Софтинки    

  Калькулятор ~ 
  Калькулятор-2 ~ 
  Калькулятор-3 ~ 
  Web-сервер ~ 
  Weeby ~ 
  Кука ~ 
  PAM-SSRA ~ 
  Dozer ~ 
  JI Synth ~ 
  JI Synth 2 ~ 
  httpfw ~ 
  nanoNET ~ 
  kurare ~ 
  edsm ~ 
  edsm-2 ~ 
  One more webd ~ 
  avr8-edsm ~ 
/Разное/Софтинки/PAM-SSRA

PAM module for Shoulder Surfing Resistant Authentication
(Модуль PAM для обеспечения защиты
от подсматривания при вводе пароля)

Что это такое?

Любопытство, как известно, не порок :) Что уж греха таить, бывают некоторые особо любопытные товарищи, которые так и норовят поглазеть на ваши пальчики, бегающие по клаве при вводе пароля. Вот для обламывания таких товарищей и предназначена сия софтинка. В чем идея? Идея состоит в том, чтобы вводить не сам секрет, а некую функцию от него. В данном случае используется следующая схема - во время аутентификации пользователю предъявляется квадратная табличка, в каждой клеточке которой нарисована либо цифра 1, либо цифра 2, а секретом является последовательность координат. Какие цифры попали на эти координаты (места), такие и нужно ввести. Какие именно символы рисуются в табличке, совершенно безразлично. Разумееется, табличка заполняется символами случайным образом, то есть вводимая последовательность всякий раз оказывается разная. Даже если записать процесс ввода на видеокамеру, вычислить секрет будет весьма проблематично (при достаточной его длине).

Скачать

Как этим пользоваться?

Разверните архив, затем проделайте следующее:

  1. откройте два сеанса от имени root, один из них держите на всякий случай свободным, в другом
  2. cp pam_ssra.so /lib/security/
    (но предварительно на всяк. сл. - make clean; make)
  3. cat "auth required /lib/security/pam_ssra.so" > /etc/pam.d/ssra
  4. далее можно поступить двояко - если нужно применить такой способ "сразу ко всему", то нужно заменить в /etc/pam.d/common-auth строчку, содержащую pam_unix.so, на pam_ssra.so, но так делать сильно не советую; альтернативно, заменить в /etc/pam.d/login, /etc/pam.d/su (и где еще надо...)
    "@include common-auth" на "@include ssra"
  5. создать файлик /etc/ssra - это файлик, где будут храниться "секреты"
  6. для УЖЕ СУЩЕСТВУЮЩИХ пользователей вписать туда эти самые секреты

Да, кстати, если в файлы /etc/pam.d/login, /etc/pam.d/su и т.п. вписать и обычную аутентификацию, и аутентификацию по данному способу, то есть

	# Standard Un*x authentication.
	@include common-auth
	@include ssra

то процесс аутентификации будет двух-шаговый: сначала надо будет ввести обычный пароль, а потом циферки из таблички.

Формат файла /etc/ssra

Каждый пользователь описывается на одной строчке следующим образом:

	user1:0011223344:0011223344
	user2:0001020304:4041424344
	и т.п.

Для приведенного примера у пользователя с именем user1 секрет - это главная диагональ таблички. Обратитите внимание, что тут два набора координат. Дело в том, что в процессе аутентификации рисуется 2 таблички :), для пущей важности. Так вот, второй набор - это секрет для второй таблички, в данном случае он совпадает с секретом для первой. У второго пользователя секретами являются верхняя и нижняя сторона квадрата для первой и второй табличек, соответственно. Разумеется, на практике надобно придумывать более кучерявые, более, так сказать, загогулистые секреты :)

Некоторые замечания

Ну вот вроде и всё. Happy Shoulder Surfing! :)

Литература

Вот тут можно найти анализ возможностей взлома такой схемы аутентификации. Имеются ввиду, есессна, не возможные баги-уязвимости в этой данной поделке, а всякие там вероятности угадать секрет и пр. при такой схеме.

Дата последней модификации: 2014-04-09


/Разное/Софтинки/PAM-SSRA

Содержимое данного сайта может быть использовано кем угодно, когда угодно, как угодно и для каких угодно целей. Автор сайта не несёт абсолютно никакой ответственности за землетрясения, наводнения, финансовые кризисы, глобальные потепления/похолодания, разбитые тарелки, зуд/онемение в левой/правой пятке читателя, эпидемии/пандемии свинячьего/птичьего/тараканьего и иных гриппов, а также за прочие негативные, равно как и позитивные, последствия, вызванные прямым или косвенным использованием материалов данного сайта кем бы то ни было, включая самого автора. При копировании/цитировании материалов данного сайта любым технически возможным в настоящее время способом, а также способом, могущим стать возможным в будущем, указание (либо неуказание) ссылки на первоисточник лежит, блин, тяжким грузом на совести копирующего/цитирующего.

Valid HTML 4.0 Strict Valid CSS!