今天阅读Mat Honan发表的一篇文章 接线 合格 “杀死密码:为什么字符串不能再保护我们” (翻译成我们的语言是:“杀死密码:为什么一串字符不能再保护我们了?”),我记得几天前与该社区的一些成员进行的一次对话,其中提到的传播很少指纹读取器的使用是一种身份验证机制,尤其是在使用最广泛的移动设备中,以及它们的使用将带来的优势。
有问题的文章提供了一些示例,这些示例说明了如何对某些用户(包括本文的作者)的帐户进行黑客攻击,强调了密码和当前用于保护我们的信息和隐私的身份验证和验证机制的真正缺陷,他指出该声明,它们都很有效,可以概括为四个大组:
1.-处理能力的提高,可以通过使用网络上可用的暴力破解和密码字典来进行密码黑客入侵。 来吧,凭借当前CPU和GPU的能力,通过蛮力使用广泛使用的黑客程序,加上我们可以轻松地连接到网络的词典,只有有人设法找到加密文件的密码,这只是时间问题,即使它被认为是“安全的”,因为它包含字母,数字和其他字符,并且使这些功能在将来会继续增加的情况越来越严重。
2.-同一用户重复使用密码。 我们做了什么? 我们使用相同的电子邮件帐户在不同的服务中对自己进行身份验证,即使在网络上的各个位置进行注册时,我们也使用相同的用户名和密码,除了将帐户与相同的“备用”电子邮件地址“链接”起来外,从而如果有人可以访问我们的一个帐户,那么他们实际上就可以访问所有这些帐户。
3.-使用网上诱骗和恶意软件窃取密码。 在这里,最能影响用户常识的因素是因为,如果您通常单击您收到的邮件数量或访问的页面数量的链接,则您有可能自己提供信息,这些信息以后将对您有用。
4.-使用“社会工程学”。 这里有两个广泛使用的方面。 一方面,越来越多的我们将自己的生活放到网上:Facebook,Linkedin,个人博客等。 向每个人提供我们生活的详细细节(我们学习的地方,谁是我们的朋友,我们的宠物的名字等),在大多数情况下,这是对几乎所有服务的验证问题的答案我们注册。 另一方面,黑客使用社交工程工具与客户服务进行交互的能力使他们能够相对轻松地利用他们所拥有的有关我们的信息,说服这些服务是用户真实的并获得持有我们的帐户。
嗯,随着信息社会的发展,不可否认的事实是,我们在互联网上的存在将继续增长,而我们将在很大程度上依赖于在线服务的日常生活,这增加了我们的意图通过使用NFC(近场通信)技术将手机变成用于支付的电子钱包,是安全性上一场完美风暴的要素,仅使用密码和当前的验证机制就无法避免。
与涉及安全性的所有问题一样,有必要在认证机制的强度与所讨论服务的易用性和隐私性之间建立折衷方案。 不幸的是,到目前为止,易用性已经普遍存在,损害了认证机制的强度。
认为这是一个巧合,该问题的解决方案在于密码,使用模式分析和生物识别设备的使用相结合,以确保通过更多的验证机制使用户的生活更轻松的身份验证过程。当前的。
网络上的一些服务提供商已经开始使用使用模式作为密码的补充,这就是为什么,例如,当我们从通常使用的IP以外的IP访问Gmail帐户时,它将发送到验证屏幕通过另一种方法(电话或短信)验证我们是该帐户的合法用户。 在这方面,似乎已经达成共识,网络中的大多数服务提供商采用类似的变体只是时间问题。
仍然缺少的是,尚未开始使用生物识别机制或设备作为身份验证的一部分,存在多种形式,从最简单的形式,例如语音模式识别或面部识别(可完全通过软件执行),以及针对哪种形式的移动设备已经具有必要的硬件(麦克风和摄像头),即使是最复杂的设备,例如指纹读取器或虹膜扫描仪。
尽管已经在这方面采取了一些措施,例如在某些Android手机中使用面部识别来解锁手机,或者苹果公司最近收购了专门从事这些问题的AuthenTec公司,但它的使用并没有超出传闻和更令人担忧的是,尚未开始讨论这些形式的身份验证与网络中服务的集成。
在我看来,面部或语音识别虽然最容易实现且不需要额外的硬件,但它们是最不安全的方法,而虹膜扫描仪完全不可能集成到移动设备中,这为我们提供了指纹的最佳选择读者,由于其尺寸减小和“键”的多样性,将是理想的解决方案; 让我解释一下:如果由于感冒而感到沙哑,发生意外或面部受伤,则语音或面部识别会变得很复杂,而使用指纹读取器时,我们可以配置使用多个手指,因此一场事故不会阻止我们访问我们的数据和服务。
