Dziura w LastPass naraża miliony internautów

[Krzychoo 29]

Teraz jak ukradną ci kartę to mogą Ci wyczyścić konto. Ale idziesz do banku dostajesz nową kartę.

 

W przypadku biometrii - zabiorą Ci palec - też muszą mieć kartę. Wymieniasz kartę i biometria nie działa.

 

Po nad to biometria to nie muszą być odciski - może siatka naczyń krwionośnych oka? Jak Ci oko wyjmą i tak nie zadziała. 

[thikim 117]

A niech no wycieknie (na wzór dyskusji w innym temacie) baza kilku milionów skanów

Nie musi istnieć taka baza.

 

 

Problem z biometrią jest taki, że jak „ukradną ci palec” czy cokolwiek innego, na czym dostęp jest oparty (czyli zdobędą wzorzec i technologia pozwoli na odtworzenie modelu), to jesteś przegrany już do końca życia.

A dlaczego? Na chwilę obecną dostęp biometryczny jest drugą furtką którą można w każdej chwili wyłączyć. Pierwszą jest hasło.

Nie przewiduję żeby to inaczej robiono w przyszłości, bo obecne rozwiązanie ma sens.

Jak mi ukradną jeden palec to zmieniam metodę na drugi palec

Ogólnie póki co zagrożeń nie ma. Zresztą dla ludzi żyjących w filmach: podsłuchują nas zawsze i wszędzie, zagrożenie jest zawsze

Edytowane 5 sierpnia 2016 przez thikim

[radar 103]

Widzę, że muszę tu wkroczyć

 

 

 

W przypadku biometrii - zabiorą Ci palec - też muszą mieć kartę. Wymieniasz kartę i biometria nie działa.

Ale jak już powiedział wilk, twoje bezpieczeństwo będzie się opierać tylko na karcie, a nie na karcie i haśle. Wystarczy ukraść/sklonować kartę, a "hasło" (palec) jest już stracone do końca życia.

 

 

 

Nie musi istnieć taka baza.

Co to znaczy nie musi? Sorry, ale to jakiś bezsens. Jeśli masz bank/serwis internetowy/cokolwiek, to ma on bazę swoich klientów i jeśli używa biometrii to ma też taką bazę.

 

 

 

Po nad to biometria to nie muszą być odciski - może siatka naczyń krwionośnych oka? Jak Ci oko wyjmą i tak nie zadziała.

 

 

Jak mi ukradną jeden palec to zmieniam metodę na drugi palec

Sęk w tym, że u rąk masz ich tylko 10, na raz skanują więcej niż jeden "w razie W", np jak się skaleczysz i masz plaster na palcu, a inne łatwo dostępne cechy charakterystyczne też są ograniczone, nie tylko budową twojego ciała, ale i praktycznością dostępu oraz aktualnie stosowanym sprzętem. Jeśli bankomat będzie sprawdzał odciski palców to co z tego, że masz też unikalny obraz siatkówki? Jeśli fujarkę też masz unikalną to musisz też mieć bankomat z dziurką, w którą możesz ją włożyć

Nikt też oka nie będzie wyjmował, ani obcinał palca. Problemem będzie technologiczne naśladownictwo. Obraz siatkówki już przestaje być bezpieczny (!), a odciski palców przestały już wcześniej.

 

 

 

Na chwilę obecną dostęp biometryczny jest drugą furtką którą można w każdej chwili wyłączyć. Pierwszą jest hasło. Nie przewiduję żeby to inaczej robiono w przyszłości, bo obecne rozwiązanie ma sens.

Ty nie przewidujesz, co nie znaczy, że tak nie będzie "bo przecież to najbezpieczniejsze rozwiązanie" albo "Nie przewidujemy stosowania haseł ponieważ w opinii ekspertów nie ma takiej potrzeby", etc. etc.

Poza tym jest jeszcze jeden problem. Jak masz hasło i ktoś Ci je ukradnie to możesz się bronić, "ktoś podejrzał/podsłuchał/zgadł hasło i wypłacił Pana pieniądze". W przypadku biometrii "To musiał być Pan, przecież to Pana palec. a biometria jest bezbłędna". I jak się wtedy wybronisz? Jak udowodnisz, że przestępcy osiągnęli już taki poziom technologiczny (a osiągną na pewno, to odwieczny wyścig), że są w stanie udawać twój palec?

