21
  • Sequoyah
    #21
    Nem, nincs sok, annak az eselye hogy valakinek az ujjlenyomata azonos a tieddel az billios vagy trillios nagysagrendu.
    Arc eseten hasonlo, csak gondolj bele hany embert lattal mar aki pont ugy nezett ki mint te. En egyetlen eggyel se...

    Az mas kerdes hogy a telefonok ezt nem teljesen hasznaljak ki, es a hatekonysag erdekeben nem a teljes ujjlenyomatot/arcot nezik, hanem a legjellemzobb reszleteit, igy ujjlenyomat eseten pl az esely 1 a milliohoz. Ez, mint irtad, boven eleg egy mobilnal, de ha nem lenne az akkor csak dontes kerdese hogy magasabbra vegyek a mintavetel szamat.


    Egyebkent pedig regi bolcsesseg, hogy a 3 fo azonositasi modszer kozul 2 egyutt szamit biztonsagosnak
    - Valami amit tudsz (pl jelszo)
    - Valami amit birtokolsz (kulcs, telefon)
    - Valami ami te vagy (ujjlenyomat, arc, irisz, DNS)
    Szoval annak az eselye hogy valaki ellopja a telefonod ES az ujjlenyomatuk a tied masolata az elenyeszoen kicsi. Persze ha te vagy az elnok, es a nuklearis kodokat veded, akkor meg ne elegedj meg a 2-vel, hanem mind3 kell.
  • M2 #20
    Szerintem egzaktabbnak gondolod a biometriai azonosítást, mint amilyen az a valóságban. Ujjlenyomat sok azonos van egy milliós mintában, arc szintén. Ezek mobilokban csak azért biztonságosak, mert kevés ember férhet hozzá fizikailag az eszközhöz.

    Az egyértelmű azonosításhoz mindig az összes biometriai mintavételt meg kellene csinálni:
    "Tegye ide az ujját, egy kis szúrást fog érezni, de közben nézzen a csőbe, majd a kamera előtt forgassa a fejét kérem, aztán már csak sétálnia kell jobbra-balra pár kört! ... Köszönjük! A banki egyenlege 1620 forint."
  • Sequoyah
    #19
    Azert ne becsuld ala, hogy a nevedben elkuldott, latszolag valoban toled szarmazo emailek es facebook postok/uzenetek mekkora kart tudnak okozni.

    A bank pedig csak ugy nem fog visszaforditani egy mar megtortent utalast. Maximum a hitelkartya-tranzakciokkal szoktak jotekonyak lenni...
  • Sequoyah
    #18
    A telefonomba "belopozni" nagysagrendekkel nehezebb feladat mint a jelszot ellopni...

    "bolt bejarati ajtaja nem tudja ki lep be eppen rajta"
    Ilyen felhasznalasrol soha nem is volt szo. A kozpontban az esetek tobbsegeben tovabbra is a telefonod all, aminek nalad kell lennie. Pl en mar evek ota ugy lepek be a munkahelyi halozatra, hogy a telefonommal azonositom magam, arckepes autentikacioval, es jelszot nem is kell hasznalnom egyaltalan. Nem ugy hogy az ajtonal lefotoznak:)
  • robicarlos6
    #17
    Egy olyan dolog sincs amitől félnék hogy valaki hozzáfér..

    Email/facebook - Semmi olyan nincs amit óvnom kéne

    Bankfiók..bármit csinálnak a bank visszaadja a zsetont

    Steam/game fiokok. Support idejétől függöen pár nap alatt visszaszerezhető..

    Főleg ma amikor mindenhez már minden is kell hogy be tudj lépni
  • kvp
    #16
    "Hogy lenne siman ellophato? Valaki belopozik a hazamba es ujjlenyomat mintat vesz es lefotozza az iriszemet?:)"

    Valaki "belopozik" a telefonodba es lementi a kamerakepet vagy az ujjlenyomat olvaso nyers kepet meg a hash-eles elott. A szenzorok sajnos nagyon konnyen tamadhatoak.

    "Így az egyéneknél lévő készülékeket nem hagyja el biometriai adat."

    Igen, de nem az egyeneknel levo keszuleknek van szuksege a biometriai adatra, hanem a kornyezetben levo szenzoroknak. Tehat a telefonunk biometria nelkul is tudja, hogy a mienk, de egy bolt bejarati ajtaja nem tudja ki lep be eppen rajta. Itt jonne jol a publikus biometriai adatbazis, hogy a kornyezetunkben levo rendszerek akkor is felismerjenek minket ha meg soha nem lattak. A ruhan vagy homlokon jol lathato helyen hordott QR kod persze erre eleg lenne, de a biometriai azonositas kevesbe zavaro. Ehhez viszont egy globalis biometriai adatbazis kell.

