25
-
bundee #25 Illetve nem magát a képet, hanem az ahhoz valamilyen hozzárendelt számot kellene beütni... Lényegében, egy "asszociációs-kód" ez :) Már ha létezik ilyen kifejezés, bár annak idején sierra játékokban így ellenörízték a Larry játékban, hogy elmultál-e 18 éves :) -
TheZsenyka #24 ASSDF: nem tudtam, hogy mi az SSL, csak gondoltam így logikus, hozzáteszem: a saját zárt világomban gondoltam így :D Azzal egyetértek, hogy minden rendszer, valamilyen módon, feltörhető. A kérdés az, milyen áron és hány év szakirányú kolostorlátogatás szükséges hozzá. Nyílván hogy teljeskörű védelmet az jelentene, ha állig felfegyverzett hithű muzulmán egységek védenék az objektumot, levegőből érkező AWACS felderítő támogatással a baráti USAF részéről, miközben RoboCOP, Superman és Batman járják a folyosókat. Esetleg még a láthatatlan embert is be lehet vonni. De akkor még mindíg jöhet Bob, a kőember, és máris buktad az aranyrudakat amiket odabent őrzöl :D Persze, minden kijátszható. -
TheZsenyka #23 Tehát, egy másik belépésnél, legközelebb lehet, hogy a hóemberes képet kell választanod (tél), aztán egy piros háttrű 9-es számot (de csak a háttér miatt), majd végül egy képet, amin egy női száj (vagy legyen férfi aki az után vágyik) éppen egy körtébe harap. De én ezt csak úgy gondolom. -
TheZsenyka #22 Én másként értelmezem. Mondjuk a következőt kell megjegyezned: tél, piros háttér, gyümölcs
éppen ezért ezeket nyomod meg (legalábbis amikor éppen az jelenik meg, ami most a képen van fent, de ez változhat): a hegycsúcsos képet (mert téli), egy tetszőleges piros hátterű képet (mindegy mit ábrázol), aztán egy tetszőleges gyümölcsös képet, amit itt a cseresznyés, és mindegy milyen a háttere.
Legalábbis én így látom logikusnak. De, mint mondtam, én ehhez nem értek. -
bundee #21 Nos, ha jól értelmezem a fenti eljárást, ez leginkább beléptetőkapuknál lehet ideális. Az alany személyesen megtanulja a párosításokat, a kapunál azonosítja a képeket és beírja a hozzájuk való számot. A gond csak az, hogy elég sok képet meg kell jegyeznie... -
RealPhoenixx #20 ASSDF: kihagytal par dolgot, illetve nem teljessen pontos nehany dolog /bar elegge kozelit/ :)
Szval a lenyeg a csapoajto fuggveny illetve eljaras.
Az RSA nem 10 eves eljaras, hanem van az 30 is boven (utana kellene neznem, de mind1 vegulis)!
Jah es az RSA nem protokoll, hanem algoritmus!
Bar lehet protokoll jellege is, de azert nevezzuk neven a dolgokat pls, es ne csinaljunk olyan dolgokat, hogy pl: kijelentjuk, mint sok balfasz ceg, hogy RS232-es protokollt hasznal, mikozben az csak egy csatlakozasi "fizikai kapcsolodasi" tipus.
Lenyeget tekintve itt tunkeppen sztem mindenki csak azt sugallja, ha egy kicsit is ert a kriptografiahoz, hogy ez az eljaras egy nagy xar, es hogy ez maximum specializalt eljaraskent alkalmazhato, egesz pontosan pedig: specializalt hibrid eljaraskent, vagyis ezt a kis pocs gondolatmenetu cumot beletenni egy szep algoritmikus rendszerbe' -
assdf #19 Vicces amit irsz, meg tudnád mondani hogy ez a rendszer mennyivel biztonságosabb mint a kétkulcsos rsa titkositás? (tudod mindkét félnek van egy nyilvános és titkos kulcsa stb).
