Jako osoba trochę bardziej obeznaną z kwestiami bezpieczeństwa niż przeciętny Kowalski uważam, że to nieustanne pieprzenie w mediach przynosi skutek odwrotny do zamierzonego. Garść przykładów:
1) Wymuszanie w każdym serwisie haseł z pierdylionem wymogów, typu specjalne znaki itd. Z punktu widzenia hakera łamiącego hasło, nie ma większego znaczenia czy są tam cyfry, procenty, małpy i inne gówna, czy nieznany mu ciąg liter. Jeśli ktoś nie jest skończonym idiotą i nie stosuje hasła typu „haslo123”, to jego odgadnięcie i tak jest praktycznie nierealne, a przed atakami typu brute force w teorii chronią zabezpieczenia przed serią błędnych logowań. W grę wchodzi więc głównie jego wykradzenie (sposobów tu jest multum, od trojana po włam na bazę danych), a tutaj i tak stopień skomplikowania nie ma żadnego wpływu na powodzenie akcji.
2) Z punktu 1 wynika kolejny problem – ludzie zamiast stosować w jakimś stopniu podobne, ale w praktyce różne hasła, wymyślają jedno spełniające wszystkie wymogi i stosują je gdzie popadnie. To powoduje, że jak ktoś włamie się na 1 konto, to w 5 minut uzyskuje dostęp do wszystkich innych, nie mówiąc o tym, że jeśli mowa o mailu, to może sprawę załatwić poprzez „odzyskiwanie hasła”.
3) Wymuszanie zmiany hasła co jakiś czas (np. 90 dni). Niektóre serwisy urzędowe mają taki idiotyczny wymóg. To powoduje tylko, że stosowanie tam hasła o stopniu bardziej skomplikowanym niż „tomek#123” na przemian z „tomek#321″przerasta jakieś 99% użytkowników. Kolejny skutek odwrotny do zamierzonego.
4) Ułuda dwuetapowego logowania. Ono zapewnia jakiś stopień bezpieczeństwa, ale tylko pod warunkiem, że potrzebujemy do niego osobnego urządzenia (np. telefon – oczywiście dopóki nie padniemy ofiarą kradzieży). Jeśli zabezpiecza nas email, to już gówno daje – ktoś włamie się nam na maila i dalej patrz punkt 2.
5) Bajecznie łatwe logowanie do banków przez telefon. Kretyn który to wymyślił, powinien rozpędzić się ile sił w nogach (albo wsiąść na rower) i na pełnej kurwie przypierdolić łbem o ścianę! Dziś aby na kompie sprawdzić saldo, potrzebuję loginu i hasła, a by sprawdzić ile wydałem rok temu na prezent dla siostrzeńca potrzebuję dodatkowego potwierdzenia PINem, przez rzeczony telefon. Natomiast od zalogowania się w smartfonie oddziela nas… zwykły PIN! Po czym można normalnie robić przelewy. Wystarczy, że ktoś nam niepostrzeżenie ukradnie telefon (restauracja, koncert, możliwości multum), a w jakiś sposób pozyskał nasz PIN (albo urodził się farciarzem i go zwyczajnie odgadnie) to może wyczyścić nam konto, zanim zdążymy się rozejrzeć. Nie muszę chyba dodawać, że połowa ludzkości nie zabezpiecza odblokowywania telefonu w żaden sposób.
6) Najnowsza inba z włamaniem na bazę laboratorium medycznego i zastrzeganiem peselu. To powinno działać tak, że KAŻDY pesel jest domyślnie ZASTRZEŻONY. A lichwiarz który udzielił klientowi pożyczki przez neta na sam nr PESEL, nawet przy podaniu błędnego adresu zamieszkania (były takie przypadki), powinien być ścigany przez prokuratora! To jest niepojęte, że wystarczy znać czyjaś datę urodzenia + te losowe 5 cyfr (choć prawde mówiąc one wcale nie są takie losowe), żeby ktoś w naszym imieniu po prostu nabrał pożyczek!!! Mało tego. W razie takiego przestępstwa najpierw ścigany jest… obywatel, którego okradziono, komornik natychmiast wbija mu na konto i można go jeszcze oskarżyć o sfałszowanie własnych (!) danych. Nosz kurwa mać! To jest tak pojebane, że słów brakuje!!!
7) Podłączanie do internetu wszystkich urządzeń w imię wygody. Zdradzę wam sekret, choć pewnie już to wiecie. Żadne z nich nie jest w 100% bezpieczne. Jednak jeśli da się je ze sobą jakkolwiek powiązać (znany przypadek hakowania całego „smart home” przy pomocy… smart żarówek), to już jesteście ugotowani – i to dosłownie, bo umiejętnie przeciążając elektronikę idzie wywołać nawet pożar.
