Skocz do zawartości
Forum Kopalni Wiedzy
KopalniaWiedzy.pl

Hakerzy z CCC oszukali skaner tęczówki Samsunga Galaxy S8

Rekomendowane odpowiedzi

Hakerzy z niemieckiego Chaos Computer Club złamali jedno z zabezpieczeń biometrycznych Samsunga Galaxy S8. Urządzenie to jest pierwszym popularnym smartfonem wykorzystującym skan tęczówki oka właściciela do uwierzytelnienia dostępu.

W zamierzeniach system biometryczny miał rozpoznawać użytkownika na podstawie unikatowego wyglądu jego tęczówki. Okazało się jednak, że łatwo go obejść. Na udostępnionym materiale wideo widzimy, jak hakerzy z CCC oszukują mechanizmy zabezpieczające Samsunga za pomocą zdjęcia wykonanego w trybie nocnym. Tryb ten jest wymagany podczas ataku, gdyż skaner tęczówki wykorzystuje światło podczerwone.

Do przeprowadzenia ataku potrzebne jest nam jedynie zdjęcie oka naszego celu, które należy następnie wydrukować na drukarce laserowej. Później nakładamy wydruk na soczewkę kontaktową, która symuluje nam kształt oka. Wydruk i soczewka to wszystko, czego potrzebujemy, by obejść biometryczne zabezpieczenie Samsunga. Na ironię losu zakrawa, że najlepsze wyniki osiągnęliśmy wykorzystując drukarki laserowe Samsunga – poinformowali hakerzy na swojej witrynie.

Członkowie Chaos Computer Club odradzają stosowanie rozwiązań biometrycznych do zabezpieczania istotnych informacji. Wciąż najlepszym dla nich zabepieczeniem jest hasło czy PIN.

 


« powrót do artykułu

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Napisano (edytowane)

Żadne pojedyncze zabezpieczenie biometryczne nie zda egzaminu. Dopiero powiązanie ze sobą wielu różnych może przynieść efekt który i tak będzie gorszy od hasła które można w każdej chwili zmienić.

Wynika to z niedoskonałości skanera jakim jest np smartfon.

Niedawno producenci to zrozumieli i domyślnie urządzenia wymagają np przy uruchomieniu potwierdzenia poprzez zabezpieczenie które można zmienić. Bo sedno sprawy nie jest w powtarzalności a w niejawności.

Edytowane przez ww296

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Najlepszym zabezpieczeniem jest PIN, a konkretnie PIN 0001. Jest prosty do zapamiętania, szybko się go wpisuje i żadne normalny atakujący nie zakłada, że taki ustawiliśmy.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Napisano (edytowane)

Hmm. Każdemu znajomemu i nieznajomemu to mówisz (piszesz)?

Słabość biometryki polega na tym że cechy biometryczne są mocno niestabilne więc trzeba dawać duży margines błędu żeby użytkownik mógł się zalogować więcej niż raz :)

A jak jest spory margines błędu to byle co może udać wzorzec.

Nie wiem czy próbowano ale mam silne podejrzenie że niektóre algorytmy rozpoznawania twarzy oszukałby nawet szympans :) i to nieświadomie.

Potencjał cech biometrycznych jest znaczny ale to tylko w naukowym ujęciu sprawy. Jak przechodzimy do praktyki to musimy odrzucić większość istotnych rzeczy bo inaczej osoba będąca źródłem wzorca by się logowała raz na 10 razy - a to jest niedopuszczalne.

Ostatnio jak już jesteśmy przy bezpieczeństwie kretyni nareszcie zrozumieli że:

- zmiana haseł jest zła

- skomplikowane hasła są złe

I najnowsze zalecenia od tego odchodzą :)

Edytowane przez thikim

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Napisano (edytowane)

Słabość biometryki polega nie na tym że cech są niestabilne ale na tym że są jawne i niezmienne. Czyli generalnie ogólnie dostępne.

Pewnie gdyby skaner był np na poziomie rezonansu magnetycznego to trudno byłoby to podrobić a skuteczność logowania byłaby 100 na 100 jednak smartfonom i laptopom daleko do rezonansu magnetycznego...

