3 ноя 2019 Notes :
Почему пароли не работают и что их заменит
Франк Суэйн
Репортер по вопросам бизнеса и новых технологий
https://www.bbc.com/russian/features-50240003
Подробнее... Репортер по вопросам бизнеса и новых технологий
https://www.bbc.com/russian/features-50240003
Первое средство защиты - пароль...
... Канал: Информационная безопасность
Метки: копипаста+
Комментарии (25)
Notes
3 ноя 2019
Конечно знают, но им важно пропихнуть идею необходимости биометрии. Кредитная карта с сканером отпечатка не позволит отвертеться, что это не ты покупал и отвечать на вопрос налоговой - "Откуда деньжишки" таки придётся.
0
Итак, подойдя к девайсу пользователь должен аутентификацировать свою личность.
Это он делает по отпечаткам пальцев.
Самая простая аутентификация.
Далее девайс разрешает пользователю использование данного девайса.
Но это ещё не вход в систему.
Система же запрашивает графический код.
И вот тут начинается самое интересное.
Современные графические ключи имеют встроенные сканеры отпечатков пальцев.
Тоесть аутентификация двойная уже на этом этапе.
Несовпадение отпечатка, как и неверный графический ключь могут заблокировать все дальнейшие действия данного девайса.
Но допустим ключ набран верно и нужными отпечатками.
Тогда для окончательного доступа в систему необходимо набрать на тактильной клавиатуре юникодную комбинацию.
Но и в данном случае это нужно сделать "правильными" пальцами, так как и в кнопках клавиатуры встроены сканеры отпечатков пальцев.
Такая система входа защищает и девайс, и системную информацию от несанкционированных вторжений на много лучше, чем обычная юникодная комбинация или то что вы называете паролем
(Совокупность очерёдности латинского шрифта обоих регистров и чисел)
Теперь я рассмотрю данные аутентификации с точки зрения несанкционированных вторжений.
Проще говоря, с точки зрения хакинга.
Да, получить требуемые отпечатки всех пальцев пользователя это самая лёгкая задача.
Думаю вы некоторые способы знаете и сами из фильмов или других источников. Поэтому не буду останавливаться на механниках таких получений.
Перейду сразу к математике.
Хакер, имея отпечатки пальцев своей жертвы получил доступ к его девайсу.
Для входа в систему девайса ему надо пройти биометрическую аутентификацию приложив палец у считывающему устройству.
Вероятность 1 к 20.
Для хорошего хакера это не проблема.
Он во внутренней системе девайса.
Теперь ему надо пройти первичную аутентификацию графическим кодом и биометрией.
И вот тут возникает для него первая серьёзная проблема.
Это он делает по отпечаткам пальцев.
Самая простая аутентификация.
Далее девайс разрешает пользователю использование данного девайса.
Но это ещё не вход в систему.
Система же запрашивает графический код.
И вот тут начинается самое интересное.
Современные графические ключи имеют встроенные сканеры отпечатков пальцев.
Тоесть аутентификация двойная уже на этом этапе.
Несовпадение отпечатка, как и неверный графический ключь могут заблокировать все дальнейшие действия данного девайса.
Но допустим ключ набран верно и нужными отпечатками.
Тогда для окончательного доступа в систему необходимо набрать на тактильной клавиатуре юникодную комбинацию.
Но и в данном случае это нужно сделать "правильными" пальцами, так как и в кнопках клавиатуры встроены сканеры отпечатков пальцев.
Такая система входа защищает и девайс, и системную информацию от несанкционированных вторжений на много лучше, чем обычная юникодная комбинация или то что вы называете паролем
(Совокупность очерёдности латинского шрифта обоих регистров и чисел)
Теперь я рассмотрю данные аутентификации с точки зрения несанкционированных вторжений.
Проще говоря, с точки зрения хакинга.
Да, получить требуемые отпечатки всех пальцев пользователя это самая лёгкая задача.
Думаю вы некоторые способы знаете и сами из фильмов или других источников. Поэтому не буду останавливаться на механниках таких получений.
Перейду сразу к математике.
Хакер, имея отпечатки пальцев своей жертвы получил доступ к его девайсу.
Для входа в систему девайса ему надо пройти биометрическую аутентификацию приложив палец у считывающему устройству.
Вероятность 1 к 20.
Для хорошего хакера это не проблема.
Он во внутренней системе девайса.
Теперь ему надо пройти первичную аутентификацию графическим кодом и биометрией.
И вот тут возникает для него первая серьёзная проблема.
Для простоты я приведу пример самой распространённой графической
аутентификации.
Так называемого квадрата 9.
Он идентичен клавиатуре набора NN обычного смарта и выглядит так:
1==》2.......3
.
.
.4.......5.......6
.
.
7.......8.......9
где линия со стрелкой (===》) обозначает одиночный ключ графического аутентификатора.
Тоесть если мы берём простейший ключ, то это переход от одно цифры к другой.
У всех цифр (кроме 5) возможных переходов 3.
У цифры 5 возможных переходов 8
8х4=32
Теперь добавляем пальцы.
32×20=640 возможных комбинаций.
И это при одиночном (переход от одной цифры до ближайшей) коде.
Предоставлю вам возможность самим посчитать количество возможных комбинаций при переходе от одной цифры к двум последующим.
А лучше вспомнить известную притчу, описанную господином Перельманом в книге "Занимательная математика", о шахматной доске и зёрнышках пшеницы.
Самыми распространёнными графическими ключами аутентификаторами являются буквы Z и П
В обоих задействовано 6 переходов и 5 цифр, на которых вы можете сменить палец, в случае поддержки данным аутентификатором биометрической аутентификации.
