Dabar forume
[ Administratorius ]
[ Moderatorius ]
|
|
Daugiau
|
|
|
|
|
| Rodyti ankstesnę temą :: Rodyti sekančią temą |
| Pranešimas |
Autorius |
|
|
wolas
Prisijungė: 2009 05 14
Žinutės: 523
|
|
Atgal į viršų |
 |
 Parašytas: Tr. 07 04, 2012 13:00 Rašyti temą: |
 |
|
Šaunuoliai, daugiau tokių straipsnių.
Tik deja, šie praktiniai patarimai neveikia būtent praktikoje.
Mano patarimas būtų toks: ten kur nėra dviejų faktorių autentikacijos, susikurkite jį patys. Nežinokite savo slaptažodžių! Visuomet turėkite "what you know", "what you are" ir "what you have", bent du iš šių.
Paprasčiausias būdas - pwdhash.
wolai, negaliu nesutikti. Tačiau tai visokių e-bankų problema, ne vartotojų. Žinai, kurios mano prisiloginimo sistemos kol kas niekas nenulaužė? Vietoj OK mygtuko - paspausk teisingos spalvos kvadratėlį, kuriame įrašytas žodis prasideda ta pačia raide, kaip tavo žmonos (mamos, šuniuko, et cetera) vardas. |
|
rwc
Prisijungė: 2008 10 12
Žinutės: 4945
|
|
Atgal į viršų |
|
| Parašytas: Tr. 07 04, 2012 15:24 Rašyti temą: |
|
|
| rwc rašo: |
| Tačiau tai visokių e-bankų problema, ne vartotojų. |
Che, kai viena grazia diena pasijungsi i banka ir pamatys tuscia saskaita - staiga tai pasidarys ir tavo problema  |
|
Krz
Prisijungė: 2012 02 20
Žinutės: 37
|
|
Atgal į viršų |
|
| Parašytas: Tr. 07 04, 2012 19:31 Rašyti temą: |
|
|
| Krz rašo: |
| rwc rašo: |
| Tačiau tai visokių e-bankų problema, ne vartotojų. |
Che, kai viena grazia diena pasijungsi i banka ir pamatys tuscia saskaita - staiga tai pasidarys ir tavo problema ;) |
Aha, kitą dieną paskambini prokurorams ir pareiški, kad niekur nesijungei.
Taigi, tai bankų problema. Įrodyti, kad klientas jungėsi. |
|
rwc
Prisijungė: 2008 10 12
Žinutės: 4945
|
|
Atgal į viršų |
|
| Parašytas: Tr. 07 04, 2012 22:40 Rašyti temą: |
|
|
| Neisivaizduoju, kaip galima prisijungti prie banko saskaitos kai naudojama 2 zingsniu autentikacijos sistema, nebent pasigauni keyloger'i. Bet jeigu naudoji generatoriu - tada is vis be sansu. Tik va nesuprantu, kodel negali bankai visi padaryt, kad generatoriai butu mobiliakuose ir butu reikalaujama slaptazodzio... Kaip kad padare blizzard ant diablo 3 - neisivaizduoju, kaip galima nulauzti, kai kodai keiciasi kas 30s. |
|
immortallt
Prisijungė: 2009 04 04
Žinutės: 6489
Miestas: Vilnius-Klaipeda
|
|
Atgal į viršų |
|
| Parašytas: Tr. 07 04, 2012 23:12 Rašyti temą: |
|
|
| immortallt rašo: |
| Neisivaizduoju, kaip galima prisijungti prie banko saskaitos kai naudojama 2 zingsniu autentikacijos sistema, nebent pasigauni keyloger'i. Bet jeigu naudoji generatoriu - tada is vis be sansu. Tik va nesuprantu, kodel negali bankai visi padaryt, kad generatoriai butu mobiliakuose ir butu reikalaujama slaptazodzio... Kaip kad padare blizzard ant diablo 3 - neisivaizduoju, kaip galima nulauzti, kai kodai keiciasi kas 30s. |
Authenticator kuri naudoja blizzardas ir google'as jau senu seniausiai naudojami bankuose, didelese korporacijuose ir valstybiniam lygmenyje. Kompanijos kaip blizzard ir google tik ganetinai neseniai sia metodika pritaike masiniam vartojimui, kadangi si apsaugos sistema praktiskai nenulauziama ir kompanijai daug nekainuojanti. Yra vienintelis budas nulauzti - middle man attack, bet cia jau kompas turi buti rimtai kompromituotas.