Edytowane przez ww296
  • Pozytyw (+1) 2

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

 

 

Słabość biometryki polega nie na tym że cech są niestabilne ale na tym że są jawne i niezmienne. Czyli generalnie ogólnie dostępne.
 

Nie byłoby w tym nic złego, jak długo biometryka jest unikatowa - linie papilarne, tęczówki, DNA, itp. Niestety tak naprawdę, na wejście do systemów identyfikacji podawana jest garść bitów. Nawet jeśli czytnik jest wystarczająco wyrafinowany by odróżnić prawdziwy palec od gumowego to i tak na końcu jest trochę prądu.  

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Hmm. Każdemu znajomemu i nieznajomemu to mówisz (piszesz)?

Słabość biometryki polega na tym że cechy biometryczne są mocno niestabilne więc trzeba dawać duży margines błędu żeby użytkownik mógł się zalogować więcej niż raz :)

A jak jest spory margines błędu to byle co może udać wzorzec.

Nie wiem czy próbowano ale mam silne podejrzenie że niektóre algorytmy rozpoznawania twarzy oszukałby nawet szympans :) i to nieświadomie.

Potencjał cech biometrycznych jest znaczny ale to tylko w naukowym ujęciu sprawy. Jak przechodzimy do praktyki to musimy odrzucić większość istotnych rzeczy bo inaczej osoba będąca źródłem wzorca by się logowała raz na 10 razy - a to jest niedopuszczalne.

Ostatnio jak już jesteśmy przy bezpieczeństwie kretyni nareszcie zrozumieli że:

- zmiana haseł jest zła

- skomplikowane hasła są złe

I najnowsze zalecenia od tego odchodzą :)

Dlaczego skomplikowane hasła są złe? (Abstrahuję od tego, że ocena tego czy hasło jest skomplikowane, czy nie może być bardzo subiektywne)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Napisano (edytowane)
Dlaczego skomplikowane hasła są złe?

Bo ludzie zaczynaja wtedy kombinować jak to obejść i:

1. zapisują hasła na kartkach (źle)

2. zapisują hasła w pliku na kompie (gorzej)

3. zapisują hasła w menedżerach haseł (jeszcze gorzej)

4. ustalają łatwiejsze reguły Ahj38^JJN_01, a za miesiąc Ahj38^JJN_02 albo "*_luty" itd.

 

Najlepiej byłoby uczyć technik mnemotechnicznych, typu pierwsze litery ulubionego wierszyka.

Np. ja mam "Król Karol kupił królowej Karolinie korale koloru koralowego" (czyli mam małe i duże litery, cyfry i znaki specjalne  ;D)

Edytowane przez radar
  • Pozytyw (+1) 1

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

 

 

3. zapisują hasła w menedżerach haseł (jeszcze gorzej)

 

Możesz rozwinąć tezę?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Napisano (edytowane)

Menedżery haseł to dodatkowe drzwi ze swoimi różnymi zabezpieczeniami. Ale to już są drzwi do skarbca :)

Mimo to:

1. zapisują hasła na kartkach (źle)

2. zapisują hasła w pliku na kompie (gorzej)

3. zapisują hasła w menedżerach haseł (jeszcze gorzej)

Kolejność odwrotna :)

Najgorsza jest kartka - łatwo znaleźć.

Bezpieczeństwo oczywiście diametralnie się zmienia w zależności od tego czy atakuje ktoś z wewnątrz czy z zewnątrz.

 

Pewnie gdyby skaner był np na poziomie rezonansu magnetycznego to trudno byłoby to podrobić a skuteczność logowania byłaby 100 na 100

A niby dlaczego taka skuteczność?

Po pierwsze są powolne.

Po drugie im dokładniej je badamy tym coraz więcej różnic dla danej osoby. Więc badamy mało dokładnie (zyskujemy też czas) ale przez to łapiemy też podobieństwa od innych osób.

Edytowane przez thikim

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Napisano (edytowane)
Możesz rozwinąć tezę?

Menedżery haseł jako tako są głównym celem. Ich pliki bazy czy klucze są wyszukiwane pewnie w pierwszej kolejności na dyskach zaraz po włamaniu, a ponieważ prędzej czy później każdy będzie miał jakąś słabość (choćby słabe hasło do samego menedżera) to i ryzyko większe niż umieszczenie hasła w jakimś pliku txt pośród milionów innych na dysku (o ile nie nazwiemy go "hasła" :).)