    A szemely azonositasa utan mar meglenne a globalis szemelyi szam, ami alapjan a rendszer meg tudja keresni a nallunk levo token-t a halozaton (egyuttal osszevetve a detektalt foldrajzi helyunk a keszulek bejelentett helyevel) es onnantol a normal kulcsgeneralas es csere zajlik, lasd SSH.

    Ugyanez mukodhet egy berelheto rollernel vagy biciklinel is. Ahelyett, hogy QR kodot fotozunk a token-nel (telefonnal) eleg lenne megfogni a kormanyat es ha elore jovahagytuk a tranzakciot, akkor mar automatikusan ki is berelte a rendszer az adott darabot. Ez egyebkent szolgaltatonkenti eloregisztracioval akar mar most is megoldhato lenne. (ujjlenyomat vagy telefonos/oras/beultetett rfid tag-ek segitsegevel)
  • M2 #15
    Amit leírtál rendszer, az tökéletesen kiváltható azzal, ha egy központi helyen mindenki kap egy egyedi azonosítót és a végpontokra bízzuk a biometriával összekapcsolást. Így az egyéneknél lévő készülékeket nem hagyja el biometriai adat.
    Utoljára szerkesztette: M2, 2021.10.07. 08:14:29
  • Sequoyah
    #14
    Hogy lenne siman ellophato? Valaki belopozik a hazamba es ujjlenyomat mintat vesz es lefotozza az iriszemet?:)
    Persze nem lehetetlen, csak nagysagrendekkel bonyolultabb mint a jelszavamat ellopni. Senki sem fogja egy phising emailre valaszul elkuldeni az ujjlenyomatat, mig a jelszonal ez nem ritkan megtortenik.
  • Agyturbinikusz
    #13
    + M2

    Köszönöm.
  • kvp
    #12
    Eloszor is a biometrikus adatok siman ellophatoak, mivel meg a hash-eles elott le lehet masolni oket. De a biometrikus adat az nem a jelszo, hanem a felhasznaloi nev. Olyan mint egy email cim, egyedi, de ismert. Ezert nem gond ha kikerul egy jo biometrikus rendszerbol, mert akar publikus is lehet alapbol, hogy egy eddig meg nem hasznalt rendszer is megtudhassa, hogy ki probal eppen belepni.

    Erre lenne jo egy nemzetkozi biometrikus rendszer adatbazis, ami 3D-s arckepet es ujjelnyomatot is tarolna, amit mindenki elerhetne, igy ha pl. egy eddig ismeretlen weboldalon probalunk regisztralni vagy egy fizikai boltajtot kinyitni (ez mehet arckep alapjan erintesmentesen is), akkor le tudna a helyi rendszer kerdezni, hogy kirol is van szo, tehat tudna hogy kinek a fizikai token-jere kell kuldenie a regisztracios kerelmet.

    A biometrikus adat tehat arra lenne jo, hogy ne kelljen a szemelyi szamunkat (azaz a vakcinakartya azonositonkat) QR kod formajaban a ruhankon (vagy a homlokunkon) hordani. Ezzel joreszt kivalthato lenne az rfid-s chipeles es nehezebb hamisitani mint egy rfid-s chip-et lemasolni vagy vedettebb chip-et a tulajbol kivagni.

    Miutan meghatarozta a felhasznalo azonossagat biomatrikus adat alapjan, a token-en kellene bevinni az egyetlen (mester) jelszot, ami lehetove tenne a belepesi kulcsok kicsereleset a rendszer es a token kozott.

    Tehat:
    -biometrikus adat = user nev (nem megvaltoztathato)
    -fizikai token = jelszotarolo
    -mester jelszo = jelszotarolo kulcsa (csak ezt az egyet kell megjegyezni)
    -kriptografiai kulcs = jelszo (a felhasznalo nem is ismeri, a hatterben jon letre)

    "Éppen a jelszavak biztosítják valamilyen elvi szinten az uralmunkat a használt rendszerek, webes szolgáltatások felett. Tudatos, emberi felhasználóként ehhez a végletekig ragaszkodni érdemes."