Jak mówię, to odwieczny wyścig pomiędzy twórcami zabezpieczeń i przestępcami, z tym, że teraz twórcy poszli na skróty i wyręczają się naturą, ALE chyba zapomnieli, że też nie mają jak ulepszyć rozwiązań w nieskończoność, bo granicą jest ludzkie ciało. Niżej niż DNA raczej nie zejdą, a i to pewnie da się w końcu oszukać. I co wtedy?

[thikim 117]

Martwisz się na zapas. Pozwól czasom dojrzeć do tej wizji

 

 

Co to znaczy nie musi? Sorry, ale to jakiś bezsens. Jeśli masz bank/serwis internetowy/cokolwiek, to ma on bazę swoich klientów i jeśli używa biometrii to ma też taką bazę

Ano nie musi. Chyba że potrafisz jakąś supermocą swoją złamać:

https://pl.wikipedia.org/wiki/SHA-3

Jak nie potrafisz ani nie znasz nikogo kto potrafi to załóż że nie musi być bazy danych biometrycznych

Baza będzie dopiero jak ktoś to złamie.

Edytowane 5 sierpnia 2016 przez thikim

[Jajcenty 314]

Ano nie musi. Chyba że potrafisz jakąś supermocą swoją złamać:

Żeby policzyć skrót potrzeba by istniał obiekt, którego skrót jest liczony.  Jeśli istnieje, to można go kraść. 

Edytowane 5 sierpnia 2016 przez Jajcenty

[thikim 117]

Znasz jakieś przypadki kradzieży danych biometrycznych? Ale nie polegające na niefrasobliwości admina tylko kradzieży od użytkownika.

Inne niż s-f?

Może są. Ja chętnie się o nich dowiem.

[Jajcenty 314]

 

 

Może są. Ja chętnie się o nich dowiem.

Nie bądź leniem. Poszukaj sobie w sieci. http://www.networkworld.com/article/2293129/data-center/120606-10-ways-to-beat-fingerprint-biometrics.html

Nie muszę mieć dostępu do mózgu delikwenta by poznać jego hasła. Wystarczy dostęp do sieci i trochę nieświadomości czym grozi zignorowanie ostrzeżenia o niezgodności certyfikatu.

Skan oka, palca czy DNA musi zostać posłany po sieci, bo jeśli poślesz sam skrót, to niczym się to nie różni od "letmein".  Przez sieć rozumiem dowolną szynę danych, również skaner-CPU.

[pogo 102]

Realnych nie znam, ale tu wystarczy klasyczny mitm.

[thikim 117]

Nie bądź leniem. Poszukaj sobie w sieci. http://www.networkwo...biometrics.html

Nie pytałem o s-f po obejrzeniu paru filmów. Pytałem o realnie przeprowadzone w ten sposób ataki

Jak chcesz się bawić w s-f to podam Ci więcej:

klonujemy

kradniemy z bufora teleportacji w Star Treku

 

Skan oka, palca czy DNA musi zostać posłany po sieci, bo jeśli poślesz sam skrót, to niczym się to nie różni od "letmein". Przez sieć rozumiem dowolną szynę danych, również skaner-CPU.

Owszem, na pewnym krótkim odcinku musi. Ale nie musi zasadniczo opuścić otoczenia użytkownika. Jak ktoś ma dostęp do otoczenia użytkownika to może go i nawet zgwałcić ale co to ma do rzeczy? NIc To nie jest baza danych biometrycznych.

Realnych nie znam, ale tu wystarczy klasyczny mitm.

 

O tym czy coś jest groźne decyduje nie strach ale to czy przestępcy rzeczywiście tego chcą używać. Chcą? To proszę o przykłady że używają. A nie o strachy że mogą używać.

Edytowane 5 sierpnia 2016 przez thikim

[Jajcenty 314]

 

 

Ale nie musi zasadniczo opuścić otoczenia użytkownika.

? To co posyłasz między bankiem a użytkownikiem? 

[thikim 117]

W przypadku banku to akurat można bank odwiedzić i zrobić coś takiego na miejscu Przesłanie nastąpi w sieci wewnętrznej. Jeśli uważasz że ona jest niebezpieczna to jak możesz trzymać w tym banku pieniądze? To się wyklucza
Ostatecznie celem są pieniądze. Jak bank nie jest bezpieczny to z Twoimi odciskami nic nie trzeba robić. Można się bezpośrednio dobrać do Twoich pieniędzy.

