Jump to content

SUBIECTE NOI
« 1 / 5 »
RSS
Rezultat RMN

Numar circuite IPAT si prindere t...

Pareri brgimportchina.ro - teapa ...

Lucruri inaintea vremurilor lor
 Discuții despre TVR Sport HD

Cost abonament clinica privata

Tremura toata, dar nu de la ro...

Renault Android
 Recomandare bicicleta e-bike 20&#...

Bing-Content removal tool

Nu pot accesa monitorulsv.ro de l...

Cum sa elimini urmele de acnee?
 Wc Geberit

Routere detinute in trecut si in ...

Teii din fața casei

E-Mail in serie prin Excel si Out...
 

Metode de autentificare

- - - - -
  • Please log in to reply
41 replies to this topic

#19
PreTXT

PreTXT

    Moderator

  • Grup: Senior Members
  • Posts: 2,053
  • Înscris: 09.01.2003

evilone, on Dec 2 2004, 10:58, said:

Exact. Este sistemul aplicat de semnaturile digitale (vezi legea 455/2001 :) ). Cheia privata este stocata pe un token/smartcard, este protejata de un PIN si nu poate fi exportata. Chip-ul care implementeaza algoritmul de criptare este inclus tot in device, asa ca nici nu este nevoie de un astfel de export.

<{POST_SNAPBACK}>


da, sistemul este deja in folosire si in aplicatiile e-banking din Romania (vezi ING)

#20
laurentiu907

laurentiu907

    Moderator

  • Grup: Senior Members
  • Posts: 2,940
  • Înscris: 14.12.2003

PreTXT, on Dec 2 2004, 11:04, said:

OK .. deci m-am lamurit ca e vorba de teorie. Dar ... tot nu este practic. Te astepti ca un utilizator sa retina parola urmatoare la fiecare logare-delogare in sistem ? sa fim seriosi ...

<{POST_SNAPBACK}>


DA.

PreTXT, on Dec 2 2004, 11:04, said:

Daca te gandesti sa stochezi parola intr-un oarecare mod .. ce rost mai are ? exista PKI, certificate.
layerele respective de securitate (2-factor authentication) le aplic de exemplu pentru VPN in LAN-ul companiei .. se aplica la toate aplicatiile bancare on-line .. se poate aplica la orice merita nivelul asta de securitate (iar costurile de implementare sunt f. reduse)

<{POST_SNAPBACK}>


Pai asta daca folosesti VPN.... Nu toti sau mai putini recurg la VPN... Am explicat mai sus.... Eu vorbesc de orice, mai putin VPN, care oricum foloseste user si parola in natura lui...

Inca ma gandesc la o solutie pentru home useri, si nu enterprise...

#21
PreTXT

PreTXT

    Moderator

  • Grup: Senior Members
  • Posts: 2,053
  • Înscris: 09.01.2003
OK ... daca te astepti ca utilizatorul sa retina noua parola pana la urmatoarea folosire ... inseamna ca deja discutam de power user si nu de utilizatorul obisnuit.

btw, cum vei genera parolele a.i. sa poate fi memorate si sa nu fie susceptibile la dictionary attack?

passwd = catel .. not good, e usor de spart
passwd = agtyE$bP#<On ... faina, dar cine o tine minte ?

desigur ca se pot genera parole complexe si care sa fie usor retinute de user ... dar pentru asta user-ul face o asociere mentala (o fraza, CNP inversat, primele 15 strofe din Luceafarul, etc ... ) ... daca tu esti cel care alege parola, cum o sa faci ca user-ul sa retina parola si nu sa so scrie in primul fisier txt pe desktop sau pe vreo bucata de hartie ?

#22
PreTXT

PreTXT

    Moderator

  • Grup: Senior Members
  • Posts: 2,053
  • Înscris: 09.01.2003
dupa asta trecem si la mecanismul de transmite a parolei  ;)  inapoi catre utilizator.

#23
evilone

evilone

    Senior Member

  • Grup: Senior Members
  • Posts: 3,521
  • Înscris: 14.12.2003
Si mai ales: what's the point, atunci cand PKI functioneaza :)
Impreuna cu salvarea cheii private pe token protejat de PIN mi se pare o solutie formidabila.