 

 

Kolejność odwrotna :) Najgorsza jest kartka - łatwo znaleźć.

Nie zgadzam się. Odczytanie z kartki wymaga fizycznego dostępu do miejsca pracy. Wtedy na prawdę ciężko na dłuższą metę przeciwdziałać. Na sprzętowy keyloger w klawiaturze niewiele poradzisz.

Największym zagrożeniem jest włam z zewnątrz, na podstawie jakiegoś zero-daya, albo głupoty usera, a wtedy j/w, w pierwszej kolejności szukamy menedżerów haseł. Abstrahując nawet od OS-u.

Ile razy ktoś odczytał hasło z kartki i się włamał (tak statystycznie), a ile komputerów zombie jest średnio w botnetach na świecie? Skala...

Edytowane przez radar

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Włamania ze środka wcale nie są rzadkie.

 

 

Na sprzętowy keyloger w klawiaturze niewiele poradzisz.
Z tego co wiem, to takie loggery wpina się do gniazda USB miedzy klawiaturę a komputer. A są klawiatury z szyfrowaną komunikacją.

 

Manager haseł możesz mieć na pendrivie, który z kolei nosisz przy sobie. Jeszcze lepiej jak ten manager ma tylko hasło do managera na dysku... Ale to już podchodzi pod paranoję :D

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Włamania ze środka wcale nie są rzadkie.

 

 

Z tego co wiem, to takie loggery wpina się do gniazda USB miedzy klawiaturę a komputer. A są klawiatury z szyfrowaną komunikacją.

 

Manager haseł możesz mieć na pendrivie, który z kolei nosisz przy sobie. Jeszcze lepiej jak ten manager ma tylko hasło do managera na dysku... Ale to już podchodzi pod paranoję :D

 

loggery częściej są programowe. Nie potrzeba fizycznego dostępu do komputera, wystarczy infekcja wirusem.

 

Bo ludzie zaczynaja wtedy kombinować jak to obejść i:

1. zapisują hasła na kartkach (źle)

2. zapisują hasła w pliku na kompie (gorzej)

3. zapisują hasła w menedżerach haseł (jeszcze gorzej)

4. ustalają łatwiejsze reguły Ahj38^JJN_01, a za miesiąc Ahj38^JJN_02 albo "*_luty" itd.

 

Najlepiej byłoby uczyć technik mnemotechnicznych, typu pierwsze litery ulubionego wierszyka.

Np. ja mam "Król Karol kupił królowej Karolinie korale koloru koralowego" (czyli mam małe i duże litery, cyfry i znaki specjalne  ;D)

Z tego co napisałeś, nie wynika, że skomplikowane hasła są złe. Wynika z tego, że narzucanie ludziom polityki haseł może być złe. Co do periodyzacji haseł, to zgadzam się z tobą, ale jeżeli trudne hasło wzbogacimy podanymi przez ciebie prefiksami, to pomimo ich przewidywalności, nie osłabi to jego siły. Co do reszty niekoniecznie. Gdybym napisał jakieś moje hasło, uznałbyś je za bardzo skomplikowane. Natomiast dla mnie jest ono banalnie proste. Po prostu mam w głowie prosty algorytm, który przerabia określone litery (znaki) na inne znaki lub grupy znaków. Dzięki temu nie muszę go nigdzie zapisywać.

Trudność hasła bierze się z trzech elementów:

- obszerny słownik, w którym to hasło występuje (zawsze występuje w jakimś słowniku) - zabezpieczenie przed brutal force.

- trudność w zapamiętaniu dla osoby postronnej

- bezpieczny protokół jego wprowadzania

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

loggery częściej są programowe.

Owszem, dlatego napisałem:

 

takie loggery

 odnosząc się do słów poprzednika: 

 

Na sprzętowy keyloger w klawiaturze niewiele poradzisz.

Nie zapominaj o kontekście wypowiedzi!

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Napisano (edytowane)
Manager haseł możesz mieć na pendrivie, który z kolei nosisz przy sobie

Bo to wygodnie jest non stop podłączać i odłączać pendriva :D np. idąc zrobić siku.

