Daemon23RUS, Ну как же Вы не поймете, ну не дастся Вам эта задача, ну нет у Вас понимания.
Задача мне не дается потому что я и не собирался ее решать. Понимание криптографии на 6 десятке лет с нуля могут получить только гении какие-то. и то потом с инсультом будут лежать. Зачем? Это представьте пожилого человека который решил стать врачом. Нифига у него не получится) А я за 35 лет практики хожу по улицам и вижу - вот астма идет, вот гемморой, вот ХСН. а вы считали что я пришел сокрушать устои криптографии? Да нет же)
Daemon23RUS, Да в прототипе это не решено. Ну пока по крайней мере. давайте сравнивать с простым паролем или пин-кодом. Там ведь тоже могут заддосить. Думаю решение от ддос атаки тоже можно внедрить. например после 6 неправильных ответов - программа выдает false на любой ключ, пока настоящий пользователь не пройдет биометрию. Или транспонировать существующие решения.
Pilgrish, Извини не понял. Откуда ты знаешь что пользователь посмотрел 4 картинки. Он уже посмотрел 4444444 картинок. На какой вызов будет ответ 0000? Почему не 00000? Это при какой формуле? Они же будут разные все-таки. Сколько подсматриваний понадобилось хакеру? Или он просто сидит в компе пользователя и видит вообще все? может ему тогда и подсматривать ничего не нужно?
Друзья по моему вы путаете теоретическую комбинаторику с практической программой. Нет я не создал величайшую комбинаторную величавость во всей вселенной. моя программа проста. это практичная и прикладная система аутентификации. Она не для того чтобы что-то намертво зашифровать. И о да, есть конечно гораздо мудреные программы. Но моей простой пароль заменить можно? да. Надежность , устойчивость к взлому увеличится? да. После двух подсматриваний остается 80 к вариантов. А у простого пароля 0 вариантов. Ну нормально.
Daemon23RUS, Ну повторно предлагаю перейти в практическую плоскость. Если идея утопична то давайте по одному генерируйте ответы, а я буду говорить правда или нет. т.е. реально у вас 6 попыток
Daemon23RUS, Демон а у пароля обычного после скольки попыток остается 0 комбинаций. мы же говорим о том, что хакер подсматривает, или нет? Вот в моем случае он подсмотрел пару вызов -ответ. А в вашем? Ну когда он подсмотрел пароль, пусть сложный? Разве он не получит доступ просто с одного раза?
Или вы имеете в виду что никаких данных у хакера нет и он просто крутит брут-форс. Ну да простой пароль так и вскрывают. А мой алгоритм? При тех же условиях? Или вот мой он подсмотрел, а ваш не увидел? Соринка в глаз попала.
Ну ладно 80 к комбинаций. как обойти защиту от брут-форса которая уже естьв моей программе? 3 ошибки бан 15 мин, 5 ошибок 30 мин, больше полный бан, пройдите аутентиф другим способом.
Ну и давайте пошагово набирайте ответ а я честно буду говорить Да или нет.
rPman, Ну вот ниже есть пример и там детки уже провели деконструкцию, т.е. вам осталось подобрать ключ. Все подсказки уже есть. если вскроешь. ну незнаю Давай тебе фотки пришлю со спектакля Улитка на склоне по стругацим?
GavriKos, Это не пароль. Это ровно то же, что вы мне предложили - расшифровать "нечто". Как и ваше 104255 - они равны с т.з. криптографии. Только я использовал уже реализованные алгоритмы. На входе алгоритма - фраза которую я легко зпомню. Источник данных для "этого" - крайне простой, алгоритм шифрования - распространенный. Но вы это н
Ну в окне ввода пароля на сайте или устройстве вы что вводите? как вы аутентификацию проходите? Извините не могу понять. Мой алгоритм просто прикладной он не про вычислительные мощности, он про пользователя. Он не для того чтоб что-то зашифровать, он для прохождения аутентификации.