#24
PreTXT

PreTXT

    Moderator

  • Grup: Senior Members
  • Posts: 2,053
  • Înscris: 09.01.2003

evilone, on Dec 2 2004, 11:32, said:

Si mai ales: what's the point, atunci cand PKI functioneaza :)
Impreuna cu salvarea cheii private pe token protejat de PIN mi se pare o solutie formidabila.

<{POST_SNAPBACK}>


well ... discutabil ;).
daca autoritatea de certificare este compromisa, s-a dus dracu' tot PKI-ul daca nu esti pe faza (unul din motivele pentru care Root CA trebuie sa fie always offline si sa ai certificatori pe nivele).
Sa nu uitam povestea cu certificatele Microsoft emise de VeriSign acum cativa ani catre 2 asa-zisi angajati (pentru cine vrea sa verifice : start-run-mmc.exe - add Certificates snappin - computer account si uitati-va la Untrusted Certificates)

ca sa nu mai vorbim ca toate metodele de criptografie actuale se presupune ca sunt sigure ....dar nu exista o certitudine matematica. Afirmatia ii apartine lui Rafal Luckawiecki, expert in criptografie.

in concluzie, nu exista securitate 100% ... dar atata vreme cat esti prevenit asupra "gaurilor" de securitate in infrastructura ta, poti macar sa fii pregatit.

#25
laurentiu907

laurentiu907

    Moderator

  • Grup: Senior Members
  • Posts: 2,940
  • Înscris: 14.12.2003

PreTXT, on Dec 2 2004, 11:46, said:

in concluzie, nu exista securitate 100% ... dar atata vreme cat esti prevenit asupra "gaurilor" de securitate in infrastructura ta, poti macar sa fii pregatit.

<{POST_SNAPBACK}>


Depinde de situatie.... Ceea ce spui este mai mult teoretic...

Vis-a-vis de criptarea informatiei, e de ajuns cateva caractere speciale, un case sensitive, si un hammering protection, plus un sistem de notificare in caz de posibila accesare "frauduloasa", si s-ar rezolva... cel putin in domeniul de care vorbesc eu... in care se stie ca MAC IP este sub orice critica...

Eu vorbesc de un dictionary creat de utilizator, storat de server din care sa "aleaga" randomic, diferite combinatii, oarecum usor tinute minte de utilizator...

Logic ca nu e usor de pus la punct, si ca utilizatorul va avea prima tendinta sa o scrie pe o bucata de hartie... Insa daca i se explica cate ceva de securitate....

Pana si utilizatorii de bancomat tind sa-si scrie PIN-urile pe hartii sau telefoane mobile... ASTA nu inseamna ca exista PREMISE CLARE in posiblitatea "crack-ului" de card-uri.... plus ca PIN-ul ala amarat de 4 cifre, ce sa mai zica??? Nu e cheie pe 256 biti...  :)

#26
evilone

evilone

    Senior Member

  • Grup: Senior Members
  • Posts: 3,521
  • Înscris: 14.12.2003

PreTXT, on Dec 2 2004, 11:46, said:

well ... discutabil ;).
daca autoritatea de certificare este compromisa, s-a dus dracu' tot PKI-ul daca nu esti pe faza (unul din motivele pentru care Root CA trebuie sa fie always offline si sa ai certificatori pe nivele).

<{POST_SNAPBACK}>


E drept, dar daca cineva ar afla cheia privata a VeriSign nu ai fi singurul cu o problema ;). Daca chiar vrei sa fii stapanul propriului destin, poti sa-ti faci tu un Root CA. Evident ca trebuie sa ai grija de cheia privata ca de ochii din cap.

#27
PreTXT

PreTXT

    Moderator

  • Grup: Senior Members
  • Posts: 2,053
  • Înscris: 09.01.2003

laurentiu907, on Dec 2 2004, 11:53, said:

Depinde de situatie.... Ceea ce spui este mai mult teoretic...
nu ... este si practic. Am invatat sa am un respect considerabil pentru posibilitati/limitari in domeniul securitatii .. kestia cu "unbreakble" e o gluma de marketing ptr. diferite produse .. NU EXISTA ASA CEVA !