8) Nie muszę chyba dodawać, że tak przygotowane systemy przy nadchodzącej rewolucji związanej z AI są mniej więcej równie bezpieczne, co naga Miss Universe o północy w połowie sierpnia w centrum muzułmańskiej dzielnicy Marsylii. Biorąc pod uwagę całe projekty typu „smart cities” itp., gdzie stawia się jednocześnie na masową inwigilację i automatyzację, to za chwilę będzie jazda bez trzymanki, a konkretnie coś w rodzaju skrzyżowania Orwella z Cyberpunkiem.
(Admin): Swietny wpis, bardzo pouczajacy! Dzieki.
Co do 5) nie wiem czy istnieje, pewnie jakis idiota tsk wymyslil, zeby jak chcemy zablokowac konto/karte z kompa, to trzeba potwierdzic najpierw jednorazowym pinem wyslanym na tel….ktory wlasnie zostal skradziony.
Ogólnie zgoda, oprócz punktu 1. Hasła można łatwo łamać tzw. metodą słownikową, która jest takim jakby usprawnieniem brute force. Zamiast próbować wszystkich możliwych kombinacji, próbuje się kombinacji całych słów i jest to dużo szybsze. Te znaki specjalne i odpowiednia długość mają to utrudnić.
Niestety, jak upowszechnią się komputery kwantowe, wszystkie te zabezpieczenia staną się gówno warte bo złamanie, powiedzmy 10-znakowego hasła metodą brute force to będzie dla takiego komputera pryszcz. Ciekawe, jak wtedy będziemy się logować.
Jebie mnie cyberbezpieczeństwo. A smart cities będą fajne. Świat Orwella jest piękny. Zobacz jak tam jest bezpiecznie. Zawsze jakiś Lewiatan skutecznie czuwa, żeby ludzie się nie napierdalali.
Już pierwszy akapit ujawnia, że autor nie ma bladego pojęcia o cyberbezpieczeństwie, a przynajmniej ma poważne braki w tej dziedzinie. Sugeruje bowiem, że ataki bruteforce w celu złamania hasła przeprowadzane są za pośrednictwem strony logowania działającego w sieci serwisu. Jest to technicznie niemożliwe. Po pierwsze sam autor zauważa, że istnieje „zabezpieczenie przed serią niepoprawnych logowań”, po drugie: czas potrzebny na złamanie hasła w taki sposób wydłuża się znacząco, ponieważ dochodzi dodatkowe opóźnienie związane z przesyłaniem danych. O tym, że sami administratorzy serwisu szybko zobaczyliby te olbrzymie ilości prób logowań nie wspomnę. Aby atakujący mógł „złamać” hasło metodą „brute force” najpierw wykrada je np. poprzez wyciek bazy danych. Hasło takie powinno być zahaszowane. Zahaszowane hasło łamane jest później metodą „brute force” lokalnie i atakujący dostaje je w formie plain textu. Aprobata admina dla wpisu o tak rażącym braku wiedzy rzuca cień na przyszłość tego portalu i zmusza do zastanowienia się, przed założeniem tu konta z hasłem, jeżeli taka możliwość w przyszłości się pojawi.
(Admin): Po co te złośliwości? Ach tak bo to chujnia przeciez. Rozumiem, że dla Ciebie sugestia = current implementation. O bezpieczeństwie w sieci i jego wdrożeniu można spokojnie napisać książkę, i tak się składa, że trochę się na tym akurat znam, ale miło, że zmieszałeś mnie z błotem tak od razu na start. Tak samo, admin nie może podziękować komuś za ciekawy wpis? Nie bój się, dla użytkowników tak nieufnych jak ty, wprowadzę specjalne rozwiązania: hashowanie haseł, użycie soli, autoryzacja dwuskładnikowa, biometryczna autoryzacja wieloskładnikowa (odcisk palca, rozpoznawanie twarzy, skanowanie tęczówki i rozpoznawanie głosu, oraz odbytu – to dla niektórych dupków na tym portalu :-)), tokeny SH, kryptografia asymetryczna, szyfrowanie end-to-end, firewall i prywatne sieci VPN, z których będziesz mógł dodać swój komentarz 🙂
Wyluzuj. To jest portal branżowy speców od cyberbezpieczeństwa, czy co?
Do admina: Ja chcę się logować przez odcisk odbytu na touchpadzie, proszę to zaimplementować!
(Admin): Ha prawda? Chyba to opatentuje 🙂
Według mnie logowanie biometryczne przy pomocy odbytu nie będzie zbyt bezpieczne ponieważ odbyt w przeciwieństwie do twarzy lub dłoni nie różni się tak bardzo od siebie więc bardzo łatwo będzie można przyłożyć inny odbyt do Twojego urządzenia mobilnego i z dużym prawdopodobieństwem złamać kod dostępu.
Piotrek, siedzisz już ponad godzinę w kiblu, co ty tam kurwa robisz? Łamię kod dostępu mamo.