Jump to content



Photo

Още малко ще пишем пароли в Интернет...


  • Please log in to reply
40 replies to this topic

#1 Midex

Midex

    Индикатор

  • Moderators
  • PipPipPipPipPipPipPip
  • 24200 posts

Posted 20 May 2018 - 11:29

Нямаше подходяща тема и затова реших да направя самостоятелна...

 



#2 tedy

tedy

    Депутат

  • Members
  • PipPipPipPipPipPipPip
  • 8677 posts

Posted 20 May 2018 - 15:21

Скоро няма да видим това (такова) нещо масово, освен може би локално в някои по-развити страни.

Има множество негативи (някои от които засегнати от човека във видеото към края), които да не са повече от позитивите, за мен лично натежават повече.

Това е просто един по-лек ел.подпис, с евентуално по-олекотено "издаване".

Ако е единствен фактор, ще трябва постоянно да носиш физически със себе си, ще струва някакви пари (и не видях дали ще е доживотно ключа в него), остават рисковете ако го забравиш включено в компа, някой (или скрипт) да се възползва през това време без дори да подозираш..., както и все пак струва пари това физическо нещо да го придобиеш. Само 2 от споменатите няколко негатива за мен лично го правят неатрактивно.

Който ползва пароли 123456 си е поел риска и не му е важен подобен акаунт (понеже това чух за довод колко полезен е протокола). Всичко това го казвам по повод "флашката".

Колкото до пръстови отпечатъци да влязат като фактор за достъп до важни акаунти - все още не бих разчитал. Масовите особено по китайските телефони са ненадеждни, малки са (и сканират и отключват с изключително малък по площ сензор), вероятно повечето са уязвими на смешно ниски по сложност 'излъгвания', да не говорим за опасностите като цяло да се "събират' отпечатъците - нещо което доста хора и сега не ползват по телефоните с прайвъси цел. Аз само си отключвам тела и лок-нати приложения, но само за удобство срещу най-елементарни "дадох си телефона на приятел да го разгледа" сценарии или при загубване докато се добера до компютър да сменя пароли мароли.

Чак "до 1-2 години макс" както говори пича - смешно малък период.

Паролата в ума ми освен с хипоноза някак, не виждам как могат да ми я вземат примерно докато дремя. Докато спя/дремя, могат и отпечатъка да ми ползват, и "флашката", че и да ми сканират окото (ако спя по-дълбоко).



#3 instinct

instinct

    Майстор

  • Members
  • PipPipPipPip
  • 427 posts

Posted 20 May 2018 - 18:32

Айде да ни се разминат подобни глупости поне тука.

 

А на запад така или иначе отдавна са подкарали стадото, и полека лека ги строяват в редичка...


"With the sword of happiness I shall redeem a beloved who will afterwards take my life"

"O thou who hast possessions, remain happy and thou shalt have a pleasant life"


#4 ARPAnet

ARPAnet

    Депутат

  • Members
  • PipPipPipPipPipPipPip
  • 1693 posts

Posted 20 May 2018 - 23:09

Готино, от доста време се чудя дали да не си взема U2F кийче, но все се разубеждавах с ограничената употреба.
Иначе като цена не са нищо страшно, u2f са по 13-20 долара, а за 50-на има такива с четец за отпечатъци директно интегриран в него. 

Ако успеят да го изкомбинират с телефоните ще е перфектно. Варианти за възстановяване на тоукън генератори и сега има, съответно не е като да трябва да измислят топлата вода. 


a.k.a Ranger

#5 tedy

tedy

    Депутат

  • Members
  • PipPipPipPipPipPipPip
  • 8677 posts

Posted 20 May 2018 - 23:37

Че то ел.подписите са по-евтини :Р .

За да е масово, просто трябва да е.... безплатно :) .

А за телефоните, ако ще е само за "избрани" с самсуняци и айфонисти (примерно), айде мерси сме :) .

 

Поредният "гъдел", който ще е с ограничена употреба, подобно на pay-вариантите с телефони в по-нормалните страни, но поне плащането с помощта на телефон има смисъл някакъв (където може, и пак е ограничено за по-скъпите модели с NFC primerno), то при паролите и достъпа през интернет до акаунти, е различно. Макар че за мен и плащането е рисково с телефон ако се разчита само на примерно пръстов отпечатък да отключи самото плащане, но там има банкови гаранции, застраховки и т.н.

