Regex لمزج لوحة المفاتيح

Question

عند التسجيل للحصول على حسابات جديدة، غالبًا ما تطلب تطبيقات الويب الإجابة على "سؤال الأمان"، على سبيل المثال.اسم الكلب، الخ.

أود الاطلاع على قاعدة بياناتنا والبحث عن الحالات التي قام فيها المستخدمون بدمج لوحة المفاتيح بدلاً من تقديم إجابة مشروعة - وهذا مؤشر مرتفع على وجود حساب مسيء/احتيالي.

"إسم الأم الأوسط؟" Lakdsjflkaj

هل هناك أي اقتراحات حول كيفية القيام بذلك؟

ملحوظة:أنا لا أستخدم التعبيرات العادية فقط في "إجابات أسئلة الأمان" هذه

يمكن أن تكون "الإجابات" كما يلي:

1. تم التحديد من قاعدة بيانات باستخدام عدد قليل من regexes الأساسية لـ SQL

2. تم تحليلها عدة مرات حسب الضرورة باستخدام python regexes

3. مقارنة / تقليم / سجل حسب الحاجة

هذا سؤال تقني وليس فلسفي ;-)

شكرًا!

Answer 1

ربما تكون أفضل حالا حول تحليل توزيع N-Gram، على غرار الكشف عن اللغة.

هذا الرمز هو مثال على الكشف عن اللغة باستخدام Trigrams. تخميني هو تحطيم لوحة المفاتيح فريدة من نوعها ولا تظهر باللغة الطبيعية.

Answer 2

لن أفعل هذا - في رأيي هذه الأسئلة تضعف الأمن، لذا كمستخدم أحاول دائما تقديم كلمة مرور شبه كلمة مرور أخرى كإجابة - بالنسبة لك تود المهروسة. حسنا، إنه مهروس، لكن هذا هو بالضبط ما أريد القيام به.

بالمناسبة. لست متأكدا من حقيقة أنه يمكنك الاستعلام عن الإجابات. نظرا لأنهم يتغلبون على حماية كلمة المرور الخاصة بك، فيجب أن يتم التعامل معهم مثل كلمات المرور = تخزينها كأشجار!

يحرر:
عندما أقرأ هذه المقالة تذكرت على الفور هذه الأسئلة ؛-)

Answer 3

النهج الكامل للأسئلة الأمنية معيبة تماما.

لقد وجدت دائما الأشخاص الذين يضعون إجابات الأمن أضعف من كلمات المرور التي يستخدمونها.
أسئلة الأمان هي مجرد رابط آخر في سلسلة أمنية - الرابط الأضعف!

IMO، وسيلة أفضل للذهاب سيكون اسمح للمستخدم بطلب كلمة مرور جديدة تم إرسالها إلى معرف البريد الإلكتروني المسجل. وبعد هذا لديه اثنين من المزايا.

1. يجب على محاولة القوة الغاشمة تحديد موقع وخدمة البريد الإلكتروني أولا (ولن تساعدهم أبدا - احتفظ بمعرف البريد الإلكتروني المحمي للغاية)
   • سيحصل المستخدم الخاص بخدم الخدمة دائما على إشارة عندما يحاول شخص ما قوة الغاشمة (يحصلون على بريد يقول إنهم حاولوا تجديد كلمة المرور الخاصة بهم)

إذا كان يجب أن يكون لديك أسئلة سرية، فدعها تؤدي إلى إعادة إنشاء (لا ترسل كلمة مرور المستخدم، وتجديد إيفاد كلمة مرور مؤقتة، ويفضل أن تكون قسرا لمرة واحدة) إلى معرف البريد الإلكتروني الذي سجلوه مع - وعدم إظهار ذلك على الاطلاق.

خدعة أخرى هي جعل السؤال السر نفسه معرف البريد الإلكتروني المسجل.
إذا وضعوها بشكل صحيح، فأرسل مجدد كلمة المرور المؤقتة لمعرف البريد الإلكتروني هذا.

Answer 4

لا توجد طريقة للقيام بذلك مع Regex. في الواقع، لا أستطيع التفكير في طريقة معقولة للقيام بذلك على الإطلاق - أين سترسم الخط بين المشبوهة وغير المنصوص عليها؟ أنا، لمرة واحدة، غالبا ما أجب عن أسئلة الأمان مع إجابة مبهجة. بعد كل شيء، اسم والدتي قبل الزواج ليس أصعب شيء لمعرفة ذلك.