A poén ráadásul az benne hogy amit leirtál az nem más mint az ssl-es vpn hálózatok alapköve. A hitelesités elején generál a két fél egy-egy egyszeri titkositásra szolgáló kulcsot, amivel titkositják a te általad beirt jelszót, kulcsot stb.
A bukópálya ott van hogy mivel a megfelelő hosszúságú egyszeri "véletlen" rsa kulcsot nem lehet feltörni időben ezért az összes hacker stb három dolgot probál meg:
1,megprobál közétekékelődni
2,megprobál rést találni a kulcsgenerálás folyamatán és előállitani ugyanazt a kulcsot. (ebből volt már gond amikor a szerver a kulcsot az idő alapján generálta és a tisztelt hacker erre rájött, megszerezte a kulcs egyik párját és egy izgi húzással visszaállitotta a szerver óráját majd minden további nélkül hitelesitette magát a szerveren mikor az legenerálta a kulcsnak a másik felét ami megegyezett a korábbival).
3, megprobál túlcsordulást előidézni.
Nos a jelenlegi rsa protokoll illetve ssl-s megvalósitás már több mint 10 éves igy eléggé le van tisztulva a kód elkerülve a fenti eseteket. Az algoritmus ismert fogást eddig nem találtak rajta (brute forcen kivül) és az ssl megvalósitásban is már elég kevés a hibalehetőség. Olyannyira hogy gyakorlatilag ezt használja minden biztonságra adó ember.
A te általd irt módszer ennek valamiféle csilivili változata, azonban tesztelés nélkül egy ilyen friss és még nem kiforrot technikát én biztos nem cserélnék le a régi megbizhatóra, csak azért mert ez most olyan trendi "szines".
Amit én látok, az az a feltételezés (ami baromság) hogy a jelszavakat távolról távcsővel lesik le a hackerek... Persze nem lennék meglepve ha ezt bekajálnák az emberek akik azt hiszik hogy a számitógépek úgy müködnek mint a filmekben (és hogy egy sokol rádiót is meg lehet virussal fertőzni egy laptop segitségével a himalája tetején...) -
RealPhoenixx #18 TheZsenyka:
Kerdesek:
1. szted miert hasznalunk szamitogepet, meg szamitasra alkalmas egyeb eszkozt?
"Neked kurva nehéz lenne (ha csak nem vagy zseni vazze') fejben matematikai műveleteket végezni egy megjelenített számmal és egy megfelelő választ adni. Képekkel egyszerűbb."
2. Atgondolnad amit irtal? Kisse zavarosnak tunik, bar megertettem mit szerettel volna irni. Viszont sajnos az is latszik hogy nem ertetted meg mit jelent a parositas alap. Merthogy az nem azt jelenti, hogy a szamjegyekhez rendel kepeket es onnantol kezdve hogy egyszer beutotted, akkor mar csak kepeket fog neked mutatni a rendszer es az alapjan kell a szamot beutnod. De amugy ha ezt a dolgot erted, akkor mondhatom hogy eroteljessen hasonlit ehez! A kepes cumo pediglen igencsak parositas alapu, illetve esetleg tartalmazhat szurest is, bar a szuresben nem vagyok bizonyos (marmint hogy ez a xar koppintas tartalmazna mindenbizonnyal ezt)
NB: jobb megertes kedveert: csinalhatja azt is a rendszer, hogy miutan az egyszer hasznalatos jelszot elhasznaltad, es megadtad a kepeket, amiket hasznalni szeretnel, azokbol kepez valamilzen hash-t, akar szabvanyositott eljarason keresztul, akar lehet barmi fele baromsag, de altalaban az ilyen egyedi cumok egyedi bena hash-eket tartalmaznak, plane hogy ikonszeru kis kepi adatsorbol nem mindenfele hash eljarassal lehet megfelelo rendes hash kulcsot kapni (bar ebbe inkab nem rohannek bele) -