 

Като цяло, хич не ми е интересно това и не смятам дори да се занимавам с подобно нещо дори "за спорта".



#6 w00x

w00x

    the rain on your parade

  • Members +
  • PipPipPipPipPipPipPip
  • 24175 posts

Posted 21 May 2018 - 16:19

Поредният "гъдел", който ще е с ограничена употреба, подобно на pay-вариантите с телефони в по-нормалните страни, но поне плащането с помощта на телефон има смисъл някакъв (където може, и пак е ограничено за по-скъпите модели с NFC primerno), то при паролите и достъпа през интернет до акаунти, е различно. Макар че за мен и плащането е рисково с телефон ако се разчита само на примерно пръстов отпечатък да отключи самото плащане, но там има банкови гаранции, застраховки и т.н.

 

"По-скъпите модели" :D

Почти всичките телефони вече имат NFC. Пък и никой не те кара да го използваш задължително.


RV5uTLe.gif


#7 tedy

tedy

    Депутат

  • Members
  • PipPipPipPipPipPipPip
  • 8677 posts

Posted 21 May 2018 - 17:01

"По-скъпите модели" :D

Почти всичките телефони вече имат NFC. Пък и никой не те кара да го използваш задължително.

Т'ва пък какво би трябвало да означава?!

Нали коментираме по темата, много ясно че никой не ни кара задължително да ползваме нищо. Ама 'утре' като се наложи в някой сайт да се регистрираш, и там приемат само тоя метод... кво прайм. Малко или много това може да ни закасае в някакво бъдеще.

 

Колкото до NFC, миналата година като купувах моя тел, за около 400 лв, той няма NFC, както и повечето, които изобщо си струваха да купя, нямаха. Не говорим за някои бъгави боклуци, които имаха, но които не бих взел никога.

За мен "по-скъпите" означава това. Повечето хора не дават повече от 4-500 лв за телефон, смисъл почти и няма (за мен).



#8 RaptoR

RaptoR

    Патриот

  • Moderators
  • PipPipPipPipPipPipPip
  • 30589 posts

Posted 21 May 2018 - 18:57

В голяма грешка си, Теди. Вземи поноси някоя година хай енд телефон и после ще си говорим. 


B U L F O R U M POLICE
КУРАЖ ДРУЖИНА ВЯРНА СГОВОРНА - НИЙ НЕ СМЕ ВЕЧЕ РАЯ ПОКОРНА
THE ONLY THING NECESSARY FOR THE TRIUMPH OF EVIL IS FOR GOOD MEN TO DO NOTHING
We're machines...just like everything else in Nature
Вода не утоляет жажды. Я попробовал ... однажды
Коалиция анти-чалга

#9 tedy

tedy

    Депутат

  • Members
  • PipPipPipPipPipPipPip
  • 8677 posts

Posted 21 May 2018 - 19:15

То не че темата е за това, но понеже ти го каза, ще отговоря, че за мен няма смисъл, хващал съм подобни телефони, но за моето ползване няма почти никакъв смисъл. Даже снимам по 1-2 пъти в месеца някоя котка по улицата и тва е.

Освен ако някой снима много и иска по-качествена камера, за другото няма как да видя смисъл от телефон за 1500+ лв (даже 1000+). Текущо съм с SD625 с 3 рам и ми е напълно достатъчен, а не е като да не съм наинсталирал 40-50 приложения, поне 5 IM-a. Е, като пускам примерно ToolWiz едитора, го чакам по 3 секунди... но той е тежък и го пускам веднъж в годината.

Та освен камерата, която е на средно ниво, всичко друго си е Ок и работи идеално, gps, блутут, силни wifi и данни и т.н. Батерията да не говорим - изключително важна е за мен и зареждам средно веднъж на 4-5 дни и дори само от този факт съм изключително щастлив. По 9-10ч. SoT. Т.нар. флагмани, за да ги направят тънки и леки, им слагат смешни батерии, което за мен е deal-breaker както и да го погледна!


Edited by tedy, 21 May 2018 - 19:21.


