A Microsoft is a jelszavak alternatíváit keresi
Jelentkezz be a hozzászóláshoz.
#5
Ott a smart card. E-token. VPN-hez, belépéshez kb. mindenhez jó. Van USB token formában is, szal. nem kell hozzá kártyaolvasó, ha azzal akar spórolni egy cég. Van rajta egy jó kis privát tanúsítvány (szabvány x-509, 1024bites RSA kulcsok, bár én benti alkalmazásoknál már 2048bitet használok évek óta), nem leszedhetõ, nem módosítható csak központban. Plusz ehhez is van durva, szükség szerint változtatandó safe jelszó, de az a tokené. Ha ezt kombinálod a one time password-ökkel (ehhez is van szoft és hard token is), akkor az pont untig elégséges nem katonai applikációkhoz.
Ezen felül persze lehet még kulcsfájlokat bevonni stb., mint a TrueCrypt-nél, de aztán ott a vége, ennél nagyobb biztonság már kezdi használhatatlanná tenni a rendszert. Sokan már erre is hánynak (még infósok is).
Nomeg lehet (és néha kell is) jelszó tároló rendszereket is használni, de ez is veszélyes lehet.
Ezen felül persze lehet még kulcsfájlokat bevonni stb., mint a TrueCrypt-nél, de aztán ott a vége, ennél nagyobb biztonság már kezdi használhatatlanná tenni a rendszert. Sokan már erre is hánynak (még infósok is).
Nomeg lehet (és néha kell is) jelszó tároló rendszereket is használni, de ez is veszélyes lehet.
I7-4790K, ASUS SABERTOOTH Z97 MARK2, 16GB DDR3, ASUS STRIX GTX970 4GB 2xSLI, Samsung 256GB SSD 840 Pro MLC, 10.5TB HDD, Dell U2711H (2560x1440), CM Stryker, Scythe Mugen 3
#4
"Az NSA-tól gyanítom semmilyen védelmi módszer nem fogja megvédeni az adatokat."
Meg lehet. A lenyeg a megfelelo kulcsparok hasznalata, megfelelo algoritmusokkal generalva es sajat root ca szerverrel. Ha nem tudnak torest a gyengites es backdoor nelkuli open source pki rendszerekre, akkor onnantol suthetik.
"Minket meg aligha fognak megkérdezni arról, hogy akarjuk-e, hogy szuperfejlett biometriai azonosítók vegyenek körül."
A biometria hasznalhatatlan, mivel ha egyszer lemasoljak a mintat, akkor nem lehet kicserelni. A FIDO rendszerben is csak egy lehetoseg, de a leiras szerint siman lehet a kulcsokat egy txt-ben is tarolni az ember gepen, kb. mint egy bongeszo jelszo tarolojaban. Szerintem egy open source implementacio mondjuk firefox ala osszehozhato viszonylag gyorsan. A kulcsok mozgatasara pedig kell egy import/export funkcio, hogy a login kulcsparokat ugyanugy le lehessen masolni mint a webes sutiket. Mondjuk ez sokkal nem lesz biztonsagosabb, sot, de legalabb lenne egy biometria es minden extra hardver nelkuli implementacio. (kb. akkora biztonsagi szinttel mint a desktop-on levo txt-ben tartolt jelszavak gyujtemenye)
Egyetlen problema ami felmerult bennem, hogy elegge megneheziti azt, hogy publikus gepet hasznaljon az ember, mert nehezebb atmozgatni egy kulcspart mint beirni egy jelszot es a geprol torolni is nehezebb, tovabba a regi bongeszoket es gepeket hasznalo emberek nem fogjak tudni elerni az uj pki-s oldalakat.
Meg lehet. A lenyeg a megfelelo kulcsparok hasznalata, megfelelo algoritmusokkal generalva es sajat root ca szerverrel. Ha nem tudnak torest a gyengites es backdoor nelkuli open source pki rendszerekre, akkor onnantol suthetik.
"Minket meg aligha fognak megkérdezni arról, hogy akarjuk-e, hogy szuperfejlett biometriai azonosítók vegyenek körül."