Теоретически вы можете менять палец на каждой промежуточной цифре.
И это я говорила только о сплошных графических ключах.
А если ключ с разрывом цифровых цепочек?
Урожаи зерна Шаха нервно курят.
Я ещё не говорила о тактильных свойствах биометрической аутентификации по отпечаткам пальцев (грубо говоря нажиме на панель каждого пальца и как сдедствия задействование разных площадей сканирования)
Тоже самое, только ещё в больших масштабах происходит и при вводе пароля с биометрической аутентификацией клавиатуры.
Да, есть программы которые могут обойти все вышеперечисленные способы защиты, но они очень дорогие и требуют определённой подготовки хакерской группы.
Ваше облачное хранилище или банковский счёт такими прогами ломать никто не будет.
И резюмируя сказанное
аутентификации.
Так называемого квадрата 9.
Он идентичен клавиатуре набора NN обычного смарта и выглядит так:
1==》2.......3
.
.
.4.......5.......6
.
.
7.......8.......9
где линия со стрелкой (===》) обозначает одиночный ключ графического аутентификатора.
Тоесть если мы берём простейший ключ, то это переход от одно цифры к другой.
У всех цифр (кроме 5) возможных переходов 3.
У цифры 5 возможных переходов 8
8х4=32
Теперь добавляем пальцы.
32×20=640 возможных комбинаций.
И это при одиночном (переход от одной цифры до ближайшей) коде.
Предоставлю вам возможность самим посчитать количество возможных комбинаций при переходе от одной цифры к двум последующим.
А лучше вспомнить известную притчу, описанную господином Перельманом в книге "Занимательная математика", о шахматной доске и зёрнышках пшеницы.
Самыми распространёнными графическими ключами аутентификаторами являются буквы Z и П
В обоих задействовано 6 переходов и 5 цифр, на которых вы можете сменить палец, в случае поддержки данным аутентификатором биометрической аутентификации.
Теоретически вы можете менять палец на каждой промежуточной цифре.
И это я говорила только о сплошных графических ключах.
А если ключ с разрывом цифровых цепочек?
Урожаи зерна Шаха нервно курят.
Я ещё не говорила о тактильных свойствах биометрической аутентификации по отпечаткам пальцев (грубо говоря нажиме на панель каждого пальца и как сдедствия задействование разных площадей сканирования)
Тоже самое, только ещё в больших масштабах происходит и при вводе пароля с биометрической аутентификацией клавиатуры.
Да, есть программы которые могут обойти все вышеперечисленные способы защиты, но они очень дорогие и требуют определённой подготовки хакерской группы.
Ваше облачное хранилище или банковский счёт такими прогами ломать никто не будет.
И резюмируя сказанное
И резюмируя сказанное
Я знаю, что с логикой ты не дружишь, а темы хакерства способны спровоцировать тебя на много букв флуда. )))Постарайся понять очень простую мысль - двойная авторизация с контролем сложности обоих паролей избыточно надёжнее всех биометрий, к тому же усложняющих и удорожающих девайс не нужным функционалом.
Единственно, в чём рулит скан пальчика, при том ПРОСТОЙ СКАН, без танцев с бубном, это соблазнительная простота применения - приложил пальчег и авторизовался, вместо мигрени с паролями.
И резюмируя сказанное приведу некоторые цитаты из статьи, на которую ссылается Сим, и которые он не упомянул в своём блоге, что и вызвало у меня некоторое недоумение и как следствие эти длиннопосты.
Разговор именно о использовании сразу нескольких разных способов аутентификации.
А то о чём говорит Сим:
Об этом в статье речи нет.
Далее хочу обратить ваше внимание на следующую цитату, где опять упоминается многофакторность.
А если кто то опасается биометрической аутентификации из за того, что ваши биоданные могут попасть в сеть и вы потеряете свою анонимность, но я вам открою "страшеый секрет полишинеля":
Многие ваши биометрические данные уже находятся в сети и ими уже пользуются те, кому они доступны.
Хотите вы этого или нет.
Компании все больше полагаются на многофакторную аутентификацию, суть которой в использовании сразу нескольких разных способов распознания клиента.
И это не только конкретные методы, такие, как PIN-коды или сканирование отпечатков пальцев. Это и проверка других данных: через местонахождение, историю покупок или даже способ, которым вы держите телефон.
Тоесть ведь никто не говорит о биометрической аутентификации ВМЕСТО других способов защиты. И это не только конкретные методы, такие, как PIN-коды или сканирование отпечатков пальцев. Это и проверка других данных: через местонахождение, историю покупок или даже способ, которым вы держите телефон.
Разговор именно о использовании сразу нескольких разных способов аутентификации.
А то о чём говорит Сим:
соблазнительная простота применения - приложил пальчег и авторизовался
не что иное, как "открытая дверь" и приглашение мошенников. Об этом в статье речи нет.
Далее хочу обратить ваше внимание на следующую цитату, где опять упоминается многофакторность.
Многофакторная аутентификация безопасна
по сравнению с монофакторной приложил пальчег и авторизовался
И в заключении ещё одна цитата из статьи: Заменит ли биометрия пароли?
НЕТ.
Пароли заменит комбинация факторов
. НЕТ.
Пароли заменит комбинация факторов
А если кто то опасается биометрической аутентификации из за того, что ваши биоданные могут попасть в сеть и вы потеряете свою анонимность, но я вам открою "страшеый секрет полишинеля":
Многие ваши биометрические данные уже находятся в сети и ими уже пользуются те, кому они доступны.
Хотите вы этого или нет.
Для добавления комментариев необходимо авторизоваться
Родная деревня
Так увлекательно вести хозяйство Вам ещё никогда...