Pytanie:
Dlaczego nadal używamy kluczy do uruchamiania samochodów? dlaczego nie hasła?
Ulkoma
2015-08-20 14:04:50 UTC
view on stackexchange narkive permalink

Około rok temu zadałem pytanie o najsłabszy czynnik uwierzytelniania.

Otrzymałem kilka dobrych odpowiedzi, które przekonały mnie, ponieważ zawsze wyobrażałem sobie proces uwierzytelniania w moja głowa jako pracownika zakładu o wysokim poziomie bezpieczeństwa, który próbuje uzyskać dostęp do swojego biura, wprowadzając swój kod PIN lub ktoś próbuje zalogować się do swojego komputera, wprowadzając hasło, ale odpowiedzi nie mają sensu, jeśli mówimy o pojeździe.

  • Kluczyki do samochodu mogą zostać łatwo zgubione lub skradzione przez nieznajomego, którego spotkałeś w jakimś pubie, ale jest bardzo mało prawdopodobne, że wykrzykujesz hasło, gdy śpisz, rozmawiając
  • To duży problem kosztowny proces zmiany kluczyków do samochodu; Hasła można bardzo łatwo zmienić.

Jak widać z drugiego pytania, największe problemy z hasłami (zgodnie z otrzymanymi odpowiedziami) były następujące:

  • Jeśli ktoś zna Twoje hasło, możesz nie być w stanie stwierdzić, że aktywnie wykorzystuje tę wiedzę.
  • Hasła umożliwiają przypadkowe odgadywanie, przeszukiwanie słownika offline i inne ataki.

Cóż ...

  • To prawda, gdyby ktoś szpiegował Twój system, ale gdyby ktoś obcy miał Twoje kluczyki do samochodu, nie sądzę, że zwróciłby Twój samochód, a gdyby to zrobił , będziesz w stanie stwierdzić, że ktoś inny miał dostęp do Twojego samochodu.
  • Zamknięcie samochodu na 5 minut po trzech nieudanych próbach jest całkiem dobrym rozwiązaniem.

Spieszysz się do pracy? Wejdź do domu i zdobądź główny klucz fizyczny; posiadanie głównego klucza fizycznego, który zastępuje system haseł, jest dobrym rozwiązaniem ratunkowym, ale nie wtedy, gdy nosisz go cały czas przy sobie. Noszenie klucza uwierzytelniającego w głowie jest bezpieczniejsze niż noszenie go w kieszeni.

Kilka innych rzeczy, które przychodzą mi do głowy i zastanawiam się, dlaczego nigdy nie widziałem samochodu z hasłem

  • Zawsze możesz użyć swojego samochodu jako samochodu do ucieczki podczas napadu na bank, a później twierdzisz, że zgubiłeś klucze i to nie ty; nie możesz tego zrobić za pomocą hasła.

  • Podobny pomysł został przedstawiony przez eksperta infosec, który został odrzucony niedawno w Dragons 'Den nawet jeśli wymyślił fajne połączenie urządzenia, które podłącza się do silnika samochodu i aplikacji mobilnej. Aplikacja mobilna jest lepsza niż Twój fizyczny klucz i nie możesz uruchomić samochodu bez aplikacji, nawet jeśli masz klucz.

Dragons' Den season 13 episode 5

Peter Jones zaatakował ten pomysł na podstawie faktu, że Twój telefon komórkowy może się rozładować; system uwierzytelniania samochodu nigdy by się nie rozładował, ponieważ jest zasilany z akumulatora samochodowego; jest wymienny, chroniony, a jeśli jest uszkodzony, samochód i tak jest uszkodzony i nie można winić systemu uwierzytelniania.

Dobre pytanie. To również pokonałoby powszechne przestępstwo w Wielkiej Brytanii: włamywacze włamujący się do domów w celu kradzieży kluczyków do samochodu.
Ponieważ za każdym razem, gdy pojawia się takie rozwiązanie, jest strasznie zepsute, ludzie zostają skradzieni, a producenci muszą dokonywać ogromnych akcji naprawczych.
@Polynomial Jak? Oto moje pytanie, jaki jest słaby punkt takiego systemu?
Zwykle zły protokół (podatny na podsłuchiwanie lub odtwarzanie), słaby RNG, słaba kryptowaluta, słaba implementacja po stronie samochodu (np. Niewymuszanie prawidłowego stanu maszyny) lub cokolwiek pomiędzy.
Jeśli zdarzy Ci się wypadek i stracisz pamięć ...
Wtedy masz znacznie większe problemy niż wejście do aplikacji odblokowującej samochód. Prawdopodobnie nie powinieneś w ogóle prowadzić samochodu, jeśli cierpisz na amnezję wsteczną.
Podobne pytanie: [Dlaczego większość samochodów używa kluczy fizycznych i nie ma kodu PIN?] (Https://security.stackexchange.com/q/39168/32746), mimo że wydaje się, że ogranicza hasło do kodu PIN składającego się wyłącznie z liczb. nadal odnoszą się do aktualnego pytania.
To kwestia użyteczności i łatwości konserwacji. Jak długo zajmie Ci wejście do „Correct Horse Battery Staple” w zimną, wietrzną noc w Dawson City?
Jeśli bateria się rozładuje, czy nie możesz już wsiąść do własnego samochodu? Jeśli tak, to jak zdjąć maskę, aby wymienić baterię?
Klucze są znacznie szybsze i łatwiejsze w użyciu, a w rzeczywistości są dość niezawodne. Zwróć uwagę, jak faktycznie * odchodzimy * od haseł w zabezpieczeniach komputerów - bezpieczeństwo dwuskładnikowe jest jedną z popularnych nowoczesnych metod. Ludzie zaczynają też używać swoich telefonów do płatności - kolejny klucz / token. Bezkontaktowe karty płatnicze nie wymagają już wprowadzania kodu PIN w przypadku płatności niskokwotowych. I tak dalej. Z własnego doświadczenia wiem, że kilka razy mi kradziono hasła (nawet te „silne”) - nigdy nie zgubiłem kluczy.
@Luaan Myślę, że różni się to od jednej osoby do drugiej, zawsze zapominam, gdzie położyłem telefon, ale nigdy nie zapomniałem hasła, nawet gdybym to zrobił, o wiele łatwiej jest mi zapamiętać hasło niż miejsce, w którym bym wyrzucił telefon
Standardowe użycie kluczyków do auta pozwala oddać je innym osobom, a następnie odebrać. Odpowiednikiem hasła jest podanie im hasła, a następnie zmiana hasła (* brzmi to dla mnie bardziej jak ból *) Aplikacja telefonu po prostu zamienia klucze telefonu, co jeszcze bardziej utrudnia wypożyczanie. Wiem, że moja rodzina często dzieliła między nas jeden lub dwa pojazdy. Nie wyobrażam sobie, żeby hasło musiało być przypisane do jednego z naszych telefonów, który musiał pozostawać w samochodzie przez cały czas.
* „Hej, zapomniałem czegoś w Twoim samochodzie, rzuć mi swoje klucze” *
_ W przeciwieństwie do większości tradycyjnych zastosowań haseł, w tym przypadku przestępca ma fizyczny dostęp do Twojego sprzętu. I najprawdopodobniej ma ten dostęp przez kilka godzin, zanim następnym razem Ty lub ktokolwiek inny to sprawdzicie.
Poza tym „nieznajomy może łatwo zgubić lub ukraść kluczyki do samochodu” - nie do końca, nasza cywilizacja ma [kilkaset lat] (https://en.wikipedia.org/wiki/Lock_ (security_device)) praktykę w posługiwaniu się kluczami , więc obecnie prawie każdy może się nim zająć. Z drugiej strony hasła są w powszechnym użyciu przez znacznie krótszy czas i już okazały się niezgodne z umysłami większości ludzi.
Możesz ubezpieczyć swój samochód i wymienić go. Twoje dane to inna historia. Niedogodności związane ze skradzionym samochodem są niewielkie, jeśli chodzi o ujawnienie informacji o karcie kredytowej. Po drugie, ponieważ przeżyłem uprowadzenie samochodu w JHB w RPA, mogę śmiało powiedzieć, że ten pomysł doprowadzi do śmierci ludzi. Znani są ze strzelania do ludzi, którzy zajmują zbyt dużo czasu. Wolę oddać klucze i żyć, niż wpisywać błędne hasło.
Jeśli hasło do samochodu jest łatwe do zmiany, jest to zabezpieczenie hasła do samochodu, który stał się bezużyteczny. Po co atakować istniejące hasło bezpośrednio, skoro potrzebny jest ogólny sposób zresetowania hasła? Oczywiście możesz mieć klucz główny lub hasło do pojedynczego samochodu, ale gdy taki system był używany do konwencjonalnych kluczy (Fiat, Ducati i wiele innych korzystało z takiego systemu), po prostu kończysz się tym, że większość ludzi traci fizyczny klucz główny lub kod, a następnie BARDZO duży rachunek (tj. nowy ECU itp.).
Kluczyki do samochodu to tryb jeden do jednego lub kilka do jednego, a nie wiele do jednego. Mój kluczyk nie pasuje do większości marek samochodów, nie mówiąc już o ich otwieraniu. Hasła pozwalają każdemu na próbę włamania. Klucze fizyczne mają sens w przypadku obiektów fizycznych typu „jeden do jednego” lub „kilka do jednego”, takich jak samochody i domy. Hasła są lepsze do uwierzytelniania wielu osób w celu uzyskania dostępu do pojedynczego systemu, który może być lokalny lub zdalny. Obecnie większość ludzi nie nosi przy sobie narzędzi niezbędnych do włamania lub kradzieży samochodów. Hasła to zmieniają.
Jeśli ktoś ukradnie moje klucze (co nigdy się nie zdarzyło), musi wiedzieć, gdzie jest mój samochód. Klucze są bezużyteczne bez samochodu, a samochód bez kluczyków jest bezużyteczny. Pierwsza część bezpieczeństwa ma charakter odstraszający. Jeśli potencjalny napastnik wie, że nie odniesie sukcesu, w pierwszej kolejności nie spróbuje. Dzięki hasłom każde odgadnięcie ma szansę się powieść, więc potencjalnie więcej osób będzie próbowało włamać się lub ukraść samochody.
Nie zapominajmy o wszystkich właścicielach Tesli, którzy wyjechali na wieś, cieszyli się słońcem, a potem nie mogli ponownie uruchomić swojego samochodu, ponieważ (i samochód) nie mieli odbioru telefonu komórkowego, aby aplikacja uruchomiła samochód - http: //www.telegraph.co.uk/technology/2017/01/16/tesla-driver-stranded-desert-smartphone-app-failure/
Z moich obserwacji wynika, że zdecydowana większość kierowców nie jest wystarczająco zaawansowana technicznie, aby zrozumieć, jak obsługiwać kierunkowskaz.System wprowadzania hasła byłby lata świetlne poza ich poziomem zrozumienia.
Siedemnaście odpowiedzi:
Gilles 'SO- stop being evil'
2015-08-20 19:21:59 UTC
view on stackexchange narkive permalink