#10 ARPAnet

ARPAnet

    Депутат

  • Members
  • PipPipPipPipPipPipPip
  • 1693 posts

Posted 23 May 2018 - 09:43

Е къде сравни ел. подписите, а и те не идваха ли с абонамент?

За тоукън генераторите не трябва нищо специално като хардуер. Съответно ако се комбинира с bluetooth, че да го усеща компютъра като се прибилижи, може да се получи удобно решение. Все повече имат четци на пръстови отпечатъци които също могат да се използват. 

Хубавото е че фирми с голям юзър бейз започwат да ползват общ стандарт, което ще привлече повече производители на донгъли, което от своя страна ще свали още цените. 

 

За NFC, дори А3-чето ми го има, та не е като да е екстра която я има само в хай-енд телефоните.


a.k.a Ranger

#11 tedy

tedy

    Депутат

  • Members
  • PipPipPipPipPipPipPip
  • 8677 posts

Posted 23 May 2018 - 11:48

Ако имаш предвид Galaxy A3, поне 2016 модела гледам, защото миналата година като купувах тел-а в началото, надали е имало 2017 модела.

Гледайки и цената: 450 лв за 1.5 РАМ и 16 ром :), 2300 батерия (сериозно?!), SD410 4 ядрен на 1.5,  4.7" с ниска резолюция.... точно никога не бих си го взел, какъвто и ще супердуперамолед екран да има.

Пък и доколкото знам не е достатъчно просто да има NFC, а се иска и някаква поддръжка на нещо, но не съм запознат.

Аз затова казах, че NFC имаха някои тогава, но и нито един, който бих взел по другите смешни параметри.

Не съм писал, че само в хай-енд я има екстрата, а "в по-скъпите", вероятно имайки предвид по-скъпи от 400 (които изобщо си заслужават като основни параметри) ;) .

 

За ел.подписите да, сравних, затова ги нарекох нещо като "леки" ел. подписи. Те не са ли подобни - вкарваш "флашка" с някакви криптографски данни, с които удостоверяваш, че си ти. В случая говорим по-скоро не за удоствоверяване, че си точно ти, а че точно този ключ се използва за автентициране, един вид паролата ти е на флашката, грубо казано.

То реално цената на самия донгъл надали ще е особена спирачка, ако не е обвързана с абонаментно поддържане, което да трябва да плащаш веднъж на 2-3-5г. примерно. За мен големият проблем е да се грижа да я нося постоянно със себе си. И това ако е единствен фактор. Ако има и парола...., честно казано аз бих предпочел да си ползвам само паролата и тогава, просто ще е силна. За важни акаунти като банки и т.н., и сега има надеждни мултифакторни варианти. Общ стандарт е Ок винаги да има, но аз лично не искам да ми се наложи да ползвам този метод като задължителен.

 

Проблемът на паролите е че повечето хора не искат да помнят повече от една и на по-маловажните сайтове ползват лесни пароли. Пробив в акаунт не става така лесно, както често се преекспонира. При сложна парола и ползване на password manager от някакъв вид, остава фишинга и другите човешки фактори, които са възможни и с другите средства.

 

Блутут комбинацията е опасна, подобно на RFID, ако става автоматично "усещането".



#12 ARPAnet

ARPAnet

    Депутат

  • Members
  • PipPipPipPipPipPipPip
  • 1693 posts

Posted 23 May 2018 - 14:24

Да, Галакси А3 е, просто пример за евтино телефонче което също има NFC. От тук нататък, всеки според личните си предпочитания си избира телефона. Аз имам NFC на телефоните ми от 4 години, та съвсем не виждам проблема :D

Подобно на ел.подписите е, но без абонамента  и без ограничението че те са безполезни извън БГ :)))

Сам по себе си донгъла не е особено интересен, вярно че добавя секюрити но не е 2 factor auth. Но наличие на донгъл + отпечатък, това вече е добро като комбинация. Може да е и донгъл + парола (но все пак искаме да не пишем пароли) 

Идеята поне за мен е екстра секюрити, а не директно улеснение. 