Albo uznajemy pewien poziom zabezpieczeń w banku albo tracą sens rozważania co by było gdyby.

Generalnie trzeba patrzeć na przestępców co oni robią.  Bo oni lepiej wiedzą od specjalistów od zabezpieczeń co się opłaca a co jest teorią z artykułów.

Edytowane 5 sierpnia 2016 przez thikim

[Jajcenty 314]

W przypadku banku to akurat można bank odwiedzić i zrobić coś takiego na miejscu

Siedzę w domu, robię przelew, bank weryfikuje moją tożsamość każąc przyłożyć palec do czytnika. Proste pytanie: co z czytnika jest wysyłane do banku?

 

edit.

Tak mi przyszło do głowy. Trochę GHB w drinku i stracisz wszystko: odciski palców, skany siatkówek, DNA, portfel, a może się zdarzyć, że i cześć niewieścią.

Tak. Biometryka ma trochę wad.

Edytowane 5 sierpnia 2016 przez Jajcenty

[pogo 102]

Ataki typu MitM są powszechne, a nie są stosowane do kradnięcia danych biometrycznych tylko dlatego, że prawie nie ma systemów, które by coś takiego pobierały i przesyłały, ale uwierz mi, że pojawią się szybko gdy tylko w miarę powszechne będą skanery siatkówki w laptopach, których będzie się używać do logowania w banku

Oczywiście to tylko jeden z wielu ataków, jakie da się przeprowadzić aby uzyskać takie dane.

[radar 103]

 

 

Chcą? To proszę o przykłady że używają. A nie o strachy że mogą używać.

Ależ mi argument. Zaczynasz trollować jak Astro.

To, że nie wiemy czy używają to jedno, a czy używają to drugie. Używanie danych biometrycznych nie jest jeszcze tak popularne, więc i nie ma ciśnienia, na łamanie takowych.

http://www.networkworld.com/article/2293129/data-center/120606-10-ways-to-beat-fingerprint-biometrics.html

 

 

 

Jak ktoś ma dostęp do otoczenia użytkownika to może go i nawet zgwałcić ale co to ma do rzeczy?

To, że raz ukradzionych danych można używać potem do woli wszędzie. Teraz w każdym serwisie możesz mieć inne hasło. Ba, możesz je zmieniać kiedy chcesz (powinieneś, a czasem nawet musisz), a danych biometrycznych masz ograniczony zasób.

 

 

 

Jak bank nie jest bezpieczny to z Twoimi odciskami nic nie trzeba robić. Można się bezpośrednio dobrać do Twoich pieniędzy. Albo uznajemy pewien poziom zabezpieczeń w banku albo tracą sens rozważania co by było gdyby.

A cóż to za bzdura? Co jeśli podważamy skuteczność zabezpieczeń banku tylko i wyłącznie w zakresie biometrii? Bank może być bezpieczny (pod warunkiem, że nie stosuje biometrii), ale biometria nie.

 

 

 

Ostatecznie celem są pieniądze.

Albo władza. Co jeśli zaczniemy używać biometrii w urzędach? Po co DO, PESEL, czy paszport, skoro jest odcisk palca?

 

 

 

Siedzę w domu, robię przelew, bank weryfikuje moją tożsamość każąc przyłożyć palec do czytnika. Proste pytanie: co z czytnika jest wysyłane do banku?

To chyba nie jest argument, bo w mitm można użyć skrótu z solą. Nie mniej jednak tak czy inaczej ukraść się da, zwłaszcza odciski palców. Kiedyś "nie dało się" podrobić karty do bankomatu, a teraz dzięki paywave etc można ją zeskanować nawet zdalnie(!) i wyczyścić Ci kartę transakcjami po <50PLN. Postęp, bezmyślny postęp, a można go było przewidzieć, ale pewnie "postępowi thikimowie" mówili:

 

To proszę o przykłady że używają. A nie o strachy że mogą używać.

A może by tak zabezpieczać się przed, a nie po?

[Jajcenty 314]

To chyba nie jest argument, bo w mitm można użyć skrótu z solą

No to trzeba jeszcze ukraść sól ;P 

 

Po namyśle: nie zrozumiałem. W jaki sposób chroni nas użycie soli?