    Igen, mert peer to peer rendszerkent mukodnek, azaz minden oldalon eltero felhasznaloi nevvel es jelszoval is lehet regisztralni, igy nem osszekothetoek a hozzaferesek. A biometria lenyege, hogy csak egyetlen felhasznaloi neve lehet egy embernek es azt nem tudja semmilyen modon megvaltoztatni. Igy sokkal konnyebb kovetni mindenkit. A fenti megoldas kb. annak felel meg, mintha a facebook nevvel es jelszoval lehetne belepni mindenhova, a bankszamlatol, az elelmiszerbolt ajtajan at a sajat bejarati ajtoig. Ekkor mindenki meggondolja, hogy mit monjon (es gondoljon) mert ha letiltjak, akkor se penze, se szemelyi igazolvanya, se hazamenni sem tud, de meg ennivalot venni sem. Pont ezert a globalis a biometrikus rendszerek es az egy account, egy jelszo mindenre megoldas elterjedesere lehet szamitani a kovetkezo evekben. Aki meg fel, hogy elfelejti vagy ellopjak az egyetlen jelszavat, az kaphat chipet is, mint ahogy a kutyaknal mar bevalt. (mivel nem tudnak beszelni, ezert az azonositasukhoz kell vagy egy chip vagy egy tetovalas, embereknel ez csak szuletes utan par evig all fent, tehat max. az ujszulotteket kellene chippel, qr tetovalassal vagy digitalis karkotovel ellatni felmeno rendszerben) Eleg rosszul hangzik, de szinte minden megkerdezett nagytokes ezt tartja az egyetlen jarhato utnak az emberiseg szamara.
  • Sequoyah
    #11
    Nem taroljak sem az irisz-kepet, sem az ujjlenyomatot sem .De ha mar itt tartunk, akkor ertelmesebb rendszerek eseten a jelszot sem taroltak soha, mindennek csak a hash erteket. Azzal hogy ismered a hash-erteket azzal semmire se mesz, hiaba loptad el. Azzal nem tudod magadat azonositani. Az azonositashoz be kell mutatni az eredeti jelszavat (iriszt, ujjlenyomatot), amibol a rendszer kiszamolja a hasht, es AZZAL hasonlitja ossze a tarolt hasht.

    Es a gyenge pont eddig sem az adabazis feltorese volt. Hanem hogy a felhasznaloktol vagy elloptak a jelszavat, vagy eleve gyenge jelszavat valasztottak. A biometrikus azonositas mindkettot alaposan megneheziti.
  • M2 #10
    "Érted, eddig a tárolt jelszót vitték, most a tárolt biometrikus adatokat fogják."

    Ez nem így működik. A biometriából készül egy egyedi kódsor (hash), ami csak abból tud készülni, és nem visszafejthető.
  • Agyturbinikusz
    #9
    Hol fogják tárolni azokat az adatokat amivel az összehasonlítás történik, hiszen csak össze kell valamivel hasonlítani az azonosítás végett nem?
    Vagy ezt hogyan gondolják?
    Érted, eddig a tárolt jelszót vitték, most a tárolt biometrikus adatokat fogják.
    Azzal már egyszerűbb lesz megugrani a problémát. Nem?
    Pont mint az arc felismerő esetén készítettek Master arcot ami Mindent kinyit. Ha van elég adat, akkor menni fog. Ahogy a jelszavak feltörése is sokszor úgy történt, hogy az ellopott jelszokat bevágták egy szótárban, aztán lehet próbálkozni.
  • M2 #8
    A biometria nem a jelszót váltja le, hanem a felhasználó azonosítását.
    Miután egyértelműen beazonosította a felhasználót, az hozzáférhet a kulcsokhoz, amivel a biztonsági rendszereket "nyitja".
  • Agyturbinikusz
    #7
    Akkor leírom másként, eddig a szolgáltatónál lévő jelszót lopták el, most nem a jelszót fogják vinni hanem az Írisz térképet. Pl. A többi meg evidens amit leírtál.
  • end3
    #6
    Egyáltalán nem mindenki. Csak azok, akik távmenedzsment keretében és rendszeresen, távolról, quasi rendszergazdaként be akarnak lépni a gépeinkbe, szoftvereikbe. Azokat biztosan zavarja egy jó 16-32 karakteres rendszergazda jelszó. (Az sem véletlen hogy a MS például a "Rendszergazda" belépést alapértelmezetten jelszó nélkül hagyja. Vagy a "felhős" authentikációt szorgalmazza, azaz a Microsoftnál regisztrált fiókkal történő belépést.) Ha felhasználó elég okos, éppen ez védheti ezen kívül még sok mindentől.) - Bírom a Windows feliratot: "Bízzon mindent ránk!" (Esetleg azután nem nyomtatunk egy darabig.., mint most legutóbb.)

