:: zed.karelia.ru/for.all/software/ssra ::

PAM module for Shoulder Surfing Resistant Authentication
(Модуль PAM для обеспечения защиты
от подсматривания при вводе пароля)

Что это такое?

Любопытство, как известно, не порок :) Что уж греха таить, бывают некоторые особо любопытные товарищи, которые так и норовят поглазеть на ваши пальчики, бегающие по клаве при вводе пароля. Вот для обламывания таких товарищей и предназначена сия софтинка. В чем идея? Идея состоит в том, чтобы вводить не сам секрет, а некую функцию от него. В данном случае используется следующая схема - во время аутентификации пользователю предъявляется квадратная табличка, в каждой клеточке которой нарисована либо цифра 1, либо цифра 2, а секретом является последовательность координат. Какие цифры попали на эти координаты (места), такие и нужно ввести. Какие именно символы рисуются в табличке, совершенно безразлично. Разумееется, табличка заполняется символами случайным образом, то есть вводимая последовательность всякий раз оказывается разная. Даже если записать процесс ввода на видеокамеру, вычислить секрет будет весьма проблематично (при достаточной его длине).

Скачать

Как этим пользоваться?

Разверните архив, затем проделайте следующее:

откройте два сеанса от имени root, один из них держите на всякий случай свободным, в другом
cp pam_ssra.so /lib/security/
(но предварительно на всяк. сл. - make clean; make)
cat "auth required /lib/security/pam_ssra.so" > /etc/pam.d/ssra
далее можно поступить двояко - если нужно применить такой способ "сразу ко всему", то нужно заменить в /etc/pam.d/common-auth строчку, содержащую pam_unix.so, на pam_ssra.so, но так делать сильно не советую; альтернативно, заменить в /etc/pam.d/login, /etc/pam.d/su (и где еще надо...)
"@include common-auth" на "@include ssra"
создать файлик /etc/ssra - это файлик, где будут храниться "секреты"
для УЖЕ СУЩЕСТВУЮЩИХ пользователей вписать туда эти самые секреты

Да, кстати, если в файлы /etc/pam.d/login, /etc/pam.d/su и т.п. вписать и обычную аутентификацию, и аутентификацию по данному способу, то есть

	# Standard Un*x authentication.
	@include common-auth
	@include ssra

то процесс аутентификации будет двух-шаговый: сначала надо будет ввести обычный пароль, а потом циферки из таблички.

Формат файла `/etc/ssra`

Каждый пользователь описывается на одной строчке следующим образом:

	user1:0011223344:0011223344
	user2:0001020304:4041424344
	и т.п.

Для приведенного примера у пользователя с именем user1 секрет - это главная диагональ таблички. Обратитите внимание, что тут два набора координат. Дело в том, что в процессе аутентификации рисуется 2 таблички :), для пущей важности. Так вот, второй набор - это секрет для второй таблички, в данном случае он совпадает с секретом для первой. У второго пользователя секретами являются верхняя и нижняя сторона квадрата для первой и второй табличек, соответственно. Разумеется, на практике надобно придумывать более кучерявые, более, так сказать, загогулистые секреты :)

Некоторые замечания

С SSH эта штукенция не работает в принципе :( Непонятно, как заставить sshd отправлять "картинки" в сторону клиента. Про подобные траблы смотри, в частности, тут и тут...
Секреты хранятся в открытом виде, так что chmod 600 /etc/ssra не забудьте. Возможно, когда-нить сделаю шифрование
Процесс ввода собственно секрета, разумеется, никак от подглядывания не защищен
Секрет должен быть достаточно длинный, по 6-7 координат в каждом квадратике
На всяк случай - это только для Ъ-консоли/терминала, а не для всяких там GDMов/KDMов и иже с ними
Одно приятное свойство - при "атаке грубой силой" опробованную комбинацию нельзя отбрасывать, так как она может оказаться верной в следующие разы, в отличие от перебора обычных паролей. Грубо говоря, вероятность угадать правильную комбинацию есть величина постоянная, а при подборе обычного пароля она с каждым опробованным вариантом неуклонно увеличивается
Что же касается вычисления секрета, то для этого нужно накопить некую статистику, причем тем большую, чем длиннее секрет и чем меньшее количество разных символов используется в табличке (если все символы в таблице разные, то секрет, очевидно, вычисляется с одного надежного подсматривания), поэтому тут мы использовали только 2 символа, "1" и "2"

Ну вот вроде и всё. Happy Shoulder Surfing! :)

Литература

Вот тут можно найти анализ возможностей взлома такой схемы аутентификации. Имеются ввиду, есессна, не возможные баги-уязвимости в этой данной поделке, а всякие там вероятности угадать секрет и пр. при такой схеме.

Дата последней модификации: 2014-04-10

/Разное/Софтинки/PAM-SSRA

PAM module for Shoulder Surfing Resistant Authentication (Модуль PAM для обеспечения защитыот подсматривания при вводе пароля)