 

 

Największym zagrożeniem jest włam z zewnątrz, na podstawie jakiegoś zero-daya, albo głupoty usera, a wtedy j/w, w pierwszej kolejności szukamy menedżerów haseł. Abstrahując nawet od OS-u.

Nie wiadomo co jest największym zagrożeniem.

Największe przecieki pochodzą jednak z ataków wewnętrznych. Choćby te dane co Wikileaks miała od tego szeregowego Manninga.

Największym zagrożeniem jest to co powoduje duże szkodliwe skutki a to głównie są ataki wewnętrzne.

Z zewnątrz gro ataków to: DDoS - skutki są raczej małe. Duże by były tylko dla serwisów w rodzaju allegro ale jakoś rzadko ktoś akurat je tak atakuje. Dlaczego? :D

Ile procentowo ataków to keyloggery? Otóż żeby zainstalować keyloggera to musi się powieść jakiś atak wcześniej :)

 

Gdybym napisał jakieś moje hasło, uznałbyś je za bardzo skomplikowane. Natomiast dla mnie jest ono banalnie proste. Po prostu mam w głowie prosty algorytm, który przerabia określone litery (znaki) na inne znaki lub grupy znaków. Dzięki temu nie muszę go nigdzie zapisywać.

Możesz być w szoku ale o bezpieczeństwie systemów komputerowych nie decyduje TWOJE hasło ale hasła setek i tysięcy innych osób :)(ok, przesadziłem, nie tysięcy ale milionów)

Edytowane przez thikim

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

 

 

Menedżery haseł to dodatkowe drzwi ze swoimi różnymi zabezpieczeniami.

 

Wystarczy używać mądrze. Poza tym do czego innego manager haseł? Przecież nie używa się ich do zapisywania haseł typu „KochamMamę@123”, tylko kilkudziesięcioznakowych losowych haseł. Oczywiście nie mówię tutaj o managerach online, to jest faktycznie bardzo głupie.

 

 

 

to i ryzyko większe niż umieszczenie hasła w jakimś pliku txt pośród milionów innych na dysku

 

Security-through-obscurity tudzież „głębokie ukrycie”, to nie rozwiązanie. Po pierwsze wystarczy sprawdzać daty dostępu do plików i już widzimy co pan X najczęściej otwiera, a zaraz potem loguje się. Poza tym pliki txt nie są szyfrowane w pamięci.

 

 

 

Na sprzętowy keyloger w klawiaturze niewiele poradzisz.

 

Jak robisz ctrl+c/ctrl+v to na niewiele się zda, niezależnie czy kopiujesz z pliku tekstowego czy z managera. Tutaj jeszcze potrzebny robak, który monitoruje schowek.

 

 

 

Bo to wygodnie jest non stop podłączać i odłączać pendriva :D np. idąc zrobić siku.

 

Jak jesteś w domu - nie ma sensu, chyba że spodziewasz się np. jakiegoś nalotu służb w tym czasie. Ale wygoda rzadko idzie w parze z bezpieczeństwem, zwykle idzie jego kosztem.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Napisano (edytowane)

No właśnie kontekst... o czym rozmawiamy?

 

 

Włamania ze środka wcale nie są rzadkie.

Włamania ze środka rzadkie, ale głośne/medialne, więc wydaje się, że są częściej... (szczegóły poniżej)

 

 

A są klawiatury z szyfrowaną komunikacją

Są, ale znowu, dostęp fizyczny oznacza, że dla chcącego... można i podmienić klawiaturę na jakąś "felerną", ale znowu, o czym mówimy... ?

 

 

Po prostu mam w głowie prosty algorytm, który przerabia określone litery (znaki) na inne znaki lub grupy znaków. Dzięki temu nie muszę go nigdzie zapisywać. Trudność hasła bierze się z trzech elementów: - obszerny słownik, w którym to hasło występuje (zawsze występuje w jakimś słowniku) - zabezpieczenie przed brutal force. - trudność w zapamiętaniu dla osoby postronnej - bezpieczny protokół jego wprowadzania

Obawiam się, że jesteś w dużym błędzie. Po pierwsze hasło  nie może znajdować się w żadnym słowniku, nawet suahili (taki przykład, bo wydaje się egzotyczny). Po drugie, jeśli ktoś zobaczy twoje hasło (2 hasła) może się okazać, że twój algorytm wcale nie jest taki "skomplikowany" dla innych jak sądzisz. Nie mniej jednak pewnie w zupełności wystarczający do domowych zastosowań!