Answer 5

إذا تمكنت من العثور على قائمة من احتمالات زوج الحروف باللغة الإنجليزية، فيمكنك إنشاء احتمال تقريبي لكلمة كلمة لا تكون كلمة إنجليزية "حقيقية"، وذلك باستخدام أزواج وأزواج الأقل ما لا تكون في القائمة. لسوء الحظ، إذا كان لديك أسماء أو غيرها من "غير الكلمات"، فلن تستطيع إجبارها على أن تكون الكلمات الإنجليزية.

Answer 6

ربما يمكنك التحقق من وفرة من الحروف الساكنة. لذلك على سبيل المثال، في مثالك lakdsjflkaj هناك 2 حروف العلة (أ) و 9 الحروف الساكنة. عادة ما يكون احتمال ضرب حرف علة عند الضغط عشوائيا مفاتيح أقل بكثير من واحد من ضرب الساكن.

Answer 7

dejunk. هي مكتبة روبي يمكنك من خلالها رسم إلهام. إنه ينفذ عدد قليل من الاقتراحات في إجابات أخرى. تعتبر المدخلات أن تكون خلط لوحة المفاتيح إذا كانت المدخلات:

• يحتوي على شخصية bigrams من غير المرجح أن تظهر في نص حقيقي، ولكنها قريبة من لوحة مفاتيح. (تتضمن المكتبة قائمة بهذا bigrams.)
• يبدأ بعلامة علامات الترقيم غير المتوقعة.
• لديه الكثير من الكلمات القصيرة جدا.
• ليس لديه حروف العلة.
• لديه شخصيات تتكرر عدد غير معقول من المرات.

Answer 8

يمكنك التحقق من وجود حرف كبير في البداية....من شأنها أن تحصل على بعض الإيجابيات الكاذبة بالتأكيد.

أعطاني جوجل سريعة هذا, ، يمكنك مقارنة كل منها بالاسم الموجود في تلك القائمة.

من الواضح أنه يعمل فقط مع سؤال الأمان الذي ذكرته.

هل رأيت هذا أيضاً:

تشريح هجوم تويتر

سأفكر مليًا في المرة القادمة التي أقوم فيها بتنفيذ سؤال أمني.

Answer 9

إذا كان سؤالك أي شيء يتعلق بالاسم البشري الحقيقي، فهذا أمر مستحيل. النظر في الأسماء الآسيوية المكتوبة بشخصيات رومانية؛ قد يربطون جيدا مهما كانت المرشح الذي توصلت إليه، ولكن لا يزال شرعيا تماما.

Answer 10

يمكنك البحث عن الأنماط التي لا معنى لها صوتيا. مثل:

"س" لا تليها "ش".

asdf.

qwer.

ZXCV.

asdlasd.

في الأساس، حاول الهريس على لوحة المفاتيح الخاصة بك، راجع ما تحصل عليه، وقم بتوصيله في المرشح الخاص بك. أيضا التوصيل في مختلف القواعد النحوية. ومع ذلك، نظرا لأن الأسماء التي تتعامل معها، ستحصل دائما على "هذا الرجل" مع الاسم الغريب الذي سيؤدي إلى إيجابي كاذب.

Answer 11

بدلا من التعبيرات العادية، لماذا لا تقارن فقط بقائمة جيدة معروفة؟ على سبيل المثال، مقارنة اسم الأم قبل الزواج مع بيانات التعداد، أو اسم حيوان أليف مع أي من قوائم اسم الحيوانات الأليفة، يمكنك العثور على الإنترنت. للحصول على نسخة أبسط بكثير من هذا، فقط قم ببحث Google عن أي شيء تم إدخاله. يجب أن يكون للأسماء المشروعة الكثير من النتائج، في حين أن مهرجان لوحة المفاتيح يجب أن يؤدي إلى عدد قليل جدا من إن وجدت.

كما هو الحال مع أي طريقة أخرى، ستظل بحاجة إلى التعامل مع الإيجابيات الخاطئة.