Проблема с паролите е когато излезне някое ДБ с пароли/мейли от някой хакнат който е имал глупостта да ги държи в плейн текст .. Съответно ползването на нещо подобно като секюрити може да помогне да не попадаме в такива ситуации

Разбира се има го момента с гийкването :))


a.k.a Ranger

#13 instinct

instinct

    Майстор

  • Members
  • PipPipPipPip
  • 427 posts

Posted 23 May 2018 - 14:34

Може да е и донгъл + парола (но все пак искаме да не пишем пароли) 

 

Има едно слабо място в тезата. И това е - "искаме да не пишем пароли". Нека допълня - искаме да не помним пароли, искаме да не смятаме сами, искаме да не помним таблицата за умножението, искаме да не караме колите си сами, искаме да не помним как се кара кола... сещаш се накъде вървят нещата, нали.

 

Има добри лодки, единици са, ама са на собственици разбирачи, от тия дето стоят в завода и следят някой да не ръгне платка там дето не и е мястото. И такива собственици си ги карат сами, за какво да ръсят хилядарка на ден? Масовото производство на лодки разчита на дрънкулки за да се продават. Като сьомгата, трябва да е лъскаво и да се мандахерца. И като налапаш куката, точно като и при сьомгата, ти излиза през зад.ика...

----

...заради факта, че на някои хора, ако компютърчето им угаси мотора, няма да се приберат в тях. И плащат през носа да нямат компютърчета. .
За да се разбере за какво говоря, има една тема "проблеми с морската електроника", тая ясно е описано къде е проблема.

-----

...слагаш електроника, ама така я слагаш, че да гледа и да казва, а не да мисли и да взема решенията вместо тебе.
Взимаш стар Перкинс, рециклираш го, и го слагаш в чисто нова лодка. На перки са му накичваш всякакви сензори- за колко харчи /на маркучите на нафтата/, температури, че и термокамера в машинното съм имал- много лесно го виждаш дали загрява.
На резервоарите, вместо компютърче да ми казва колко нафта имам, се слагат 2 крана, един на дъното, един в горния край, свързват се с прозрачен маркуч, маркуча се маркира. Или така я правиш, че да можеш да бръкнеш с дръжката на метлата и да видиш нивото в резервоара. И на дъното на резервоара има канела за да точиш по чаша след като си заредил с нова нафта /текне ли вода, ритай бензинджията/.

Контрола върху мотора и трансмисията се извършва с кабели а не с компютърчета.

Всичко силово се бута с хидравлика и се оправлява с лостове а не с компютърчета.

Вратите са механични, нямат компютри, кенефите, и те...

Горе на мостика редиш каквато електроника искаш, ама да е несвързано едно с друго, от датчиците та до електрическото захранване. Шалтерите стари, Сименс или Бош...

Тия горните неща ще ги направят само поръчково, и ше бъде поръчано само от човек дето много ги разбира нещата. Напредъка в технологиите го ползват за шарена блесна, е, не всеки е шаран /знам бе, шаран на блесна.../.


Edited by instinct, 23 May 2018 - 14:53.

"With the sword of happiness I shall redeem a beloved who will afterwards take my life"

"O thou who hast possessions, remain happy and thou shalt have a pleasant life"


#14 tedy

tedy

    Депутат

  • Members
  • PipPipPipPipPipPipPip
  • 8677 posts

Posted 23 May 2018 - 17:54

Аз лично нямам скрупули да ползвам нещо, в което виждам смисъл и удобство. Не съм краен по отношение на за/против нещо в областта на технологиите (пък и която и да е).

В този смисъл не споделям напълно сравненията на instinct от горе. Много неща са навлезли в ежедневието, които наистина са полезни и като цяло не са за моя мозък да се грижи за тези неща. Не и в такава крайност. Примерно това че компютрите могат да смятат милиарди пъти по-бързо и точно от моя мозък не означава, че трябва всичко да смятам наум или на лист с таблицата за умножение.

Колите... ако имаше перфектен AI да го прави вместо мен, не бих имал много против да не рискувам аз да карам ако мога да се наслаждавам на гледката и да не рискувам да се блъсна в някой друг идиот на пътя. Това скоро няма да стане, затова бих по-скоро се радвал на кола някак без скоростен лост, или по-точно не и автоматична скоростна кутия, а тия изцяло безстепенните кутии, или направо електромобил, да не дишам отвратителните пушеци на сегашните ужасии по улиците. Електромобилът ще се кара и по-лесно, по-малко поддръжка... Ся, някои ще кажат друго си е да усещаш лоста в ръката и да сменяш като побъркан скорости... :Р ..