 

 

Największe przecieki pochodzą jednak z ataków wewnętrznych. Choćby te dane co Wikileaks miała od tego szeregowego Manninga.

Jeszcze raz, chyba nie rozmawiamy o atakach na sieci wojskowe, z reguły całkowicie, fizycznie odciętych od www. Jak z zewnątrz miałby ktoś to zaatakować? To nie jest żaden dowód na poparcie tej tezy. W sieciach podwyższonego ryzyka (wojsko, banki, rządy etc) nie mówimy o super duper hasłach, ale o 2 albo i 3 stopniowym uwierzytelnianiu, coś co wiesz i coś co masz, stałym monitorowaniu sieci i działań użytkowników etc. etc. Szkoda gadać. Ja od początku nawiązuje do tego Samsunga i haseł/zabezpieczeń "dla Kowalskiego"

 

 

Security-through-obscurity

Nie napisałem, że to jest dobre tylko, że mniej niebezpieczne (dla domowych zastosowań) niż menedżer haseł (zwłaszcza online).

Jeszcze raz, ile milionów kompów to zombie? Ile milionów z nich zostało zaatakowanych ręcznie żeby...

 

Po pierwsze wystarczy sprawdzać daty dostępu do plików i już widzimy co pan X najczęściej otwiera, a zaraz potem loguje się

a ile robakiem napisanym (a raczej wygenerowanym automatycznie!) i działającym w jakiś określony, szablonowy sposób?

Na włamania służb, hakerów itd. i tak nie ma siły, tylko jakie jest prawdopodobieństwo, że będą się interesować "Kowalskim", a jakie, że "Kowalski" sam natnie się na wirusa na www/mailu/programie/etc ?

 

Edycja: tak mi się jeszcze przypomniało, że ja kiedyś stosowałem zapisywanie na kartce, ale nie wprost. Nie chce mi się już dzisiaj opisywać. Cały sens, żeby umieć "rozszyfrować" w głowie to co jest napisane na kartce...

Edytowane przez radar

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Cały sens, żeby umieć "rozszyfrować" w głowie to co jest napisane na kartce...

 

Był bodajże na Wykopie kiedyś link do takiego artykułu. Na kartce zapisuje się macierz losowych znaków, a schemat odczytywania zapamiętujemy (np. pionowo co 3). To tworzy rdzeń hasła, do którego dodawane były literki związane z serwisem.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

 

 

Możesz być w szoku ale o bezpieczeństwie systemów komputerowych nie decyduje TWOJE hasło ale hasła setek i tysięcy innych osób :)(ok, przesadziłem, nie tysięcy ale milionów)

 

Różnie mogę rozumieć Twoją wypowiedź:

 

Jeżeli chodzi Ci o bezpieczeństwo systemów komputerowych wykorzystywanych przeze mnie, to oczywiście, że decyduje o tym MOJE hasło. To przecież względnie oczywiste, że hasła innych osób mogą budować słownik pod brutal force. Jednak to kształt mojego hasła decyduje o tym, czy znajdzie się w tym słowniku, czy nie. Oczywiście pomijam jego sprzętowo-programowe podejrzenie.

 

Jeżeli chcesz powiedzieć, że moje (załóżmy) względnie bezpieczne hasło nie wpłynie na bezpieczeństwo systemów informatycznych, ponieważ słabość innych zabezpieczeń może umożliwić jego kompromitację, czy po prostu dostęp do tych systemów, to niestety masz rację i nic z tym nie mogę zrobić.


