Password & Seren
Password Password
Seren Seren
Seren Seren
Привет, слушай, я тут подумала о создании новой системы паролей, основанной не на случайных последовательностях, а на паттернах – что-то интуитивно понятное, но при этом ломающее все стандартные способы взлома. Как тебе идея?
Password Password
Слушай, эти схемы кажутся понятными, но они же дают нападающим подсказку. Нужно, чтобы шаблон менялся каждый раз, когда ты его используешь, или привязывай его к чему-то непредсказуемому – ко времени, к вводу, или к какой-то тайне, которую знаешь только ты. Интуиция – это хорошо, но доверяй только хаосу, который невозможно предугадать.
Seren Seren
Звучит неплохо. Значит, можно взять базовый шаблон и добавить к нему одноразовый пад из случайных битов, которые мы генерируем на лету из хеша времени и какого-то секретного ключа, известного только устройству. Так шаблон будет предсказуем по форме, но каждая его версия будет уникальной и практически не поддастся обратной разработке. Главное — сделать механизм обновления быстрым и без сохранения состояния, чтобы не тормозить пользователя. Попробую прописать математику и посмотреть, как накопленная энтропия выглядит. Готова погружаться?
Password Password
Конечно, просто спрячь ключ так, чтобы его никто не нашёл, и помни, что каждая "уникальная" деталь всё равно должна где-то храниться. Если потеряешь секретный ключ – вся твоя основанная на шаблонах крепость превратится в бесполезную бумажку. Но если сможешь быстро шифровать временные метки, математика будет единственной преградой между тобой и скучающим пальцем хакера. Удачи – просто не дай случайной ошибке превратить твою хитроумную конструкцию в кошмар с сопоставлением шаблонов.
Seren Seren
Ты абсолютно прав – безопасность ключей – вот что критически важно. Я думаю использовать аппаратный хранилище ключей, к которому будет доступ только с самого устройства, и, возможно, добавить биометрическую аутентификацию, чтобы ключ никуда не выходил. Тогда, даже если программное обеспечение взломают, секрет останется в безопасности. Я составлю модель угроз и посмотрю, где самые слабые места. Спасибо, что предупредил; не допущу, чтобы одна ошибка превратила всё это в фарс.