Złe wybory hasła

Podstawowym zagrożeniem, przed którym chroni zamek samochodowy, jest kradzież samochodu lub przedmiotów wewnątrz samochodu. Większość kradzieży jest oportunistycznych, a nie ukierunkowanych: idź na parking, wypróbuj kilka samochodów, aż znajdziesz słabo chroniony. Dzięki hasłom lub PIN-owi wiesz, że wiele osób wybierze hasło lub 1234 lub dla bardziej paranoicznych datę urodzenia. Blokowanie samochodu po nieudanych próbach nie ma znaczenia: złodziej po prostu spróbuje trzech najbardziej prawdopodobnych wartości na każdym samochodzie, a następnie przejdzie dalej.

Ponadto blokowanie samochodu na siłę po nieudanych próbach byłoby denerwujące, gdybyś dzieciak zaczyna naciskać przyciski.

Surfowanie przez ramię

Wpisywanie hasła jest podatne na surfowanie przez ramię. Trudno jest skopiować klucz fizyczny wyłącznie ze zdjęć (można to zrobić, ale tylko z wystarczająco dokładnymi obrazami). Niewspomagany człowiek nie jest w stanie skopiować klucza fizycznego.

Niewspomagany człowiek łatwo zapamięta kod PIN, który właśnie zobaczył wpisanego przez kogoś. Miń kogoś na parkingu, zapisz kod PIN, zobacz go następnego dnia / tygodnia o tej samej porze, zysk.

Pożyczka

Mogę pożyczyć komuś kluczyki do samochodu. Kiedy zwracają mi kluczyk, mogę być pewny, że nie mają już dostępu do mojego samochodu. Jasne, mogli zduplikować klucze, ale to wymaga czasu (jeśli pożyczą samochód tylko na krótki czas, wiem, że tego nie zrobili), a jeśli ufam im na tyle, by pożyczyć samochód, prawdopodobnie im ufam nie kopiować kluczyków.

Jeśli istnieje jedno hasło do otwierania samochodu, to jeśli pozwolę komuś korzystać z mojego samochodu, będzie miał dostęp na zawsze.

Można to oczywiście rozwiązać, posiadając wiele haseł do otwierania samochodu. Ale to dodaje kolejny zestaw trudności. Jedna z nich polega na tym, że przestrzeń kluczy może wymagać większej przestrzeni: przy małej przestrzeni na klucze, takiej jak 4-cyfrowy kod PIN, prawdopodobieństwo nieumiejętnego odgadnięcia może stać się nie do pominięcia w przypadku wielu ważnych kodów. Większa trudność polega na tym, że wymaga to od Joe Randoma zarządzania kluczami. Magnetowid Joe Random mruga o 12:00 od ostatniej awarii zasilania. (Może już nie w przypadku rejestratora DVR z połączeniem internetowym). Joe Random rozumie fizyczne tokeny - jeśli mam obiekt w ręku, kontroluję go - ale nie zarządzam hasłami.

Po tych wszystkich odpowiedziach zacząłem wierzyć, że moje pytanie jest oparte na opiniach. Oprócz surfowania na ramionach wszystkie inne powody nie są wystarczająco dobre, aby preferować klucze od haseł, przynajmniej moim zdaniem
Myślę, że pożyczanie jest tutaj bardzo ważnym aspektem - poza tym, szczególnie w rodzinach (+ nastolatki). Ponadto, jeśli wszędzie używasz tego samego hasła, będziesz miał problem - od teraz ta osoba zna również Twój adres e-mail / skype / hasło do komputera!
Uważam, że trzeci punkt jest kluczem i nie ma prawie nic wspólnego z bezpieczeństwem: obecnie pożyczasz samochód, pożyczając klucz. Może masz 2 komplety kluczy, ale to wszystko. Prawdopodobnie nie chcesz tego zmieniać; koncepcja polegająca na tym, że wiele osób losowo korzysta z jednego samochodu nie działa, a posiadanie fizycznego klucza jest jednym ze sposobów, jak to wesprzeć. Jeśli chcę pożyczyć samochód moich rodziców, muszę do nich zadzwonić / wysłać SMS-a i przyjść do ich domu, aby go odebrać. Jest jasne, kto w którym momencie kieruje samochodem.
A w przypadku bezkluczykowego otwierania / zapłonu część dotycząca kopiowania klucza ze zdjęcia zmienia się z możliwego, ale trudnego do niemożliwego.
* „Jasne, mogli zduplikować klucze, ale to wymaga czasu” * Nie zgadzam się: [aplikacja KeyMe umożliwia skopiowanie klucza w kilka sekund przy użyciu ZDJĘCIA] (http://www.dailymail.co.uk/sciencetech/article -2937632 / Kopiuj-sekundy-klucza-przy użyciu-aplikacji-PHOTO-pozwala-zamówić-nowy-dom-kluczy-post-secure.html)
Jeśli chodzi o wiedzę, kiedy ktoś nie ma już dostępu do Twojego samochodu, wiele systemów bram garażowych ma piny "gościa", które działają tylko dla X aktywacji lub Y dni i mogą być generowane w razie potrzeby z "hasła głównego" - byłoby to trywialne wdrożyć coś podobnego do samochodów, jeśli byłby to rzeczywisty problem.
@A.L Większość kluczyków samochodowych w dzisiejszych czasach jest chipowana; skopiowanie klucza fizycznego nie powoduje uruchomienia samochodu.
Co dzieje się z wypożyczalnią samochodów, jeśli używasz haseł?
Właściwie to [12345] (https://www.youtube.com/watch?v=a6iW-8xPw3k).
Pomyśl także: sklepy z wymianą oleju, sklepy z oponami, inne naprawy samochodów, parkowanie samochodu. Powszechną praktyką (w USA) jest przekazanie im kluczyka do samochodu w celu wykonania usługi.
@Katai, wypożyczenie jest najmniej ważne, ponieważ jest to problem, który został rozwiązany od czasu otwarcia drzwi garażowych z klawiaturą numeryczną. Po prostu tworzysz tymczasowe hasło dla tej osoby i usuwasz je, gdy nie chcesz już mieć dostępu. Tylko jeden klucz fizyczny może otworzyć zamek (ignorując tutaj „klucze główne” ...), ale system haseł może mieć dowolną liczbę „kluczy”. Heck, możesz nawet ustawić ograniczenia wydajności na podstawie hasła. To samo można zrobić z mechanikami lub lokajami. Po prostu utwórz nowe, jednodniowe hasło, a oni je zapiszą.
@LorenPechtel - Jestem pewien, że agencje wynajmu samochodów * pokochałyby * hasła samochodowe, wystarczy, że wydrukują hasło (zresetują je dla każdego klienta) i wręczy klientowi - żadnych kluczy do załatwienia i nie trzeba obsługiwać blokady klientów.
@JPhi1618 masz rację - nie myślałem o tych możliwościach. Ale nadal „utwórz nowe hasło jednodniowe” każdego dnia, aby rano oprzeć samochód na córce? To po prostu brzmi jak strasznie dużo pracy, zamiast po prostu wydawać klucz ruchem ręki. Ponownie, prawdopodobnie można to rozwiązać za pomocą aplikacji na telefon - ale nie wszyscy, których znam, mają smartfona. Klucze mają po prostu coś ... prostego. Zarządzanie hasłami i (tymczasowo) Właściwe systemy brzmią jak przesada w przypadku tego rodzaju problemów.
Pożyczanie nie jest poważnym problemem. Zakładając, że aplikacje mobilne są kluczem (klawiatury są nieco przesadzone, a ograniczenie do numerów jest złe ze względu na bezpieczeństwo), aplikacja mogłaby przypuszczalnie umożliwić tworzenie nowych kont użytkowników w locie, a następnie ich usuwanie. To pozwoliłoby ci mieć gości. Moglibyśmy argumentować, że zły wybór hasła jest problemem użytkownika i niewiele różni się od użytkowników, którzy nie chcą blokować samochodu. Surfowanie na ramieniu byłoby trudne, gdyby była to pełna klawiatura na urządzeniu mobilnym. Brutalne forsowanie jest obsługiwane z krótkim opóźnieniem między domysłami. To pozostawia baterie telefonu jako największą wadę.
Polynomial
2015-08-20 15:14:00 UTC
view on stackexchange narkive permalink

