Комментарии 83
На ноутбуках достаточно изменить направление потока воздуха :)
Чтобы кулер не засасывал воздух из-под клавы, а, наоборот, дул на нее горячим.
Выхлоп может быть довольно горячим, да и пластик от такого быстрее стареет.
Раз в час на минуту включать реверс. Заодно и пыль обратным ходом выдует...
Думаю, самым надежным вариантом было бы не набирать пароль, когда у тебя за спиной стоит подозрительный чувак с тепловизором.
Ещё интересно, сколько потребуется времени хакеру, что бы подобрать пароль из 7 символов, которые он увидит через тепловизор....
Ещё интересно, сколько потребуется времени хакеру, что бы подобрать пароль из 7 символов, которые он увидит через тепловизор....
Судя по видосу - сильно подбирать не надо, нажатые клавиши просто надо выстроить от холодного к горячему.
если клавиша участвует в пароле более одного раза, вся система начинает рушиться. И тогда критерий, что самая горячая клавиша - последняя - не работает.
да и в целом этот критерий работал бы при одинаковых размерах и температурах пальцев, а это уже не так даже у одного человека.
А ещё есть Shift, который в процессе набора пароля, который содержит несколько заглавных/символов, нажимается неоднократно... В общем, если защиты от перебора паролей (таймауты, блокировки) у целевой системы нет - поможет, конечно, а вот если есть - уже не особо.
если клавиша участвует в пароле более одного раза, вся система начинает рушиться.
А методу не надо быть 100% повторяемым. Если не удалось украсть деньги с карты у которой пин-код 3322, то дальше будет десяток пинов с разными цифрами.
Но повтор - норм метод снижения риска. А я на банкомате, обычно, после ввода пина ещё фантомные "нажатия" делаю прикасаюсь к нескольким кнопкам произвольно.
да и в целом этот критерий работал бы при одинаковых размерах и температурах пальцев,
Нет, там же не абсолютные температуры важны.
Если не удалось украсть деньги с карты у которой пин-код 3322, то дальше будет десяток пинов с разными цифрами.
Сколько получал пинов — всегда в коде была одна повторяющаяся цифра: например, 3763, 4889, 1318 и т.д.
Во многих банках ПИН можно задать при получении карты. Необязательно, что все будут ставить с повторяющимися цифрами.
Сколько получал пинов — всегда в коде была одна повторяющаяся цифра:
Ну, а мне ни разу повторяющихся не выдавали.
Я когда второй-третий пин получил, заметил такой интересный факт, что цифр всегда четыре, а вот разных — ровно три, и с тех пор стал следить. Мне действительно ни разу не выдали пин без одной повторяющейся цифры.
А то, что Вам выдавали абсолютно случайные — это, видимо, карго-культ: "все выдают четыре, и мы выдадим четыре, а то, что там есть повторения — ну то было случайно и мы вообще не обратили внимания."
Вы такой вывод сделали на основе вашего опыта с тремя пинами?
Сейчас пробежался по архиву карточек в менеджере паролей (я туда пины скидывал). За два десятилетия из вороха карт пяти российских банков и трёх европейских нашёл ровно один пин с дублями - у тинька (но ещё три у того же тинька с разными, а потом он перестал сам выдавать пины, теперь их пользователь устанавливает).
Вы серьёзно верите, что ВСЕ эти банки страдают карго культом и только единственный ваш с кривым рнд генератором - это образец? Ну... тут главное - верить :)
Вы такой вывод сделали на основе вашего опыта с тремя пинами?
Не с тремя, я примерно с пятьюдесятью (9 разных банков, 20 лет).
Ну так я и говорю: у нас в США как я рассказал, а у Вас — карго-культ.
Когда в банке работал, у карточной системы была опция по типу "запоминаемые пин-коды" (точной формулировки не помню). Сырцы не исследовал (вендор лок, все дела), но при включении оно выдавало пин-коды с дублирующимися цифрами. Насколько оно распространено в банковском секторе мне неизвестно (работал там менее года), мне выдаваемые пины не показались особо запоминаемыми, и вообще такая практика дурно пахнет.