 

 

raweck, dnia 30 Maj 2017 - 12:20, napisał: Po prostu mam w głowie prosty algorytm, który przerabia określone litery (znaki) na inne znaki lub grupy znaków. Dzięki temu nie muszę go nigdzie zapisywać. Trudność hasła bierze się z trzech elementów: - obszerny słownik, w którym to hasło występuje (zawsze występuje w jakimś słowniku) - zabezpieczenie przed brutal force. - trudność w zapamiętaniu dla osoby postronnej - bezpieczny protokół jego wprowadzania Obawiam się, że jesteś w dużym błędzie. Po pierwsze hasło nie może znajdować się w żadnym słowniku, nawet suahili (taki przykład, bo wydaje się egzotyczny). Po drugie, jeśli ktoś zobaczy twoje hasło (2 hasła) może się okazać, że twój algorytm wcale nie jest taki "skomplikowany" dla innych jak sądzisz. Nie mniej jednak pewnie w zupełności wystarczający do domowych zastosowań!

 

Moje hasło znajduje się tylko w słowniku losowych ciągów znaków możliwych do wpisania na klawiaturze. Algorytm przetwarza względnie proste do zapamiętania hasło początkowe (które też nie jest w żadnym słowniku języka naturalnego) na pozornie losowy ciąg znaków. Przynajmniej tak to wygląda dla postronnego obserwatora. W wersji po przekształceniu nawet ja go nie pamiętam. Uprzedzając wątpliwości jeden znak w haśle początkowym może być przekształcony w kilka znaków w haśle docelowym. Nawet jeżeli znasz algorytm podglądając to co wpisuję wymagałoby od Ciebie niesamowitej sprawności intelektualnej, aby go w locie odwrócić i zapamiętać hasło początkowe.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

 

 

Najlepszym zabezpieczeniem jest PIN, a konkretnie PIN 0001. Jest prosty do zapamiętania, szybko się go wpisuje i żadne normalny atakujący nie zakłada, że taki ustawiliśmy.
A przy ataku brute-force może paść prawie na samym początku - wcześniej sprawdziłbym 1234, 9999 itp. a dalej albo po kolei, albo losowo.  

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Napisano (edytowane)

Thikim

Niska skuteczność wynika nie z dużej ilości danych ale z tego że danych jest stosunkowo mało i za każdym razem skaner odczytuje jeszcze mniej, czasem niewystarczająco.. Dlaczego? Bo zarówno urządzenie skanujące jak i odczytujące jest proste i tanie (taki smartfon kosztuje powiedzmy 3000 a sam skaner max kilka dolarów.

Gdyby taki smartfon był w stanie w 100 procentach zmapować np układ naczyń krwionośnych i linie papilarne to skuteczność byłaby bliska 100 procent (do identyfikacji nie potrzeba 100 procent zgodnych danych) ale skaner i procesor za kilka dolarów nie byłby w stanie ogarnąć takiej ilości danych w zadowalającym czasie. Na razie.

Jakimś częściowym rozwiązaniem byłoby np skanować (za pierwszym razem) dane biometryczne na jakimś profesjonalnym urządzeniu a już sam odczyt mógłby być prostym skanerem np w telefonie.

 

Co do haseł. Bardzo denerwuje mnie że np jakieś mało istotne serwisy wymagają haseł skomplikowanych bez sztuczek praktycznie nie do zapamiętania a powinno to być wyborem użytkownika. Naprawdę nie potrzebuję np na forum kopalni jakiegoś skomplikowanego hasła, bo nawet jeśli ktoś go złamie to jakie szkody odniosę? W praktyce takie skomplikowane hasło pogarsza moje bezpieczeństwo bo skomplikowanych haseł nie mam wiele i się powtarzają. Jakiś słabo zabezpieczony serwis może "sprzedać" moje hasło i wykorzystać je w serwisie w którym bezpieczeństwo jest potrzebne. A gdybym na każdym forum jako hasło miał powiedzmy jego nazwę to czemu by to szkodziło a naprawdę wrażliwe dane zabezpieczone konkretnym hasłem.

Edytowane przez ww296

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

 

 

Był bodajże na Wykopie kiedyś link do takiego artykułu. Na kartce zapisuje się macierz losowych znaków, a schemat odczytywania zapamiętujemy (np. pionowo co 3). To tworzy rdzeń hasła, do którego dodawane były literki związane z serwisem.

Dokładnie. Kiedyś z tego korzystałem nawet (zanim stało się to modne :) ), tylko algorytm był znacznie bardziej skomplikowany i generował różne hasła do różnych serwisów.