Ponieważ łatwiej jest popełnić błąd w systemie elektronicznym, a jeśli się pomylisz, jego naprawienie kosztuje dużo pieniędzy i kiepski PR:

Jest też wiele sposobów, aby to zrobić źle:

  • Źle zaprojektowany protokół bezprzewodowy do odtwarzania / wykrywania ataków.
  • Źle zaprojektowane / zaimplementowane kryptowaluty pozwalające na brutalną siłę toczących się kodów.
  • Słaba RNG umożliwiająca przewidywanie wartości krytycznych dla bezpieczeństwa.
  • Niewłaściwe kontrole przeprowadzone w oprogramowaniu samochodu, pozwalające na nadużycie automatu stanowego.
  • Przepełnienia bufora i podobne błędy oprogramowania w oprogramowaniu samochodu.

Ponadto klucze stają się droższe, systemy dostarczania kluczy stają się droższe, aw dłuższej perspektywie kończy się to z dużą ilością informacji technicznych dług, ponieważ musisz wspierać ludzi proszących o wymianę kluczyków do modeli pojazdów, których nie produkowałeś od 10 lat.

Fizyczne zamki i klucze są stosunkowo proste, stosunkowo niezawodne i stosunkowo łatwe do naprawienia fizycznego projektu i nie cierpią z natury na zdalne ataki. Klucze zmuszają również złodziei do bezpośredniego fizycznego kontaktu z samochodem, co jest zaletą z punktu widzenia medycyny sądowej i śledczej.

A co powiesz na zamek szyfrowy? Jeśli problem polega na mechanicznym lub elektronicznym, a nie typie uwierzytelnienia?
@Ulkoma Jasne, ale majstrowanie przy zamku szyfrowym jest niewygodne, jeśli próbujesz otworzyć samochód. Klucz jest po prostu włóż i przekręć. Można to zrobić w ciemności. Można to zrobić jedną ręką. Można to zrobić, jeśli nie masz dobrej kontroli motorycznej.
Mimo to większość kluczyków samochodowych ma wbudowane chipy od co najmniej ostatnich dziesięciu lat, a samochody „bezkluczykowe” są powszechne.
Drapieżcy parkingowi głosowaliby za zamkiem szyfrowym. Dzięki temu ich ofiary będą dłużej rozpraszane.
Nie widzę, jak ta odpowiedź odnosi się do pierwotnego pytania, które dotyczy używania haseł (trzeba znać) zamiast kluczy (trzeba mieć). Zamiast tego ta odpowiedź daje dobre argumenty na temat kluczy elektronicznych i nieelektronicznych, ale nadal mówi tylko o kluczach.
@SteffenUllrich Zastanawiałem się nad tym samym, ale biorąc pod uwagę wszystkie głosy w górę i reputację Poly, pomyślałem, że nie rozumiem
Zamki szyfrowe byłyby również podatne na ataki szpiegowskie.
@Ulkoma Myślę, że Poly zbyt szybko wypełnia lukę między hasłem a systemem elektronicznym dla nas, zwykłych ludzi. Jeśli wprowadziłeś hasło, masz system elektroniczny, więc Poly idzie o krok dalej i udziela szerszej odpowiedzi. +1 od
Te linki są trochę niepokojące. Czy znasz coś podobnego od Forda? (Jeżdżę Fordem z bezprzewodowym tokenem-kluczem.)
@MasonWheeler Google dla „ford electronic key rec” daje 502 tys. Trafień. Baw się dobrze.
Ale czy klucz mechaniczny również nie jest uszkodzony? To znaczy, przynajmniej tutaj, w Brazylii, jest dużo ... takich przypadków. Wyszukaj „abrir gol sem chave”, a otrzymasz 480 tys. Wyników. Biorąc pod uwagę, że w takich przypadkach klucz również wymagał hasła, czy nie byłoby lepiej? Aby dostać się do auta, trzeba mieć klucz, a od wewnątrz potrzebne jest hasło, aby go włączyć i prawidłowo z niego korzystać. Czy nie byłoby to lepsze niż samo hasło, czy tylko klucz?
Zauważ, że klucze fizyczne nie są lepsze. Wszystko, czego potrzeba, aby uruchomić / ukraść * dowolny * samochód, to godzina rozglądania się po niektórych forach nieanglojęzycznych w poszukiwaniu podejrzanego oprogramowania i kabla USB <-> CAN, ponieważ wszystkie komputery samochodów szczęśliwie zrzucą całe oprogramowanie bez uwierzytelniania, a nawet pozwalają zainstalować zmodyfikowane (jak bez kodu immobilizera) oprogramowanie układowe.
Steve Sether
2015-08-20 19:31:17 UTC
view on stackexchange narkive permalink

Mam dokładnie odwrotny problem. Dlaczego używamy tych głupich systemów opartych na hasłach, które mają poważne wady, skoro fizyczne klucze zabezpieczały wszystko stosunkowo skutecznie od wieków?

System oparty na hasłach jest strasznie wadliwy. Niewiele osób rozumie, jak łatwo odgadnąć hasło. Zapominanie haseł jest niezwykle powszechne, znacznie częstsze niż utrata wszystkich kopii kluczy. Przez lata zapomniałem dziesiątek haseł, ale ani razu nie zgubiłem każdej kopii klucza.

Nawet mając tylko 6 cyfr, jest bardzo mało prawdopodobne, aby odgadnąć liczbę bez posiadania komputera brutalnej siły. Jeśli samochód pozwala tylko na 3 próby na godzinę i zrobi zdjęcie po trzeciej próbie, stanie się to bardzo niewygodne.
@Michael Dlaczego zrobienie zdjęcia jest pomocne? Mogliby po prostu przez chwilę nosić maskę.
„kiedy fizyczne klucze zabezpieczały wszystko stosunkowo skutecznie przez wieki” - nawet przez tysiąclecia. Starożytny Egipt już używał kluczy, a apostoł Paweł otrzymał zestaw trzech (symbolicznych) kluczy do ujawnienia prawdy trzem różnym grupom ludzi. Mówi się, że Jezus „otwiera, aby nikt nie mógł zamknąć zamka, aby nikt nie mógł. otwarty"
Zgadzam się. Niedawno kupiłem YubiKey NEO i wiele rzeczy jest teraz o wiele prostszych. Po prostu włóż klucz do portu USB, naciśnij przycisk i jestem zalogowany. Mam nadzieję, że [U2F] (https://fidoalliance.org/specifications/overview/) i tym podobne otrzymają wkrótce bardziej popularne wsparcie. Hasła również nie skalują się wraz ze wzrostem mocy obliczeniowej. klucze kryptograficzne tak! Wiek hasła wkrótce się skończy.
W jednym miejscu pracowałem trochę paranoicznie, jeśli chodzi o bezpieczeństwo, nie można było zalogować się do żadnego komputera bez wcześniejszego włożenia karty inteligentnej (ta sama karta potrzebna do wejścia do budynku), a następnie wpisania nazwy użytkownika + hasła. Można by sobie wyobrazić, że samochód robi to samo.
@Michael Jeśli kod jest tworzony losowo, tak. Jeśli użytkownik może ustawić kod, to użytkownicy będą używać 123456 lub daty urodzenia.
@Michael Ponadto, jeśli system zablokuje Cię po 3 nieudanych próbach, jest to atak DOS. Zakładam, że w takim przypadku nadal możesz użyć klucza fizycznego, ale jaki jest sens kodów? Moje inne przypuszczenie jest takie, że można zawęzić możliwości kodu, po prostu szukając oleju odcisków palców na klawiaturze.
@Michael Jeśli blokuje się po 3 próbach, daję mu mniej niż jeden dzień, aż ktoś zamknie każdy samochód w najbliższym supermarkecie ... Może dodać głośny dźwięk i zamiast tego zablokować na 1 minutę.
Głośne dźwięki - wszyscy wiemy, jak dobrze działało to z alarmami samochodowymi.
Spaceruj po okolicy mieszkalnej, wpisując 123456 na każdym samochodzie zaparkowanym na ulicy - będziesz mieć samochód w ciągu godziny.
@Kyth'Py1k zrobi im zdjęcie. pytanie, ile. (1) wielu złodziei to kretyni, którzy nie pomyślą o założeniu maski; (2) niewłaściwe noszenie maski (np. Latem) może przyciągnąć niepożądaną uwagę; (3) taka maska ​​mogłaby zostać zakwalifikowana jako narzędzie włamania, co skutkuje zwiększoną karą; (4) taka maska ​​może naruszać niektóre jurysdykcje obowiązujące przepisy antyklanowe zakazujące noszenia masek w miejscach publicznych, co skutkuje większą karą.
@SamIAm Jako społeczeństwo zawiedliśmy w odniesieniu do alarmów samochodowych. Prawidłową reakcją byłoby wysłanie policyjnej lawety do pojazdu w niebezpieczeństwie i zabranie go na bezpieczny parking policyjny. Właściciel samochodu może odebrać swój pojazd po udowodnieniu prawa własności i uiszczeniu opłaty za zwrot. Gdyby była to reakcja na alarm samochodowy, byłoby kilka fałszywych alarmów, a kiedy alarm się włączy, samochód byłby faktycznie chroniony.
@emory Z wyjątkiem sytuacji, gdy wściekasz się na sąsiada lub współpracownika, po prostu podejdź do jego samochodu i stuknij w niego lub baw się klamką lub cokolwiek innego, co musisz zrobić, aby włączyć alarm samochodowy. Teraz musi udać się na komisariat, aby odebrać samochód i uiścić opłatę. Zrób to ponownie jutro. I pojutrze. I dzień później. Jeśli zostaniesz złapany, udawaj głupka i powiedz, że właśnie przechodziłeś przez parking i wpadłeś na niego. Potrzeba by dużo pracy, aby udowodnić, że robisz to wielokrotnie i celowo. \
@Jay najważniejsze jest to, że nie budzę się w nocy. być może producenci alarmów powinni wytwarzać urządzenia, które nie wyłączają się tylko wtedy, gdy ktoś na nie wpadł.
Nie ma sposobu, aby pobić użyteczność klucza elektronicznego. Podejdź do samochodu, naciśnij przycisk na klamce drzwi i wsiadaj. Jeśli klucz wypadnie z kieszeni w samochodzie i spróbujesz wyjść i zamknąć samochód, nie zamknie on drzwi. Jeśli wracasz z podróży samolotem z kluczykiem w bagażu i pada deszcz, po prostu naciśnij przycisk i wsiadaj - nie musisz wyciągać kluczyka. Nie wyobrażam sobie wpisywania hasła lub kodu PIN, tak jak robią to niektóre starsze samochody, stojąc w deszczu.
Graham Hill
2015-08-20 16:33:17 UTC
view on stackexchange narkive permalink

