2

如果一个系统有一组 40 张图片,每个用户选择 20 张图片作为自己喜欢的图片进行密码认证。

系统将按如下方式对用户进行身份验证:呈现 2 张图片,用户将选择他最喜欢的图片中的一张。

系统将重复该过程 20 次,即 40 张图片。

如果用户从 20 对集合中成功选择了他们的 20 张图片,他们将被登录。

攻击者破解系统并以用户身份登录的搜索空间是什么?

这是我的尝试:我认为攻击者将使用程序和蛮力多达 2 20次。

这个系统是否比标准的密码验证系统更安全?

4

2 回答 2

2

我认为这不可能比标准的基于密码的系统更安全。

这样看:如果我使用 12 个字符长的密码,基于能够产生 96 个不同字符的标准美国键盘,即612,709,757,329,767,363,772,416种不同的组合 (96 12 )。

另一方面,您的基于图片的系统只有1,048,576种不同的可能组合 (2 20 )。

总而言之,您的基于图片的系统将在0.000524288 秒内被破解!然而,基于密码的系统需要970 万年才能破解!

基于:可能性数 ÷ 2,000,000,000 = 秒数)

于 2013-09-30T01:23:02.560 回答
0

首先,用户体验可能很差。在 20 次迭代中从 40 张图片中选择 20 张图片可能需要很长时间并且可能很无聊。即使用户决定浏览一遍,他们也可能更喜欢更容易记住的图片,因为准确记住 20 张图片本身并不是一项简单的任务。

如上分析,密码空间并没有那么大。并且,用户可能有强烈的图片选择倾向。例如,用户可能更喜欢特定的颜色或主题,诸如此类,这使得攻击比简单的蛮力攻击更容易。

于 2013-12-27T23:28:36.653 回答