Grystant prie slaptazodziu: suskurkit kazka panasaus i <pirmos 2 jusu vardo raides><jusu telefono numeris><2 pirmos raides jusu pavardes> ''KA8645821456PA'' slaptazodis atrodo visiska nesamone, taciau jums ji prisiminti ypac lengva.
Kaip vyksta siandienuos nulauzinejimai: nulauziamos websitu tokiu kaip tarkim technologijos.lt ar diablo3.lt duomenu bazes, paimami jusu emailai ir passwordai. (neturiu nieko pries technologijos.lt bet nepasitikiu jusu DB saugumu nes jai kas rimciau noretu tikrai nulauztu). Tuomet tie emailai ir passwordai naudojami tarkim nulauzti jusu Diablo III accounta. Dauguma turbut netiks, bet kadangi visvien yra zmoniu kurie naudoja ta pati emaila visur ir visada, kazkiek accountu taip prigaus is dideles DB.
Antras budas, kadangi jie turi jusu emaila, hackeriai ji praleidzia brute force budu pro tarkim 10 000 dazniausiai sutinkamu slaptazodziu. Nors jusu slaptazodis ir nesutiko is DB, jis gali buti gana paprastas kaip ''ferrari'' porsche911'' ''blowme'' ar ''fatboyslim''. Sitas budas duoda daugiau sekmingu rezultatu nei pirmasis, kadangi zmones nepagalvoja kokius paprastus slaptazodzius uzsideda.
Taigi tokiem puslapiams kaip technologijos.lt, games.lt, visokiems fanu forumams niekada nekurkit sudetingu slaptazodziu, nes siu puslapiu duomenu bazes yra ganetinai prastai apsaugotos. Taciau accountams kaip blizzard, ncsoft, steam ar dar kur duomenu baziu apsauga yra priority susikurkit stiprius ir unikalius passwordus kuriuos lengva prisiminti. Kaip daviau pavizdy auksciau, tai labai unikalus, lengvas prisiminti ir ypatingai sunkus nulauzti slaptazodzio pavizdys.
Norint dar rimtesnes apsaugos, susikurti atskira email addresa kuri naudosit tik tokiems kaip Diablo III, WoW, L2 ar EVE accountams o tokius saitus kaip technologijos.lt registruokite ant iprastinio emailo.
Taigi to sum up: turekit 2 emailus, viena naudokit kurdami accountus tik didelems kompanijoms, kita viskam kitam. Turekit 1 ar 2 ypac saugius passwordus patikimiems accountams, o kur negaila kad ir busit nulauzti(kad ir diskusiju forumas) naudokit paprastucius.