Samochody (i drzwi) od dawna używają uwierzytelniania opartego na tokenach, ponieważ było to coś, co można było (stosunkowo) tanio i prosto, i działało dobrze.

Obecnie możemy zbudować hasło oparte na systemach równie tanio i prosto, ale dlaczego miałbyś chcieć?

Nie ma nic złego w używaniu tokenów. Rozumiemy, jak działają. Są bardzo niezawodne. Jesteśmy dobrzy w zarządzaniu nimi. Oczywiście łatwiej je ukraść niż hasła. Ale hasła mają swoje własne problemy, na przykład niekończącą się walkę, aby przekonać użytkowników, aby włożyli w nie wystarczającą entropię.

Producenci i użytkownicy samochodów osiągają lepsze wyniki dzięki ulepszeniom istniejących systemów opartych na tokenach. Na przykład nowoczesna technologia sprawia, że ​​praktyczne jest włączenie identyfikacji do tokena i ponowne skonfigurowanie samochodu na podstawie tego, kto prowadzi.

+1 za niekończącą się walkę, aby przekonać użytkowników, aby włożyli w nich wystarczającą entropię. Gdybyśmy mieli samochody chronione kodem PIN, ile samochodów zostałoby skradzionych, ponieważ użytkownicy ustawiliby kod PIN na 1111 lub 1234 lub podobny? Jeśli zmusisz użytkownika do korzystania z wcześniej wybranego kodu PIN, po prostu zapiszą go na skrawku papieru, co byłoby bardzo łatwe do zdobycia przez kogoś innego (lub potajemnie zrobi zdjęcie, gdy użytkownik jest patrząc na to, aby dostać się do samochodu).
Uwierzytelnianie oparte na hasłach wymaga warstwy abstrakcji, która drastycznie zwiększa powierzchnię ataku. W przypadku tokena mechanicznego Twoje zabezpieczenie działa na tej samej warstwie co zapłon we wszystkich modelach oprócz najnowszych :)
W moim ostatnim samochodzie miałem immobiliser PIN. Od dnia zakupu do dnia sprzedaży nigdy nie zastanawiałem się, jak zmienić domyślny kod PIN. Tylko punkt danych ...
Steffen Ullrich
2015-08-20 15:26:22 UTC
view on stackexchange narkive permalink

Klucz to to, co masz (fizyczny), a hasło to to, co znasz. Pierwszą należy sklonować, a drugą wystarczy odgadnąć lub powąchać.

Sniffowanie hasła na komputerze odbywa się poprzez „surfowanie przez ramię” (tj. sprawdzanie, kiedy ktoś wprowadza hasło) lub za pomocą sniffera sieciowego. W (niezhakowanej) sieci samochodowej, miejmy nadzieję, nie da się wąchać, ale surfowanie na ramieniu prawdopodobnie da się łatwo zrobić. W wielu przypadkach, gdy uruchamiasz samochód, jest wystarczająco dużo ludzi, są kamery bezpieczeństwa i mogą być zainstalowane inne małe kamery, których nie zauważysz, podobnie jak kamery w odpieniaczach bankomatów.

Możesz spróbować znaleźć miejsce w samochodzie na klawiaturę, gdzie nie można obserwować naciśnięć klawiszy, ale jest to prawdopodobnie niewygodne miejsce. Oczywiście hasło musi być wystarczająco silne, aby nie można było go odgadnąć, ale musi być łatwe do zapamiętania. Oznacza to, że ludzie albo mają słabe hasła, albo zapisują je gdzieś w samochodzie lub używają innego narzędzia, aby je zapamiętać (np. Oszustwo z papieru w kieszeni, menedżer haseł w smartfonie ...). Tak więc używanie hasła może w rzeczywistości nie być tak wygodne, jak zamierzano lub może mieć naprawdę słabe zabezpieczenia, więc można je łatwo podsłuchać lub odgadnąć.

Istnieją już rozwiązania pozwalające zmniejszyć zależność od klucza, zastępując go inną rzecz, którą masz, na przykład odcisk palca lub smartfon. Chociaż te mogą być wygodniejsze, mogą zawieść na inne sposoby niż zwykły klucz: napastnicy mogą usunąć palec lub nie tylko Ty, ale także inni mogą zdalnie odblokować Twój samochód z powodu niezabezpieczony projekt. Ale jeśli producenci samochodów połączą siły z ekspertami ds. Bezpieczeństwa, mogą w rzeczywistości stworzyć coś, co zwiększy komfort bez zmniejszania bezpieczeństwa.

Biorąc pod uwagę niedawną tendencję do zwiększania bezpieczeństwa haseł poprzez dodanie drugiego czynnika, aby uzupełnić coś, co znasz (hasło), o coś, co masz (smartfon, token bezpieczeństwa ...), jest mało prawdopodobne, że bezpieczeństwo w samochodach pójdzie w przeciwnym kierunku . Ale nigdy nie wiadomo, ponieważ producenci samochodów czasami wpadają na dziwne pomysły, aby zadowolić swoich klientów, które mogą nawet wpłynąć na bezpieczeństwo w niezamierzony sposób.

Klucz można również ominąć. Pokazałem kilka odniesień, jak to się robi tutaj, w Brazylii, w komentarzu do pierwszej odpowiedzi. I to całkiem proste.
@Malavos: nikt nie powiedział, że klucze są w 100% bezpieczne. Ale same hasła są jeszcze słabsze. I chociaż w rzeczywistości można zobaczyć, czy ktoś próbuje włamać się do samochodu bez klucza, nie można odróżnić właściciela ważnego samochodu od tego, który właśnie uzyskał właściwe hasło, surfując po ramieniu.
cześć. Jasne, ale nie powiedziałem, że powinniśmy używać haseł. Powiedziałem tylko, że tutaj dwa czynniki: klucz do otwarcia samochodu i hasło do jego włączenia działają całkiem dobrze.
@Malavos, jak powiedzieli inni, wypróbowano 20 lat temu z immobiliserami z kodem PIN i nie przyjęło się. Może dzisiaj byłoby inaczej w przypadku generacji smartfonów, ale nadal oznacza to udostępnienie kodu PIN / hasła każdemu, kto może potrzebować prowadzić Twój samochód, np. Mechanikowi
@MattP Rozumiem twój punkt widzenia, mój komentarz nie miał na celu zapewnienia punktu do dyskusji - tylko po to, aby dodać informacje dla użytkowników, którzy trafiają tutaj przez wyszukiwarkę Google i duck go.
Mast
2015-08-21 01:45:22 UTC
view on stackexchange narkive permalink

Warto zauważyć, że niektóre samochody używają / używają haseł. Te hasła to zazwyczaj czterocyfrowy kod PIN.