 

 

 

brutal force

Brute force.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Napisano (edytowane)
Jeżeli chodzi Ci o bezpieczeństwo systemów komputerowych wykorzystywanych przeze mnie, to oczywiście, że decyduje o tym MOJE hasło.

Naprawdę? A ja tam raczej pewny jestem że:

używasz systemu operacyjnego napisanego przez kogoś innego i z błędami jakie on popełnił - to ma wpływ na bezpieczeństwo

używasz przeglądarki internetowej z jej błędami

itd.

I o bezpieczeństwie tutaj nie decyduje Twoje hasło. A czy innych? Przeważnie jakieś tam furtki w komercyjnych rozwiązaniach są.

Dalej używasz jakiejś tam poczty i serwisów, np. Kopalni wiedzy. Bezpieczeństwo tego serwisu zależy bardziej od haseł administratora niźli Twojego. Itd. :)

Od Ciebie w necie naprawdę mało zależy :)

Każda strona na jaką wchodzisz ma odpowiadający jej system komputerowy który jest zabezpieczony w jakiś tam sposób. Twoje hasło użytkownika jest tu mało znaczące.

Ale w rzeczy samej nie o tym pisałem w poprzednim poście.

 

 

Niska skuteczność wynika nie z dużej ilości danych ale z tego że danych jest stosunkowo mało i za każdym razem skaner odczytuje jeszcze mniej, czasem niewystarczająco..

Wybacz usiłuję zrozumieć to że skaner za każdym razem odczytuje jeszcze mniej :) I nie mogę :D Tzn. na końcu nic nie odczytuje? :D

Edytowane przez thikim

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Napisano (edytowane)

Przy zapisywaniu wzorca skanujesz dokładnie, jest zapisywane więcej danych. Przy odczycie czyli przeciętnym logowaniu jest ponowne skanowanie znacznie mniej danych.

 

Co do zabezpieczeń. Jasne jest, że zabezpieczenie serwisu jako takiego jest ważniejsze ale nijako jest poza zasięgiem przeciętnego użytkownika poza tym że mamy wpływ na wybór tego serwisu. Np gdyby banki miały kłopot z zabezpieczeniem systemu to szybko by po pierwsze padły, po drugie ucierpiały by ich wizerunek na tyle moco, że straciłyby klientów.

Edytowane przez ww296

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

 

 

raweck, dnia 31 Maj 2017 - 11:22, napisał: Jeżeli chodzi Ci o bezpieczeństwo systemów komputerowych wykorzystywanych przeze mnie, to oczywiście, że decyduje o tym MOJE hasło. Naprawdę? A ja tam raczej pewny jestem że: używasz systemu operacyjnego napisanego przez kogoś innego i z błędami jakie on popełnił - to ma wpływ na bezpieczeństwo używasz przeglądarki internetowej z jej błędami itd. I o bezpieczeństwie tutaj nie decyduje Twoje hasło. A czy innych? Przeważnie jakieś tam furtki w komercyjnych rozwiązaniach są. Dalej używasz jakiejś tam poczty i serwisów, np. Kopalni wiedzy. Bezpieczeństwo tego serwisu zależy bardziej od haseł administratora niźli Twojego. Itd. :) Od Ciebie w necie naprawdę mało zależy :) Każda strona na jaką wchodzisz ma odpowiadający jej system komputerowy który jest zabezpieczony w jakiś tam sposób. Twoje hasło użytkownika jest tu mało znaczące.

 

Elementy o których napisałeś są wspólne dla wszystkich użytkowników i oczywiście masz rację, że wpływają zasadniczo na bezpieczeństwo całego systemu. Zakładając jednak, że nie loguję się do jakiegoś systemu "pozbijanego z drewnianych klepek", czy "administrowanego" przez informatyka po Wyższej Szkole Konserwacji Powierzchni Płaskich, moje hasło odgrywa istotną rolę w zabezpieczeniu tego konta. To, że nie mamy wpływu na pewne elementy, nie oznacza, że mam z wszystkiego zrezygnować.

To, że może potrącić mnie ciężarówka, nie oznacza, że wsiadając na rower nie mam zakładać kasku.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...