Randomizovaná virtuální klávesnice

Randomizovaná virtuální klávesnice
« kdy: 03. 06. 2024, 22:59:10 »
Android OS(AOSP) má  možnost nastavit, aby  se při zadáváni pinu randomizovala číslice virtuální klávesnice. Stejně jako přenosné platební terminály (s dotyk.klávesnicí logicky)

Kterou metodu považujete za nejlepší (jak bezpečnost tak přívětivost ! )?

Odpovědi "kód nezadávám" neberu: protože vždy občas jepoťřebazadat "ten Pin". (Při setupu otisku, při smartLocku nebo možná i jednou za čas (tušim že iPhone tuto. Volbu má. Jednou za  x dní požadovat pin))

Pozor možnosti lze kombinovat.
A) nerandomizovaná (1234567890)
B) při každém použití randomizovaný layout
C)layout randomizovaný pro každý smartphone jen jednou (poprvé při aktivaci např.)
D) layout se nemění pro každou danou číslici
E) layout prokaždou zdnou číslici se mění
F) klávesnice zároveň skáče po obrazovce (přenosný plat.terminál) po každé zadané číslic



V návaznosti na tento článek (úniky heatmapy(z)hesel)
« Poslední změna: 03. 06. 2024, 23:02:06 od Ħαℓ₸℮ℵ ␏⫢ ⦚ »


Re:Randomizovaná virtuální klávesnice
« Odpověď #1 kdy: 04. 06. 2024, 07:25:49 »
Podle mého názoru musí být k randomizaci klávesnice a podobným opatřením hooodně dobrý důvod. Jinak to bude jen zdržování, šikana uživatele a zdroj zablokování účtú.

Re:Randomizovaná virtuální klávesnice
« Odpověď #2 kdy: 04. 06. 2024, 08:19:43 »
Souhlasím, je to blbost a šikana uživatel. Já píšu pin zásadně svalovou pamětí a tady bych byl ztracený.

Re:Randomizovaná virtuální klávesnice
« Odpověď #3 kdy: 04. 06. 2024, 08:42:09 »
To jsem neviděl použitý ani na dveřích armádní šifrovny :-D
Adekvátní mi to přijde řekněme na vstupu do šifrovny ambasády.

Re:Randomizovaná virtuální klávesnice
« Odpověď #4 kdy: 04. 06. 2024, 08:47:14 »
Randomizovaná klávesnice se používá pro to, aby nebylo možné PIN získat z otisků prstů na obrazovce. Tudíž varianta C nedává smysl (stačí layout klávesnice jednou zobrazit, a víte, která číslice kde je), varianta D je nesmysl (musel byste mít nešifrovaný PIN uložený někde v paměti, navíc by stačilo párkrát si klávesnici zobrazit a PIN byste poznal podle pozic, které se nemění). Varianta F (u randomizované klávesnice) nebrání proti žádnému skutečnému útoku, jediný smysl má u nerandomizované klávesnice, kdy se tím opět mění pozice jednotlivých číslic na displeji, ale zůstává zachován zadávaný „tvar“.

Každopádně jakékoli takové opatření by mělo mít dobrý důvod, protože výrazně zhoršuje UX. A vůbec by nemělo být použito někde, kde to používají externí uživatelé (třeba platební terminál).

To jsem neviděl použitý ani na dveřích armádní šifrovny :-D
Adekvátní mi to přijde řekněme na vstupu do šifrovny ambasády.
Tam jsou asi mechanická tlačítka, ne? Tohle je řešení pro případy, kdy se PIN zadává na dotykovém displeji, kde zůstávají otisky prstů.

U mechanických tlačítek je to problém tam, kde se zadává jeden univerzální PIN pro všechny a zadává se často, takže za pár let poznáte podle odřených tlačítek, které číslice se používají a které ne.


crown

  • ****
  • 390
    • Zobrazit profil
Re:Randomizovaná virtuální klávesnice
« Odpověď #5 kdy: 04. 06. 2024, 09:28:27 »
Po každé zadané číslici by se měla čísla na klávesnici zase náhodně přeházet.