当前,已经有一些笔记本电脑在其配置中集成了指纹读取器,而没有注意到这些型号的价格大幅上涨,这使我们可以推断出,尽管它们的使用范围并未扩大,但其成本并不昂贵。 另一方面,不幸的是,目前很少有带有指纹读取器的移动设备,并且将其集成到其中似乎并不是一种趋势。
一些意见表明,我们正面临经典的“鸡与蛋”情况:读取器未集成到设备中,因为网络服务未将其用作身份验证机制,但由于体积小,因此网络服务未将其用作机制身份验证。已将它们集成为标准设备的数量。 这似乎是戈尔迪诺的结,目前没有人敢削减。
除了我们所遇到的这种障碍之外,我认为还有一种解决方案需要解决,那就是建立在身份验证中使用指纹的必要标准,即指纹读取器扫描图像并从它必须生成一种电子签名,该电子签名将作为“密码”发送给服务进行身份验证,因此生成该签名的算法必须保证不同的读者生成相同足迹的相同签名,而不损害安全性,这似乎并不简单。
是的,我知道在这一点上有些人会重现他们在电影中所看到的东西,通过举起玻璃上的指纹,他们设法使用它来访问装置,但是,除了在屏幕上产生的壮观效果之外,我认为这将成为我们将来应注意的一种方式; 除非我们中的一位是007特工或拥有前往诺克斯堡的访问代码。
正如引起这篇文章的文章的作者所说,解决问题的第一步是认识到问题的存在,以便能够开始提出解决方案,而这正是问题的所在。 我建议所有可以阅读我所引用的文章的人,因为它具有很好的说明性,并且阅读起来很愉快(不幸的是,那些不懂英语的人将无法享受本文),而且还鼓励他们包含一些内容。黑客如何诱骗“信誉良好”的服务以获取访问权的明珠。
您是否同意我的观点,还是仍然相信密码足以满足我们需求的人之一?
很棒的文章,根据您的意见100%。 作为用户,我们在安全问题方面犯了许多错误,这将是提高安全性的绝佳方法。
该死的是他们将您的手指扯断或失去指尖xDDD
看起来,没有什么悲剧性的,所有问题都有解决方案,有两种“读取”指纹的方法:最简单的方法是生成光学图像,这是最简单且最容易欺骗的方法,实际上,您只需指纹通过放大图像来对其进行复印,然后用记号笔在妊娠纹的图形上进行浏览,然后再次对其进行复印,将其缩小至其初始大小并瞧瞧……这样您就可以使阅读器蒙蔽; 但是,还有另一种更安全的方法,它是一种读取器,它通过扫描覆盖区的脊和谷之间的电势差来生成图像,因此,如果手指被割断,则它将无法工作。
另一方面,已经发现,即使将皮肤植入指尖,指纹也会随着时间而再生。 此外,此外,当您配置指纹读取器时,它们使您可以使用多个手指的指纹进行访问,因此您可以使用例如每只手的索引,如果您丢失了一只手,则可以其他。
高兴吗😉
xDDD是的,当然很高兴😀
我记得理查德·斯托曼(Richard Stallman)上次访问阿根廷时所说的话(在笔记本电脑被盗之前):
“然后,我震惊地收到了SIBIOS系统的消息,他们要求进入该国的每个人的指纹。 看到这个消息,他认为他永远不会回到阿根廷。 即使付出代价,我们也必须抵制不公正现象。 我不给我指纹。 他们只能用力拉出来。 如果一个国家要求他们,我就不会去。”
来源:
http://elcomercio.pe/tecnologia/1426994/noticia-richard-stallman-le-robaron-su-laptop-buenos-aires
http://jsk-sde.blogspot.com.ar/2012/06/richard-stallman-se-despide-de.html
无论如何,斯托曼承认自己不使用智能手机,没有上网,据我所知,他的交易只用现金,所以他不需要任何现金,即使如此,他也不能阻止老大哥看着他,但是我们建议您搬到我的国家,以及互联网,邮件帐户,在线银行等问题,坏的是您会感到有点无聊…………
这个人必须开始更多地了解自己国家所犯下的不公正现象,主要是这个国家在其他地方所犯下的不公正现象,这远远超出了要求您提供指纹的范围...