Wyglądają mniej więcej tak:

keypad

Chociaż ja ' Widziałem to w wielu samochodach, nie znam żadnego samochodu, który miałby taki system wbudowany w fabryce.

Do uruchomienia samochodu potrzebny jest zarówno klucz, jak i kod. Nie wydaje się trudne obejście tego problemu, jeśli ktoś czuje się tak skłonny, ale zawsze jest wdrażany jako dodatkowy krok, a nie zamiennik. Nie jestem ekspertem w dziedzinie bezpieczeństwa, ale chipowany klucz wydaje mi się bezpieczniejszy niż czterocyfrowy kod na klawiaturze.

Wydaje mi się, że ta konkretna klawiatura dość szybko wykazywałaby zużycie lub plamy, czyniąc co najmniej 6 z 10 klawiszy bezużytecznych. Nasz bank również używa podkładki tylko do wprowadzania kodu PIN, ale klucze są tylko dotykowe i takie, które nie pokazują wiele. Nawet wtedy zastanawiam się, czy nie mogłem po prostu wykryć nagromadzenia się tłustej substancji na moich palcach (lub oczywiście frytkach).
Tak, jest ich całkiem sporo. Citroën to tylko jeden producent, który stosował takie immobilizery. Wbudowany fabrycznie może być znacznie skuteczniejszy, ponieważ logika znajduje się w jednostce sterującej silnika i nie można jej ominąć.
@Gábor Jeden z nich spotkałem w Citroënie Berlingo, który wyglądał na całkiem nieźle zaimplementowany. Z perspektywy czasu mógł zostać wbudowany w fabryce.
@MaartenBodewes Wszystkie internetowe czytniki kart bankowych, które widziałem, wymagają od użytkownika wprowadzenia zarówno kodu PIN /, jak i / kodu sesji wydanego przez stronę internetową banku. Tak więc klawisze używane do wpisywania kodu PIN są naciskane tylko nieznacznie częściej niż inne klawisze, a ustalenie ich wartości wymagałoby kryminalistyki.
@gerrit Nowy Rabobank wykorzystuje kamerę do odczytywania tych kodów sesji, stąd bardziej zaawansowana klawiatura. Błogosławieństwem dla bezpieczeństwa jest to, że całą transakcję otrzymujesz na ekranie tokena (!). Więc chociaż fizyczne bezpieczeństwo jest nieco mniejsze, wydaje się, że jest lepiej chronione przed atakami online. (nie, nie zatrudniłem jeszcze banku, tylko klient)
Peugeot korzystał z takiego systemu przez wiele lat. Pamiętam, jak mój sąsiad wielokrotnie przeklinał to w swoim samochodzie.
Samochody @Kickstart Peugeot i Citroen są produkowane przez tę samą firmę i mają wiele wspólnych komponentów.
@Jules Point był bardziej irytujący dla tych, którzy go cierpieli.
@Kickstart Można go wyłączyć, gdyby właściciel tak zdecydował. Właściwie nie wiem, dlaczego chcieliby kiedykolwiek pozbyć się dodatkowego zabezpieczenia, ale z pewnością to zależy od nich. Kradzież takiego unieruchomionego samochodu na miejscu była możliwa tylko wtedy, gdy złodziej przyjechał z dokładnie pasującym sterownikiem silnika ze znanym PIN-em. Nie jest to całkowicie niemożliwe, ale też mało prawdopodobne.
@Gábor - kiedy jest to bardzo irytujące, podejrzewam, że wielu z radością by go wyłączyło!
@Kickstart: również tutaj zastosowanie mają standardowe porady dotyczące RTFM. :-)
@Gábor - prawda, ale ilu bardzo nietechnicznych właścicieli samochodów jest w stanie sobie z tym poradzić (prawdopodobnie ich 5-letnie dziecko włączyłoby go ponownie za pomocą jakiegoś losowego nieznanego kodu). Ale jeśli jesteś producentem samochodów i chcesz faktycznie sprzedawać swoje produkty, dlaczego miałbyś dołączyć pewne zabezpieczenia, które domyślnie będą bardzo denerwować wielu potencjalnych właścicieli?
@Kickstart: Nie mogę się zgodzić (iz własnego doświadczenia z takim samochodem). To bardzo pożądany dodatek, który sprawia, że ​​kradzież samochodu jest o wiele bardziej skomplikowana. To prawda, niektórzy kierowcy (być może kurier dostawczy, który musi uruchamiać się ponownie wiele razy dziennie) mogą uznać to za problem, ale zdecydowana większość właścicieli, jestem pewien, jest zadowolona z takiego systemu. A jeśli tak nie jest, nadal mogą poprosić warsztat o całkowite usunięcie tej funkcji podczas następnej wizyty z dowolnego powodu. Wpisanie kodu PIN jest znacznie mniej irytujące niż stwierdzenie, że pewnego ranka nie ma samochodu ...
Ale widzę twój punkt widzenia w Stanach Zjednoczonych, gdzie toczy się pozew zbiorowy w imieniu niektórych kandydatów do Nagrody Darwina, dla których ciężar naciskania przycisku start / stop ** raz ** na koniec ich podróży jest nie do zniesienia. obciążenie. ;-))
@Gábor, tak wielu właścicieli było niezadowolonych, że twórcy najwyraźniej zrezygnowali z zawracania sobie głowy takim systemem ;-), Wpisywanie pinezki tysiące razy w zdalnej możliwości, że bez tego samochód zniknie, jest dość denerwujące. Zwłaszcza, gdy istnieje podejrzane oprogramowanie do odczytu i resetowania kodów.
user1703394
2015-08-22 02:56:27 UTC
view on stackexchange narkive permalink

To bardzo dobre pytanie, które dotyka pewnych bardzo podstawowych, ale często niezrozumianych zasad bezpieczeństwa informacji. Najbardziej elementarnym faktem jest to, że klucz samochodowy jest autoryzacją, a hasło, przynajmniej w swoim powszechnym użyciu, jest często powiązane z formą tożsamości (taką jak nazwa użytkownika) i jako taka znajduje się w tokenie uwierzytelniającym. Chociaż pojęcia te są często używane zamiennie, są bardzo różne. Twój samochód nie potrzebuje Twojej tożsamości, aby wiedzieć, że jesteś upoważniony do korzystania z niego. Twój klucz „to” autoryzacja. Jeśli poszedłeś do baru z kilkoma przyjaciółmi i całkowicie się wkurzyłeś, możesz łatwo przekazać swoje uprawnienia samochodowi, dając temu jednemu znajomemu, który pił tylko przez całą noc, swój kluczyk od samochodu, aby mógł bezpiecznie odwieźć Cię do domu. Po podwiezieniu cię do domu oddaje klucz, wsiada na rower i sprzedaje do domu. Tak więc delegacja została dobrowolnie odwołana przez niego, oddając swój klucz.

Jeśli chcesz wymienić kluczyk na coś lepszego, bardzo ważne jest, aby:

A) Nie Nie wpadnij w pułapkę używania tożsamości. Nie ma absolutnie żadnego uzasadnienia dla zawiłości związanej z tożsamościami, uwierzytelnianiem, listami kontroli dostępu itp. Po 6 lagerach doświadczony administrator systemu z pewnością nie jest w stanie zmienić list ACL, aby Twój znajomy mógł cię zawieźć do domu.

B) Będziesz chciał objąć i rozwijać koncepcję delegacji.

Myślę, że ten stary post na blogu porusza niektóre ludzkie aspekty, o których musiałby pomyśleć lepszy system „autoryzacji”.

https://minorfs.wordpress.com/2014/07/13/security-debunking-the-weakest-link-myth/

Najważniejsze, aby zdać sobie sprawę, że potrzebujemy lepszej autoryzacji. NIE (lepsze) uwierzytelnianie w takich przypadkach. Czy taki lepszy system autoryzacji mógłby używać haseł? Prawdopodobnie. Czy hasła (lub możliwości zapamiętania haseł, które są po prostu hasłami bez tożsamości) same w sobie byłyby wystarczające jako zastępcze tokeny uprawnień? Zdecydowanie nie, byłoby jednak bardzo interesujące zobaczyć, czy ktoś wymyśli rozwiązanie, które jest zarówno bezpieczniejsze niż kluczyki do samochodu, a jednocześnie w pełni uwzględnia naturalną siłę człowieka w relatywnie bezpiecznych, bogatych w delegacje wzorcach interakcji.

André Borie
2015-08-21 16:58:53 UTC
view on stackexchange narkive permalink

Producenci samochodów nie mogą nawet uzyskać prawidłowego podstawowego zabezpieczenia, nawet w przypadku standardowych kluczyków. Prawie wszystkie samochody mają obecnie wbudowaną technologię immobilizera (odczytującą chip wbudowany w klucz), ale:

  • ich „krypto” jest zepsute i klucze można sklonować, co jest niemożliwe w przypadku każdego klucza publicznego token / karta inteligentna wart swojej ceny.
  • komputery w samochodzie szczęśliwie pokazują całe oprogramowanie i pamięć (która zawiera wszystkie informacje potrzebne do zaprogramowania pasującego chipa immo) każdemu, kto pyta, a nawet zgodzi zainstaluj nowe oprogramowanie, takie jak załatane, aby usunąć kod związany z immo.

