pc-facile
Valutazione 4.87/ 5 (100.00%) 5838 voti




Dèjà Vu + Passfaces = password visive

dany 03/05/06 @ 15:00  

Dèjà Vu + Passfaces = Password Visive

kevin Mitnick … profeta dell’ hacking basato sulla ingegneria sociale, ha sempre sostenuto : “La parte più debole di qualunque sistema di sicurezza è l’uomo”.

Quando si sviluppa un sistema di autentificazione sicura, l’anello debole della catena è l’incapacità umana di ricordarsi password complesse, che sono anche le più sicure ! L’autenticazione via password è basata sulla memoria. C’è chi invece sta studiando sistemi più evoluti, basati sulla capacità di riconoscimento.

Raschna Dhamija e Adrian Perrig, due studenti dell’università di Berkeley, stanno lavorando ad un progetto di riconoscimento visivo, nome in codice “Dèjà Vu“. Il progetto vuole evitare la necessità di un riconoscimento preciso [tipico problema delle password], scoraggiare la scelta i password deboli ed eliminare l’attività [specie nei dipendenti di una ditta] che scrivono spesso le password su fogliettini adesivi, lasciandoli dimenticati sui monitor, con grave danno per la sicurezza della azienda.

Dèja’ Vu: at work

Il sistema si basa sul riconoscimento delle immagini articolandosi in tre fasi :

Creazione di un portfolio [raccolta di immagini], addestramento e autentificazione .

fase 1] Nella costruzione del portfolio l’utente seleziona un certo numero di immagini tra quelle che gli vengono presentate da un server. Le immagini sono generate casualmente, per evitare che si possiano lasciare appunti “sparsi” che le descrivono e minare la sicurezza dei dati di accesso a particolari db [data base]. Questo consente anche al server di memorizzare solo i seed di generazione casuale e quindi ridurre al massimo lo spazio su disco. Se la generazione delle immagini e casuale possono bastare 8byte per immagine!

fase 2] Nella fase di addestramento il server collauda l’efficacia del riconoscimento da parte dell’utente sottoponendogli in circostanze sicure una serie di figure esca ed inoltre cercherà di indurlo all’errore.

fase 3] All’atto dell’autentificazione il server “sicuro e fidato” propone all’utente una serie di immagini, in parte provenienti dal suo portfolio e in parte di altro tipo. Se l’utente identifica correttamente le immagini del suo portfolio e nella giusta sequenza è autenticato!

Dèja’ Vu : sotto attacco

Gli autori dello studio hanno messo alla prova il sistema in diversi modi :

Brute Force: effettuato scegliendo le immagini a caso, ha un’efficacia inferiore a quello condotto contro un PIN a quattro cifre, una possibilita’ su 15k invece che una su 10k . Il sistema dopo pochi errori si chiude bloccando ogni ulteriore tentativo, rafforzando la sicurezza in modo notevole.

Educated Guest: “Scelta di immagini random in cui si cerca di imitare il gusto dell’utente”. Le immagini sono astratte e tutte visivamente interessanti [sono state scartate a priori dagli autori immagini troppo elementari o facilmente descrivibili], per cui anche conoscendo i gusti grafici di un utente non è semplice predirne il comportamento.

Conclusioni : Un sistema di sicurezza basato sul riconoscimento delle immagini funzionerà nel 90% dei casi, contro il 70% dei metodi tradizionali [password].

Curiosità : è stato dimostrato da vari esperimenti che il 15% delle persone e/o dipendenti sceglie password di quattro caratteri/numeri o anche meno, per non averle troppo complicate. Mentre l’85% delle password scelte è vulnerabile a un attacco dizionario e 1/4 di tutte le password è attaccabile con un dizionario banale. Per un hacker è fonte di preoccupazione, per un pirata informatico “cracker” è sinonimo di libero accesso ai vostri dati sia personali che aziendali.

Una delle applicazioni attualmente più promettenti è “Passfaces” visitando l’indirizzo Id-arts.com sarà possibile testare un sistema di riconoscimento visivo da un pratico tool Demo.

credit riferimenti : neOkkONÂ Â neOkkOn[at]hackerjournal.it
links: www.random-art.org, www.cduce.org, www.passlogix.com



Enetweb.net autorizza pc-facile.com a riportare la presente news.



News correlate:

[08/06/15] L'iride, la nuova password per Google
[10/08/11] Resettare la password dal telefono ora si può
[16/07/11] Hotmail rafforza la sicurezza degli account: occhio alle password
[26/03/08] Falla zero-day di Word, utenti a rischio
[07/12/07] G DATA: un Natale in sicurezza

Commenta questa news

Nome:

Commento:

Conferma visiva:


Inserisci la targa della città indicata nell'immagine.

Login | Iscriviti



Ho perso la password


Glossario | Blog | Cerca
© 2000-2018 pc-facile.com