Vlákno názorů k článku Lámání hesel v praxi (1.) od Arccos - Z biometriky mam takovy podvedomy strach. Opravdu neni...

Z biometriky mam takovy podvedomy strach. Opravdu neni hezka predstava, ze mi nekdo usekne palec nebo vydloubne oko, aby se dostal pres skener. Jo, ja vim, seznory podle teploty nebo tepu reaguji jen na zive vzorky. Jenom by to mel nekdo zavcas vysvetlit i mene inteligentnim nekalym zivlum v ulicich...

Myslim, ze take zalezi na vhodne kombinaci, napr. otisk ruky + id karta + kod, k tomu, aby se nekdo dostal neni zas tak jednoduchy. I kdyz kdyz u ti nekdo bude vyhrozovat, tak mu nejdriv das kartu , pak pin a nakonec Ti usekne ruku ;)

základní bezpečnostní pravidlo je, že "náklady na prolomení ochrany musí být výrazně vyšší než zisk z tohoto prolomení plynoucí".
ERGO když si někdo hesluje svůj přístup do soukromého počítač atd. tak je v podstatě jedno jaké heslo použije a nejlepší je mít opravdu nějaké jedno jednoduché krátké univerzální (nejlépe 6 znaků s aspoň 1 číslem, pak to bude stačit a půjde použít na 99% všech místech, kde se hesla zadávají)
Když se bude jednat o přístup do banky a podobně, tak už je samozřejmě možný zisk útočníka vyšší a je tedy třeba volit něco složitějšího. Kombinace s nějakou biometrickou metodou umožní, že velmi výrazně zvýšíte útočníkovy náklady - ukrást kartu je jednoduché, libovolně dlouhé a složité heslo mohou také zjistit celkem levně (stačí třeba odchytávat klávesy a pod.). Ovšem dobrá biometrická metoda znamená, že útočník vás musí fyzicky napadnout a zabít/zmrzačit. To se může zdát jako nevýhoda ovšem není - je-li útočních ochoten podstoupit riziko fyzickým napadením subjektu, tak může dosáhnout toho stejného i když biometrika nebude aplikována.
Díky zvýšení bezpečnosti pomocí biometriky je tak možné zjednodušit, zpohodlnit a zrychlit bezpečnostní omezení - třeba právě u té karty můžete s pomocí čtečky prstu či oka úplně vyloučit PIN a přesto to bude bezpečnější - stále zde budou dvě bezpečností pojistky - vlastnictví karty a otisk prstu/oka, není tedy možné získat bez obojího přístup k účtu.

Mno jasne a banka bude nejen vedet, ze "nekdo platil touto kartou", ale "Franta Voprsalek platil touto kartou" (podpis si tam muzu napsat jakej chci a stejne to nikde nekontrolujou) a pri spolupraci z obchodem "a koupil si ... (trebas kondomy) ". Nasledne dorazi na adresu Franty Voprsalka (jelikoz s tim pri uzavirani smlouvy o zrizeni uctu souhlasil, jinak ucet nelze zridit) uzasna nabidka na vynikajici kondomy fi. XY, vyrabenych na miru (data netreba dodavat, mame je v databazi).

Mozna jsem trochu paranoidni, ale taky delam v oboru, takze vim o cem mluvim. Ne, pas s otisky prstu opravdu nechci, a pokud se bez nej nepodivam do USA ? No a co, neporebuju videt narod imbecilu (cest vyjimkam) na vlastni oci.

Ha ha ha, teploty nebo tepu. Komerčně dostupné snímače otisků prstů měří akorát kapacitanci, a to ještě jen ty lepší.

Jistá útěcha je v tom, že potravinářská želatina má stejnou kapacitanci jako prst. Stačí otisk do formely, chvilka v kuchyni a máte duplikát. Z otisku na sklenici nebo na snímači je to jen o málo težší. Takže ho není třeba řezat.

Viz http://cryptome.org/gummy.htm .

Mno ono kdyz na to prijde, tak IMO neni problem nasimulovat, ze ten uriznutej prst je zivej. Staci ho naimplantovat na umely rozvod krve a on vlastne zivej bude.

Pripadne, pokud pujde opravdu o "hodne", slo by jiste zaridit, ze by ten vas prst prisili nekomu jinemu.

Jinak souhlas, v soucasnosti staci trochu zelatiny a v horsim pripade si ji priplacnou na vlastni prst.

No ja jsem treba osobne pro, aby byla moznost se identifikovat podle otisku prstu. (treba jen dobrovolne).
Jedna vec jsou filmy, druha je realita. Je mnohem vetsi pravdepodobnost, ze mne bude policie buzerovat, ze nemam sebou obcanku, nebo ridicak (jaka by to byla uleva nestarat se o doklady), nez ze mi nekdo urizne prst, aby ho mohl pouzit pro svuj prospech.

Vzpominam si na jednoho stareho Dilberta. Slo o to, ze omylem misto retinalniho scanneru koupili rektalni scanner; ale ucel to splnilo, pocet pruniku klesl na nulu.

Nuže biometriky :) většina kvalitnějších scannerů jsou ještě pořád příliš dráhé na to, aby byli použity běžně. Například to, co se používá jako reader u notebooků je často lehce obelhatelné útokem přehráním /i když většinou vyžaduje zásah do hw/ ... dále jsou značné negativa v FAR /False Acceptance/ a FRR /False Rejection Rate/. To druhé nemusí být vždy problém, to první ano.
Druhá věc je, že na to, aby někdo získal otisk, nemusí uříznout prst. Stačí otisk někde sejmout /přiznejte se, kdo si po ránu natahuje rukavice, které sundává až večer v posteli?/ a s rozumně dostupným vybavením tenhle zreplikovat /náš přednášející tuším použil hezký příklad jistého německého politika, nemýlím-li se, jeho otisk se dal sehnat i po internetu/.
Pak tady existuje mnoho dalších způsobů: duhovka, tvar ruky, cévní mapy /ne moc oblíbené/... zajímavé jsou behaviorální biometriky, z těchto například autentizace hlasem, nebo mozkovou aktivitou /ve vývoji, rané stádium/
Takže tělo zatím ne... alespoň pro mě ne.

Tokeny? Mno... to už je lepší, ale například čipové karty /takové ty hezké bezdotekové pípátka/ nejsou zas až tak bezpečné. Informace se dá zkopírovat do vzdálenosti myslím 1-2 metrů /chraň nás Bůh, nebo cokoliv jiného, před bezdotekovými platebními kartami/ Takže je to hezké jako klíč od vchodu, nebo vjezd do garáže a pod... ale rozhodně bych to nechtěl někde, kde je něco hodně drahé a hodně důležité. Takže USB klíč /resp. čipová karta s rozhraním, které vyžaduje fyzický kontakt/...
Výhoda tokenů je převážně /budu citovat skripta :) / komplexnost, možnost vlastního výpočetního výkonu, finančně náročné na kopírování, extrakce informací není možná bez znehodnocení... /pro další informace bych zkusil http://cs.wikipedia.org/wiki/%C3%9Atok_postrann%C3%ADm_kan%C3%A1lem#.C4.8Casov.C3.A1_anal.C3.BDza_.28Timing_attack.29 /
Nevýhody: vysoká cena /výhoda i nevýhoda zároveň ^^ / a v případě zcizení má Houston problém, nepříjde-li se na to včas.

Asi bych se tady ještě dlouho mohl vykecávat, ale nemyslím, že by to tady někoho až tak zajímalo, takže: Hezký den :)