Google: paroļu drošība sevi izsmēlusi – būs jaunas tehnoloģijas

[samurajs]

2012. gadā uzlauzto interneta paroļu skaits pārsniedza to kritisko robežu, ka Google izšķīrās par alternatīvu autorizācijas paņēmienu meklēšanu. Parastā ielogošanās parole mūsdienās nav uzskatāma par drošu neatkarīgi no tās sarežģītības – hakeru pieredze to apliecina. Īpaši tas attiecas uz lietotājiem, kuri izmanto dažādus PC dažādās vietās, ne tikai darbā un mājās.

Viens no Googles eksperimentiem paredz miniatūru kriptogrāfisko karšu Youbico lietošanu. Tā ir maziņa atmiņas karte atslēgu piekariņa veidā, kurā ierakstīti attiecīgi kodi. Pietiek ielikt šo karti USB pieslēgvietā, tā jūs esat automātiski ielogojies. Vismazākā no Youbico kartēm YubiKey Nano ir tikai 12x11x2 mm liela.

[img]https://notepad.lv/userpix/28_c9e8b608c2fa9d080241ad6e8431c5d9_1.jpg[/img]

Lai lietotu Youbico, nepieciešams modificēt Chrome pārlūku, ko Google ir gatava izdarīt. Ielogošanās process šai gadījumā neprasīs nekādu papildus programmatūru, un būs draudzīgs kā lietotājiem, tā web izstrādātājiem. Respektīvi, kriptogrāfisko karšu lietošana ļoti atgādinās dzīvokļa durvju atslēgšanu ar tradicionālo atslēgu.

Google speciālisti saka, ka nākotnē būs iespējams izmantot arī bezvadu tehnoloģijas kriptogrāfiskās kartes vietā. Atslēgas kodu var iešūt telefonā vai kaut RFID tipa čipā un iemontēt to gredzenā, ko nēsājat uz pirksta. Tad pietiks to tikai pietuvināt atbilstošam nolasītājam.

Īpaši paranoiskiem lietotājiem un tiem, kuriem ir ko slēpt, paredzēts divpakāpju kods: pēc Youbico pieslēgšanas uz tālruni vēl pienāks SMS ar vienreizēji ģenerētu papildkodu. Starp citu, pēc bēdīgā gadījuma ar žurnālistu Metu Honanu divpakāpju autorizācijas piekritēju skaits ir strauji pieaudzis.

Nedrīkst aizmirst, ka arī kriptogrāfiskajām kartēm utml. risinājumiem ir būtisks trūkums: ja parasto paroli var aizmirst, tad “fiziskās” var pazaudēt vai nozagt. Vienīgi, ja atradējs vai zaglis nezinās, kādam lietotāja kontam karte piesaistīta, izmantot to viņš nevarēs.

[img]https://notepad.lv/userpix/28_85bc800dcab73aaca37edb6648ea11a9_1.jpg[/img]

Wired

[jurgenz]

Sen jau gaidu kādu kopējo atslēgu kas pieejama tikai man. A to, mēģini atcerēties paroli kontam, kurš izveidots pirms 100 gadiem un tad vēl visi pārējie 1000 kur apgrozās n-tās paroles. Būtu forši, ka piemauc kompim savējo sūdiņu un tu vari ielogoties visur, kur tev vajag, piemēram, ierakstot tikai nickname (skype, facebook, utt) vai arī paņem divpakāpju drošību, piemēram, meilam un tādiem sviestiem.

[Crow]

Quote:

If you think technology can solve your security problems, then you don’t understand the problems and you don’t understand the technology.

— Bruce Schneier, “Secrets and Lies”

Tas pats TPM ir gan dzelziski (ar wolframa adatām), gan softiski salauzts, Kāpēc, starp citu, TrueCrypt atsakās TPM implementēt – jo nopietnās situācijas tas ir bezjēdzīgs.

https://www.digitaltrends.com/computing/researcher-cracks-trusted-platform-module-security-chip/

https://www.truecrypt.org/faq

Tāpat RSA SecurID:

https://arstechnica.com/security/2012/06/securid-crypto-attack-steals-keys/

Tāpat viedkartes, ko izmanto ASV militāristi:

https://www.theregister.co.uk/2012/01/13/sykipot_trojan_dod_smart_card_attack/

* Uzlauztu vai bagainu dzelzi, un attiecīgās sekas ir daudz grūtāk savākt nekā izlabot softisku gļuku vai atslēgt/nomainīt sistēmu.

