3 ноя в 00:45 (ON) Notes (B) :

Почему пароли не работают и что их заменит

Франк Суэйн
Репортер по вопросам бизнеса и новых технологий
https://www.bbc.com/russian/features-50240003

Первое средство защиты - пароль... Но 123456 - это не пароль, хотя многие его используют. Это приглашение для мошенников
... Microsoft в прошлом году объявила о планах совсем отказаться от паролей и вместо них использовать биометрические данные или ключ безопасности.
По прогнозу компании Gartner, занимающейся исследованиями в области ИТ, к 2022 году 60% крупного бизнеса и почти все компании среднего размера наполовину сократят использование паролей.
"Пароли - это самый простой путь для хакеров, - говорит Джейсон Тули, директор по прибыли компании Veridium, предоставляющей услуги биометрической аутентификации. - Люди пользуются паролями, которые легко запомнить, а значит, легко и вскрыть".
По данным глобального исследования мошенничества в банковском сервисе, проведенного в 2019 году организацией KPMG, 67% банков инвестировали в физическую биометрию - отпечатки пальцев, распознавание голоса и лица.
В этом году банк NatWest решил опробовать дебетовые карты со встроенным сканнером отпечатков пальцев.
Пользоваться биометрическими способами аутентификации просто, но чтобы ввести их в широкое обращение, нужно специальное оборудование.
Но биометрические данные тоже могут быть украдены. В сентябре китайские специалисты по кибербезопасности продемонстрировали на конференции в Шанхае, что отпечатки пальцев возможно считать с фотографии, сделанной с расстояния в несколько метров.
Если вы думаете, что сменить пароль сложно, попробуйте сменить свои отпечатки пальцев.
Вот собственно то, чем меня и заинтересовала эта статья. Биометрия, не более надёжный метод идентификации, чем пароли. Скорее даже менее, так как её достаточно украсть один раз.
И тем не менее, биометрия будет усердно впариваться, иб удобнее всего она для охранки и налого и штрафо вышибалки. Большой брат любит биометрию.
Метки: копипаста+
113 1 9 0

Комментарии (25)

В общем-то автор статьи очень даже прав.
Почему ты не упомянул многофакторность?

В оригинале именно она подводит итог статье.
А как же политика паролей? Авторы статьи не знают про такую возможность?
Потому что спотык ещё на предыдущем шаге. Классика логики - Летят два крокодила, один красный, а другой на север. После бредового звена в цепи логических заключений, все последующие не имеют смысла.
Биометрия не увеличивает надёжность системы, а уменьшает, так как рисунок отпечатка пальца или сетчатки не заменить. Угнанный пароль можно стереть и сделать более надёжный, скан сетчатки - нет.
Почему ты не упомянул многофакторность?
Давай не будем заменять старый термин на новый и воображать, что изобрели нечто новое. Старый термин - ДВОЙНАЯ АВТОРИЗАЦИЯ и совершенно не важен источник набора цифр пароля, из генератора случайных чисел или с сканера отпечатка пальца. Точнее важен, второй пароль в случае биометрии не заменяем.
Конечно знают, но им важно пропихнуть идею необходимости биометрии. Кредитная карта с сканером отпечатка не позволит отвертеться, что это не ты покупал и отвечать на вопрос налоговой - "Откуда деньжишки" таки придётся.
Прочитав оба твоих ответа (Ивану и мне) я поняла почему из всей массы информации ВВС ты выбрал именно эту и почему ты урезал оригинальный текст.

Возможно моё мнение ошибочно и ты его опровергнешь своими будущими комментариями.

Учитывая то, что твои блоги читают твои Друзья, среди которых есть люди крайне далёкие от глобальной сети, я постараюсь объяснить свою точку зрения максимально простым языком.

Итак:

им важно пропихнуть идею необходимости биометрии
Это твой страх потери анонимности в сети, коей ты так дорожишь.
С твоей точки зрения это шаг к чипизации населения с целью усилить контроль над ним.

Возможно. Но говоря о биометрии вообще и о биометрической аутентификации ты исходишь из того, что:
рисунок отпечатка пальца или сетчатки не заменить. Угнанный пароль можно стереть и сделать более надёжный, скан сетчатки - нет.
Но это в корне ошибочное мнение.

Не вдаваясь в дебри современной криптографии приведу несколько простых примеров.

Современные девайсы имеют функцию идентификации пользователя по отпечатку пальца.

Что бы разблокировать телефон пользователь должен приложить свой палец с принимающему сенсору.

То есть никто кроме этого человека телефон разблокировать не сможет.

Это одноступенчатая аутентификация.

Но допустим этот телефон продан другому человеку.

Тогда есть способ отменить контрольную матрицу отпечатка пальца и перезалить её на скан нового владельца.

Тоесть система отмены аутентификаций вшита в исходняк.

