Vlákno názorů k článku Postřehy z bezpečnosti: PayPal chce, aby člověk byl heslem od Hellraiser - Bohuzel mi nejak unika kde je to zlepseni...
-
Hellraiser (neregistrovaný)
Bohuzel mi nejak unika kde je to zlepseni bezpecnosti. Malware si vytahne heslo z RFID ctecky stejne jako z klavesnice. Kdyz neberu v potaz ze mi misto kradeze penezenky nejakej dobrak ufikne pracku, tak je RFID porad citelne na dalku bez vedomi uzivatele.To uz si muzu ten pin na ruku zrovna nechat vytetovat a mozna ze min lidi napadne, ze je to neco dulezityho. Dalsi vec je ze to neresi problem jednoho hesla pro vice sluzeb, pokud teda nebudu mit dlan vycpanou triceti RFID cipy. Mohlo by to sice ve rvacce fungovat jako boxer, ale stejne nevim jak si zvolit ten ktery chci pouzit. Dalsi vec je zmena hesla. Zapamatovane heslo muzu zmenit trikrat za pet minut (jo pisu jako blesk, obcas uhodim), ale na zmenu RFID potrebuju minimalne zverolekare a urcite mnohem delsi cas na vymenu (Dobre, pocitam s tim ze heslo v techto cipech je napevno z vyroby. O programovatelnem RFID jsem zatim neslysel). Navic nevim co by se stalo v okoli silneho elekromagnetickeho pole jako je svarecka nebo magneticka rezonance. Neni bezpecnejsi mit heslo na hw klici v trezoru?
Sken ocni duhovky prestane byt bezpecny v momente, kdy bude rozsireny, protoze az bude na kazdem panelaku tento skener, tak nebude takovy problem si v databazi najit neci duhovku a pak ji zobrazit na mobilu a prilozit ke snimaci. A az mi nekdo nahraje oko na torrent jak si ho zmenim?
Otisk prstu jde bohuzel take zkopirovat a navic sve otisky nechavame vsude. Navrch je to nevhodne pro lidi co se zivi praci treba v dilne, kde o porezany nebo ztraceny prst neni nouze.
Obavam se ze v nejblizsi dobe bude dobra pamet nejlepsim zpusobem zabezpeceni. Nadruhou stranu, zde je misto pro onen transhumanismus.
-
Ondra Satai NekolaZlatý podporovatelObavam se, ze mas chybu hned ve dvou zakladnich premisach
- klicova informace je v RFID menitelna
- muze se pouzivat trebas challenge/response, takze cteni na dalku zadna vyhra neniMyslim, ze je tady na miste opatrnost, ale tvoje kritika miri nejspis dost mimo.
-
j (neregistrovaný)
1) jde velmi snadno znicit
2) ve vice kusech se stava zcela nepouzitelny (ne, vazne nejde nalozit v krame treba vozik a projet ramem, nacte se v optimistickem pripade 70%)
3) chalenge response je ti na kulovy ... protoze prijdu se cteckou, tu mam v kapse, a vyzadam si autorizaci na dvere tvyho bytu a tvuj chip se postara o zbytek, aniz bys tusil.Kdyz ti slohnu klice, tak to sice taky tusit nemusis, ale uz je tu riziko, ze me pritom chytis, a navic, ja musim zarovej ty klice fyzicky dopravit k zamku. Odevrit dvere chipem muzu klidne z druhy strany planety a chytit me pritom nemuzes.
Co vic, ja ani nemusim jezdit na tu dovcu na sibiri za tebou, me staci, kdyz hacku hotelovy ctecky, kde si ty oteviras dvere na pokoj, a ja si zaroven vyzadam potrebnou autorizaci kamkoli jen budu chtit.
Nez se stihnes probrat, tak ti vyluxuju ucet, byt, prodam barak ...
-
Ondra Satai NekolaZlatý podporovatel
1) A?
2) A?
3) Samo o sobe je to podobne jako hesla (ktera se to snazi nahradit) malo. V necem je to lepsi (kdyz prijdes o heslo, tak se da pouzivat utocnikem porad dokola a take to nevis), v necem horsi (to heslo alespon jednou musis pouzit vedome). Kus tech nevyhod se da resit pomoci 2FA, ale samozrejme porad nejdes scenar, kdy to dopadne blbe at uz s heslem, tak i s challenge/response v chipu.Ad klice - byvavalo. Pro nektere druhy zamku uz ti staci fotka a tiskarna a ten tvuj Mission Impossible style scenar se da provadet stale. (Driv k necemu byl potreba vosk, takze stale zadna vyhra.)
Nevim, jak to souvisi s prodejem baraku (u tebe brani prodeji baraku heslo?), ale u luxovani uctu bude hodne zaviset na tom, jak se to nastavi z hlediska prava. Trebas stare spatne kreditni karty zrovna vzor bezpecnosti nejsou, ale diky pravni omacce, ve ktere plavou, to neni z hlediska beznych uzivatelu zas takova tragedie, protoze z nich pada kus zodpovednosti a pristava na bance.
Jeste jednou, at neargumentujes s necim, co nerikam: byl bych tu hodne opatrny, bude zaviset na spouste detailu kolem. Ale velka cast toho, cim tu strasil predrecnik, neni problem, resp. problem by nemusi.
-
Hellraiser (neregistrovaný)
No jo, koukam ze se tokeny nechaji i programovat.
Uznavam svou chybu.Ale pochybuju, ze se do pasivniho tokenu necha nacpat nejaky poradny sifrovani (jestli neco takovyho existuje).Takze se da predpokladat ze pri rozsireni tohoto zabezpeceni se rozsiri i nastroje na rychle desifrovani (stejne jako napr. kodovani dvd, wep sifrovani, wps, atd.).
BTW. Kdyz lidi tolik rvou kvuli zareni z mobilu, tak si urcite poridi jeste RFID ctecku, ktera ma podobny vykon (Dobre na ruznych frekvencich jsou ruzne vykony).
Abych to shrnul, myslim si ze RFID neni vhodna na dulezite veci, ale spise na kravinky typu ochrana zbozi v kramech, psi znamka a podobne. Problem teto technologie je v tom, ze nejspis nebyla navrhovana s ohledem na bezpecnost a vzhledem ke zpusobu napajeni a velikosti (myslim v pripade implantatu) asi nebude mozne ji pridat.
ČLÁNKY DO MAILU