TheZsenyka #17 Ne legyetek már nudlik vazze' :D
Van egy kódod, mind1, hogy mi az: 12345 (ASSDF után szabadon). Ha ezt ütnéd vissza párosítással, annak semmiféle értelme nem lenne. Ezért mit tesz a rendszer? Létrehoz egy egyszerhasználatos jelszót, egyes elemeihez kódokat társít, majd kirak neked színes vackokat. Megnyomod a színes vackokat, számgép elemzi, és megállapítja, hogy passzol az egyszerhasználatos jelszóhoz, tehát te tudod az 12345 jelszót is. Beenged. Ezek után az egyszerhasználatos jelszó (nevében is benne van) eldobásra kerül. Nem vagyok mérnök, valszeg el lehet magyarázni picit komolyabb stílusban is, de ez a lényeg. Legalábbis ez tűnik logikusnak nekem. Neked kurva nehéz lenne (ha csak nem vagy zseni vazze') fejben matematikai műveleteket végezni egy megjelenített számmal és egy megfelelő választ adni. Képekkel egyszerűbb. -
RealPhoenixx #16 LOL megint, vagyis bena az egesz
Miertre a valasz:
1. Egesz egyszeruen kizarja a vakokat, illetve a szinvakokat, vagyis szintevesztoket, marpedig a lakossag nem kis resze ilyen! De a terminal oregedeset es szinhuseget sem tekinti hasznalati tenyezonek a faszkalap fejleszto ahogy latom!
2. Az otlet: lopott, de mind1 (ugyanis tarsitasos vedelemmel mar probalkoztak *egesz pontosan: keptarsitas*)
3. A mukodese egyertelmuen parisotas alapu, szval assdf nalad a pont ezen vonatkozasban
4. A rendszer csak jol elkulonitheto elemekkel kepes mukodni (nb: mivel az ember ek java sem kepes mondjuk 1 filmkockaval tobb vagy kevesebb jelenetrol megallapitani, hogy az nem az amit kivalasztottak, a jelenet szinarnyalataitol /finom szinarnyalat megvaltoztatasatol/ meg ekkor meg eltekintettem)
5. a kijelzok felbontasa ill. szinjellege szinten csak abszolut jol elkulonitheto cuccokra alkalmazhato max
6. A kodolas a 3-as pontban leirtnak megfeleloen onmagaban egyertelmuen gyenge
Szval terminalokhoz abszolut hasznalhatatlan szar, de mind1, aki akar, az dobjon csak ki erre penzt!
De ha mar valaki kidobna ra penzt, akkor en inkabb azt mondanam, gondolja at a dolgokat jobban es tegye specifikusabba, mert ez igy onmagaban is csak reteg hasznalatu cucc, akkor legyen legalabb tokeletesitve!!
Avagy esetleg a reteghasznalatot szuntessuk meg.
A legjobb alternativa, ha kette vesszuk az egeszet, vagyis egy reteghasznalatu celra (bizonyos szemelyek nem kepesek rendesen kihasznalni a parositas alapot), illetve a reteghasznalat megszuntetese csak az abras megvalositast hozza (ez esetben nem gond hogy a terminal szinijelzese xar e vagy sem, es az sem ha szinvak a szemely).
Tehat meglatasom, hogy GYENGE LOPAS az egesz egy primitiv .....-tol -
Lame #15 Gondolom az akart lenni :) -
Zoleeca #14 az nem "man in the middle" ? :))
-
Szeszmester #13 Félve írom csak be a véleményem a nagyok közé, főleg, hogy nem regisztráltam a weboldalukon és nem próbáltam ki.
Ha jól értem, nem egy új titkosítási eljárást fedeztek fel, inkább csak egy csili-vili külsőt raktak a dolog köré.
Viszont így hosszabb számsorok megjegyzésére van lehetőség, ami ugye a brute force időtartamát fogja még jobban megnövelni, így nem lesz értelme a dolognak.
