问PassFace认证系统安全吗？

EN

这完全取决于你可以选择的面孔的数量。让我们将其与另一种常用的双因素机制进行比较:一次性密码。

一个一次性密码通常包含6个数字.因此，有10^6的可能性: 1000000。黑客猜测您的OTP的几率为1/1000000。一般来说，与好密码(小写、大写、符号、数字)相比，这是一个相当高的概率。密码可以是98^10中的一个(因为有98个可能的字符，如果密码的长度为10)。98^10等于81707280688754689024。1/81707280688754689024比1/1000000的几率低得多。然而，OTP是安全的，因为它们只有效一次，有限的时间，你可以阻止蛮力等等，这不是你问题的重点。

所以好吧，考虑到我们应该把苹果和苹果进行比较，我们可以把过道系统和OTP系统进行比较。我在密码网站上做了一个演示，为了登录，我必须从9个面孔中选择一个，并重复三次。所以可能性的数量是9^3 = 729。因此，黑客从第一次开始就有1/729的机会找到我的组合，这是一个比1/1000000大得多的机会，甚至比1/81707280688754689024高出无限的机会。

编辑:一些消息来源指出，passface数据库包含9个以上的faces，每次尝试时它们可能会动态更改。因此，根据数据库中有多少个面，上述计算并不完全正确。但是，我想指出的是，如果每次尝试都会发生面部变化，那么系统就会变得更加不安全。黑客只需重试几次，看看哪些面孔变化，哪些面孔保持不变(当然，您选择的面孔必须保留在面部集合中)。进一步分析这一点，攻击者就可以轻松地减少搜索空间。编辑结束。

因此，与其他已知系统(如密码、OTP、密钥文件等)相比，这种可能性是巨大的。所以不，如果演示是一个真实的实现的通行证系统，我不会认为它是安全的。当然，其他一些措施也很重要：

• 经过一定的尝试后会有锁定吗？
• 它是被用作第二个因素吗？
• 组合多久改变一次？(也就是说，你需要多长时间学习一次新面孔)

作为尾注:我看到了密码系统作为密码的一种“替代”，并且“覆盖”密码只能在几天后才能使用。如果是这样的话，我会说它是完全不安全的，因为通行系统是唯一的因素。

顺便说一句，我并没有详细说明帕斯法斯是如何储存这些面孔的。可能只是在数据库中，但无论如何，我的观点是，即使系统本身是完全安全的，其背后的数学就是不安全的。

第一个问题的答案。密码由系统分配。这是因为用户倾向于选择更有吸引力的面孔或他们所在地区的人的面孔，这可以被在线猜测者利用。