Ha megkérdezünk tíz számítógépes biztonsági szakembert, hogy mi a
legnagyobb biztonsági kockázat közülük tíz azt fogja mondani, hogy a
jelszavak. Támogatói szerint a jelszóhoz fűződő gondok jó részét
megoldja a “passclick” nevű módszer.
A jelszavak karakterekből állnak… ezt mindenki tudja… legalábbis
álltak eddig. A passclick nevű módszer lényege, hogy nem beírni kell a
jelszavat, hanem kijelölni. Azaz van egy viszonylag nagy képünk, amin
sok jellegzetes pont van és itt bizonyos pontokat kell kijelölni. Ez
lesz a jelszó. Egy olyan képen, amin van kb. 100 jellegzetesség, egy
fél tucat már eléggé egyedi.
Támogatói szerint a módszer nagyon nagy előnye, hogy az emberi memória
eredendően grafikus, tehát a jelszavakat sokkal könnyebb így
megjegyezni. Előnye még, hogy a különböző helyeken különböző
jelszavakat használva megakadályozható az, hogy a felhasználók
ugyanazokat a jelszavakat több helyen használják. Miért is tennék,
hiszen a módszerrel nem fogják egykönnyen elfelejteni azokat.
Kipróbáltam egy ilyen bejelentkezést. Mielőtt nekiálltam volna a post
megírásának hevenyészve generáltam egy ilyen jelszót. Most szinte semmi
problémát nem okozott beütni. Szóval valóban könnyen megjegyezhető.
Hátránya viszont, hogy a sima szöveges jelszavak kezelése azért egy
világgal egyszerűbb…
Egy példa - érdekesség, hogy itt megnézhetjük, hogy a tesztelők mely pontokat jelölték meg.
Nyilvánvalóan van még javítanivaló a módszeren, hiszen a legtöbben
ugyanazt a tucatnyi pontot választották, de szerintem egy jó kép sokat
dob a biztonságon…
Mindenesetre nem hinném, hogy sokan komolyan gondolkodnak ilyesmi bevezetésén… de az ötlet érdekes.
Elküldés
Hozzászólás 
Hozzászólás RSS
További elõnye, hogy a brute-force támadások próbálkozásszáma néhány billóról néhány ezerre csökken, kényelmesen leolvasható a bejelentkezõ háta mögül, és ha attól tart, hogy elfelejti, akkor nem jegyzetfüzetbe kell felírni, hanem lefényképezni a monitort…
Egyszóval ritka nagy baromság.
tgr: én is gondoltam a biztonsági kockázatra, de meglepõ módon nem annyira vészes. Nagyjából olyan a brute-force tûrése mintha csak kis latin betûket használnánk. (és itt nem lehet szótárral nyomulni).
Az elfelejtésben igazad van, de arra még mindig ott van a klasszikus emailes új jelszó igénylés. Belegondolva még nagy elõnye/hátránya a módszernek hogy nagyon nehezen lehet elmondani másnak a jelszót.
(Amúgy meglepõen jól meg lehet jegyezni… most felmentem megint és tisztán emlékeztem a jelszóra órákkal késõbb, úgy hogy csak egyszer használtam)
Félre ne érts: Valószínûtlennek tartom, hogy a módszer kilép az érdekességek világából (és én se vezetném be sehol.) De nem azért mert bármilyen okból nem biztonságos vagy nehezen kezelhetõ. Egyszerûen azért, mert a belépés hosszadalmas. Egy jelszót beütni fél pillanat, itt viszont klikkelgetni kell jó ideig. Nem nagyon tudok olyan szituációt elképzelni, ahol praktikus lenne…
A vállfölül nézés ellen ott van az 5 másik random klikkelés.
Úgy lehetne spirázni, hogy az ember saját képet tölt fel, és azon jelöli ki a pontokat :))
Legalább személyesebb lenne a belépés. De itt is meg kell jegyezni dolgokat, és itt is mindenki ugyanazt használná…szerintem sem fog elterjedni.
Inkább az USBs ujjlenyomat olvasó, vagy agyhullám detektáló…
Szerintem, ha megkérdezünk tíz számítógépes biztonsági szakembert, hogy mi a legnagyobb biztonsági kockázat, közülük tíz azt fogja mondani, hogy az emberi tényezõ.
Mindegy, hogy az illetõ jelszava karakter-sorozat, vagy (x,y) koordináta sorozat, egyik sem tudja pótolni a billentyûzet túloldalán hiányzó felkészültséget. A cikkben vázolt “passclick” módszer könnyebséget jelenthet a diszgráfiás felhasználóknak, biztonsági szempontból nem látom az elõnyét.
Eddig is a keyloggerek voltak a problémásak. Õszintén, ki áll neki brute-force törni egy email fiókot, amikor az 5. után letilt, és közben szépen loggol a szerver…?
Amúgy szerintem kényelmetlenebb. Ha nincs egér, akkor mi van? Lynx?
És nem védi ki a lehallgatást sem: keylogger -> clicklogger