    Az egyedi, magas karakterszámok fejben tartása egyébként is jó agytorna. Nem szabad feladni és biometriát elfogadni helyette. - Mert akkor a társadalmat irányítók számára már tényleg chip-elt állatokká válunk. Éppen a jelszavak biztosítják valamilyen elvi szinten az uralmunkat a használt rendszerek, webes szolgáltatások felett. Tudatos, emberi felhasználóként ehhez a végletekig ragaszkodni érdemes.
    Utoljára szerkesztette: end3, 2021.10.06. 10:36:48
  • kvp
    #5
    A jelszavak a vedelem fontos komponense, mert ha nincsennek leirva akkor nem lehet fizikailag ellopni oket, ellenben kompromittalas eseten le lehet oket cserelni.

    Tehat a biztonsagosabb megoldas a jelszoval es biometrikus adatokkal vedett ketfaktoros fizikai token-es megoldas lenne. Azaz mindenkinek kellene egy fizikai token, ami mindig nalla van es a hasznalt keszulektol fuggetlenul tud kommunikalni a cel szamitogeppel. Ezen biometrikus modon lehetne megadni a felhasznaloi nevet, majd egy mester jelszoval aktivalni, ami engedelyezne a token kommunikaciojat a szerverrel. Ehhez persze meg kell tudni szolitani a token-t, amihez folyamatos online kapcsolat es location registry kell. Igy csak egyetlen fo jelszot (a token jelszavat) kellene megjegyezni.

    Hogyan lehetne ezt megoldani? Peldaul mobiltelefon mindenkinel van es azon folymatos netkapcsolata is szinte mindenkinek van, igy az lehetne a token. A telefon digitalis alairas tarolojaban lehetne az egyedi kulcs minden egyes jelszot igenylo rendszerhez, amit biometrikus adat (ujjlenyomat, foto) es a tarolo jelszavanak megadasaval lehetne kinyitni. A belepesenel meg kellene adni a felhasznaloi nevet, ami alapjan tudna a rendszer, hogy melyik token-t kell elerni, ahol az ujjlenyomat es jelszo paros nyitna a belepest.

    A fenti igazabol sokkal korulmenyesebb es nem szabvanyos modon mar most is rendelkezesre all es nagyon sok oldal hasznalja a ketfaktoros autentikaciot, bar egyelore meg nem biztonsagos teruleten levo kulcstaroloval, csak sima fizikai token modban. (tehat eleg a telefont birtokolni, azon belul nincs kotelezo biometrikus azonositas es jelszoval vedett tarolas)

    A legnagyobb problema, hogy amennyiben serul a token vagy annak biztonsaga, akkor minden belepesi kulcs elveszik. Egyszerre, tehat nem marad olyan kulso szolgaltatas (pl. email fiok), amibe elkuldhetoek az uj kodok. Ez utobbi kivalthato ha van egy kozponti szolgaltatas (sajat egyedi jo hosszu es biztonsagos jelszoval), amivel el tudjak kuldeni a csere kulcsokat. Kb. mint telefonokon a PUK kod, csak biztonsagosabb jelszoval.

    A technologia adott, de szabvanyositani kellene es raadasul ha az emberek nem hordanak magunknal folyamatosan kovetheto pozicioju, folyamatosan online, biztonsagos biometrikus + jelszavas tarolasra alkalmas digitalis alairas taroloval ellatott keszuleket, akkor nem tudanank belepni sehova. Raadasul ez egy single point of failure, azaz ha ez a szolgaltatas kiesik, akkor semmi nem mukodik. Kb. mintha a facebook login lenne a belepes mindenhova (a sajat lakasunkba es a bankszamlankra is) es ha a facebook kiesik, akkor semmi sem elerheto.

    A fenti problemara a redundancia a megoldas, tehat amikor minden szolgaltatas sajat jelszot hasznal. Es akkor vissza is jutottunk oda ahol most vagyunk. Nem a leg kenyelmesebb, a jelenlegi nem a letezo leg kenyelmesebb, de az egyik leg uzembiztosabb megoldas, mivel csak a felhasznalo hibaja eseten (elfelejti a jelszavait) all le.