这很奇怪,因为前段时间我读过一篇文章(我不记得这本杂志),因为生物特征认证已经被归类为即将停止使用的技术。
几乎没有品牌笔记本电脑包含指纹读取器的原因
优秀的文章……数次我以为,尽管在各种笔记本电脑型号中都看到过指纹读取器……他们并未将其带入新型号,但这并不意味着该工具的使用不足。其实有意思吗?
这些系统除了作为其他网络服务的安全措施的必要实现之外。
非常有趣..谢谢分享..
我建议您阅读引起这种情况的“连线”文章,因为它可以使您更好地理解所提出的内容。
我知道使用指纹读取器的情况很少,但是我并没有看到它正在停止使用的任何技术,尽管有人在某处说过,但这并不是第一次有必要“复活”。 »一个死人应对挑战。
我在本文中试图解释的是,从本质上讲,需要新的,更安全的身份验证形式,据我所知,没有比生物识别设备更可行的其他技术可以使用了,而这正是所有内容的全部。 。
听起来对我来说是个有趣的主意。 在智能手机中,他们必须找到一种将其集成到屏幕上的方法,当然,它不会消耗大量电池。
我认为无法扫描指纹的设备可以将其集成到移动屏幕中,如果您查看说明本文的图像,则会发现它占用的空间很小,我认为这样做很容易将其放置在外壳中的某个位置,实际上,已经有一些模型配备了它,例如Fujitsu Tegra 3。
它给我的感觉不好。 国家人口登记处(是的,在墨西哥图斯州的墨西哥城;是尚未大规模实施的)旨在不仅使用指纹,而且使用虹膜。 在所有数据都使用指纹打开的情况下,如果存储这些数据时出错,将使该项目更加危险。
您可以随时更改密码,但指纹不能更改。 这就是为什么我对此有些害怕。
不幸的是,政府是那个老大哥,没有人能救我们,因为他们足以通过法律确定我们的指纹注册对于签发身份证明文件(DNI,护照或他们在每个地方所说的任何东西)必不可少),并以此将我们所有人捆绑在一起。 此外,为了获得这些身份证明文件,他们会拍照(或者您必须提供一张照片),并使用他们所拥有的面部识别软件,使他们可以随时监控我们。 如果仍然存在称为“隐私”的想法,请立即将其丢弃,因为这只是白日梦。
强烈反对。 他们剥夺了我们的隐私这一事实并不意味着我们应该成为他们的帮凶。 我认为,将来这些方法将使人们两极分化,我至少拒绝不再像多年来拒绝为自由软件而战一样继续为此而战。
精确!