* Š ādu sūdeli ir pārāk viegli pazaudēt. Cik netiek flaši pazaudēti. Ar visām atslēgām (domātas mājas/mašīnas atslēgas). Bet atsaukt/bloķēt grūti. Ko ļautiņi darīs? Pieķēdēs pie paša aparāta, lai aparātu var pazaudēt ar visām atslēgām!

Arī biometrija nav īsti pacēlusies, jo drošības sistēmai, loģiski, būtu jābūt izolētai no pārējās.

https://www.techsecuritytoday.com/index.php/our-contributors/david-coursey/entry/researchers-say-passwords-here-to-stay-often-best-option

Jo pat nacionālo drošību apdraudošas datoru sistēmas netiek izolētas no publiskā tīkla – ko tad var gribēt?!

https://www.dailytech.com/Reports+Hackers+Use+Stolen+RSA+Information+to+Hack+Lockheed+Martin/article21757.htm

Kas zin – prezidenta atombumbu kodu autorizācijas portfelīts arī drīz tiks bāzēts uz Android un pieslēgts T-Mobile ar subsidēto datu plānu.

https://www.scmagazineuk.com/t-mobile-staff-data-and-passwords-hacked-and-published/article/223401/

Divpakāpju drošība ir vienīgais risinājums. Lēns, finansiāli neizdevīgs, bet divkārt drošāks gandrīz jebkurā gadījumā. Protams, visu var uzlauzt (vai “uzlauzt”) kā to labi parādīs Neo:

https://defense.lv/2012/09/24/internetbanku-autentifikacijas-protokolu-un-implementaciju-drosibas-analize/

Un vispār – ja sistēmu autori iemācītos tās pašas paroles pareizi izmantot – neizvirzīt maksimālā garuma ierobežojumus (jo paroles hash ir konstanta izmēra, es varu kaut bībeli tur ierakstīt), neizvirzīt pielietojamo simbolu ierobežojumus (paroles korejiešu valodā vai ar high-ASCII simboliem – opā, gangnam style!) un vispār – iesālīt tās (*cough*, LinkedIn* to nepapūlējās, līdz pie sienas nepielika) vai vispār neglabāt plaintekstā (*cough*, Sony PSN – plaintext security network), situācija nebūtu ne tuvu tik traģiska.

*1 – https://www.theregister.co.uk/2012/06/07/linkedin_admits_data_breach/

[m_janis]

Nu neticu un nekad neticēšu, ka šāds variants varētu būt drošāks. Kādu laiku – jā, varbūt, bet – neuzlaužamu, neatšifrējamu, neatkodējamu datu nav un nekad nebūs – ir tikai laika, dzelžu jaudas un domāt spējīgu smadzeņu jautājums.

Pie tam – kas notiek, ja izklaidīgais personāžs šo sīkumu pazaudē ? Pieņemsim, šādai situācijai dati glabājas arī kaut kur kādā datu bāzē. Nu tad tālāk stāstu par drošību varam neturpināt, lai cik slepena un droša tā bāze nesauktos. Internetā nekādi dati vai jebkura informācija maz atšķiras no uz sētas uzrakstītas – piekļuve ir tikai laika jautājums.

[BERILS]

redziet bļ** . ko nozīmē komentārs… čals sirdi i dvēseli izsmēla :>

izpētīju visu ar ko dalījies… informāciju Tu uzņem daudz un ne sliktu…. laigan tā ir tikai avīzes/laikraksta/magazīn cienīga…

[Crow]

Mans IQ nepārsniedz manu kurpju izmēru reizinātu ar 3, attiecīgi vairāk par avīzes/laikraksta/magazīn cienīgu informāciju nav īsti vērts piesaukt. Citādi var iznākt kā:

https://www.geekosystem.com/journal-accepts-nonsense-paper/

https://thatsmathematics.com/mathgen/

[shady]

Mjā, šobrīd šī tehnoloģija šķiet pat nedrošāka, bet tad jau redzēs, ko un kā norealizēs…

[Autors]

Ieraksti