Edytowane 5 sierpnia 2016 przez Jajcenty

[radar 103]

Jeśli ktoś podstawi nam fałszywy czytnik (co jest teraz najczęstszą metodą na kradzież kart) to nic nam to nie da. Zeskanują nam wszystko i ukradzione.

Ja natomiast mówiłem o sytuacji podsłuchiwania tylko komunikacji bank-czytnik.

Łączymy się do banku, on przysyła sól, czytnik generuje skrót odcisku+sól = unikalna funkcja skrótu, czytnik przesyła wynik do banku, bank na podstawie bazy+soli sprawdza tak jak dotychczas. Sól możesz podsłuchać, skrót też, ale oryginalnego obrazu nie odtworzysz. Zakładamy tu oczywiście nieodwracalność funkcji skrótu i trudność w jej wygenerowaniu np. za pomocą tęczowych tablic.

 

EDIT: oczywiście czytnik sam może wygenerować sól, nie musi jej dostawać od banku. No i zakładam, że celem nie jest ukradzenie pieniędzy z tej jednej transakcji, a pozyskanie obrazu (biometrii).

Edytowane 5 sierpnia 2016 przez radar

[ww296 10]

Zapedziliscie sie troszkę. To co leci po sieci to zaszyfrowane informacja. Zarówno w postaci hasła jak i danych biometrycznych.

Problem w hardware ze się tak wyrażę. Jak ktoś podejrzy hasło to je wymienimy. Jak ktoś na parówce odcisnie linie papilarne to już ich nie zmienimy. To samo dotyczy skan siatkówki i może trochę trudniej ale układ naczyń krwionośnych tez da się odtworzyć hardwerowo. Dlatego hasła na razie nie zginą. Jak technika rozwinie się do tego stopnia ze taki przykładowy bankomat będzie rozpoznawać tożsamość tak jak człowiek dopiero może być łatwiej.

Problem w tym że takie dane biometryczne nie są niczym chronione u człowieka.

[radar 103]

 

 

Zapedziliscie sie troszkę. To co leci po sieci to zaszyfrowane informacja. Zarówno w postaci hasła jak i danych biometrycznych.

To zależy od zastosowanych środków zaradczych. MITM może podstawiać swoje klucze.

 

 

 

Jak technika rozwinie się do tego stopnia ze taki przykładowy bankomat będzie rozpoznawać tożsamość tak jak człowiek dopiero może być łatwiej.

Niekoniecznie, chyba nie oglądałeś Mission Imposible 2

No dobra, masz: http://www.tvn24.pl/wiadomosci-z-kraju,3/polak-napadal-na-banki-jako-murzyn,155846.html

[Jajcenty 314]

 

 

Łączymy się do banku, on przysyła sól, czytnik generuje skrót odcisku+sól = unikalna funkcja skrótu, czytnik przesyła wynik do banku, bank na podstawie bazy+soli sprawdza tak jak dotychczas.

Not impressed

To znaczy, że bank musi mieć bazę by wyliczać spodziewany skrót, a właśnie dyskutujemy problem, że instytucjom słabo idzie ukrywanie swoich baz danych.

Jak na razie jedyną zaletą biometryki jest odciążenie pamięci użytkownika.

[wilk 103]

 

 

Martwisz się na zapas. Pozwól czasom dojrzeć do tej wizji

 

 

Znasz jakieś przypadki kradzieży danych biometrycznych?

 

Mam nadzieję, że zdajesz sobie sprawę, że odcisk linii papilarnych palca jesteśmy (konkretnie to FBI) w stanie zeskanować już ze zdjęcia?

 

Poczytaj też o pani minister Ursuli von der Leyen.

[radar 103]

 

 

To znaczy, że bank musi mieć bazę by wyliczać spodziewany skrót,

Zawsze musi mieć, to tylko thikim pisał, że nie musi.

 

 

 

Poczytaj też o pani minister Ursuli von der Leyen.

Tu jest nawet dobry fragment dla thikima:

https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands

 

...But if your password gets stolen, you can change it to a new one; what happens when your fingerprint gets copied? That’s no longer an abstract fear...

 

[wilk 103]

Powstanie nowa gałąź chirurgii plastycznej. ;-)