В хороших банках коды подтверждения "человекозапоминаемые". Какие-нибудь 3237 или 4878. Это некоторое снижение безопасности, но для одноразовых кодов это норм. А у банков, о которых говорит @Wesha - карго-культ. Они не поняли почему так и выдают такие же слабые пинкоды - ну, а чё, там и там четыре цифры...
Вангую новое требование к паролю: "Один символ обязательно должен повторяться"
Думаю что немного и на 15 символов, если пароль километровый, но осмысленный. Пример - фильм Тихушники. Запомнить же что-то невразумительное на 16 символов возможно только если ты его используешь везде, а это уже другая дыра.
Есть компромиссный вариант, например, 13 символов везде, а 3 меняются.
Тогда стойкость вашего пароля эквивалентна трёхсимвольному.
Ага-ага, хакеру осталось всего-то самая мелочь —угадать, какие символы из 13 меняются (да и сколько их, меняющихся)
Утечки паролей значительно повышают шансы раскрытия схемы. Если бы я занимался data enrichment-ом наборов личных данных, я бы обязательно помечал записи, содержащие несколько сходных паролей для анализа на эту тему. Потому что такие схемы, чаще всего - самообман.
Ну в том-то и дело, что "если бы да кабы..."
У вас какой-то базарный аргумент вышел, традиционно.
Речь о том, что если человек, который этим не занимается может до этого додуматься, профессионал из области незаконной торговли личными данным - и подавно додумается.
Потому что "человек, который говорит "это так же легко, как отобрать конфетку у младенца" никогда сам не пробовал отобрать конфетку у младенца".
Начнём с того, что у Вашего злоумышленника волшебным образом откуда-то появились пароли в открытом виде, причём с различных сайтов. Да, конечно, некоторые сайты действительно хранят их в открытом виде — но постоянное отрындюливание их количество постоянно уменьшает, а превращение хэша обратно в пароль — занятие тем сложнее, чем исходный пароль длиннее (например, 30-символьный пароль исключает радужные таблицы.)
Может и целиком уникальный пароль утечь. Понятно, что это мнение надёжно, но закрывает две задачи - устойчивый к тупому перебору пароль и делает пароль человекочитаемым, запоминаемым. Не обязательно же 13+3, можно 6+7+3 и вообще в любом порядке и менять префиксы никто не запрещает регулярно.
Давайте рассмотрим ситуацию безопасности комбинации данных для доступа по пунктам.
Уникальный пароль от сервиса Х может утечь, конечно.Но кроме сервиса Х он более ничего не компрометирует. А в случае, если он содержит неуникальную подстроку, это скрыто или явно (если утек более чем один пароль) увеличивает возможность компрометации доступа ко всем остальным сервисам, где для создания пароля использована та же схема.
Устойчивость пароля к перебору - значимый аргумент только если сервис не имеет такой защиты. Сейчас это бывает, но крайне редко.
Легкую запоминаемость можно обеспечить абсолютно без использования схем, использующих неуникальную подстроку. Хорошие ключевые фразы, например, запоминаются надежно. Не везде это возможно, потому что есть ограничения на длину.
Сложные схемы с более замысловатым перемешиванием - сложны для использования. Т.е. гипотетически, это возможно. Практически - малореально.
Ага-ага, хакеру осталось всего-то самая мелочь —угадать, какие символы из 13 меняются (да и сколько их, меняющихся)
Ему не надо угадывать. Уникальные пароли - это противодействие модели атаки с утёкшими базами паролей. В данной модели достаточно предположить две утекшие базы и ваша доморощенная криптография очень веселит хацкера.
Для примера Qwerty307@rz7ua93037, rz7ua9%5403754987 удачи угадать где переменные части, где постоянные...
Hidden text
Qwerty307-@-rz7ua9-3037 rz7ua9-%-5403754987 переменная часть спецсимвол.
Ваш пример не имеет ничего общего с вашим предложением:
Есть компромиссный вариант, например, 13 символов везде, а 3 меняются
В вашем же примере и общая длина гораздо больше и изменяемая часть гораздо больше, непонятно какую проблему это решает и зачем тут вообще неизменная часть? Давайте вы будете приводить примеры согласно обсуждаемому утверждению, а не какие захотелось. Ок?