这就是为什么“自由软件”比简单的“开源”要大得多的原因(尽管在实践中它们的行为方式非常相似),因为SL代表了开源运动所指的哲学和社会视野,而后者仅涉及技术领域。在程序开发方面,一个是社会和文化运动,另一个是开发机制-根据定义,自由软件包含开源。
这是我很久以前迁移到SL的主要原因之一,我不仅被Unix启发的Linux内核的技术卓越所吸引,还被FSF捍卫的Freedom的承诺所吸引。
我喜欢这张照片,当我在RevolutionOS上看到它时,我立即截图了: http://i.imgur.com/A1r0c.png
废话。
该文章的作者是一个将自己的生命托付给Apple的痴迷者,我读了他关于他的帐户如何被“黑客入侵”的说法,事实是这是Apple的恶意错误。
(顺便说一句,“ hack”一词被如此轻而易举地用于所有事物,这真是令人讨厌,没人知道该死的东西,他们说话是因为他们玩耍。那个热狗发生的事与“ hack”无关。 。”)
那里有多少废话,每个人都怀着什么热情,与“ antivirus“> :(
机器上的指纹读取器(我的拥有)是另一种BULLSHIT,因此,如果机器被盗且HD未加密,我想在笔记本电脑上使用指纹读取器,他们唯一要做的就是取出磁盘并将其连接到另一台计算机? 废话。
起作用的是要谨慎,仅此而已。
1.在本地计算机上,使用至少15个字母数字字符(aZ10-。#Etc)的密码,我的密码是16。如果仔细选择,对于查看您的人来说是难以理解的,请在输入密码的同时输入您通常会使用它,这很快就会出现,因为您将需要它来对系统的管理任务进行身份验证,我稍后编写了它。
2.如果我们有可从LAN外部访问的计算机,请确保它们进行了更新,并在可能的情况下使用在非预定端口上运行的服务进行更新。
作为额外的一层,重新编译我们使用的每个服务,删除可以使用nmap等标识它们的字符串。
3.加密我们使用的存储介质。
4.对于网络上的密码,请使用诸如LastPass之类的服务,该服务会生成20个字母数字字符的密码,并以加密方式保存它们,以便在没有主密钥的情况下无法访问它们。
5.如果要将网络划分为子网以在不同用户之间共享,则仅在IP地址上使用网络使用策略是不够的,因此必须使用YES或YES VLAN。
6.对于网络安全性,最低要求是对OSI模型和7层有全面的了解和管理,否则您甚至无法讲话。
7.对于移动设备,安全性问题更为复杂,因此指纹读取器可能会有用。
在我的Android智能手机上,我使用一种模式来解锁它,因为它比输入数字序列更实用,但是,有些清醒的人可以轻松地意识到,通过在光线下查看个人资料屏幕,他们可以根据以下内容发现模式我的手指留下的油腻痕迹。
安全性和可用性之间的斗争是不断的,您必须了解弱点,并决定我们是否希望它舒适或安全,其余都是纯废话。
问题是OpenSSH或Windows。
* BSD xD
我在考虑SSH的功能多么强大,如果没有此工具,今天的计算将几乎不存在。
本文的作者是一个狂热的人,这一事实丝毫不减损其建议,因为它们所提及的问题远远超出了我们使用的操作系统;是的,的确,由于恶意软件,他们访问了他们的帐户错误苹果,正如您所建议的,但是; 您完全确定您的电子邮件服务提供商不会犯同样的错误吗?
关于您对使用“黑客”一词的建议,根据Wikipedia的说法,“目前,通常以通用的方式使用它来指代计算机犯罪分子”,而与用于犯罪的技术无关,实际上,历史上著名的(或最著名的)黑客之一Kevin Mitnick广泛使用了这些社会工程学技术来访问大型公司和机构的数据,正如他所出版的书中所述。
另一方面,为避免仅从计算机上卸下硬盘驱动器便可以访问您的数据,可以使用多种工具对文件,文件夹,分区甚至整个磁盘进行加密,这是因为我们不再使用它们了由于无知或懒惰,因此避免安全漏洞取决于我们。
现在,您提议的所有安全措施都是有效的,但不幸的是,当我们使用由第三方提供的网络上的服务(例如电子邮件帐户,银行帐户等)时,它们将不适用,因为身份验证机制具有安全性在这种情况下,验证取决于服务提供商,而不取决于我们。
无论如何,非常感谢您的评论,它们总是有助于阐明想法。
谁想要隐私,谁就会住在海中的一块土地上。 目前,正如您在另一条评论中所说,隐私是一种幻想,一种乌托邦。
如果网络(也许)更加安全,我们将不得不拥有自己的服务器,而不必依赖第三方服务(例如Gmail,Facebook和其他服务),因为没有人会删除他们出售我们的信息和数据的信息。到最高出价者..