Jo a používat bych to nechtěl.

mhepp

  • ***
  • 160
    • Zobrazit profil
    • E-mail
Re:Randomizovaná virtuální klávesnice
« Odpověď #6 kdy: 04. 06. 2024, 10:48:19 »
Z mého pohledu dává nejvíce smysl ( = je nejméně obtěžující) zamíchání klávesnice před každým zadáním pinu. Při zadávání už pozici neměnit. A je jedno, jestli se mění umístění celé klávesnice a pozice číslic, nebo jen pozice číslic.

Pokud klávesnice skáče po obrazovce nebo se mění uspořádání po každém zadání číslice, je to strašný opruz a ze zadání PINu se stává hrozná makačka na bednu. Hlavně pokud se mění pozice/uspořádání bez jakékoliv animace, která by pomohla opticky trasovat posun jednotlivých číslic.

RDa

  • *****
  • 2 765
    • Zobrazit profil
    • E-mail
Re:Randomizovaná virtuální klávesnice
« Odpověď #7 kdy: 04. 06. 2024, 11:09:16 »
Laserove pole a la Jean Michel Jarre .. proc nechavat otisky kdyz nemusite.

Ale na klavesnici by to slo udelat skrze proximity sensory (at uz opticke, nebo kapacitni).

Re:Randomizovaná virtuální klávesnice
« Odpověď #8 kdy: 04. 06. 2024, 11:44:30 »
Po každé zadané číslici by se měla čísla na klávesnici zase náhodně přeházet.
Proč? Proti jakému útoku to brání?

Re:Randomizovaná virtuální klávesnice
« Odpověď #9 kdy: 04. 06. 2024, 11:51:40 »
Randomizovaná klávesnice se používá pro to, aby nebylo možné PIN získat z otisků prstů na obrazovce. Tudíž varianta C (...)
pár let poznáte podle odřených tlačítek, které číslice se používají a které ne.

Ono se to používá především jako ochrana proti útoku vizuálnímu, kdy se útočník pokouší PIN odvodit z pohybů ruky uživatele, protože nevidí přímo na klávesnici. Dociluje se tím toho, že pohyb je pokaždé jiný i při opakovaném zadávání téhož vstupu.

Karmelos

  • *****
  • 1 069
    • Zobrazit profil
    • E-mail
Re:Randomizovaná virtuální klávesnice
« Odpověď #10 kdy: 04. 06. 2024, 12:38:32 »
Hmm to mi příjde podobně jalový jako randomizovat ty puntíky co se na ně kreslí ty tvary na odemčení....  ;D
A podle mě už dneska pin nikdo nepoužívá, max když staruje vybitej mobil tak kvuli simce...
Gréta je nejlepší.

Re:Randomizovaná virtuální klávesnice
« Odpověď #11 kdy: 04. 06. 2024, 12:45:08 »
Doufám, že sem nechodí vývojáři uživatelského rozhraní Windows, jinak by to určitě nějak využili v příští verzi, aby "zlepšili" ovládání:-)

Re:Randomizovaná virtuální klávesnice
« Odpověď #12 kdy: 04. 06. 2024, 12:59:09 »
Já svá hesla a piny v podstatě ani v plaintextu neznám, vše je již ve svalové paměti. Pokud by mi někdo zpřeházel klávesnici, tak se nikam nedostanu, a musel bych složitě přemýšlt o tom, co vlastně mačkám...

Re:Randomizovaná virtuální klávesnice
« Odpověď #13 kdy: 04. 06. 2024, 13:05:17 »
Hmm to mi příjde podobně jalový jako randomizovat ty puntíky co se na ně kreslí ty tvary na odemčení....  ;D
A podle mě už dneska pin nikdo nepoužívá, max když staruje vybitej mobil tak kvuli simce...

Jasně, třeba na dveřích nebo bankomatu :-D

Re:Randomizovaná virtuální klávesnice
« Odpověď #14 kdy: 04. 06. 2024, 14:50:05 »
Bohužel nám nové PINy pořád někdo nutí, třeba s eObčankou.