Перейти к содержанию

Recommended Posts

AM_Bot

Исследователь из американской компании AT&T Билл Чезвик изобрел новый способ ввода паролей, надежно защищенный от взлома и перехватов. Достаточно лишь выбрать на снимке со спутника точку (лучше в той стране и местности, где никогда не бывал) и с помощью зума многократно увеличить изображение. Координаты конкретного места на географической карте и послужат надежным паролем. Например, широта и долгота, определенные с точностью до десятой цифры, в сумме дадут 20-значную строку, которую исключительно трудно угадать.Читать далее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Искал для себя первоисточник. Если кому-то будет интересно, то вот он:

http://www.livescience.com/technology/onli...map-100920.html

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Посмеялся :lol: Этож сколько времени будет уходить на ввод "кода доступа"...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Значит генераторы уже не в моде?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Посмеялся Этож сколько времени будет уходить на ввод "кода доступа"...

Согласен. Плюс на загрузку этой самой карты и зумирования точки. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
jagyar09

По-моему подбор пароля ещё не кто не отменял...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Значит генераторы уже не в моде?

Ты не в курсе насколько сложна генерация действительно произвольного пароля ?

Но в описываемом изобретении тоже навалом слабостей.

Например, Sure, the virus will know where the mouse clicks, but unless it knows what map the user is looking at, and how deeply zoomed in they are, the hacking program can’t record the longitude and latitude that serve as the password.

99% юзеров будут использовать гугль мапс, а глубина зума элементарно определяется по тем же кликам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

A.

А я не предлагал всем сидеть и писать свои. :) Ну, к примеру пароль, который я когда-то использовал для одного из ящиков: tQ^2Vrj8-Q9) Был получен KPM. Что не так?

99% юзеров будут использовать гугль мапс, а глубина зума элементарно определяется по тем же кликам.

По-моему он запоминает последний масштаб, а не сбрасывает на дефолтный каждый раз. Соответственно 3 клика для одного человека не равна 3-м кликам для другого в смысле масштабирования.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
A.

А я не предлагал всем сидеть и писать свои. :) Ну, к примеру пароль, который я когда-то использовал для одного из ящиков: tQ^2Vrj8-Q9) Был получен KPM. Что не так?

Не так, например то что ты не знаешь вероятность с которой KPM может сгенерить этот же пароль еще раз :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

A.

Угу, не знаю. Но только тому, кто пытался подобрать тот пароль на ящик это бы никак не помогло. Если уж пойти от того, что узнать генератор паролей, то нужно узнать и настройки генератора: количество символов, оба ли регистра используются, используются ли спецсимволы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
A.

Угу, не знаю. Но только тому, кто пытался подобрать тот пароль на ящик это бы никак не помогло. Если уж пойти от того, что узнать генератор паролей, то нужно узнать и настройки генератора: количество символов, оба ли регистра используются, используются ли спецсимволы.

Ну это же очевидно ? Берешь KPM, генеришь пароль. понимаешь что используется таблица на 80 символов (впрочем про 80 символов я понял и без KPM - просто увидев твой пароль).

Я на самом деле не совсем об этом говорю. Вот настройки генератора - это примерно да, то. Ты например уверен в том, что в KPM для rand() использована не иннициализация от текущего системного времени ?

Ну и т.д. Вариантов масса.

Создание хорошего рандомайзера - совсем не тривиальная задача.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

A.

Ты уходишь в высокие материи. Просто говоря, даже несложный генератор, способный выдавать комбинации букв-цифр-спецсимволов вполне себе подходит подавляющему большинству пользователей. Еще бы он ругается на пароли менее 8-ми символов, вообще хорошо.

Или я такая вся наивность и у тебя есть факты, которые это докажут? Не мысли, что это может быть плохо потому что, а уже реальные случаи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
A.

Ты уходишь в высокие материи. Просто говоря, даже несложный генератор, способный выдавать комбинации букв-цифр-спецсимволов вполне себе подходит подавляющему большинству пользователей. Еще бы он ругается на пароли менее 8-ми символов, вообще хорошо.

