имам проблем с хакери

[w00x]

Аз реших, че говорим за такова устройство

 

 

 

Което генерира код на всяка 1 минута, който код е синхронизиран със сървъра и трябва да се въведе редом с потребителското име и паролата.

[tedy]

@victory, именно, те ползват нормална картинкова on-screen клавиатура - за което говорим и отпреди това (частта за defeat keyloggers). Нищо ново от тях.

А тяхната борба също поставя рискове, както с антивирусните - ако в момента, в който ти потрябва акаунта, кейлогерите са с едни гърди напред в конкретния компютър и момент, все едно, пак си незащитен.

 

@Ferante, за това говорим, пак е хардуерно у-во, подобно като действие като това, което е показал w00x, и което вече се ползва от повече и повече банки тука (ОББ го нарича U-code).

И пак опираме до хигиена от някакъв вид. То ако това у-во пак, попадане в нечии ръце....

Но отново - само за банкирането - нямаш такова у-во за емайла си (емайла за много хора е не по-малко важен), нямаш такова за фацешита, нямаш и за ICQ. Там е основния проблем, за който мисля решение

[victory]

@victory, именно, те ползват нормална картинкова on-screen клавиатура - за което говорим и отпреди това (частта за defeat keyloggers). Нищо ново от тях.

А тяхната борба също поставя рискове, както с антивирусните - ако в момента, в който ти потрябва акаунта, кейлогерите са с едни гърди напред в конкретния компютър и момент, все едно, пак си незащитен.

Сори, но няма как иначе. Сам знаеш, че 100% сигурност никъде няма..., дори в Пентагона, Наса, Мосад и т.н.

Освен това "лошите" са винаги едни гърди напред.

[Ferante]

То ако това у-во пак, попадане в нечии ръце....

Това не е проблем. Дебитната карта не е обвързана към определен reader/code generator.

 

Вземете да почетете някоя от добрите книги по Криптография преди да пишете

[tedy]

Това не е проблем. Дебитната карта не е обвързана към определен reader/code generator.

 

Вземете да почетете някоя от добрите книги по Криптография преди да пишете

Тя ако дебитната не ти я вземат, то е ясно. Тя ако е за въпрос, е защитена и с пин код, колкото и да е слаб. Ставаше дума ако се докопат и до двете. Един четец/у-во е ясно, че не е обвързан, ако беше, нямаше да е нужно да е такава схемата . При U-code е малко по-различно, защото там нямаш четене на някаква карта, а у-вото е самостоятелно.

 

@victory, така е, и колкото повече защити, толкова по-добре. Аз мисля засега само за защита от кейлогери+скрееншотери, защото поотделно от едното и от другото е ясно как се защитаваме, но ако са в комбинация, мисля по метод с challenge, за който споменах. Т.е. още не мисля, но както си мисля, надали ще стане, иначе някои фирми могат да фалират, ма не пречи да помисля .

[victory]

Вземете да почетете някоя от добрите книги по Криптография преди да пишете

Не искам написаното да се приеме като заяждане.

В последно време бяха разбити доста криптиращи механизми, смятани преди няколко години за непробиваеми.

Теорията е хубаво нещо, но практиката я опровергава в доста случаи.

 

Истината е някъде там...

[tedy]

Кои например?

То на всеки алгоритъм не се знае кога ще се намери начина, аз чух за WPA/TKIP, но за WPA2/AES още не съм видял начин да не говорим за работещ код.

По едно време се появи и за SSL, сега нали навлезе TLS, и затова увеличават битовете уж (ма то ако е разбит, битовете нямат особено значение).

Не съм чул също така за кракнат RAR архив . Интересно ми е какво ползват, дали нещо AES, но с дълга парола май не са го кракнали още.

SHA1 дано скоро няма нещо масово, че.. :> , а за MD5 е ясно

[CyberHill]

Виждам, че сте доста запознати.

Та да питам, WPA2 AES праснаха ли го вече ?

[victory]

Виждам, че сте доста запознати.

Та да питам, WPA2 AES праснаха ли го вече ?

Запознати... звучи много..., просто има достатъчно четиво:

http://www.linux-bg.org/cgi-bin/y/index.pl?page=news&key=421072342&list=all&id=0

http://www.networkworld.com/newsletters/wireless/2010/072610wireless1.html

[Ferante]

Ставаше дума ако се докопат и до двете.

Пак не е проблем. Четецът ти генерира код при въвеждане на ПИН-а на картата.

 

@victory - Би ли посочил портокол за криптиране при който се разминава теорията от практиката? Това, че изчислителната мощ е нараснала и ти позволява да извъртиш всички компинации за обозрим период, не означава, че теорията не е валидна повече. Или може би имаш нещо друго впредвид?