Ой а детки то у вас умные! Вот учитесь все! Только сейчас заметил! молодцы! Да это цифровой хвост в алгоритме. Он становится меньше при получении новых валидных пар вызов-ответ. За это и будут хакеры цеплятся. А количество вариантов нужно сложить. ведь хакер не знает ни количество действий, ни какие знаки применены. ну и остается обойти защиту программы - 3 неправильных ввода бан 15 минут, 5 неправильных вводов - бан 30минут, больше - введите мастер пароль или пройдите подтверждение у админа или что-то подобное.
И вот еще что. Цифровой хвост можно отбросить. буквально как ящерица) Есть мысли как это сделать?
Вот может так будет понятней. и мне странны рассуждения, что хакер вот прямо подряд все сессии люстрирует. У вас что на устройстве вообще никакой цифровой гигиены нет? Т.е. ваш комп это такая помойка где хакеры ботнеты сидят и вольготно себя чувствуют. И что-то не вскрывают только потомц что им лень.
Я пользователь. Я выбрал пароль A1+A1; A1*A1; A1-A2(abs); A1*A2 (а мог бы меньше или больше действий и ячейки самые разные) и сохранил его. Начал работу. Получил вызов:
1234
A 0123
B 4567
C 8901
D 2345
В уме я вычислил: 0+0=0; 0*0=0; 0-1=1; 0*1=0
И в поле ввода ввел полученный ключ: 0010 И получил доступ.
На следующий день прихожу, начинаю работать и получаю новый вызов:
1234
A 9876
B 5432
C 1098
D 7654
решаю: 9+9=18; 9*9=81; 9-8=1; 9*8=72
В окне ключа ввожу: 1881172 И получаю доступ.
Я использовал один и тот же пароль. Получал разные ключи.
Do you understand now?
Наложите сюда 2й-3й подсмотренный респонс, столько останется ? на сколько порядков меньше ? следующий шаг ботнет сеть за пару минут подберет 3й и
А при пароле пусть сложном сколько нужно подсматриваний? А-а-а одно) И сразу доступ. Ну конечно что ж, тогда остаемся на паролях.
ну братцы реально НСА не защищает от всего вообще. От ядерного взрыва, от ожирения, от токсичных собеседников - нет не защищает. Упрощает защиту пользователю при умеренном повышении надежности - да. Затрудняет действия хакера - да. ну и хватит.
GavriKos, Нет. По крайней мере не для меня. Запоминать множество разных паролей для разных сайтов. приложений устройств мне трудно. они забываются если долго не пользуешься. Начинаются эти тупейные процедуры по восстановлению пароля для входа в госуслуги чтобы получить наконец талон к врачу. И ты понимаешь что талон-то сейчас уплывет пока ты возишься. А в НСА я буду использовать один пароль для многих сайтов. ну не для всех одинаковый конечно. Где-то поменяю знак с + на - . где-то в ячейке сдвинусь. И друзья мои. Вот вы пишете все так легко вскрыть, плевое дело. ну так вскройте хотя бы один из примеров ниже. Или напишите не саму деконструкцию, а хотя бы принцип от ключа к паролю. Что нужно делать?
rPman, Вот: Я пользователь. Я выбрал пароль A1+A1; A1*A1; A1-A2(abs); A1*A2 (а мог бы меньше или больше действий и ячейки самые разные) и сохранил его. Начал работу. Получил вызов:
1234
A 0123
B 4567
C 8901
D 2345
В уме я вычислил: 0+0=0; 0*0=0; 0-1=1; 0*1=0
И в поле ввода ввел полученный ключ: 0010 И получил доступ.
На следующий день прихожу, начинаю работать и получаю новый вызов:
1234
A 9876
B 5432
C 1098
D 7654
решаю: 9+9=18; 9*9=81; 9-8=1; 9*8=72
В окне ключа ввожу: 1881172 И получаю доступ.
Do you understand now?
rPman, Мэн, вдумайся, попробуй. Ты думаешь вызов один раз сгенерился и так и завис навсегда? Нет. Да действительно, если бы был один вызов на все времена, то что там, врубил ботнета и жди когда денежки со счета потекут к тебе. Но вызов при каждой сессии новый. Ты ввел ключ получил отказ. Все вызов новый. И в цикле защиты от брутфорса в нем даже нет позиционных повторений. И ключ всякий раз нужен новый.