Это пример по мотивам реально используемых паролей - для меня, как человека это уже хорошо запомненные "слова", условный номер паспорта 5403754987, условный пароль провайдера rz7ua9 который в свое время надо было миллион раз вводить, условный пароль затычка Qwerty307, условный пинкод старой карточки 3037. По отдельности они небезопасны. Но их можно слепить вместе и получается пароль, который для меня выглядит как А-Б-@-В. Можно упростить, пусть будет по другому - есть утечки Qwerty307@rz7ua9 и Qwerty307*****rz7ua9, как определить по ним мой условный третий пароль?
Да они уязвимее к атаке по словарю, к подбору по утечкам - это очевидная вешь, вопрос на сколько? На 10%? На 50%? А с учетом например увеличенной длинны пароля?
Можно упростить, пусть будет по другому - есть утечки Qwerty307@rz7ua9 и Qwerty307*****rz7ua9, как определить по ним мой условный третий пароль?
Если на ходу менять условия задачи, то никак.
Если изменяются три символа, как в исходной задаче, то длина вашего пароля становится эквивалентна трёхсимвольному. Это было моё исходное утверждение.
Это не задача, это пример - есть некий длинный наполнитель, сам по себе не очень безопасный, номер документов, телефона, готовое слово, которое работает на увеличение длинны пароля. И в случае если слово гарантированно с словаре, например, Qwerty307 = 307. А если как в примере выше в 20 символов, вероятно уже такого виляния не будет.
Зачем вы приводите примеры не имеющие отношения к обсуждаемой теме? Это первое.
А второе - если из 20 символов пароля у вас 10 всё равно случайные, то нафига вам там неслучайные?
Тяжеловато запомнить 20 случайных символов, а по группам вполне норм. Ещё раз, для меня как человека, пароль выглядит как А-Б-550-В, а не как 20 знаков. Не уверен, что при таком раскладе искать в пароле Qwerty даст значительный выигрышь в скорости перебора, всё равно слишком долго.
Дело в том, что они "не случайные" только для законного пользователя — а для хакера, который видит перед собой утечку с миллионом паролей (и у каждого пользователя эти "переменные части" свои) они вполне себе "случайные".
Вы, возможно, не в курсе, но хакеры давно не просматривают глазками миллионы паролей. Эффективные алгоритмы делают это гораздо быстрее. Прогнать базы на совпадение 13 из 15 символов - дело минут, если не секунд. И, поверьте, хакеры в курсе про таких как вы чуваков, пытающихся "обмануть" математику с префиксами и постфиксами к неизменяемым паролям. Никогда не пытайтесь изобретать самопальную наколеночную "криптографию". Это глупо и небезопасно.
В общем эти хакеры гоняют-гоняют, гоняют-гоняют, уже 30 лет прошло — а у меня так ни разу ничего и не угнали. Сколько можно ждать?
У меня ещё вопрос почему тепловизор, а не обыная камера. Это же очень редкий случай, что ты вводишь пароль и сразу встаёшь от стола
Там про пинпады и банкоматы в том числе. Да и от стола отвлечь можно иногда, дождавшись ввода пароля.
Ну для банкоматов, вроде, придуман способ защиты - авторизация через qr или NFC
В альфовских банкоматах qr код или nfc с телефона просто заменяет физическую карту, т.е. ввод пин-кода всё равно требуется. Возможно где-то по другому.
А почему вообще речь о банкомате? Самый большой риск - терминалы в магазинах.
А карту как склонировать? А если терминал копирует карту, то ему ничего не мешает считать и введённый код без тепловизера
"Партия всё предусмотрела, товарищи". В терминалах полно всякой магии, чтобы затруднить перехват, а PIN терминал сам не проверяет, а посылает на сервер банка, и уже тот говорит "правильно/неправильно".
Богатство вариантов POS-терминалов - больше богатства вариантов банкоматов. Плюс, POS-терминалами пользуется на два порядка больше индивидуумов, чем банкоматами для внесения и снятия наличных. Соответственно, скиммер на POS-терминале имеет на два порядка больше шансов успешного считывания карт, чем на банкомате.
Вот только POS-терминалы в большинстве случаев под прямым взглядом продавца и знают как он выглядит. Налепить на него накладку считывателя можно, но спалиться при этом вероятность близка к 100%.