Или я такая вся наивность и у тебя есть факты, которые это докажут? Не мысли, что это может быть плохо потому что, а уже реальные случаи.

Да вот хотя бы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Васька

Я честно скажу что ничего не понимаю в шифровании, но простая логика говорит что это глупость :rolleyes:

Для фешифратора нету разницы случайно или неслучайно задан пароль. Для него имеет большое значение разнообразие и количество символов в пароле. Случайный набор цифр из системы координат не гарантирует сложность пароля, сложность пароля гарантирует продуманность разнообразия символов и их количество... вот как-то так :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

A.

Все, я молчу. Вот, кстати, и требование к KPM вырисовывается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

кроме генератора нужно пароли регулярно менять. Скажем раз в месяц. При изменении не менее 20% символов пароля.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • rownong
      Здравствуйте. Есть следующая инфраструктура (VPS куплены у хостинг-провайдера).  VPS сервер 1.
      На нем:
      - Несколько баз данных MySQL 
      - Папки (с сайтами, веб-приложениями, скриптами)
      - Установленные программы
      > Панель управления Vesta
      > MySQL-сервер
      > PhpMyAdmin
      > FTP-сервер
      - Задачи крона VPS сервер 2.
      На нем:
      - Asterisk (с конфигурациями) В перспективе VPS сервер 3.
      На нем будет располагаться ERP организации (база данных, бекенд Laravel, фронтенд Vue.js).  Нужно обеспечить безопасность данной IT инфраструктуры, закрыть максимум уязвимостей.
      Чтобы злоумышленники не могли, просмотреть / украсть: пароли в конфигах PHP скриптов, данные БД Таблиц MySQL, не имели доступ к  Asterisk, данным ERP, защита от sql инъекций, DDoS-атак и т.д. Вопросы: 1. В представленной инфраструктуре, каких технические специалисты должны делать аудит ? PHP-программист, системный администратор, или есть отдельные специалисты которые занимаются безопастностью в IT? 2. Я правильно понимаю, что выполнение задачи будет разбито на 2 этапа:
      - аудит (когда будут выписаны замечания)
      - реализация мер по устранению замечаний
      ?? 3. Как выбрать аудиторов?
      Достаточно фрилансеров или нужно обращаться в организацию? 4. Как определить компетенции аудиторов в обеспечении безопасности в IT? 5. Имеет смысл  нанимать сразу 2-х аудиторов?
      Потом реализовывать замечания обоих аудитов? 6. В какой формате проводятся аудиты по безопасности?
      Нужно будет прислать специалистам доступы ко всем системам? 7. Целесообразно делать аудит VPS без аудита офисного железа (компьютеры, роутеры, файловый сервак)?
      Теоретически на компьютерах могут быть уязвимости к вирусам которые доступы крадут от VPS, но проверять еще компы всей организации, сильно увеличит время на аудит.  
    • Draft
      К Сереге лысому, моему другу, приходят и жалуются, мол разводят их как лохов
    • Quincy
      К тебе именно приходит и на сайт жалуется?)))) 
    • Зотов Тимур
      Здравствуйте. Мне помог тренинг http://games4business.ru/product/vedenie-peregovorov . Менеджеры стали более уверены в себе, не бояться отвечать на вопросы и не впадают в панику при отказе клиента, а наоборот пытаются сделать все чтоб он передумал.Компания Лаборатория Деловых Игр качественно и профессионально составляют различные тренинги, которые действительно помогают компаниям процветать и развиваться.
    • PR55.RP55
      https://github.com/dragokas/hijackthis/blob/devel/src/_ChangeLog_ru.txt Стоит прочесть и найти полезное. Типа: Добавлена зачистка зависимостей легитимных служб от удаляемой службы.
      Добавлен запрет программе на перезагрузку серверных ОС с запросом к пользователю сделать это вручную.
      Добавлена проверка типа виртуализации ключей реестра.
×