一隻手可以打字時,或者我真的很噁心/疲勞時,會發生什麼?我不能進去嗎涼!
在我決定要從移動設備登錄並且根本不使用實際的鍵盤之前,效果很好。
-1
@MathieuK。密碼本身就是一個問題。我知道有些盲人用戶使用screenreader軟件讀出屏幕上的內容和/或鍵入的內容,並且密碼被讀出為“ asterisk asterisk asterisk asterisk ...”。他們設法輸入密碼,但是如果密碼很複雜或如果他們不熟悉鍵的位置,則很費時間。
在我的情況下,PC鍵盤,筆記本鍵盤和智能手機鍵盤肯定會創建不同的密碼。
更不用說您需要實現此客戶端(_impossible_)以確保安全。如果您使用此密碼作為FDE密碼,那麼我可以簡單地替換您的啟動加載程序(如果您使用FDE基本上還是蠻力提示,那麼在啟動時會看到提示),而且如果您在網站上,則更容易。
由於我不時更改密碼(每個人都應不時更改密碼),因此輸入速度取決於密碼的使用期限。越來越快,直到我再次給自己輸入新密碼。Keyrate適用於普通文本,但不適用於您記住的密碼等內容。
如果用作一般啟發式方法,這將使我無法使用最有效的肩膀密碼安全性技術:在輸入密碼時,我將在qwerty和Dvorak佈局之間隨機地來回切換,以使所使用的擊鍵具有很大的可變性。他們。按鍵的節奏與按鍵的相對位置高度相關,因為用於每個按鍵的手指和用於每個按鍵過渡的激活筋在佈局之間會有所不同。
唯一可以接受的做法是,如果不是敲擊門檻不是硬性進入障礙,而是如果擊鍵模式不符合習慣數據的閾值,則觸發通知帳戶所有者的觸發器。如果用於觸發“在{20160503}的{14:56}處檢測到可疑登錄”。給我發電子郵件,這可能是可以接受的,特別是如果系統中的信息包含我的PII或我的財務數據時。如果我在喝酒或正在操作另一台機器時單手登錄,則可以忽略該警報,但仍然可以獲得合法訪問權限。
您可以要求“秘密敲門”作為第二個因素。
保存並自動填寫密碼字段的瀏覽器也會帶來麻煩。