パスワードに入力された文字として画像を変更する

これにはいくつかの情報があります 破棄ページ 。どうやら、「動画」が気を散らすためにそこにあるという考えは ショルダーサーファー が広く行き渡っていて、間違っています。これは、この図が機能する方法ではありません。 悪い意図 から始まりますが、実際には悪いです。

パスワードの文字を入力すると、Lotusは「かなり複雑な」が決定論的アルゴリズムを使用して、入力されたパスワードを画像にマッピングします。これは基本的に非常に小さな出力サイズのハッシュ関数です（出力は可能な画像のセットの「値」です）。上記のハッシュ関数にサーバー固有のシークレットが含まれている可能性がありますが、それほど重要ではありません。実際のポイントは、あなたが観察しているように、あなたがパスワードを入力するとき、あなたはいつも同じ絵で終わるということです与えられたパスワードに対して。 善意は、次の2つのプロパティを実現することです。

• パスワードが正しく入力されたかどうかについて、早期に視覚的な警告を出します。ユーザーはすぐに自分のパスワードの一連の画像を学習します。したがって、画像が変更された場合、ユーザーはその時点で間違ったキーを入力したことを知っています（または数文字前に可能性があります）。

• 攻撃者がこのログインポップアップを模倣して、ユーザーに偽のポップアップにパスワードを入力させようとすると、画像を再計算して正しく表示することが「困難」であると考えられます。

2番目の理由は、考えてみると、純粋な馬鹿げたものです。「複雑なアルゴリズム」 秘密にしておくことはできません （特に、偽のポップアップが実際には 中間者攻撃の場合） と実際の画像を取得するためにカバーの下で真のポップアップが使用されます）、そして画面上を移動する画像を作成することは本当に簡単です：それはWebの99.9％についてです。

ただし、最初の理由には、破壊の種が含まれます：これにより、パスワードに関する情報が漏洩します。写真は画面上で非常によく見えます。かなり目立つ。 「ショルダーサーファー」は遠くからでも見ることができます。そして、それらを使用して潜在的なパスワードを取り除くことができます。実際、可能な画像が4つある場合、これはリークします文字あたり2ビット：8文字のパスワードの場合、現実的には約30ビットのエントロピーがあるため、これはわずかに減少します。 14ビット。

実際、この機能は、画面上に大きな文字で、各パスワード文字に対して「この文字は数字です」/「この文字はAとMの間の大文字」であるシステムに似ています/ ...

したがって、この「画像」システムは非常に危険であり、禁止する必要があります。

パスワードlengthについては、各キーストロークがhighly audibleであるため、攻撃者が文字数を取得するのは非常に簡単です。肩のサーファーは被害者の耳元にある必要があるだけで、スマートフォンでシーケンスを簡単に記録して後で聞くことができ、適切な速度にして、パスワードの長さを取得できます。これらの状況下では、ユーザー自身から長さを隠すことは無意味です。