Comments | infowatch: Ментальный троян

infowatch

Ментальный троян

Dec 11, 2013 16:45

Не очень давно, в 945 году произошёл один известный хак системы безопасности при помощи социнженерии. При осаде города Искоростеня киевская княгиня Ольга согласилась прекратить боевые действия, приняв символическую дань от города - по одному голубю и одному воробью от каждого двора. Но после передачи птиц, честно наловленных жителями, их выпустили ( Read more... )

политика безопасности, пароли, оценка рисков

Comments 19

(The comment has been removed)

anonymous December 11 2013, 10:22:02 UTC

Вот и власти тоже хотят искоренить наличные...

e1am0 December 11 2013, 11:18:37 UTC

внутренний злоумышленник не подглядит в блокнотик?
тогда надо разрабатывать всякие правила обращение с сей вещицей, потому как среднестатистический работник не хочет въезжать в эти ваши ибшные придумки. ему бы чего попроще.

ЗЫ. вариант пароль-зарплата забавный, но я бы с интересом посмотрел на людей, которые действительно внедрили сей супер прогрессивный метод

hroft_clone3 December 11 2013, 11:18:44 UTC

Не лучше ли в корпоративных системах заменить пароли на сканирование пальчиков?
Да, дороже, но несколько эффективнее защита.

Правда, длину ключа, который генерит сканер надо выбирать достаточно большой, чтобы предотвратить вероятность подбора в реальное время, превышающее время жизни информации.

sergey_cheban December 11 2013, 11:35:24 UTC

Сканер отпечатков пальцев, увы, не умеет генерировать из отпечатка пароль. Т.е. примерно два бита получить можно за счёт типа узора (это, между прочим, 40 битов, если сканировать все пальцы на руках и ногах), а больше - никак, дальше можно только сравнивать отпечаток с образцом и получать вердикт "похоже" или "не похоже".

hroft_clone3 December 11 2013, 11:46:41 UTC

А что мешает хранить на серверах хэш скана отпечатка, а с системы передавать каждый раз весь скан, а на серваке сверять с хэшем?
Получится пароль, вполне надежный.

sergey_cheban December 11 2013, 13:30:43 UTC

Проблема в том, что отпечатки одного и того же пальца - разные, сильно разные.
1. Кожа на пальце - эластичная. В зависимости от того, как палец приложен, какие-то части узора могут быть растянуты или сжаты. Идея "повернуть изображение на N градусов и попробовать совместить" - не работает.
2. Сам узор - лишь приблизительно соответствует папиллярным линиям. При внимательном рассмотрении всё оказывается немного иначе, где-то "то ли обрыв линии, то ли соединение двух линий", где-то ещё какие-то проблемы.
3. Микроповреждения. Со временем узор восстанавливается, но здесь и сейчас он немного отличается от образца.

Примерно так же отличаются фотографии лица человека, сделанные в разное время с разных ракурсов. Если взять хеши sha256 от двух отпечатков, то они точно будут разными, даже если два отпечатка сделаны одним и тем же пальцем.

Помимо этого, с пальцами есть ещё куча проблем:
1. Инвалиды, у которых просто нет пальцев.
2. Люди, у которых нет или почти нет папиллярного узора.
3. Возможность подделки отпечатка.

Thread 13

shaplov December 11 2013, 13:37:44 UTC

На мой взгляд, лучшее решение, которое, увы, не взлетело, это был OpenID.
Куча мелких сайтов совершенно не нуждаются в моих логинах/паролях. Им будет вполне достаточно "Я, контроллирующий такой-то url"
И вот тут действительно будет достаточно помнить счетное количество паролей.
Жаль что так не получилось... :-(

ext_122116 December 11 2013, 13:56:15 UTC

Оно не просто не взлетело, а превратилось во всякие твиттерно-фейсбучные авторизации - которые совершенно отвратительны.

Ну а на самом деле - куча сайтов не нуждается и в какой-либо авторизации пользователей. Скажем, интернет-магазин без пользовательских аккаунтов вполне может существовать.

wizzard0 December 12 2013, 12:51:09 UTC

Причем openid 1.0, в 2.0 совершенно извратили всю идею и он стал неюзабелен :(

Книжечки для хранения паролей ext_1455250 December 16 2013, 10:50:06 UTC

Мне кажется, исходя из собственного опыта, что Вы недооцениваете размер убытков при утрате пароля. Вероятно, Ваша оценка справедлива, когда речь идет о пользовательских паролях. Но есть еще пароли серверные (например, пароль от централизованной установки антивируса Касперского или еще чего-нибудь), сетевые (настройка VPN между филиалами фирмы, доступ к роутерам и т.п.). Эти пароли обычно вбиваются один раз, а потом система работает ("Работает - не трожь ни в коем случае" ((с) из Сети)). А потом команда айтишников увольняется по собственному желанию (своему или начальства), это происходит не один раз, при передаче дел про такие пароли забывают, забывают и про то, кто и когда их устанавливал. А потом в один прекрасный момент какой-то элемент системы рушится...