Więc jeśli nawet nie mogą uzyskać poprawnych kluczy, jak możesz oczekiwać, że otrzymają prawidłowe hasła? Jeśli spróbują hasła, na pewno znajdzie się jakiś idiota, który powie „hej, zaimplementujmy niezmienne hasło główne dla organów ścigania” i wyobrazi sobie następującą po tym katastrofę.

Poza tym nadal potrzebujesz fizycznego tokena, aby otworzyć samochód, ponieważ wpisanie długiego hasła w zimną noc na złowrogim parkingu nie jest takie bezpieczne, więc jeśli masz fizyczny token, równie dobrze możesz go ponownie użyć. Chciałbym jednak, aby był bezpieczny, ponieważ obecnie wyraźnie nie jest.

A propos, jeśli chodzi o kosztowny proces wymiany kluczyków, to jest to zgodne z projektem. Co by zrobili biedni producenci samochodów, gdyby nie mogli ukraść od ciebie 300 dolarów za każdym razem, gdy będziesz musiał wymienić klucze? Prawdziwym powodem, dla którego w samochodach są technologie immobilizerów, nie jest bezpieczeństwo (jak powiedziałem powyżej, ich „bezpieczeństwo” jest dyskusyjne), a jedynie zmuszenie uczciwych klientów do płacenia astronomicznych kwot za nic. Z drugiej strony złodzieje mogą używać rozwiązań opartych na oprogramowaniu, aby kontynuować kradzież.

Mam system alarmowy do domu. Istnieje domyślne hasło główne. Kiedy się o tym dowiedziałem, zmieniłem to. Ale firma ochroniarska nigdy nie dała mi żadnej instrukcji obsługi ani niczego, co o tym wspominało. Dowiedziałem się o tym tylko dlatego, że jestem maniakiem komputerowym i chciałem majstrować przy instalacji, więc wszedłem na stronę producenta systemu - a nie firmy, od której kupiłem system - znalazłem instrukcję instalacji, i pobrałem. Jestem pewien, że wiele osób, które pracują w firmach ochroniarskich, zna te kody główne.
Tak. Teraz, kiedy to wiem, myślę, że gdybym planował zostać złodziejem, dostałbym instrukcje instalacji od wszystkich głównych producentów i sprawdziłbym, czy mają hasła główne. Złodzieje prawdopodobnie wykonują więcej pracy, aby dowiedzieć się, jak włamać się do domów i biur, niż właściciele, aby ich powstrzymać.
Konrad Gajewski
2015-08-21 18:34:18 UTC
view on stackexchange narkive permalink

Myślę, że są na to dwa główne czynniki:

  • Wygoda

O wiele łatwiej jest mieć klucz i móc dawać to komuś, mieć zapasową kopię itp., niż obchodzić się z hasłem, wprowadzać je za każdym razem, zmieniać, gdy syn dostanie giętarkę itp.

  • Idioty

Ludzie wolą mieć urządzenie, które odblokowuje samochód, niż zarządzać rozwiązaniem zabezpieczającym składającym się z hasła lub zestawu haseł.

( Uwaga boczna: W zasadzie w większości przypadków jako informatyk wolałbym, aby ludzie używali karty chipowej lub prostego klucza do logowania niż hasła. Jest to znacznie wygodniejsze, gdy trzeba coś zdiagnozować / naprawić w środowisku korporacyjnym, niż mieć politykę dotyczącą haseł i mieć inną osobę, która udostępnia swoje hasło. Tak naprawdę nie mogę się doczekać szerszego zastosowania kluczy, a nie haseł w ogólnym IT).

Daniel Nalbach
2015-08-24 20:02:48 UTC
view on stackexchange narkive permalink

Dotyczy to zasad bezpieczeństwa informacji, które sprawiają, że uwierzytelnianie wieloskładnikowe jest pożądane.

  • Coś, co wiesz
  • Coś, co masz
  • Coś jesteś

Z punktu widzenia bezpieczeństwa, zamiana jednego na inny nie zapewnia wykładniczego zysku. Jest to kombinacja wielu czynników, które zwykle powodują wzrost.

W przypadku samochodów znana jest zazwyczaj lokalizacja samochodu. W przeszłości samochodów nie można było śledzić ani osiągać zdalnie, więc narażenie na ryzyko ograniczało się do lokalnego obszaru samochodu. Sytuacja ta stopniowo się zmienia, gdy samochody stają się połączone w sieć. Podobnie jak w centrum danych, samochód można fizycznie zabezpieczyć w obszarze o ograniczonym dostępie, takim jak garaż. Osoby, które są naprawdę zaniepokojone kradzieżą samochodu, prawdopodobnie będą parkowały tylko w obszarach o ograniczonym dostępie lub bardzo publicznych miejscach, w których zauważono by kradzież z użyciem siły. Ataki na konta internetowe są tak niebezpieczne, że są w większości niewidoczne i rzadko zauważane.

Coś, co zawsze było kluczem fizycznym. W dzisiejszych czasach może to być pilot lub zdalny rozrusznik. Z punktu widzenia bezpieczeństwa token fizyczny jest cenny, ponieważ ogranicza zakres kradzieży od kogokolwiek do osoby mającej w ręku token. Często oznacza to popełnienie oddzielnego przestępstwa w celu uzyskania fizycznego tokena. Dodanie fizycznego tokena do dostępu do konta online w celu uwierzytelnienia dwuskładnikowego znacznie zmniejsza ryzyko nieautoryzowanego dostępu do konta za pomocą hasła.

Jesteś zarejestrowanym właścicielem. Możesz nakazać policji aresztowanie każdego, kto jest w posiadaniu samochodu, a kto nie jest jego fizycznym właścicielem. To jest główny środek odstraszający od kradzieży, a nie trudność. Logowanie się na czyjeś konto online bez jego zgody ma wątpliwe konsekwencje, często wcale. Kradzież ich samochodu i danie się złapać to prawie gwarantowana kara więzienia za przestępstwo.

Stosowanie zasad bezpieczeństwa informacji do kradzieży samochodów nie jest jeszcze indywidualnym podejściem. Gdy samochody są w pełni połączone z siecią i samodzielnie jeżdżą, będą musiały być zabezpieczone w taki sam sposób, jak konta internetowe, ponieważ będą narażone na podobne ryzyko. W tym momencie ktoś może ukraść Twój samochód, logując się do niego zdalnie i zmuszając go do podjechania do żądanego miejsca odbioru bez nikogo, kto go widzi i bez fizycznego narażania się na schwytanie (ważna różnica). Mogą nawet użyć Twojego samochodu i zwrócić go w to samo miejsce bez Twojej świadomości. Nawet wtedy ktoś może zauważyć i ostrzec Cię jako właściciela, ponieważ duży obiekt fizyczny zmienia stan w sposób widoczny dla każdej osoby (nawet dziecka). Ta widoczność jest punktem krytycznym.

Zmierzamy w kierunku silnego uwierzytelniania wieloskładnikowego dla pojazdów. Klucz (lub brelok) nie zostanie wyeliminowany, po prostu już nie wystarczy. Podobnie, rozwiązanie czysto wirtualne, takie jak hasło, również nie powinno wystarczyć, ponieważ polega tylko na zamianie jednego rodzaju ryzyka (dostęp fizyczny) na inny typ (dostęp wirtualny). Podejrzewam, że klucz zapewni fizyczny dostęp do pojazdu (otwarte drzwi, bagażnik, maska), a klucz (rfid) plus hasło lub dane biometryczne umożliwią jego użycie.

Na pożegnanie, jak często zdalnie hakowane są serwery (hasła), a jak fizycznie kradzione z centrów danych (klucze)? Dlaczego? Dlaczego to zawsze będzie prawdą?

Czy możesz rozwinąć trzecią kwestię?
Coś, czym jesteś, to sprawdzenie statusu.Oto kilka przykładów: obywatel kraju, pracownik firmy, użytkownik systemu, właściciel nieruchomości.Mój status jako obecnego pracownika daje mi prawo wejścia do naszego budynku.Mój status obywatela USA daje mi prawo wjazdu do kraju.W połączeniu z czymś, co mam (id), zyskuję używanie rzeczy.
Serge Ballesta
2015-08-22 02:20:51 UTC
view on stackexchange narkive permalink

Jest jeszcze inny problem z samochodami chronionymi hasłem. Nie wolno nam zapominać, że właściciel / kierowca to na ogół zwykły człowiek. W związku z tym od dzieciństwa był przyzwyczajony do fizycznych breloków, a jeden kluczyk do samochodu, od jednego do trzech do domu, a jeden w pracy jest łatwy do noszenia w kieszeni. Nawet jeśli twój sąsiad zna wiek twoich dzieci i imię twojego psa, wyważanie drzwi do domu nie pomoże.