好吧,那就打开一个洞,进入不想让自己的隐私受到侵犯的人。 烦恼,这个词已经从XDDD字典中离开了我
正是每个时代都有其挑战和相关的危险,在山洞时代,这种危险被野兽吞噬了,今天我们可能成为车祸的受害者,但其意义并不在于我们停止走出家门,如果不了解危险,并尽一切可能避免那些可以避免的危险; 是的,不幸的是,即使我们去了海中的一个小岛,也不再拥有隐私,因为p *** Google Earth的卫星在我们赤裸裸地躺在沙滩上时经过并为我们拍照...😉
JAJAJAJAJAJAJA ..我应该开始使用Google Earth并找到PlayBoy大厦..也许我可以带上xDDD
检查这个: http://www.youtube.com/watch?v=pLrL1Yg20rA
但是@Charlie,黑客的WP定义是该术语的小报,确实是愚蠢的版本,感谢您对它进行评级,因为我将对其进行纠正,显然撰写该文章的人知之甚少或有偏见并试图歪曲该术语。和抹黑黑客。
在某种程度上,我们都是黑客。 黑客只是在寻找使用相同事物的不同方法,并且发现系统,任何系统(无论是软件,数学方程式,演奏会的入口)中的漏洞...纯粹而真实的黑客,其余的我再说一遍:这是小报小报,它不了解U在说什么,它根据某些群体的误导来运作-扩展为所有购买了HACKING定义的人。
黑客好! 当然,您花在黑客入侵控制台上的时间比您想象的要多!
好吧,是的,如果我们变得精湛,我们就开始将破解与破解等区别开来,结果是,在没有所有人都知道另一个更好的术语的情况下,我们将不得不发明一个,因为“使用计算机工具进行犯罪»听起来有点肮脏吧?
是的,我同意你的观点,黑客也可能是一件好事,因为有很清楚的黑客道德规范在传播。 就像一般的科学技术一样,它的发生既不是好事也不是坏事,即使不是因为人们或政府如何使用它们也是如此。
在这种特殊情况下,我不是“精致”的人,必须用它们的名字来命名,因为只有这样才有区别,当我们说某件事时,我们的意思是确切的,而不是相似的东西。 今天的大多数人几乎都不会读书,如果阅读的话,那是非常有限的,几乎没有词汇,这是他们的大脑找不到如何表达他们想要说的话并最终变得平淡,扭曲和破坏的问题之一。语言。
当我们破坏语言时,我们破坏了我们的思维方式,即通过单词,因为人类思考使用的概念,而我们反过来又使用单词来获取,因此,词汇量越少,我们遭受的残酷对待就越简单。
同样,“精致”是一种优点,一种美德(我很自豪地精致,一丝不苟),这是通往卓越之路的另一个组成部分,因为精致的事物追求卓越:
精美的-ta
调整具有非凡发明,美丽或品味
精美
精美的adj [ekski'sito,-ta]具有非凡的品味和高品质
相反是庸俗的,平庸的,请参见蒂内利,里亚尔,福特堡,泽西海岸等>
黑客是一种人,黑客是另一类人,如果他愿意的话,黑客可以充当黑客,但这不是他感兴趣的东西,黑客被逻辑上的问题所吸引,他必须推理并找到正确的回报。 黑客是一个创造者,一个梦想家,一个前卫的人,破解者会利用这些知识,通常在不了解这些知识的情况下通常会犯罪。
对于典型的黑客来说,将他误认为是黑客是一种侮辱。
http://html.rincondelvago.com/delincuencia-en-internet.html
是的,我很精妙,尽管在这种情况下不是,但是我只使用正确的词。
“发生的事情是,在没有所有人都知道的更好术语的情况下,”
这个术语不遗漏,并且一直为人所知,它是Cracker,您不需要发明任何东西。
正如我之前向您解释的那样,由第三方(政府/检查和镇压机构/行业)的利益所驱逐的媒体负责妖魔化骇客并将其摆在每个人的嘴上,就像炸弹袭击者或连环杀手当他们可以(想要)使用“饼干”一词并标记区别时,因为黑客确实是社会进步的工具,毕竟这完全是教育国家的任务,而不是我的任务,我致力于其他事情。
问候。
“道德黑客”是一种令人不快的冗余,当我们意识到主题的诞生方式时,其背景非常简单。
Facho像美国一样,主要负责在涉及黑客或向一个基于小岛的国家展示牙齿和欺骗行为时担当责任,他们有勇气站起来并告诉他们MOMENT! (或瞬间!)