P.S. Nenoriu izeisti technologijos.lt administracijos kad nesirupina ir jiems nerupi DB apsauga, tiesiog realybe yra tokia kad jai kas noretu, DB butu ganetinai lengvai nulauziama ir issifruota, kadangi administracija neturi tiek lesu, kurias butu galima skirti uztikrinant beprecedente vartotoju duomenu apsauga. |
|
Arwis
Prisijungė: 2009 10 28
Žinutės: 1331
|
|
Atgal į viršų |
|
| Parašytas: Tr. 07 04, 2012 23:21 Rašyti temą: |
|
|
| Arwi, turiu as vieno banko toki kompiuteriuka, tevas irgi turi, bet esme ta, galetu padaryti apps'u pavidalu - butu daug paprasciau, nes dabar tuos kompiuteriukus reikia pirkti uz 50LT. Biski brangoka individualiem asmenim + labai daug daiktu atsiranda, kuriuos sunku rasti. |
|
immortallt
Prisijungė: 2009 04 04
Žinutės: 6489
Miestas: Vilnius-Klaipeda
|
|
Atgal į viršų |
|
| Parašytas: Tr. 07 04, 2012 23:31 Rašyti temą: |
|
|
| immortallt rašo: |
| Arwi, turiu as vieno banko toki kompiuteriuka, tevas irgi turi, bet esme ta, galetu padaryti apps'u pavidalu - butu daug paprasciau, nes dabar tuos kompiuteriukus reikia pirkti uz 50LT. Biski brangoka individualiem asmenim + labai daug daiktu atsiranda, kuriuos sunku rasti. |
Tai manau veliau bus appsai, kaip pas blizzarda ar google kai smartphonai paplis pakankamai. Pats siuo metu naudoju google ir blizzard appsus, facebook'as apsaugotas sms zinutes patvirtinimu jai is naujo device jungiamasi. Visi saitai kuriuose galiu gauti appa ar ijungti sms authentication taip padarau. |
|
Arwis
Prisijungė: 2009 10 28
Žinutės: 1331
|
|
Atgal į viršų |
|
| Parašytas: Kv. 07 05, 2012 13:41 Rašyti temą: |
|
|
_________________
(c) by "vvv2". |
|
vvv2
Prisijungė: 2012 03 15
Žinutės: 2132
Miestas: Kaunas city
|
|
Atgal į viršų |
|
| Parašytas: Sk. 07 08, 2012 11:49 Rašyti temą: |
|
|
| rwc rašo: |
Paprasčiausias būdas - pwdhash.
. |
Deja , ne . Paprasčiausias būdas - lastpass ;] |
|
paprastas
Prisijungė: 2011 08 09
Žinutės: 114
|
|
Atgal į viršų |
|
| Parašytas: Sk. 07 08, 2012 21:55 Rašyti temą: |
|
|
| Mane tik nustebino, akd mokamą softą siūlo... Tipo koks KeyPass jau bus šūds? |
|
Smėlis
Prisijungė: 2007 08 02
Žinutės: 2739
Miestas: Kaunas
|
|
Atgal į viršų |
|
| Parašytas: Pir. 07 09, 2012 9:24 Rašyti temą: |
|
|
LastPass yra labai blogas ir nepatikimas būdas slaptažodžiams, kaip ir bet bet kokia kita DB, apsaugota vienu Master slaptažodžiu.
Naudoju LastPass, bet tik kaip "backup" ar sinchronizacijai tarp įrenginių, kasdien to Master nesuvedinėju, jau nekalbant, kad jis "sėdėtų" kompo RAM'e. Galų gale, net paties LastPass slaptažodžio aš pats nežinau, kadangi jis sugeneruotas naudojant PwdHash.
RSA slaptažodžių generatoriai teoriškai irgi nepatikimi - mat jie priklauso tik nuo laiko parametro. Teoriškai juos galima "išdurti" pamodifikavus laikrodį ir suskaičiuoti ateities slaptažodžius; pasinaudojus diferencialine kriptoanalize įmanoma apskaičiuoti patį RSA kodą - generatorius gi nežino, kada slaptažodžio "tikrai reikia"; generatoriai veikia su laiko paklaidomis - vadinasi tas pats slaptažodis tinka visam minutės ar pan. intervalui, kas šiuolaikiniams kompams yra laaaabai daug.
