如果系统有一组40张图片,每个用户选择20张图片作为他们最喜欢的图片进行密码验证。
系统将按如下方式对用户进行身份验证:显示2张图片,用户将从他喜欢的图片中选择一张。
系统将重复该过程20次,因此有40张照片。
如果用户已成功从20对中选择了20张图片,则他们将登录。
攻击者破解系统并以用户身份登录的搜索空间是什么?
以下是我的尝试:我认为攻击者会使用程序和暴力2次 20 次。
这个系统比标准密码认证系统更安全吗?
答案 0 :(得分:2)
我认为这比基于密码的标准系统更安全。
以这种方式看待:如果我使用长度为12个字符的密码,based on标准美国键盘能够产生96个不同的字符,即 612,709,757,329,767,363,772,416 不同的组合( 96 12 )。
另一方面,基于图片的系统只有 1,048,576 种不同的组合(2 20 )。
总之,基于图片的系统只会在 0.000524288秒中破解!但是,基于密码的系统需要<970万年来蛮力!
(Based on:可能性数量÷2,000,000,000 =秒数)
答案 1 :(得分:0)
首先,用户体验可能不好。在20次迭代中从40个中选择20张图片可能需要很长时间,可能会很无聊。即使用户决定通过它,他们也可能更喜欢更容易记住的图片,因为准确记住20张图片并不是一项简单的任务。
如上所述,密码空间不是很大。并且,用户可能具有选择图片的强烈倾向。例如,用户可能更喜欢特定的颜色或主题,这样的东西比简单的暴力更容易攻击。