Я даже не слышал(в РФ) о случаях с скиммером на POS-терминале. Только на банкоматах и то уже давным давно.
Ну и от пинкода толку нет. Работает он только в банкомате и POS-терминале. А карту с чипом не скопируешь никак. От такого они уже давно защищены.
Попытка хорошая, но это не поможет скорее всего.
Человек с тепловизором может подойти к банкомату как следующий клиент, и считать ваш пин. У вас 7 значный пин к карте ? Это какой банк такие даёт ?
передачи тепла от рук пользователей путём использования перчаток или резиновых напальчников
Как много сложностей на пустом месте.
Пин можно набрать другой картой, (ребром карты), ключом, ребром чехла для карт.
Площадь контакта микронная, тепла почти не оставит, а так же не оставит жирных отпечатков для других "каналов взлома".
Но есть 100% более удобный способ, перед тем как выйти из машины и пойти к банкомату, зайти в приложение, и поставить ПИН условный 1234.
Пойти к банкомату, снять деньги, сесть в машину и снова поменять ПИН.
Пусть хоть в упор смотрят на ПИН живущий 10 секунд.
При наборе пароля на обычной клаве можно подержать пальцы на кнопках не используемых, до и после ввода пароля. И как предлагают в статье, после ввода положить ладонь на клаву на 3-5 секунд.
Пин-код набирается в начале операций, а тепло живет - сколько там в оригинальной статье писали? 80 секунд? Да ни один банкомат не даст так быстро продраться через все меню и подтверждения и выдать кэш или платеж. И еще удачи 3^4 комбинаций подобрать за три попытки, если одна цифра повторяется и тепловой след не идеальный. Нежизнеспособно это, кроме случаев, когда скрытый тепловизор заранее установлен в офисе.
А греть клавиатуру рукой - это перебор уже. Можно еще посоветовать на нее наблевать, чтобы стоящий сзади хакер с тепловизором ушел с отвращением.
Вы перегибаете палку, не надо никуда блевать.
Тепловизор могут спрятать в подвесном потолке, или снимать через отражения. Тепловое свечение тоже отражается. Но всё это МАЛОВЕРОЯТНО. А могут тупо видео снимать.
А обсуждение статьи носит чисто ВЕРОЯТНОСТНЫЙ характер. (типа "а что если" ) (и почти что шуточный).
А вот 80 секунд фиг знает, в банкоматах например Тинькоф субъективно уходит 20-30 секунд чтоб получить бабки.
А вместо обычной клавы хорошо бы аппаратный ключ использовать.
Тепловизор могут спрятать в подвесном потолке
А разве на таком расстоянии от объекта клавиатура не будет выглядеть просто как размытое пятно?
Для нормального качества надо тогда уж вблизи клавиатуры размещать...
удачи 3^4 комбинаций подобрать за три попытки, если одна цифра повторяется и тепловой след не идеальный
Там це два из четырёх = 4! / 2! (4-2)! = 6 при трёх попытках - 50% вероятность угадать. Отличный вариант.
Но есть 100% более удобный способ, перед тем как выйти из машины и пойти к банкомату, зайти в приложение, и поставить ПИН условный 1234.
Пойти к банкомату, снять деньги, сесть в машину и снова поменять ПИН.
Вы точно уверены, что этот способ более удобный, чем просто набрать цифры в перчатке или напалечнике? :)
Как часто у Вас с собой есть перчатки/напалечники ?
А ключи от дома/машины ? Чехол от карточек ?
Поменять Пин после публичного ввода, по моему мнению, самый безопасный способ "прикрыть" лазейки для съёма денег.
Потому что скимерщики могли подделать саму карту с прошлого прихода, и им осталось "вытащить" у Вас пин. Но если Пин постоянно меняется, скимерщики пойдут лесом.
А ваши "резиновые изделия" для пальцев при таком раскладе никак не защитят.
Как часто у Вас с собой есть перчатки/напалечники ?
Кроме небольшого периода "зелёной зимы", почти всегда. А в период "зелёной зимы" часто велосипедные перчатки. Но идея с напалечником мне понравилась, можно закинуть в карман. И, даже не обязательно напалечник, а просто кусок велкро стяжки для кабелей и перед транзакцией оборачивать её вокруг пальца :)
А ключи от дома/машины ? Чехол от карточек ?