A biometria hasznalhatatlan, mivel ha egyszer lemasoljak a mintat, akkor nem lehet kicserelni. A FIDO rendszerben is csak egy lehetoseg, de a leiras szerint siman lehet a kulcsokat egy txt-ben is tarolni az ember gepen, kb. mint egy bongeszo jelszo tarolojaban. Szerintem egy open source implementacio mondjuk firefox ala osszehozhato viszonylag gyorsan. A kulcsok mozgatasara pedig kell egy import/export funkcio, hogy a login kulcsparokat ugyanugy le lehessen masolni mint a webes sutiket. Mondjuk ez sokkal nem lesz biztonsagosabb, sot, de legalabb lenne egy biometria es minden extra hardver nelkuli implementacio. (kb. akkora biztonsagi szinttel mint a desktop-on levo txt-ben tartolt jelszavak gyujtemenye)
Egyetlen problema ami felmerult bennem, hogy elegge megneheziti azt, hogy publikus gepet hasznaljon az ember, mert nehezebb atmozgatni egy kulcspart mint beirni egy jelszot es a geprol torolni is nehezebb, tovabba a regi bongeszoket es gepeket hasznalo emberek nem fogjak tudni elerni az uj pki-s oldalakat.
#3
Az NSA-tól gyanítom semmilyen védelmi módszer nem fogja megvédeni az adatokat. De legalább gondolom drága lesz.
#2
hmmm..."így akadályoznák meg a túl sok különbözõ rendszer elterjedése miatt biztonsági problémák jelentkezzenek"
Aha. Vagy inkább így akadályozzák meg, hogy túl sok konkurrensük legyen. Végülis õk nyilván nagy üzletet szimatolnak a dologban.
Minket meg aligha fognak megkérdezni arról, hogy akarjuk-e, hogy szuperfejlett biometriai azonosítók vegyenek körül. Egyszerûen le fogják nyomni a torkunkon, mint rengeteg más mocskot (csak példaként: beületett RFID-tõl az ál-szerzõi rablási jogon keresztül a fizetõparkolásig és az ingatalandóig)
ebben a baaaaazi nagy de(i)mokráciában
Aha. Vagy inkább így akadályozzák meg, hogy túl sok konkurrensük legyen. Végülis õk nyilván nagy üzletet szimatolnak a dologban.
Minket meg aligha fognak megkérdezni arról, hogy akarjuk-e, hogy szuperfejlett biometriai azonosítók vegyenek körül. Egyszerûen le fogják nyomni a torkunkon, mint rengeteg más mocskot (csak példaként: beületett RFID-tõl az ál-szerzõi rablási jogon keresztül a fizetõparkolásig és az ingatalandóig)
ebben a baaaaazi nagy de(i)mokráciában
#1
Elolvastam a mukodesi elvet. Ha tenyleg ezt implementaljak, akkor akar lehet is ertelme, ugyanis egyedi kulcsparokat hasznal azonositasra, mint az ssh login. Persze ilyenkor a problema fennall, hogy hogyan kerul at a kulcs az egyik keszulekrol a masikra. Erre majd valoszinuleg lesz valamilyen felho alapu megoldas egy kulso szolgaltatotol vagy a user-ek masolgatjak a keszulekek kozott a keyring-juk tartalmat. Mar amennyiben az implementaciok megengedik ezt. A megoldas hatalmas elonye, hogy elvileg minden kapcsolat titkositott, mivel a kulcscsere es utanna a kommunikacio mehet https-en is.
ps: Lehallgatni csak ugy lehet, ha az elso kulcscsere kozben man in the middle-lel beul valaki es utanna az osszes kommunikacio alkalmaval is ott ul, hogy ne deruljon ki. Ez ellen ugy lehet vedekezni, hogy az elso kulcscseret offline kell vegezni. (pl. a bankfiokban) Hasonlo megoldast hasznal pl. egy magyar allami fejlesztesu titkositott kommunikaciot biztosito program is, persze megbizhato hardverrel es os-sel kiegeszitve.
ps: Lehallgatni csak ugy lehet, ha az elso kulcscsere kozben man in the middle-lel beul valaki es utanna az osszes kommunikacio alkalmaval is ott ul, hogy ne deruljon ki. Ez ellen ugy lehet vedekezni, hogy az elso kulcscseret offline kell vegezni. (pl. a bankfiokban) Hasonlo megoldast hasznal pl. egy magyar allami fejlesztesu titkositott kommunikaciot biztosito program is, persze megbizhato hardverrel es os-sel kiegeszitve.