Quote

Vis-a-vis de criptarea informatiei, e de ajuns cateva caractere speciale, un case sensitive, si un hammering protection, plus un sistem de notificare in caz de posibila accesare "frauduloasa", si s-ar rezolva... cel putin in domeniul de care vorbesc eu... in care se stie ca MAC IP este sub orice critica...
in discutia care am avut-o cu Rafal era vorba despre mecanismul de criptare in sine, despre algoritmii de criptare (e.g. cum ar fi factorizarea numerelor prime) care se bazeaza pe niste supozitii ... mai exact se bazeaza pe niste axiome, care prin definitie  nu sunt demonstrate. probabil ca nu ma exprim prea bine, nu sunt specialist in criptografie, dar argumentatia lui a fost convingatoare ptr. mine si altii in ceea ce priveste viitorul in acest domeniu.

Quote

Eu vorbesc de un dictionary creat de utilizator, storat de server din care sa "aleaga" randomic, diferite combinatii, oarecum usor tinute minte de utilizator...

Logic ca nu e usor de pus la punct, si ca utilizatorul va avea prima tendinta sa o scrie pe o bucata de hartie... Insa daca i se explica cate ceva de securitate....
concret, care este beneficiul sistemului? in acelasi stil pot sa-mi fortez userii sa schimbe parola zilnic  si sa cer 12 caractere minim, cu nivel de complexitate... deci, unde e diferenta ?

Quote

Pana si utilizatorii de bancomat tind sa-si scrie PIN-urile pe hartii sau telefoane mobile... ASTA nu inseamna ca exista PREMISE CLARE in posiblitatea "crack-ului" de card-uri.... plus ca PIN-ul ala amarat de 4 cifre, ce sa mai zica??? Nu e cheie pe 256 biti...  :)

<{POST_SNAPBACK}>


da, dar aici intervine conceptul de 2-factor ... trebuie sa ai card-ul si trebuie sa stii parola .. suficient timp ptr. ca respectivul sa se trezeasca si sa anunt banca sa blocheze contul.

este acelasi concept ca si in cazul parolelor ... nu iti alegi o parola complexa ca sa fie de neatacat ... toate se pot sparge .. diferenta intervine in perioada de timp necesara, perioada care iti da timp sa descoperi atacul si sa iei masuri corective (blocare card, blocare cont, etc. )

#28
PreTXT

PreTXT

    Moderator

  • Grup: Senior Members
  • Posts: 2,053
  • Înscris: 09.01.2003

evilone, on Dec 2 2004, 12:01, said:

E drept, dar daca cineva ar afla cheia privata a VeriSign nu ai fi singurul cu o problema ;). Daca chiar vrei sa fii stapanul propriului destin, poti sa-ti faci tu un Root CA. Evident ca trebuie sa ai grija de cheia privata ca de ochii din cap.

<{POST_SNAPBACK}>


da ... conteaza sa te prinzi la timp, a.i. sa revoci certificatul in cauza
(nasol daca chiar root-ul e compromis  -_- )

#29
muntos

muntos

    Member

  • Grup: Members
  • Posts: 549
  • Înscris: 03.08.2002
Eu pot sa va dau un exemplu de authentificare pentru un sistem e-banking folosit la noi in Romania.
Dispozitivul cu pricina se cheama SafeWord,seamana cu un calc de mana,la deschidere cere un PIN si pe baza unui challange generat de server (de fiecare data altul) genereaza un raspuns .Legatura intre Safeword si sistem se face printr-un numar de pe spatele SafeWordului.Algoritmul de criptare al safewordului e un DES cu lungimea cheii de 56 biti.
Practic un utilizator care are dispozitivul nu trebuie sa tina minte decat codul PIN si cum se foloseste :)

#30
evilone

evilone

    Senior Member

  • Grup: Senior Members
  • Posts: 3,521
  • Înscris: 14.12.2003

PreTXT, on Dec 2 2004, 12:03, said:

In discutia care am avut-o cu Rafal era vorba despre mecanismul de criptare in sine, despre algoritmii de criptare (e.g. cum ar fi factorizarea numerelor prime) care se bazeaza pe niste supozitii ... mai exact se bazeaza pe niste axiome, care prin definitie  nu sunt demonstrate.