 

Проблемът е, че има и много направления, където наистина се прекалява и може да будят притеснения.

 

ARPAnet, за отпечатъка и донгъла вече го казах като главни негативи - да нося донгъла с мен, а той + отпечатъка, могат лесно да се ползват дори докато спя! Това за мен е изключителен недостатък.

Това с лийкването на пароли, пазени в plain text, е някакъв довод, но недостатъчно валиден като причина да махнем паролите. Според мен. Не се сещам да са много подобни инциденти, особено с някакви общоизвестни и големи системи и услуги, да пазят в plain text, а някакви "квартални" сайтчета, писани от начинаещи надали си заслужава да се коментират.

Паролите имат два проблем за мен. Първия е ясен, а втория е когато се пишат на машини/OS, които може да са компрометирани някак, или просто нямам сигурност дали са Ок и нямат някой кейлогер.



#15 instinct

instinct

    Майстор

  • Members
  • PipPipPipPip
  • 427 posts

Posted 23 May 2018 - 19:05

Тedy, ние може да си позволим да нямаме скрупули какво ползваме, защото сме израснали във време, което ни е научило да се оправяме и без АИ. Сигурен съм обаче, че с тоя темп вече има хора, дето (образно казано) и връзките на обувките си не могат сами да завържат, без телефона си, понеже просто никъде не са имали нужната практика.

 

Е последно се сещам официална новина от щатската армия - имало нужда от въвеждане на обучение на персонала/войниците как да ползват обикновени карта, компас и други такива "архаични" пособия за ориентиране, придвижване, задаване на координати. Свикнали били с gps и подобните благини сега, разбираш ли, и наистина си вярват, че навсякъде и винаги ще ги има. Та горе долу в тази посока се движат работите и не случайно кои бяха там от големите собственици на IT компании, стив джобс ли беше, не дават на децата си да ползват таблети и телефони по цял ден. Вместо това - марш навън сред природата и с приятелите... та така, те ли не знаят как и в какво да си възпитават поколението...


"With the sword of happiness I shall redeem a beloved who will afterwards take my life"

"O thou who hast possessions, remain happy and thou shalt have a pleasant life"


#16 tedy

tedy

    Депутат

  • Members
  • PipPipPipPipPipPipPip
  • 8677 posts

Posted 23 May 2018 - 19:22

instinct, е, този (такъв) казус стои винаги още от зората на индустриализацията и компютризацията на обществата :) . Не е само отсега. Всяко нововъведение, което цели улесняване на живота и "напредъка" е свързано с нещо, което залинява като умение в хората, и което вече се върши от машини или други такива автоматизации.

Същото е и с морзовата азбука, и с картите и пергела както ти даваш пример и мнооого други. Това е директно следствие от "напредъка" в технологии и т.н. - нали затова въвеждаме GPS и други технологии, не ние с хартиените карти да се грижим за всичко и за управлението на един кораб или подводница вместо 10 души, да са нужни 500 различни по вид "стари" специалисти. Ясно е, че ако изведнъж изчезне електрониката, сателитите и т.н., много хора просто ще измрат от незнание как да се справят в суровата действителност само с лист хартия, но....

Друг краен пример - ако всички още пишехме на асемблер, докъде щяхме да стигнем? Аамаха, ще се глезят с high-level езици за програмиране и един ред, написан за 10 секунди да прави повече отколкото 1000 реда преди писани за 2-3 часа...

 

Не съм много сигурен обаче къде точно е баланса между двете крайности.



