Comments 75
Зато это устройство потерять легко. И пароль скомпрометировать. Судя по видео оно эмулирует клавиатуру, т.е. достаточно его просто воткнуть его в комп с активным полем ввода и узнать что там записано.
Ага. Не хочу обобщать, но вот часто у моих коллег все проще — записал пароль на бумажку и положил куда-нибудь рядом с компьютером, особенно где-нибудь в бухгалтерии… И не надо ничего никуда втыкать…
Это (использование задницы для распознавания личности) kp.ru/daily/25812/2790452/ скомпрометировать сложнее.
p.s. ждем распознавание личности по активности головного мозга (когда человек думает о входе в систему), это уж точно подделать будет сложно, никаких паролей, нечего сказать злоумышленнику и голову отрезать бесполезно…
p.s. ждем распознавание личности по активности головного мозга (когда человек думает о входе в систему), это уж точно подделать будет сложно, никаких паролей, нечего сказать злоумышленнику и голову отрезать бесполезно…
В «некоторых компаниях» за такие девайсы отобьют руки, по целой куче причин 
Когда уже сканеры пальца будут во всех клавиатурах, технологии лет 10 а распространения почем-то до сих пор не получила.
Не получила она распространения из-за массы практических недостатков. Палец можно отрезать (и подогреть перед использованием, если сенсор чувствует температуру), отпечаток можно снять с кружки и сделать «перчатку».
А так да, флешка с чтением отпечатка пальцев у меня есть. Но это не более чем игрушка.
А так да, флешка с чтением отпечатка пальцев у меня есть. Но это не более чем игрушка.
Палец отрезать, отпечаток с кружки… Страсти-то какие.
Речь идет об офисном использовании сканера, для простой замены ввода пароля, безо всяких изобретений типа сабжа. Надо пароль поменять — поменяли палец. И не забудешь, и не потеряешь.
Речь идет об офисном использовании сканера, для простой замены ввода пароля, безо всяких изобретений типа сабжа. Надо пароль поменять — поменяли палец. И не забудешь, и не потеряешь.
Офисы, в которых любят менять пароли, обычно не приёмом макулатуры занимаются :-)
И если кто-то действительно захотел (т.е. имеет коммерческий интерес) проникнуть в систему (т.е. пойти на уголовщину) несмотря на существующие меры безопасности — то работать будут профессионалы, для которых отрезание пальца это банальность :-) Проблема именно в том, что палец — это очень просто и легко.
А идти на опасные уговоры сотрудника чтобы он сам шел и что-то говорил или делал никто не станет.
И если кто-то действительно захотел (т.е. имеет коммерческий интерес) проникнуть в систему (т.е. пойти на уголовщину) несмотря на существующие меры безопасности — то работать будут профессионалы, для которых отрезание пальца это банальность :-) Проблема именно в том, что палец — это очень просто и легко.
А идти на опасные уговоры сотрудника чтобы он сам шел и что-то говорил или делал никто не станет.
Ну если уж для этих профессионалов отрезание пальца банальность, то методом утюга или паяльника терморектального криптоанализа они получат и обычный пароль, и супер-пупер флешку и всё что угодно. И это, заметьте, гораздо проще чем рубить палец и идти с ним к сканеру.
Нет-нет, когда все зависит от слов человека — появляется место для провала операции. А если не скажет, и пропажу человека сразу заметят? А если скажет, но пароль будет «тревожный»? Много если и гемора… А палец — чик и готово, никаких вопросов и вариантов
В общем, отказались от сканеров не спроста…
В общем, отказались от сканеров не спроста…
You want a toe? I can get you a toe. Believe me, there are ways, Dude. You don't wanna know about it. I can get you a toe by 3 PM, with nail polish. These fuckin' amateurs.
Офисы, которые занимаются не приёмом макулатуры вполне могут ввести двухфакторную аутентификацию. Причём злоумышленникам потребуется куда больше усилий для её преодоления:
— получение пароля — угроза отрезания пальца
— получение пальца — отрезание пальца
— получение пароля и пальца — отрезание пальца и угроза ещё чем-то более страшным (если знаешь, что палец и так отрежут, то смысла говорить пароль нет под угрозой его отрезания).
— получение пароля — угроза отрезания пальца
— получение пальца — отрезание пальца
— получение пароля и пальца — отрезание пальца и угроза ещё чем-то более страшным (если знаешь, что палец и так отрежут, то смысла говорить пароль нет под угрозой его отрезания).
А вы товарищ, далеко пойдете ;-)
Все гораздо проще.
1) Угрожаем отрезать палец — получаем пароль.
2) Отрезаем палец, не смотря на то что нам сказали пароль — получаем палец.
3) Двухфазную аутентификацию прошли. PROFIT!
1) Угрожаем отрезать палец — получаем пароль.
2) Отрезаем палец, не смотря на то что нам сказали пароль — получаем палец.
3) Двухфазную аутентификацию прошли. PROFIT!
Человек заранее знает, что без его пальца ничего не откроешь -> палец 100% отрежут -> не говорит пароль.