<{POST_SNAPBACK}>


Criptografia cu chei publice se bazeaza pe supozitia ca nu *este fezabil* sa factorizezi un produs de numere prime suficient de mari (observa ca nu am folosit cuvantul "imposibil"). Deci daca am doua numere prime, X si Y (ambele kilometrice) si iti dau tie produsul lor, tu probabil o sa pierzi ani de zile incercand sa afli pe X si pe Y :). Evident, sistemul se poate sparge, dar daca nu ai resurse hardware informatia va fi deja perimata in momentul in care vei reusi sa ajungi la ea. Si sa nu-ti inchipui ca dublarea sau triplarea puterii procesorului va scurta prea mult timpul. Cheile pe 1024 de biti sunt considerate "safe" cel putin pana in 2015. Se face trecerea pe 2048.

#31
laurentiu907

laurentiu907

    Moderator

  • Grup: Senior Members
  • Posts: 2,940
  • Înscris: 14.12.2003

PreTXT, on Dec 2 2004, 12:03, said:

concret, care este beneficiul sistemului? in acelasi stil pot sa-mi fortez userii sa schimbe parola zilnic  si sa cer 12 caractere minim, cu nivel de complexitate... deci, unde e diferenta ?

<{POST_SNAPBACK}>


Diferenta consta in faptul ca daca le ceri 12 caractere, complexitate, modificata zilnica te vei trezi ori ca au doar 2 parole pe care le interschimba la fiecare doua zile, ori daca il fortezi ca mereu sa fie alta, diferita, vei sfarsi in a si-o scrie pe hartie, asa cum nu-ti doresti...

Cand vorbesc de parola veche, si de cea noua alocata, deja ma folosesc de ce stiu, si de ce am deja... deci e un two factor....

Vis-a-vis de PIN-ul de bancomat, ai inteles gresit... problema nu se punea in a gasi cardul si a "sparge" PIN-ul, ci in a spoofa cardul printr-un dispozitiv magnetic, si a "sparge" PIN-ul....

Eu va inteleg reticenta, prin principiul "de ce sa mai descoperim roata", insa eu vorbesc de ceva mai "aplicabil", si la indemana omului de rand...

Edited by laurentiu907, 02 December 2004 - 12:13.


#32
PreTXT

PreTXT

    Moderator

  • Grup: Senior Members
  • Posts: 2,053
  • Înscris: 09.01.2003

muntos, on Dec 2 2004, 12:08, said:

Eu pot sa va dau un exemplu de authentificare pentru un sistem e-banking folosit la noi in Romania.
Dispozitivul cu pricina se cheama SafeWord,seamana cu un calc de mana,la deschidere cere un PIN si pe baza unui challange generat de server (de fiecare data altul) genereaza un raspuns .Legatura intre Safeword si sistem se face printr-un numar de pe spatele SafeWordului.Algoritmul de criptare al safewordului e un DES cu lungimea cheii de 56 biti.
Practic un utilizator care are dispozitivul nu trebuie sa tina minte decat codul PIN si cum se foloseste :)

<{POST_SNAPBACK}>


ceea ce descrii este exact mecanismul de challenge/response folosit la token-uri hardware. Algoritmul de criptare este in schimb slab ... DES pe 56 biti s-a demonstrat de mult ca se poate sparge f. usor; este recomandat 3DES sau AES.

#33
PreTXT

PreTXT

    Moderator

  • Grup: Senior Members
  • Posts: 2,053
  • Înscris: 09.01.2003

laurentiu907, on Dec 2 2004, 12:12, said:

Diferenta consta in faptul ca daca le ceri 12 caractere, complexitate, modificata zilnica te vei trezi ori ca au doar 2 parole pe care le interschimba la fiecare doua zile, ori daca il fortezi ca mereu sa fie alta, diferita, vei sfarsi in a si-o scrie pe hartie, asa cum nu-ti doresti...

solutia care o propui presupune chiar mai mult decat atat .. tu vei forta complexitatea, vei forta schimbarea zilnica si mai mult, vei forta chiar string-ul parolei, deoarece chiar tu vei fi generatorul de parole (user-ul este fortat sa o memoreze).