Rosszul értelmeztem? Kicsit ködös a cikk, az eljárás pedig teljesen érthetetlen. -
assdf #12 Légyszives magyarázd már el nekünk egyszerü földi halandónak hogy akkor miről is szól ez a cikk. (ha már akkora butaságot irtam amit minden felsőoktatási intézményben taninatak. Lehet hogy nem jártál..?)
Az én értelmezésem szerint ugyanis van egy kódót, tökmindegy mi, legyen 1,2,3,4,5 majd a renszer ezután különböző képeket mutat ami nem 1,2,3,4,5 majd miután te kiválasztottad a megfelelőeket és visszaér hozzá, ő rájön hogy mi a te jelszavad. Ez nagyjából úgy történhet hogy ő képes "visszapárositani" a képeket számmá. Én igy értettem.
Nos ez a módszer nem véd sem a middle in attack ellen (már ha tudod mi az), és ha bárki rájön hogy milyen módszerrel történik a párositás máris ugyanannyit ér mint egy pinkód. Ebből következett hoyx az algoritmusnak titkosnak kell lennie.
paff. Persze ha emögött egy rsa algoritmus húzodik, akkor ugyanolyan nehéz lesz feltörni mint az rsa-t, de ekkor meg az egész csak egy csilivili bizbasz ahogy irtam, és ahogy más már irta csak összezavarja a usert. De ha nem erről szól akkor megkövezlek, de akkor ird le magyarul.
Ja és persze várom a kriptográfiai hiányosságaimra vonatkozó javitást is (mint tudod jobb helyeken nem kritizálunk ugy hogy nem világitod meg mi volt a hibás).
Anyit javitanék magamon, hogy
""Az meg bizonyitott tény hogy egy titkos algoritmus sokkal kisebb védelmet nyujt mint egy publikus algoritmus amit a brute force-nal rövidebb idő alatt bizonyitottan nem lehet feltörni."
helyett:
"Az meg bizonyitott tény hogy egy titkos algoritmus sokkal kisebb védelmet nyujt mint egy publikus algoritmus amit a brute force-nal rövidebb idő alatt jelenlegi ismereteink szerint nem lehet feltörni. -
fixpont #11 pl forraskod ugy latom nincs, ez egy kriptografiai jellegu cuccnal szerintem eleg nagy baj.
egyebkent az algoritmus titkossagara nagyon nem lehet epitkezni, barmennyire is nehez egy program visszafejtese, sokkal kisebb bonyolultsagu feladat mint egy rendes matematikai titkositas torese.
Ugy latom te sem fogtad, mirol szol a cikk. :-) -
Cat #10 Angol:
http://www.seclookon.com/seclookon/onlinetest_en.asp -
tomcs #9 elneztem a honlapra de sajnos nemetul nem tudok, igy nem igazan ertem hogy mi van ott leirva, de pl forraskod ugy latom nincs, ez egy kriptografiai jellegu cuccnal szerintem eleg nagy baj.
egyebkent az algoritmus titkossagara nagyon nem lehet epitkezni, barmennyire is nehez egy program visszafejtese, sokkal kisebb bonyolultsagu feladat mint egy rendes matematikai titkositas torese.
egyebkent itt a cikkben csak egy koncepcio van leirva, ez a hagyomanyosnal kb annyi hogy beirsz egy jelszot, es ha jo megkapod a hozzaferest. ezt meg lehet ugy is valositani hogy vmi tisztesseges algoritmussal kodolva is van az adat, de ugy is hogy egyszeru osszehasonlitas utan megtagadja a kodolatlan adat megmutatasat, szoval pusztan ennyibol nem lehet eldonteni hogy biztonsagos-e. alapjaban veve annyirol van szo, hogy van egy titkos informacionk (a kod), azt egy adattal (a kerdes) kodoljuk es azt kuldjuk vissza, az egesz igy nagyjabol annyit csinal mint egy parameterezheto password hash nemi csilivili vizualizacioval. szoval lehet jol megcsinalva es lehet szarul is, bar meg kell hagyni, az az erzesem hogy a csilivilin van a hangsuly, ezert ezt a megvalositast inkabb nem hasznalnam.. -
wanek #8 "Az meg bizonyitott tény hogy egy titkos algoritmus sokkal kisebb védelmet nyujt mint egy publikus algoritmus amit a brute force-nal rövidebb idő alatt bizonyitottan nem lehet feltörni." - rettenetesen nagy butaságot írtál. -
fixpont #7 assdf: mindket hozzaszolasod arrol tanuskodik, hogy sem a kriptografiahoz semmi kozod, sem pedig az itt emlitett modszert nem erted, de miert van mindig az, hogy a hujek okoskodnak es kotik az ebet a kartohoz, ezt ertenem meg.