Профит не получился
Профит не получился
У человека есть еще 19 пальцев… Скажет, куда денется.
Тем более, отрезать надо минимум 10 пальцев — я же вам не скажу, каким именно я на ноуте своем идентифицируюсь. А еще можно пальцы ног использовать. Ну и по секрету — папиллярные узоры не только на пальцах присутствуют, но и вообще на поверхности ладоней (и ступней). Так что пилим руки-ноги целиком, мммм, кровищанямкамммимимичортпалюсь.
Терморектальный криптоанализ — наше все. И волки сыты, и пальцы целы.
Терморектальный криптоанализ — наше все. И волки сыты, и пальцы целы.
Это уже проблемы убеждения. Можно объяснить что палец нам не нужен, мы же можем просто снять отпечаток и сделать перчатку. А потом таки отрезать(быстрее и дешевле же).
Отрезать палец? В случае офисного планктона, достаточно терморектального криптоанализа. Хирургическое вмешательство излишне.
Мне одному кажется, что под реальной угрозой отрезания пальца почти любой скажет все пароли, которые знает и не знает? Я, например, знаю «дефолтные» пароли семи человек, включая пароли от интернет-банкинга у двоих.
Зря знаешь, лучше порекомендуй сменить скорее. Если что случиться — трясти будут в первую очередь тех кто знает пароли, и тех кому выгодно. Ты в первом списке.
Они их забудут :( Собственно я играю роль бэкапа. Будь сканер отпечатков стандартным устройством аутентификации, такая роль не понадобилась бы в принципе.
BarsMonster все правильно сказал. Даже если не идти на варварское отрезание пальцев — взять кружку цели в общей столовой и снять с нее отпечаток не такая уж и проблема. Зато сменить биометрические данные можно только заменой сотрудника, и об этом всегда забывают ратующие за биометрическую аутентификацию.
Есть сканеры, которые определяют пульсацию крови в пальце. Они на отрезанный реагировать не будут.
Да всё даже еще проще, без отрезаний пальцев:
Внедряли сканер отпечатков пальцев в одной организации, и пока тестировали на департаменте IT все было хорошо. Начали внедрять по всей конторе и уперлись в проблему: каждая четвертая женщина не может залогиниться — палец тупо не считывается. То ли крема мешают, то ли влажность кожи не та, но существенная часть из 9000 сотрудников начала тратить по 30 минут на логин. Пришлось подкручивать настройки так, что польза от сканера свелась к минимуму.
Внедряли сканер отпечатков пальцев в одной организации, и пока тестировали на департаменте IT все было хорошо. Начали внедрять по всей конторе и уперлись в проблему: каждая четвертая женщина не может залогиниться — палец тупо не считывается. То ли крема мешают, то ли влажность кожи не та, но существенная часть из 9000 сотрудников начала тратить по 30 минут на логин. Пришлось подкручивать настройки так, что польза от сканера свелась к минимуму.
При запуске системы идетификации по отпечаткам на 25 сотрудников была обнаружена одна барышня у которой папиллярный узор был настолько слабо выражен, что сканер не справлялся. Пришлось для нее сделать карточку.
А пароль оно генерирует самостоятельно? Если да, то как у него с энтропией?
Генерирует сама, да, по 5-и нажатиям Caps Lock. Причем если случайно пароль поменял и старый нигде не записал, он будет потерян навсегда. Как в этом устройстве с энтропией не знаю, но в подобном устройстве для создания энтропии использовался встроенный в контроллер модуль АЦП, инициализирующий генератор ПСП случайным шумом.
В качестве источника энтропии используется время между нажатиями CapsLock.
в качестве источника энтропии можно брать сигнал с болтающегося АЦП
Суровая корпоративная политика, предусматривающая периодическую смену пароля, причем, зачастую, в последствии, пароль нельзя использовать повторно даже после n-го количества смен, также предусматривает тотальное отключение всех usb и других портов, не используемых в непосредственной работе, а также устройств вне белого списка. При этом, да, пароль на листочке под клавиатурой можно победить разве что внезапными обысками. :D
А если не отключение USB, то логгирование с гарантией попадания под зоркое око…
Если открыт белый список USB-устройств, его можно обойти. По крайней мере такому человеку как автор девайса, паять-то он явно умеет :)
У меня смена пароля каждые 3 месяца, кол-во их ИТ отдел не раскрывает, но не менее 20.
Все порты свободны, могу носить ноут домой, все что хочу с ним делаю, даже имею админские права.
Не всегда все делается по логике, просто такая политика.
Все порты свободны, могу носить ноут домой, все что хочу с ним делаю, даже имею админские права.
Не всегда все делается по логике, просто такая политика.
Эта штука отнимает у пароля саму его сущность — something you know. Еще есть something you have (криптованный токен, а не эта plain-text штука) и something you are — пальцы, глаза, лицо, рисунок капилляров и т.п. В большинстве случаев достаточно применять два из трех something, это и называют двухфакторной аутентификацией.