Quote

Cand vorbesc de parola veche, si de cea noua alocata, deja ma folosesc de ce stiu, si de ce am deja... deci e un two factor....
nu prea este 2-factor ... parola veche intervine in mecanismul de generare si nu cel de autentificare ptr. sesiune noua.

Quote

Vis-a-vis de PIN-ul de bancomat, ai inteles gresit... problema nu se punea in a gasi cardul si a "sparge" PIN-ul, ci in a spoofa cardul printr-un dispozitiv magnetic, si a "sparge" PIN-ul....
OK, dar presupune tot 2 lacate de descuiat (card-ul se blocheaza la 3 incercari nereusit de introducere a PIN-ului)

Quote

Eu va inteleg reticenta, prin principiul "de ce sa mai descoperim roata", insa eu vorbesc de ceva mai "aplicabil", si la indemana omului de rand...

<{POST_SNAPBACK}>

da,man .. de acord cu tine .. si eu as vrea sa vad un sistem facil de securitate ... no offence, dar ma indoiesc insa ca solutia propusa vine cu vreun beneficiu  :peacefingers:

#34
muntos

muntos

    Member

  • Grup: Members
  • Posts: 549
  • Înscris: 03.08.2002

PreTXT, on Dec 2 2004, 12:13, said:

ceea ce descrii este exact mecanismul de challenge/response folosit la token-uri hardware. Algoritmul de criptare este in schimb slab ... DES pe 56 biti s-a demonstrat de mult ca se poate sparge f. usor; este recomandat 3DES sau AES.

<{POST_SNAPBACK}>



Scuze,am verificat si este 3DES.

#35
PreTXT

PreTXT

    Moderator

  • Grup: Senior Members
  • Posts: 2,053
  • Înscris: 09.01.2003

muntos, on Dec 2 2004, 12:21, said:

Scuze,am verificat si este 3DES.

<{POST_SNAPBACK}>

okie  :coolspeak: ... asa mai vii de acasa

P.S. un pic de istorie

#36
laurentiu907

laurentiu907

    Moderator

  • Grup: Senior Members
  • Posts: 2,940
  • Înscris: 14.12.2003
Da, corect, fortez generarea parolei, dar in niste intervale introduse de utilizator...

Deci practic generarea nu este unidirectionala... Implica atat utilizatorul, care poate schimba oricand dictionarul, cat si pe mine, care generez parola...

Eu nu vorbesc aici de "utilitatea" sau "imbunatatirile" aduse de o astfel de solutie...

Ci doar de usurinta in implementare, folosire, si pana la urma, peste toate, faptul ca ar putea fi aplicata in retele restranse, in care securitatea este mai mult pentru a descuraja eventuale "atacuri", si nu de protectie impotriva atacurilor care oricum ar fi avut loc...

Vis-a-vis de 2 factor... cam ai dreptate.... insa oricum, generarea celei de-a doua nu poate avea loc fara cunoasterea "cheii" initiale...

Anunturi

Second Opinion Second Opinion

Folosind serviciul second opinion ne puteți trimite RMN-uri, CT -uri, angiografii, fișiere .pdf, documente medicale.

Astfel vă vom putea da o opinie neurochirurgicală, fără ca aceasta să poată înlocui un consult de specialitate. Răspunsurile vor fi date prin e-mail în cel mai scurt timp posibil (de obicei în mai putin de 24 de ore, dar nu mai mult de 48 de ore). Second opinion – Neurohope este un serviciu gratuit.

www.neurohope.ro

0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users

Forumul Softpedia foloseste "cookies" pentru a imbunatati experienta utilizatorilor Accept
Pentru detalii si optiuni legate de cookies si datele personale, consultati Politica de utilizare cookies si Politica de confidentialitate