    Mindazonaltal a kozponti ketfaktoros token-es, biometrikus, jelszavas login valoszinuleg elobb-utobb megvalositasra kerul, pl. a digitalis szemelyi igazolvany / globalis vakcinakartya rendszer keretein belul (a mobiltelefonnal mint online komponenssel), mivel ezt kulonosebb ellenallas nelkul kotelezove lehet tenni. Igy a szemelyi igazolvanyunk, utlevelunk, bankszamlank, internet (es ezzel facebook) login-unk is egyetlen keszulekbe kerulhet. Igy minden tranzakcio konnyen osszekotheto marad, hiszen eleg egyszer belepnunk es onnantol minden rendszer egyertelmuen latja, hogy kik vagyunk. (nev, cim, aktualis foldrajzi pozicio, szemelyi-, egeszsegugyi- es bankszamla szamok, kozossegi account-ok, stb.) Ekkor mar csak egyetlen jelszot kellene megjegyeznunk es amig a keszulek biztosan tudja, hogy fizikailag nallunk van (pl. mert beultetett, folyamatos biometrikus monitorozassal), addig nem is kellene azt ujra megadni. Ez szinte teljesen jelszomentesse tenne a vilagot, bar viszonylag serulekennye a netes infrastruktura meghibasodasa eseten.

    ps: En szemely szerint tamogatom a digitalis kulcsok hasznalatat ahova kellenek, de csak egyedi (peer to peer) es offline is hasznalhato modon. Kb. ahogy az a SSH kulcsok kulso tarolos kezelese tortenik most, ami kb. 100x nagyobb szivas mint jelszavazni, de sokkal biztonsagosabb. A legtobb ember viszont erthetoen erre nem lenne hajlando. A kenyelem pedig a fenti globalis megoldast jelenti.
  • cateran
    #4
    A loteri doglott kutyat sem erdekli, hogy 1 ceg milyen policyt hasznal a jelszavaihoz BELSOLEG...Ezek a kulso, szeleskoru felhasznalasrol szolnak
  • Agyturbinikusz
    #3
    Vagyis azt mondják eddig a jelszavakat lopták el, amit le lehetett cserélni, most majd a biometrikus adatokat fogják vinni, amit nem lehet lecserélni.
    Érdekes, nekem tetszik, így már lesz értelme a digitális nomád létnek.
  • Cat #2
    Ha se az ügyfél, aki belép egy rendszerbe, se az admin nem tartja jónak, akkor szerintem mondhatjuk, hogy senki nem szereti. Egy nagyobb cégnél egyáltalán nem ritka, hogy felrakják a monitorra egy postitre, mert unják, hogy havonta meg kell változtatni, kisbetű/nagybetű/tökömtudja mi kell, ráadásul csomó különböző kell, minden szolgáltatáshoz más. Egyáltalán nem meglepő, hogy nem tudják megjegyezni az emberek.

    Admin oldalról pedig hiába ragaszkodsz a rendszeres váltáshoz, mindenféle speciális karakterekhez, a fentiek miatt akkor is egy elavult és gyenge módszer marad. Az elterjedtségének egyetlen oka a megoldás egyszerű beépítése és használata.
  • wraithLord
    #1
    "a döntés oka, hogy senki sem szereti a jelszavakat, mert azok körülményesek és a hackertámadások fő célpontjai."

    Hát ezek fantasztikus érvek.

    Senki sem szereti... Ilyen gondolkodás mentén 1. a megfelelő államrendszer az anarchia; 2. az ember leredukálódna ilyen 24/7 tévét néző 300 kilós hájtömegre, amit intravénásan kell etetni, és önjáró toitoi székkel közlekedik. :D

    A hackertámadások fő célpontja... Akkor majd más lesz a hackertámadások fő célpontja. :D

    "Van azonban egy komoly probléma: az ügyfelek kényelmesek."

    Most már eldönthetnék, hogy amellett, hogy a jelszavak biztonsági kockázatot jelentenek, még a jelszavak megjegyzése is macera, vagy a jelszavak használata kényelmes. Netán arra gondolnak, hogy a password123 használata minden accounthoz kényelmes?

    Ezek a megoldások közül egyedül a FIDO2 tűnik elfogadhatónak, legalábbis elvi szinten. De nem véletlen, hogy ez az aszimmetrikus kulcspáros dolog ellenére (ugyanis hasonló eddig is volt) máig a jelszó a legelterjedtebb.