[victory]

@victory - Би ли посочил портокол за криптиране при който се разминава теорията от практиката? Това, че изчислителната мощ е нараснала и ти позволява да извъртиш всички компинации за обозрим период, не означава, че теорията не е валидна повече. Или може би имаш нещо друго впредвид?

За съжаление не съм специалист по криптография, нито съм програмист, но доколкото схващам от прочетенето, винаги се използват някои слаби места.

Единственото, което мога да твърдя със сигурност е, че няма идеални неща и винаги има начин

Toва беше причината да напиша, че теорията се различава от действителността

Причината може да не е самият протокол, а в начина на използването му... например, или в начина на комуникация, или нещо друго.

[Ferante]

Разбиването при криптиращите алгоритми се дължи на 3 причини:

1. Използване на псевдо-случайни генератори вместо случайни. За да е напълно случаен, ти е необходимо да имаш обосен hw.

2. Случайно налучкване на парола, която е има в някъв речник.

3. Човешка немърливост или лоша 'компютърна хигиена'.

 

Ако ти е интересно започни да четеш обособена литература, но знай че всичко опира до много сериозна математика

[Mockingbird]

Цък

[tedy]

Пак не е проблем. Четецът ти генерира код при въвеждане на ПИН-а на картата.

Това с четеца не е нищо по-различно от работата с кой да е банкомат - трябва ти четец за картата, картата и ПИН-а . И всичките произлизащи от това рискове, плюсове и минуси.

 

"1. Използване на псевдо-случайни генератори вместо случайни. За да е напълно случаен, ти е необходимо да имаш обосен hw."

- да, само дето това по-скоро би се ползвало на далеч по-високо ниво, за случайни хакерчета това надали е някакъв фактор.

 

"2. Случайно налучкване на парола, която е има в някъв речник."

- рейнбоу - трябва да съм уникален тъпанар да си избера парола, която има някаква вероятност да я има в някой речник. Пак е до култура. Паролите по принцип си ги измислям съвсем случайно, букви цифри, други знаци, kAlEuKHjRy5@983!5^23, примерно, случайно начаткани. И почти винаги 10+ знака. Някои сайтове и системи са уникално прости, допускат само букви цифри и ундерскоре.

 

"3. Човешка немърливост или лоша 'компютърна хигиена'."

- A точно, това е най-големия проблем.

 

Към тези точки могат да се добавят още. Макар че т.2 влиза изцяло в т.3 и обезсмисля повечето, за които мога да се сетя - отново - човешкият фактор.

Т.1 пък спада към flaws на реализацията на алгоритмите и донякъде може да се счита за бъг в реализациите, намаляващ сигурността, но ако оставим настрана това, остава почти чисто човешката немарливост.

[Ferante]

Цък

Смях

само където всяка съвременна система след n-пъти или блокира IP-то или потребителския профил или най-малкото има ограничение във времето за 2 последователни въвеждания.

 

Който е учил комбинаторика (т.е. е завършил 7-8 клас) може и сам да направи подобна 'гола' сметка без кръчмар.

[tedy]

Смях

само където всяка съвременна система след n-пъти или блокира IP-то или потребителския профил или най-малкото има ограничение във времето за 2 последователни въвеждания.

 

Който е учил комбинаторика (т.е. е завършил 7-8 клас) може и сам да направи подобна 'гола' сметка без кръчмар.

Смях ами. Да не говорим, че това зависи и от мощността на компа. Ако хакера се е обзавел с i7 е едно, ако е с PIII 800, е съвсем друго, Ако едното разбива за 1 година, другото може за 1000 .

И нали, тук си говорим за чисто офлайн кракване (бруте форце примерно, то даже те точно такова са имали предвид).

Ако не друго, таблицата показва, че използването на по-разнообразни символи за парола драстично намалява шанса за налучкване. А неползването на смислени думи, в комбинация с над 10-15 символа направо шансът клони към нула. А да, това за 123456 си е така , направо нямам думи. И това не се практикува само от разни прости хора, а и от интелигентни, с разликата, че са "боси" за рисковете при ползване на комп. и интернет. Разбираемо е обаче, помненето на пароли хич не е приятна задача, камо ли много на брой и все различни.

Но просто засега няма измислен друг начин, който масово да може да се приложи за всички случаи. Който го е грижа, свиква с това неудобство. Аз основните си пароли, колкото и да са сложни, след няколко ползвания вече ги научавам. Не ползвам софтуер за пароли, не ми допада идеята да си поверя паролите на някакъв софт.

Аз лично си ги записвам в един тефтер (трябав да ги има някъде все пак). И от време на време правя бекъп като снимам страниците с фотоапарат, и снимките ги архивирам в winrar с много сложна парола