О да. длина ключа зависит от количества действий в пароле пользователя. Но тут я тебя пожалуй немного удивлю. Вот у пользователя пароль из 4 действий. какова будет длина ключа? Только подумай не торопись.
Егор Филимонов, В проекте реализовано так: только при обучении программы пользователь мышкой или пальцем на тачскрине отмечает центры двух ячеек в таблице. Возникает цветной отрезок соединяющий ячейки - появляется меню выбора действия + - *. Пользователь выбирает. Это финализирует выбор. Пользователь выбирает следующую пару ячеек и действие. Отрезок отличается по цвету. Так пользователь и набирает свой пароль. Действий не меньше 3-х. Желательно разные действия. Пользователь запоминает свой пароль как паттерн из разноцветных отрезков и действий. Эта же последовательность действий сохраняется в программе. Больше этот паттерн нигде не появится это самая большая тайна алгоритма.
Работа алгоритма. ПАЛЬЦАМИ ВОДИТЬ НИКУДА НЕ НАДО. СВОЙ ПАРОЛЬ НИГДЕ ПИСАТЬ НЕ НАДО. пользователь авторизуется или разблокирует устройство. на экране возникает таблица вызов заполненная рандомно 4*4. под ней окно ввода ключа, под ним цифровая клавиатура с кнопкой ввод. Пользователь в уме решает по своему тайному алгоритму вызов и результаты записывает в окно ввода ключа результаты без пробелов, никак не выделяя отдельные действия. получается ряд цифр. пользователь нажимает ввод - если результат совпадает с вычисленным программой - доступ разрешен.
GavriKos, простейшая арифметика начальной школы - сложение вычитание умножение С ОДНОЗНАЧНЫМИ ЧИСЛАМИ. Это не сложно. самое сложное - это помнить таблицу умножения.
GavriKos, Ваш пароль хорош. Но невероятно длинный и сложный. Я не возьмусь не просто расшифровать но и запомнить его. Я когда придумывал свой алгоритм пытался 1)облегчить пользователям запоминание 2)дать возможность пользователям иметь один пароль для разных устройств и в то же время при каждой аутент. сессии генерировать новый! ключ. сам пароль в моем алгоритме нигде не вводится. Ниже объясню.
Давайте рассмотрим когда хакер получил доступ к вашему устройству/программе. Он не будет рассшифровывать ваш пароль. Он его скопирует и будет пользоваться. Вы же не меняете пароли после каждого входа? В моем же алгоритме лучшее что может получить хакер это валидную пару вызов-ответ. как в задаче выше. А этот ключ одноразовый (ну почти).
rPman, В проекте реализовано так: только при обучении программы пользователь мышкой или пальцем на тачскрине отмечает центры двух ячеек в таблице. Возникает цветной отрезок соединяющий ячейки - появляется меню выбора действия + - *. Пользователь выбирает. Это финализирует выбор. Пользователь выбирает следующую пару ячеек и действие. Отрезок отличается по цвету. Так пользователь и набирает свой пароль. Действий не меньше 3-х. Желательно разные действия. Пользователь запоминает свой пароль как паттерн из разноцветных отрезков и действий. Эта же последовательность действий сохраняется в программе. Больше этот паттерн нигде не появится это самая большая тайна алгоритма.
Работа алгоритма. ПАЛЬЦАМИ ВОДИТЬ НИКУДА НЕ НАДО. пользователь авторизуется или разблокирует устройство. на экране возникает таблица вызов заполненная рандомно 4*4. под ней окно ввода ключа, под ним цифровая клавиатура с кнопкой ввод. Пользователь в уме решает по своему тайному алгоритму вызов и результаты записывает в окно ввода ключа результаты без пробелов, никак не выделяя отдельные действия. получается ряд цифр. пользователь нажимает ввод - если результат совпадает с вычисленным программой - доступ разрешен.
Задача мне не дается потому что я и не собирался ее решать. Понимание криптографии на 6 десятке лет с нуля могут получить только гении какие-то. и то потом с инсультом будут лежать. Зачем? Это представьте пожилого человека который решил стать врачом. Нифига у него не получится) А я за 35 лет практики хожу по улицам и вижу - вот астма идет, вот гемморой, вот ХСН. а вы считали что я пришел сокрушать устои криптографии? Да нет же)