Примерно такая же система, только на порядки более сложная стоит и на других, требующих большей защиты, сетях.

Как это работает объясню на примере того же девайса с функциями двух и более связанных систем аутентификации.

Отпечаток пальца + графический код + юникодная комбинация.

При входе в систему такая цепочка сообщает матрице три параметра (вообще их значительно больше, но для простоты понимания назову только главные три)
Это офтоп.
Для сайта не поддерживающего голосовые сообщения, для нормальных дискуссий 2.000 знаков (включая пробелы) в комментариях

МАЛО.

Вторую часть напишу чуть позже.
Итак, подойдя к девайсу пользователь должен аутентификацировать свою личность.
Это он делает по отпечаткам пальцев.
Самая простая аутентификация.

Далее девайс разрешает пользователю использование данного девайса.
Но это ещё не вход в систему.

Система же запрашивает графический код.
И вот тут начинается самое интересное.
Современные графические ключи имеют встроенные сканеры отпечатков пальцев.
Тоесть аутентификация двойная уже на этом этапе.
Несовпадение отпечатка, как и неверный графический ключь могут заблокировать все дальнейшие действия данного девайса.
Но допустим ключ набран верно и нужными отпечатками.
Тогда для окончательного доступа в систему необходимо набрать на тактильной клавиатуре юникодную комбинацию.
Но и в данном случае это нужно сделать "правильными" пальцами, так как и в кнопках клавиатуры встроены сканеры отпечатков пальцев.

Такая система входа защищает и девайс, и системную информацию от несанкционированных вторжений на много лучше, чем обычная юникодная комбинация или то что вы называете паролем
(Совокупность очерёдности латинского шрифта обоих регистров и чисел)

Теперь я рассмотрю данные аутентификации с точки зрения несанкционированных вторжений.
Проще говоря, с точки зрения хакинга.

Да, получить требуемые отпечатки всех пальцев пользователя это самая лёгкая задача.
Думаю вы некоторые способы знаете и сами из фильмов или других источников. Поэтому не буду останавливаться на механниках таких получений.

Перейду сразу к математике.

Хакер, имея отпечатки пальцев своей жертвы получил доступ к его девайсу.

Для входа в систему девайса ему надо пройти биометрическую аутентификацию приложив палец у считывающему устройству.

Вероятность 1 к 20.

Для хорошего хакера это не проблема.

Он во внутренней системе девайса.

Теперь ему надо пройти первичную аутентификацию графическим кодом и биометрией.

И вот тут возникает для него первая серьёзная проблема.
Привет. Помнишь меня?
Для простоты я приведу пример самой распространённой графической
аутентификации.
Так называемого квадрата 9.
Он идентичен клавиатуре набора NN обычного смарта и выглядит так:

1==》2.......3
.
.
.4.......5.......6
.
.
7.......8.......9

где линия со стрелкой (===》) обозначает одиночный ключ графического аутентификатора.

Тоесть если мы берём простейший ключ, то это переход от одно цифры к другой.

У всех цифр (кроме 5) возможных переходов 3.
У цифры 5 возможных переходов 8

8х4=32

Теперь добавляем пальцы.

32×20=640 возможных комбинаций.

И это при одиночном (переход от одной цифры до ближайшей) коде.

Предоставлю вам возможность самим посчитать количество возможных комбинаций при переходе от одной цифры к двум последующим.

А лучше вспомнить известную притчу, описанную господином Перельманом в книге "Занимательная математика", о шахматной доске и зёрнышках пшеницы.

Самыми распространёнными графическими ключами аутентификаторами являются буквы Z и П
В обоих задействовано 6 переходов и 5 цифр, на которых вы можете сменить палец, в случае поддержки данным аутентификатором биометрической аутентификации.
Теоретически вы можете менять палец на каждой промежуточной цифре.
И это я говорила только о сплошных графических ключах.
А если ключ с разрывом цифровых цепочек?

Урожаи зерна Шаха нервно курят.

Я ещё не говорила о тактильных свойствах биометрической аутентификации по отпечаткам пальцев (грубо говоря нажиме на панель каждого пальца и как сдедствия задействование разных площадей сканирования)

Тоже самое, только ещё в больших масштабах происходит и при вводе пароля с биометрической аутентификацией клавиатуры.

Да, есть программы которые могут обойти все вышеперечисленные способы защиты, но они очень дорогие и требуют определённой подготовки хакерской группы.

Ваше облачное хранилище или банковский счёт такими прогами ломать никто не будет.

И резюмируя сказанное
Показать комментарий
Скрыть комментарий
Назад 1 из 3 Вперёд
1 2 3
Для добавления комментариев необходимо авторизоваться
Интерны
Увлекательная игра в больничку
Версия: Mobile | Lite | Touch | Доступно в Google Play