Z drugiej strony hasła mogą być bardzo bezpieczne. Prawdziwie losowe hasło składające się z 4 do 6 cyfr powinno zapewniać poziom bezpieczeństwa odpowiadający standardowemu kluczowi fizycznemu, nie mówiąc o 12 znakach alfadecymalnych. Ale jak już powiedziałem, wielu z nas to zwykłe istoty ludzkie, a zapamiętanie wielu naprawdę przypadkowych haseł jest trudne, jest tylko możliwe. Więc albo hasła są dostarczane przez trzecią część i wiele osób po prostu zapisuje je w wielu różnych miejscach, niszcząc bezpieczeństwo, albo można je wybrać, a znajdziesz datę urodzenia dzieci lub imię zwierzaka. Ok, użytkownicy security.stackexchange wiedzą o bezpieczeństwie IT, wiedzą o słabości hasła i mogą bez większego ryzyka korzystać z drzwi samochodowych lub domowych chronionych hasłem. Ale kto nie zna przyjaciela lub krewnego, który nie wyobrażałby sobie umieszczenia hasła na swoim smartfonie lub używania czegoś bardziej złożonego niż urodziny swojej dziewczyny do ochrony swojej strony na Facebooku? Jakie byłoby prawdziwe bezpieczeństwo jego samochodu zabezpieczonego hasłem?

Ok, to tylko jego problem. Ale czy myślisz, że kupi samochód chroniony hasłem lub zamek zabezpieczony hasłem w drzwiach swojego domu? Więc teraz pojawia się problem firmy sprzedającej samochody i zamki

TL / DR: Nie sądzę, aby hasła wkrótce zastąpiły klucze fizyczne czymś tak poważnym jak samochód lub drzwi domowe, nie z powodu luk w zabezpieczeniach, ale po prostu dlatego, że większość ludzi nie mogłaby ich bezpiecznie używać. Problem nie polega na technice, ale tak jak w przypadku wielu problemów z komputerem: najbardziej niebezpieczna część komputera znajduje się między krzesłem a klawiaturą

Peter
2015-08-24 15:53:49 UTC
view on stackexchange narkive permalink

Kiedy masz 2 konkurencyjne rozwiązania i żadne nie ma ogromnej przewagi nad drugim, wygrywa to, które już dominuje na rynku.

Chociaż klucze są słabym zabezpieczeniem, a czasami raczej niewygodne, podobnie jak hasła - tylko z różnych powodów.

  • Przyprowadzając samochód do mechanika, dajesz mu kluczyki. A jeśli masz hasło?

  • Kamery mogą ukraść Twoje hasło, ale nie klucz.

  • Gdy ktoś ukradnie Twój klucz, zauważysz. Gdy ktoś ukradnie Twoje hasło, nie zauważysz tego.

  • Hasła można zapomnieć.

  • Wprowadzenie długich haseł zajmuje dużo czasu. Używanie krótkich haseł zagraża bezpieczeństwu.

  • Dziurka od klucza jest brzydka, ale nie tak brzydka jak klawiatura.

  • Klucze mogą praca oparta wyłącznie na mechanice. Klawiatura z hasłem jest kłopotliwa, gdy bateria jest rozładowana i musisz wprowadzić hasło, aby otworzyć maskę, aby szybko uruchomić baterię.

Hasła są różne, ale nie lepiej. Istnieje kilka podejść, które są lepsze niż hasła i które uzupełniają klucze mechaniczne, np. naciśnięcie przycisku na kluczu, aby otworzyć drzwi.

Właściwie to właśnie dałeś mi pomysł: a co powiesz na samą klawiaturę? brak surfowania po ramionach oraz zalety mechanicznego klucza
@Ulkoma To dobry pomysł, myślę, że z łatwością znalazłbyś na to kilka 10 000 nabywców. Ale jeśli nie znajdziesz sposobu, aby to działało, gdy samochód nie jest zasilany, nie nadaje się do głównego nurtu.
koleś z DD to zrobił, wystarczy, że napiszemy do niego e-maila i powiemy, żeby przeniósł aplikację z telefonu komórkowego na sam kluczyk, część w silniku ma własną baterię i można nią zdjąć maskę
@Ulkoma "ma własną baterię". Nie wiem, jak to rozwiązuje problem. Co jeśli ta bateria się rozładuje?
Zgadzam się z twoją odpowiedzią, ale spierałbym się, że chociaż hasła można zapomnieć, można zgubić klucze. Nie wiem, co zdarza się częściej.
Jeśli mówisz o trwałej utracie kluczy, założę się, że hasła są zapomniane znacznie częściej. Chodziło mi o to, że oba mają obszerny zestaw wad.
Dennis Jaheruddin
2015-08-25 15:21:18 UTC
view on stackexchange narkive permalink

Kradzież fizycznych kluczy to ryzykowny biznes na małą skalę, hakowanie być może nie

Rozważ konieczność dokonania takiego wyboru:

  1. Podejdź do kogoś, włóż rękę do jego kieszeni, złap jego klucz, natychmiast wsiądź do jego samochodu, odjedź, sprzedaj za wszystko, co możesz
  2. zhakować coś, zorganizować sprzedaż (hasła / rzeczywisty samochód), w dogodnym czasie (niech ktoś) odebrać samochód, za który wiesz, że możesz zarobić niezłe pieniądze

Uwagi

Nawet zakładając, że sprawdzenie hasła podczas wpisywania nie byłoby możliwe, to idzie znacznie łatwiej było ukraść samochód i uszło mu to na sucho. Być może więc liczba kluczy skradzionych w paskach zmniejszy się, ale liczba skradzionych haseł powinna z łatwością to nadrobić.

Odnosząc się do innych punktów wymienionych w pytaniu

Kluczyki do samochodu mogą zostać łatwo zgubione lub skradzione przez nieznajomego, którego spotkałeś w jakimś pubie, ale jest bardzo mało prawdopodobne, że wykrzykujesz hasło, gdy śpisz i rozmawiasz

Klasyczny klucz może tylko zostać skradzionym przez kogoś, kto ma do niego fizyczny dostęp. Tak więc każdy, kto próbuje ukraść klucz, będzie musiał podjąć spore ryzyko i rozważyć możliwość trafienia do więzienia następnego dnia. Ponadto osoba ta będzie musiała nie tylko ukraść klucz, ale także natychmiast go użyć, aby wsiąść do samochodu, ponieważ w przeciwnym razie okazja minęłaby. Ktoś, kto ukradł Twoje hasło, prawdopodobnie może pozostać anonimowy, narażając się na pewne ryzyko tylko wtedy, gdy w końcu odbierze samochód w dogodnym czasie. W końcu nie będziesz wiedział, że ktoś inny ma teraz Twoje hasło.

Zmiana kluczyków do samochodu to duży kłopot i kosztowny proces; hasła można bardzo łatwo zmienić.

Ponieważ nie można zaakceptować, że ludzie nie mogą używać własnych samochodów, klucze prawdopodobnie muszą być przechowywane gdzieś centralnie. Również klucze cyfrowe zwykle wymagają zmiany znacznie częściej niż klucze fizyczne, ponieważ okazuje się, że ludzie lepiej je kradną. Dlatego roczne przychody generowane przez „koszty administracyjne” będą prawdopodobnie znacznie wyższe niż łączne wydatki na wymianę kluczy w tej chwili.

W banku zawsze możesz wykorzystać swój samochód jako samochód do ucieczki. rabunek, a później twierdzisz, że zgubiłeś klucze i to nie ty; nie możesz tego zrobić za pomocą hasła.

Nie rozumiem, dlaczego ludzie nie mogliby twierdzić, że ktoś ukradł ich hasło.

Biorąc to wszystko pod uwagę, oczywiście zwiększyłoby to bezpieczeństwo, gdybyś potrzebował klucza ORAZ hasła, aby rozpocząć. Nie jestem jednak pewien, czy ten dodatek byłby wart zachodu. - Idealnie byłoby, gdybyś chciał mieć czujnik odcisków palców i tak dalej, ale poza kwestią kosztów naprawdę nie chciałbyś zostać okradziony z samochodu!
Jay
2015-08-25 00:10:58 UTC
view on stackexchange narkive permalink

Niektóre z twoich punktów wydają mi się nieważne.

Klucz można łatwo ukraść, a hasło nie? Jak to? Mam 56 lat i nigdy, przenigdy nie skradziono mi kluczyków do samochodu. Jasne, ludzi można oszukać, na pewno nie mówię, że jest to niemożliwe. Ale ludzie często zapisują hasła, a kartkę papieru można ukraść. Ludzie używają haseł, które są łatwe do odgadnięcia. Nie jest dla mnie wcale oczywiste, że łatwiej jest ukraść fizyczny klucz niż hasło. Nie wiem, czy ktoś przeprowadził badania na ten temat. Chociaż podejrzewam, że w każdym przypadku zależy to w dużej mierze od tego, jak ostrożnie będziesz chronić przedmiot. Jeśli masz zwyczaj zostawiania kluczy na biurku w pracy lub w barze w lokalnym lokalu gastronomicznym i odchodzenia, ryzyko rośnie. Jeśli masz zwyczaj używania „password1” jako hasła lub zapisywania hasła na karteczce samoprzylepnej i pozostawiania go na widoku, ryzyko rośnie.

Jeśli używasz samochodu, przestępstwo, możesz twierdzić, że klucz został skradziony, ale nie hasło? To prowadzi nas z powrotem do poprzedniego punktu. Argument ten jest słuszny tylko wtedy, gdy założymy, że klucze są łatwe do kradzieży, ale hasła nie da się ukraść. Nawet jeśli myślisz, że klucze są łatwiejsze do kradzieży, kradzież hasła z pewnością nie jest niemożliwa. Przypuszczam, że w każdym przypadku policja i tak szukałaby więcej dowodów.