Šių trūkumų neturi mobilusis parašas, kuris net teoriškai nenulaužiamas neįsibrovus į parašų sertifikavimo centrą, bei kurį palaiko turbūt visi antrosios kartos GSM aparatai. Norint jį nulaužti, pirmiausia reikia nulaužti SIM kortelės RSA ar panašų raktą (kurio centras nežino), perimti GSM signalą (kurį papildomai koduoja ryšio operatorius), SIM vartotojo parašo slaptažodį (kurį žino tik pats vartotojas), e-banko (ar kt. sertifikavimo centro) privatų raktą (kurio pilno teoriškai neturėtų žinoti bei gauti nė vienas darbuotojas) bei e-banko atsitiktinių kodų generatorių, kuris paprastai yra paremtas chaotiniais mechaniniais, elektroniniais ar net kvantiniais reiškiniais - taigi, unikalus ir neprognozuojamas.
Pastarojo metodo esmė - du nepriklausomi ryšio centras-vartotojas kanalai, ir dvi nepriklausomos kriptografinės užduotys, iš kurių antroji (m-parašo kodas) užduodama centro iniciatyva, tik teisingai įveikus pirmąją (pvz., vartotojui prisijungus su teisingu slaptažodžiu prie tarpinio prisijungimo puslapio).
Iš principo, generatoriai, Master slaptažodžių sistemos (LastPass ne išimtis) - tai kas turėtų vadintis "what you know and what you have" - teoriniu saugumu menkai skiriasi nuo "password and PIN" autentifikacijos, kadangi jos visos gali nesunkiai susivesti į "what you sniffed and what you copied". Jei laikysime, kad mobilus įrenginys įdentifikuoja savininką - tai m-parašas yra trijų faktorių autentifikacija "what you know, what you have and what you are". Iš principo, šią autentifikaciją išmaniuosiuose dar galima patobulinti kokiu biometriniu parametru iš kameros, mikrofono, akselerometro ar tiesiog apribojant geografiškai (pvz., prie e-banko jungiuosi tik iš namų).
Dabar, kodėl Pwdhash (ir, praplečiant - kuo Wuala geriau už DropBox, Google Drive ir pan.). Pirma, slaptažodis jokia forma (t.y., nei hašuotas, nei užkoduotas centro raktu) neišeina iš mano įrenginio. Antra, jis niekur nesaugomas, išskyrus tas talpyklas, kurias valdau pats. Trečia - jis decentralizuotas (slaptažodžių generavimo įmonei bankrutavus, neprarasiu slaptažodžių, kadangi viskas realizuota atviru algoritmu). Ketvirta - nulaužus slaptažodžių centrą, jokios mano konfidencialios informacijos neįmanoma perimti. Penkta - slaptažodžių centras nežino, kur jungiuosi, kaip dažnai, kokiu vartotojo vardu ir pan..
P.S. kuo LastPass paprasčiau už PwdHash? Padaryti galima viską taip pat, plius PwdHash suhešuotą slaptažodį atskleisti ne taip jau baisu (kas čia tokio, jei kažkas sužinos, kad mano Google Mail, kurio nenaudoju darbui, slaptažodis - NIPJcOym6X2Xf?), bet aš jį galiu sužinoti bet kuriame įrenginyje, kuris turi naršyklę su Javascript palaikymu nieko neinstaliuodamas ir nebijodamas, kad tikrąjį, nehešuotą, slaptažodį perims piktas tinklo adminas (nebent sektų mano pirštus ar būtų pridiegęs keyloggerių). Galų gale - net jei ir sužinos, panaudos jį dar Technologijose, kokiam Feisbuke, bet prie svarbių portalų neprieis, kadangi jiems naudoju kitą slaptažodį. Su LastPass išeina turėti kelis Master slaptažodžius vienu metu? Kas bus, jei jūsų LastPass Master slaptažodį kažkas perims jungiantis prie Technologijų? |
|
rwc
Prisijungė: 2008 10 12
Žinutės: 4945
|
|
Atgal į viršų |
|
|
|
|
|
Jūs negalite rašyti naujų pranešimų šiame forume
Jūs negalite atsakinti į pranešimus šiame forume
Jūs negalite redaguoti savo pranešimų šiame forume
Jūs negalite ištrinti savo pranešimų šiame forume
Jūs negalite dalyvauti apklausose šiame forume
|
|