Lezlivel meg egyetertek, hogy ezt a rendszer magyarazd el annak akinek a pinkod is gondot okoz. :-) -
assdf #6 Ez nem változtat a lényegen mert akkor meg az algoritmusnak kell titkosnak lenni ami összerendeli a képeket a számokkal (legalábbis ha determinisztikus a rendszer ami nem árt...). Az meg bizonyitott tény hogy egy titkos algoritmus sokkal kisebb védelmet nyujt mint egy publikus algoritmus amit a brute force-nal rövidebb idő alatt bizonyitottan nem lehet feltörni. -
weine #5 na ugy latszik te sem ertetted meg:) de nem is baj, mert difoltbol en is hujesegnek lattam..
Aztan ha belegondolsz, nem annyira hujeseg am...Mert barki is leskelodik, soem ugyanazt a szamsort latja a kodnak, mivel mindi mas es mas szin/kep kombok jelennek meg, es ennek megfelelo szamokat kell beutnod. -
#4 Az egésznek a lényege, hogy hiába figyeli valaki az adatforgalmat, te mindig mást írsz be a képektől-színektől függően.. Tehát amit beírsz, hiába menti el a rosszarcú, az csak egyszerhasználatos. -
bundee #3 Szerintem nem rossz ötlet, mivel minden egyes jelszó megadáskor más és más számsort írsz be (annak függvényében, milyen képeket kell felismerni és számokkal azonosítani, ami megadja az aktuális jelszót).
Hacker elfog egy adatsort, ami nem jelszó, hanem egy "kérdésre" egy "válasz", a "kérdések" pedig minden belépésnél változnak. -
assdf #2 Hát nem is tudom hogy sirjak-e ezen vagy nevessek...
1, szerintem elég kevés jelszót fejtenek úgy meg hogy távolról lesegetik hogy mit ütöttem le. Ehelyett az ügyesebje feltesz egy keyloggert (lehallgatja a csatornát stb stb), ekkor viszont teljesen tökmindegy hogy én mit látok.
2,Ha már beütöttem a "jelszót" egy internetes hacker csak a "biteket" látja. HA sikerült pl beékelődni a rendszerbe, abszolut nem fogja érdekelni hogy a tisztelt user milyen csilivi bizbaszt látott meg nyomogatott, neki ott lesz a tcp csomagban egy adatsorozat, ami a jelszó (vagy bizonyitja hogy ismeri a jelszót...) és azt fogja használni.
3, ennek a módszernek mennyivel nagyobb a kulcstere mint mondjuk egy 1024 bites rsa kulcsnak?
4, kedvencem a kardhal cimü film egyik jelenete: "mi 3 dimenzios rendszereket használunk hogy gyorsabbak legyünk." Majd odébbmegy a kamera és meg is mutatja ezt a 3 dimenziós rendszert, ami nem mást takar mint kb 10 monitort kocka alakban elrendezve... (szó se róla tényleg 3 dimenziós...) -
L3zl13 #1 Ez annyira biztonságos, hogy a felhasználók 90 százaléka meg se érti, hogy hogyan működik, és nem csak az idegeneket, hanem saját magát is garantáltan kizárja a rendszerből...