Jak wyobrażasz sobie użytkownika wprowadzającego hasło? Prawdopodobnie na zewnątrz samochodu musiałaby znajdować się klawiatura. Ta klawiatura musiałaby działać niezawodnie niezależnie od deszczu, śniegu, lodu itp. Samochód mojej córki ma klawiaturę i zamek szyfrowy. Kupiliśmy używany samochód i nigdy nie działał.

Jak długo zajmie wprowadzenie hasła? Może to stanowić problem, powiedzmy, dla kobiety samotnie próbującej wsiąść do samochodu w ciemną noc. Lub mniej dramatycznie, dla kogoś, kto próbuje wsiąść do samochodu, gdy pada deszcz lub marznąco, a jego palce są zdrętwiałe.

Zmiana kluczy to duży problem? Nie całkiem. Kiedyś musiałem wymienić drzwi swojego samochodu, gdy miał poważny problem z rdzą. Kupiłem drzwi na złomowisku. Oczywiście zamienny zamek drzwi nie pasował do moich kluczy. Po około dwudziestu minutach wysiłku wymieniłem wkładkę ze starych drzwi na nowe. Nie wiem, ile kosztuje zakup nowej wkładki bębenkowej, ale to nie jest coś, co będziesz robić co tydzień. Nowy zamek do drzwi domu kosztuje dziesięć lub dwadzieścia dolarów w lokalnym sklepie z narzędziami.

Dodatek: Jeśli potrzebujesz klucza głównego na wypadek zapomnianych haseł, rozładowanych baterii, itp., Stworzyłeś teraz dwa sposoby na kradzież twojego samochodu przez złodzieja zamiast jednego.
HopefullyHelpful
2015-08-25 13:16:14 UTC
view on stackexchange narkive permalink
  1. System haseł wymaga interfejsu, interfejs musi być bezpieczny i trwały.

1.1 Jeśli interfejs jest przymocowany do samochodu, potencjalnie łatwo go zniszczyć dla wandalistów bez większego hałasu, źle zaprojektowany interfejs może zostać zniszczony przez magnes dla zabawy. Jak byś otworzył samochód, gdyby interfejs źle działał lub był uszkodzony? Wspominasz o kluczu głównym, ale w ten sposób po prostu dajesz atakującym o 1 wektor ataku więcej niż wcześniej i zmniejszasz bezpieczeństwo.

1.2 Jeśli interfejs jest przenośny, można go również zhakować lub co najmniej brutalny, poprzez emulację sprzętu i wysyłane sygnały.

  1. Bezpieczeństwo informacji, kradzież, unikalność i kopie.

2.1 Hasła to informacje wizualne, które można łatwo ukraść na odległość, np. obserwując ruch palca bez faktycznego oglądania urządzenia wejściowego. Kamera w dowolnym miejscu na parkingu może łatwo ukraść setki haseł bez żadnego wysiłku i bez zauważenia przez właściciela. Ponadto samochody są używane w miejscach publicznych, w pobliżu znajdują się obce osoby, a niezauważone wprowadzenie hasła jest prawie niemożliwe do zagwarantowania.

2.2 Informacje mogą być przekazywane bez powiadomienia właściciela. Oznacza to, że hasło do samochodu można uzyskać bez Twojej wiedzy, a kluczyka samochodowego nie można ukraść bez Twojej wiedzy na dłuższą metę.

  1. Względny koszt, złożoność i wygoda.

3.1 Nawet jeśli pokonasz wszystkie powyższe wyzwania w 100% bezpieczny sposób i wyprodukujesz urządzenie wejściowe, które jest tak samo wytrzymałe jak klucz i zamek. Czy jest tańszy niż system klucza i zamka?

3.2 Czy system zwiększa złożoność dla użytkowników i / lub czy wymaga dodatkowych urządzeń, które mogą być skomplikowane? (I tak, smartfony lub tablety są złożone i prawdopodobnie i tak nie są bezpiecznym urządzeniem wejściowym)

3.3 Czy Twój system jest wygodniejszy niż poprzedni system klucza i zamka?

3.4 Czy Twój system jest szybki w użyciu? Jeśli tak, czy jest to naprawdę bezpieczne? Jeśli tak nie jest, czy problem jest naprawdę lepszy niż system blokady na klucz?

  1. Udostępnianie, cofanie praw dostępu itp.

4.1 Jeśli pożyczę synowi samochód, nie mogę cofnąć dostępu bez zmiany hasła, co również unieważniłoby dostęp mojej żony i oboje musielibyśmy nauczyć się nowego hasła na pamięć. Hasła muszą być łatwo zapamiętane, ponieważ zapisywanie ich dewaluuje je.

4.2 Posiadanie wielu ważnych haseł uczyniłoby system bardziej podatnym na brutalną siłę, a jeden wyciek w dowolnym miejscu byłby już śmiertelny dla bezpieczeństwa.

Tom
2017-04-21 13:08:21 UTC
view on stackexchange narkive permalink

Z dwóch powodów.

Po pierwsze, hasła to niezwykle głupia i słaba koncepcja bezpieczeństwa.

Po drugie, wygoda.

Drugi jest łatwiejszy. Dzięki kluczowi masz rozsądną ilość zabezpieczeń w wygodnej obudowie. Możesz oddać go znajomemu na godzinę, a następnie zabrać go z powrotem. Wyobraź sobie, ile osób trzymało kluczyki do Twojego samochodu w ciągu typowego roku. Mechanik w garażu, twoja żona lub syn, twój przyjaciel, lokaj w tej eleganckiej restauracji, do której kiedyś byłeś. Wyobraź sobie konieczność ustawiania haseł tymczasowych lub zmiany hasła za każdym razem. Dzisiejsze klucze to także znacznie więcej niż tylko klucze. Zawierają immobilizery, pozwalają na zdalne otwieranie drzwi lub bagażnika lub okien i dachu kabrioletu. W przypadku niektórych marek (na przykład BMW) mają również układ pamięci, który przechowuje dane samochodu (pozycja siedzenia, ustawienia klimatyzacji itp.), Dzięki czemu dwie różne osoby mogą mieć swój własny klucz z ustawieniami osobistymi, a także informacje diagnostyczne dla dealera / warsztatu samochodowego, jeśli przyniesiesz go do naprawy.

Po drugie, hasła są zepsutym mechanizmem bezpieczeństwa, którego używamy tylko dlatego, że tam jest i wiemy o tym. Hasła są regularnie, słabe, zapomniane, udostępniane. Muszą być gdzieś przechowywane i istnieje sto sposobów na ich zaatakowanie, podczas gdy jest tylko pół tuzina sposobów na atakowanie kluczy.

Jest jeszcze jeden punkt, który jest ważny dla organów ścigania, ubezpieczenia itp. - klucze to przedmioty fizyczne. Lub z prawnego punktu widzenia: dowody. Jeśli uważasz, że ukradłeś mój samochód, a policja znajduje przy tobie moje kluczyki do samochodu, to cholernie dobry dowód. Jak mogę udowodnić, że znasz moje hasło?

Z pewnością można wprowadzić ulepszenia w kluczyku samochodowym (i są one wprowadzane przez cały czas), ale przełączanie się na hasła nie jest jednym z nich.

Wszystkie Twoje punkty wydają się być uwzględnione we wszystkich pozostałych odpowiedziach
Scott
2015-08-23 18:22:32 UTC
view on stackexchange narkive permalink

Z tego samego powodu, dla którego wszystko, co musi być bezpieczne w sieci, korzysta z klucza RSA. Tylko 1 osoba może go mieć w dowolnym momencie, nie można tego zgadnąć ani brutalnie wymusić i nie można o tym zapomnieć. Jeśli ktoś ma Twój klucz, wiesz o tym. Jeśli ktoś ma Twoje hasło, nie znasz.

Pamiętam hasła do rzeczy, których używam na co dzień, ale coś takiego jak samochód, z którego musisz korzystać tylko kilka razy w miesiącu, będzie być zapomnianym.

Co? Proszę pana lub pani, twoja odpowiedź rozczarowuje mnie, że jest zdumiewająco błędna. Klucz RSA, 1 osoba, samochód używany kilka razy w miesiącu ... Duży gruby -1 ode mnie.
@DeerHunter W większości się zgadzam. Używam samochodu 100 razy w miesiącu. Ale mógłbym sobie wyobrazić tokenową kartę RSA z przyciskiem umożliwiającym komunikację NFC w celu wprowadzenia 6-cyfrowego kodu bezpośrednio na klawiaturze samochodu, z automatyczną jednominutową blokadą, jeśli którykolwiek kod NFC jest nieprawidłowy (aby zapobiec atakom siłowym). * Koncepcja * brzmi fajnie i byłbym pierwszym, który go wypróbował. Możesz nawet rozdawać karty gości (np. 3 użycia), pożyczać komuś (np. Klucz) i tak dalej. Oczywiście nie ufam też producentom, że zrobią to dobrze ...


To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 3.0, w ramach której jest rozpowszechniana.
Loading...