А какая разница? Вы же не этот способ предложили как более лёгкий. А что такое чехол для карточек я вообще не знаю. Это как чехол для телефона? Не представляю зачем. Ключом... Наверное, можно, но неудобно же. На мелком терминальчике на кассе в магазе... Данунафиг. Идея с велкро на пальце кажется мне всё более привлекательной!
Поменять Пин после публичного ввода, по моему мнению, самый безопасный способ
Вы сказали - более удобный. И не "поменять после", а поменять и до, а потом после. И так при каждом походе в магаз. Очень удобно.
Но если Пин постоянно меняется, .
Как же он меняется, если вы его предложили:
Пойти к банкомату, снять деньги, сесть в машину и снова поменять ПИН.
Или тут не старый вернуть, а ещё более новый? И вы их все запоминаете? Круто, у меня и вполовину не такая хорошая память.
скимерщики пойдут лесом
Наоборот, им совершенно незачем ждать пока вы поменяете второй раз, они воспользуются вашим "временным" 1234 пока вы идёте у машине. И так каждый раз, когда застают вас у банкомата - им даже считывать его не придётся. :)
А ваши "резиновые изделия" для пальцев при таком раскладе никак не защитят
Если пин не узнают, то не смогут им воспользоваться. Что здесь не так?
Hidden text
чехол для карточек.
Вы сказали - более удобный
удобный среди ПРОЧИХ обеспечивающих высокую БЕЗОПАСНОСТЬ работы с банкоматом.
И так при каждом походе в магаз. Очень удобно.
не испытываю ни малейших проблем от такого способа несколько лет.
Или тут не старый вернуть, а ещё более новый? И вы их все запоминаете? Круто, у меня и вполовину не такая хорошая память
каждый раз новый, случайный. Я их вообще не запоминаю, когда надо применить карту, ставлю новый пин, который помню в течении дня, а на другой день поставлю новый.
Наоборот, им совершенно незачем ждать пока вы поменяете второй раз, они воспользуются вашим "временным" 1234 пока вы идёте у машине
когда я воспользовался ПИН кодом, на карточке уже не осталось денег. представляете ? потому что я на карточку скину ровно столько, сколько хочу снять, с других счетов.
Какие то очевидные и банальные вещи разжёвываю, как для детей 7 лет.
А в следующий раз я пойду с другим ПИН кодом в стиле 1112, и скимерщики вновь побреются. Так понятнее ?
Если пин не узнают, то не смогут им воспользоваться. Что здесь не так?
Его и не узнают до момента съёма денег, в чём ошибка ?
Весь прикол в том чтоб сделать работу с ПИН кодом безопасной и простой, ДАЖЕ если его отчётливо видят кто угодно кругом, без лишней шелухи.
А всего-навсего нужно иметь пароль с повторяющимися символами.
Всего лишь нужно набирать пароль не одним пальцем, тыкая кнопки по очереди, а положить на клавиатуру/пинпад сразу всю руку, а потом некоторые кнопки нажимать, а к некоторым только прикасаться.
Практическое использование атаки ну очень сомнительно: надо чтоб жертва набрала пароль и сразу отскочила от клавиатуры чтоб дать отработать тепловизору и чтоб ещё и не фонить.
При таких исходниках проще заснять на видео процесс ввода пароля - и дешевле и надёжнее и погода не влияет
Вся эта статья звучит как Хакер в столовой
Эх... ))
У LockPickingLayer на ютубе давным-давно данный вектор атаки озвучен, как и методы защиты. И там не потребовалось 100500 исследований.
я впервые столкнулся в древнем splinter cell
Замечу, что дело не только в нагреве клавиш... а мож и не столько? Изменяется чернота поверхности, от "грязи" оставленной пальцами. Отраженное ик тут играет рояль.
Подсветка в клавиатуре, которая мигает случайным огоньками сильно подпортит тепловое считывание. Ещё бы заменить светодиоды на микро-лампочки.. :))
Эксперты предложили несколько способов нейтрализации тепловых следов после ввода паролей и пин-кодов