如果您的意思是古巴,最好不要谈那个话题topic
我喜欢这个!...的确,任何讨论持续了足够长的时间,无论所讨论的主题是什么,最终都会导致与法西斯主义(正如您所说的法乔)进行比较,在这一点上,我不愿继续讨论等等,因为我生活在您提到的“小岛”上,许多人只是作为参考,并以每个人的便利为例。
谢谢您的评论和光临。
顺便说一句……作为我们语言的很好的鉴赏家和一个“精妙”的人,您应该知道正确的事情是“已解决”而不是“重读” ...😉
@Kaza:
是的,太糟糕了,不能远去,不能买一些好啤酒(Maximator,Hoeegarden,Guness,请选择!)
有一天,我希望我们能够深入地讨论这个主题,我知道很多,尽管从外面看到它与经历它并不相同。
@查理:你有里面。
当您来到古巴时,别忘了写信,坐下来喝点啤酒,开些玩笑会很好😀
我喜欢这篇文章。
我认为,此刻我们已经在网上监视了一个“逗号”,并通过它就我们的品味,弱点,缺点等形成了看法。 所有这些都导致了某些用于市场或市场研究的研究。 。 好? 是吗?....有人知道吗?
相对于所提到的文章,所有这些可能都缺失了。
我很高兴您喜欢这篇文章,并且我也同意您的看法,即使我们没有访问网络也一直在不断监视我们,如果您对此表示怀疑,请出去看看有多少“安全”摄像机在监视我们,您正在没什么关于这个主题的文章出现在文章中,也许将来我会写一些关于它的文章,但是这已经是一个不错的方言了,我更愿意坚持讨论这个话题。
非常感谢您的评论和光临。
在我所居住的小镇周围的所有乡村小镇中,也有那些相机吗?
我不知道您所居住的城镇是什么样的,但至少在我的“城镇”里是这样的,因为那里没有,我们甚至无法访问互联网,更不用说其他很多东西了,相机监视我们是的,还有很多...
从逻辑上讲,大型肉汤开始于美国和欧洲。
亲切的问候;
一种很好的方式来讨论这个话题,但是,无论是在Web还是Internet上,隐私都是如此,我不相信,即使现在我是GNU / Linux用户,也不是之前视窗; 使用密码或生物识别技术并不重要,我不相信隐私。 如果这会有所帮助,那可能是知道源代码在图形环境或命令行环境的命令后面的作用(我想这就是为什么有时在网络上的某些文章中我会注意到某种基调的原因)关于它的嘲笑GNU术语“草地上的几只牛羚”,普通百姓不知道什么是编程语言。
我真的不喜欢被迫拥有例如服务X的帐户X(facenoseque,twetnoseque或也使用密码的另一个帐户),以行使所谓的民主权利自由表达思想或观念,并且; 实际上,当某些网页X不允许您看不到它们所提供的信息时,如果您没有使用回溯行的服务X的用户,这更让我感到困扰。
我发现该主题非常具有说明性和实用性,感谢您的分享。
问候;
一种很好的方式来讨论这个话题,但是,无论是在Web还是Internet上,隐私都是如此,我不相信,即使现在我是GNU / Linux用户,也不是之前视窗; 使用密码或生物识别技术并不重要,我不相信隐私。 如果这会有所帮助,那可能是知道源代码在图形环境或命令行环境的命令后面的作用(我想这就是为什么有时在网络上的某些文章中我会注意到某种基调的原因)关于它的嘲笑GNU术语“草地上的几只牛羚”,普通百姓不知道什么是编程语言。
我真的不喜欢被迫拥有例如服务X的帐户X(facenoseque,twetnoseque或也使用密码的另一个帐户),以行使所谓的民主权利自由表达思想或观念,并且; 实际上,当某些网页X不允许您看不到它们所提供的信息时,如果您没有使用回溯行的服务X的用户,这更让我感到困扰。
我发现该主题非常具有说明性和实用性,感谢您的分享。