Частичный пароль

Форма ввода частичного пароля в приложении мобильного банкинга

Частичный пароль — это режим аутентификации по паролю , предназначенный для того, чтобы сделать регистрацию нажатий клавиш и серфинг через плечо менее эффективными. ^[1]

Прося пользователя ввести только несколько определенных символов из пароля ^[2] , а не весь пароль, частичные пароли помогают защитить пользователя от кражи пароля. Поскольку сразу раскрывается только часть пароля, становится труднее получить пароль с помощью таких методов, как регистрация нажатий клавиш или передвижение по плечу .

В статье Дэвида Аспиналла и Майка Джаста подробно описаны частичные реализации паролей и атаки. ^[1]

Протестировано на 110 000 симуляциях с использованием паролей длиной более 8 символов, Джунаде Али отметил: ^[3]

• 58% паролей раскрываются полностью после 7 входов в систему, 90% — после 12 и 99% — после 19 входов.
• Используя набор данных из 488 129 взломанных паролей, 58% протестированных трехсимвольных сегментов паролей были действительны только для этого пароля в базе данных. Кроме того, 28% могут быть связаны только с одним другим паролем, а 8% — с двумя другими паролями.

Проверка частичных паролей

Считается хорошей практикой не хранить пароли в открытом виде . ^[4] Вместо этого при проверке всего пароля обычно сохраняется результат передачи пароля в криптографическую хэш-функцию . Поскольку пользователь не предоставляет полный пароль, его невозможно проверить по сохраненному дайджесту всего пароля. Некоторые предлагают хранить дайджест каждой комбинации букв, которая может быть запрошена, но отмечают, что это приводит к созданию и хранению большого количества дайджестов. ^{[5] [6]} Лучшим решением с точки зрения места для хранения и безопасности является использование схемы совместного использования секретов . ^{[6] [7]}

Рекомендации

1. «Дайте мне буквы 2, 3 и 6!»: Частичная реализация паролей и атаки» (PDF) . Проверено 14 октября 2015 г.
2. «Что такое частичная проверка пароля?». Кооперативный банк . Архивировано из оригинала 28 июня 2011 г. Проверено 3 марта 2011 г.
3. «Ввод учетных данных банковского уровня: тщетность частичной проверки пароля» . Блог Cloudflare . 20 декабря 2018 г.
4. Хранение паролей
5. «Частичные пароли и регистраторы нажатий клавиш» . Проверено 3 марта 2011 г.
6. «Частичные пароли сделаны правильно» . Проверено 30 декабря 2022 г.
7. Обновление частичных паролей