#17 instinct

instinct

    Майстор

  • Members
  • PipPipPipPip
  • 427 posts

Posted 23 May 2018 - 20:27

По въпроса за асемблера мога да направя предположение :) - щяхме да имаме само една добре написана, оптимизирана  и направена както трябва ОС, плюс базов интернет и телефони, и видеовръзка, които щяха да работят отлично и нямаше да се ъпдейтват за щяло и нещяло заради изгъзиците на някой дизайнер. И в интернета налично само това, от което наистина има нужда, и то поднесено по най-удобния и минималистичен начин за ползване без да се губят ресурси за следене, реклами и подобни нововъведения, дошли с високите езици :). А да - и никакви игри за губене на времето ни :)


"With the sword of happiness I shall redeem a beloved who will afterwards take my life"

"O thou who hast possessions, remain happy and thou shalt have a pleasant life"


#18 tedy

tedy

    Депутат

  • Members
  • PipPipPipPipPipPipPip
  • 8677 posts

Posted 23 May 2018 - 21:47

Макар по принцип прекрасно да знам за какво говориш, както и лекия патос по отношение на бъгавостта и тромавостта на днешния софтуер и досадата от реклами и т.н., смея да се осмеля да кажа, че все пак именно тези корпорации, разчитащи на реклами и постоянни промени в дизайн и софтуер, движат всичко това, което иначе нямаше кое да го движи за което говориш - видео конференции, OS и т.н. Всичко струва пари, и колкото и да съм съгласен, че всичко се изражда с времето до безобразни нива и сега един IM софт е 100 пъти по-голям и повече памет гълта отколкото преди, това беше просто неизбежно. Всичко останало е утопия за един идеален свят.

Според мен. Колкото и да съм несъгласен с много от "решенията" за софтуер, хардуер и т.н. Някои софтуери, даже май повечето, все пак се движат в common sense и остават все пак така. Изключвам политическите решения за някои софтери като Windows OS, разни неща по андроид и т.н., както и насилствените ъпдейти и т.н.



#19 ARPAnet

ARPAnet

    Депутат

  • Members
  • PipPipPipPipPipPipPip
  • 1693 posts

Posted 24 May 2018 - 07:01

Всъщност имаше доста издънки с откраднати акаунти и пароли, включително и от компании като Яхуу :) Доста уебове започнаха да предупреждават юзърите си, че мейла/паролата са им лийкнати и е добре да направят нещо
Теди ако някой влезне у вас за да краде данни, най-малкият ти проблем е, че можел да ползва палеца ти докато спиш ;). Къде намеси физикал секюрити при продукт който определено не се пробва да разреши този проблем? Хвърляш рандом неща :))

Инстинкте - Писането на асемблер не е достатъчно само по себе ди за един продукт да бъде добър. Помненето на пароли и то не е достатъчно за да имаш добро секюрити. :)

Edited by ARPAnet, 24 May 2018 - 07:02.

a.k.a Ranger

#20 tedy

tedy

    Депутат

  • Members
  • PipPipPipPipPipPipPip
  • 8677 posts

Posted 24 May 2018 - 09:16

Имаше, но не бих казал доста :) . Но дори тези инциденти в повечето случаи е било нещо друго, а не просто откраднати пароли (хешовете им). Ако са откраднали хешове, то затова се прави, само с тях не могат нищо да направят.

Ако пазят в плаин текст, явно това е някакво нетехническо решение да е така, и дори да не са пароли, ще е нещо друго "политическо" пак в подобен дух.

 

Ако някой влезе у нас да краде данни, ще открадне данни :) . Ако имам сървър със сайт, ще открадне хешовете на паролите, тва е.

А да, ти визираш като клиент с "новия" метод за автентикация :) .. не хвърлям рандом неща, нещо не сме се разбрали. Какви данни ще краде да влиза в нас?! Нали говорим за отпечатъка, както и "флашка" с криптографските данни. Докато спя, всичко що е физическо отвън мозъка ми, може да се "използва". Паролата изисква малко повече, защото изисква повече мъчения да ме накарат да говоря :D . А определено насън не говоря, камо ли пароли.

Относно как "новият" продукт не се опитва да разреши проблема, за който говорим в темата... той се опитва да разреши един проблем (да не помним и пишем пароли и да не ползваме прости такива), но създава друг такъв - физикал секюритито ;) . Е затова намесих всичко, за което се сетих, защото то не е само цветя и рози.

 

За асемблера, да, не е гаранция, даже хай-левъл езиците подобриха качеството, сигурността и намаляват бъговете. За сметка на по-голямата тромавост и изисквания за памет, ресурси и т.н. Нали не си представяме изключително сложна система като OS или доста големи програми какви биха били ако бяха писани на асемблер, да не говорим дали някога щяха да бъдат завършени.






0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users