Крема и скрабы — страшные вещи с людьми творят :( А в американском посольстве видел тётеньку, у которой тоже не считывались отпечатки. Они там всем посольством вокруг неё плясали — руки и грели/растирали пока добились устойчивого считывания.
А если говорить про сущность, то часа необходимость регулярно придумывать сложный пароль уже сама по себе отнимает эту сущность.
Всё же эта DIY вещичка — продвинутый аналог бумажки с паролем, не более того. Автор в первоисточнике это и заявляет.
Идея прикольная. Но я бы реализовал такой генератор в виде программы для смартфона: она будет также генерировать пароли и запоминать их. В таком случае сотруднику все же придется набивать на клавиатуре пароль при входе в систему, зато не надо будет палиться с «флешкой». Хранилище сгенеренных паролей можно защитить при помощи мастер пароля, который сотрудник может не менять долгое время или вообще не ставить
В параноидально настроенных компаниях применяют токены. Нажимаете кнопку, и брелок показывает вам Ваш уникальный пароль (который, впрочем, очень-очень-быстро экспайрится). Вводим кусок личный пароль и пароль с токена (второй раз его не примут). Кейлоггеры отдыхают.
От себя могу сказать, что задалбывает неимоверно. Желаю, чтоб тот, кто это у нас внедрил, пользовался токенами даже для доступа в туалет, к микроволновке, чайнику и кранам с водой.
От себя могу сказать, что задалбывает неимоверно. Желаю, чтоб тот, кто это у нас внедрил, пользовался токенами даже для доступа в туалет, к микроволновке, чайнику и кранам с водой.
Обычно такие пароли внедряют при заходе с сомнительного компьютера, например при поездке куда-то, с ноутбука, в общественном месте — со всего, что можно украсть и где можно подсмотреть. Возможно, кто-то не разобрался до конца и внедрил?
Система OTP оправдана при доступе к рабочему окружению из не внушающих доверия мест — публичные вафляточки, интернет-кафе и прочее. Citrix XenDesktop + Radius Two-Factor Authentication + брелок OTP — и скомпрометировать пароль становится невозможно. А на стационарных рабочих местах лучше смарткарт еще ничего не встречал (с двухфакторной авторизацией конечно же, ибо карточку можно потерять).
Главный минус этого устройства — оно запоминает всего один пароль. Если уж делать что-то подобное, то как аппаратный аналог KeePass, для хранения всех паролей. И да, неплохо было бы прикрутить авторизацию по пин-коду.
Так, я нашел баг в этом устройстве. Поскольку устройство подключается как вторая клавиатура, отслеживать нажатия CapsLock оно не может, вместо этого отслеживается мигание индикатора CapsLock.
А теперь вспоминаем, что в WinAmp когда-то была возможность так сказать «светомузыки», при которой он мигал лампочками клавиатуры во время прослушивания песни (запомнилось, потому что одноклассник во время такого мигания писал программы на Паскале, и они получались в довольно-таки странном стиле). Также этой лампочкой могут управлять и другие программы.
Следовательно, пароль, сохраненный на таком устройстве, обладает способностью неожиданного самосмены…
А теперь вспоминаем, что в WinAmp когда-то была возможность так сказать «светомузыки», при которой он мигал лампочками клавиатуры во время прослушивания песни (запомнилось, потому что одноклассник во время такого мигания писал программы на Паскале, и они получались в довольно-таки странном стиле). Также этой лампочкой могут управлять и другие программы.
Следовательно, пароль, сохраненный на таком устройстве, обладает способностью неожиданного самосмены…
Если кому нравится идея иметь устройство запоминающее и вводящее пароль, то есть очень похожая железка — YubiKey, которая в одном из своих режимов работы умеет делать это. Правда, она совершенно точно не умеет менять пароли по нажатию CapsLock и, насколько я помню, не умеет генерить случайные пароли вообще.
В YubiKey хранение одного единственного пароля — это один из режим работы — самый простенький.
А вообще она на генерацию OTP заточена — что гораздо приличнее.
А вообще она на генерацию OTP заточена — что гораздо приличнее.
Строго говоря, YubiKey генерирует не просто OTP, а комбинацию из некоторого константного ID, прошитого в ключ, плюс counter-based OTP. Наличие ID позволяет использовать YubiKey в качестве самостоятельного(самодостаточного) фактора аутентификации. А вообще, в настоящее время, YubiKey поддерживает еще и Challenge-Response и цифровую подпись.
В больших компаниях, где нужна повышенная безопасность с целью уменшение риска утечки данных/попадания вирусов в корпарационную сеть — USB access is disabled — Threat protection.
В общем всё сводится к тому, что надо 1) телефону добавить систему опознания владельца — по отпечаткам, по сетчатке, да хоть по чему, устройство большое и встроить можно любые датчики. и 2) добавить реально работающий надёжно интерфейс с компьютером, чтобы вводить пароли с телефона. Тогда вся проблема сведётся к корректности определения телефоном своего владельца.
Sign up to leave a comment.
USB запоминатель/генератор паролей спасет от головной боли