Pytanie:
Kłódka szyfrowa z 4 tarczami: czy bezpieczniej jest ją wyzerować, czy ślepo obracać tarczami po zamknięciu?
Peter Schilling
2018-04-13 19:05:23 UTC
view on stackexchange narkive permalink

Jestem częściowo odpowiedzialny za niektóre zasoby chronione przez 4-cyfrowy zamek szyfrowy, na przykład ten: Lock

Są dwie rzeczy co ludzie zwykle robią po zablokowaniu:

  • zresetuj wszystkie cyfry do 0, tak aby kombinacja brzmiała 0000, lub
  • zetrzyj na tarczach a trochę tak, że kombinacja czyta coś innego.

Mam silne przeczucie, że nie ma między nimi żadnej funkcjonalnej różnicy, ale zachęcam do ustalenia najlepszej praktyki. Zakładając więc, że zamek ma losową kombinację i jest praktycznie niezniszczalny bez wprowadzenia prawidłowej kombinacji, która metoda jest bezpieczniejsza?

Wybierając z [Kevin Mitnick's Lock Pick Business Card] (https://www.mitnicksecurity.com/shopping/kevin-mitnick-lock-pick-business-card) (mam dwie, jedną cofniętą) i oglądając [wideo] (https://youtu.be/D7jwY81-gQY), aby dowiedzieć się, jak, każdy może wybrać 175d w kilka sekund… nie martw się, jak zresetujesz tarcze.
Nie resetuj wszystkich cyfr do 0, jeśli kombinacja to 0000!;-)
Wyzeruj i ustaw kombinację na 0000. Niezawodny dowód.
Jeśli faktycznie ** jesteś odpowiedzialny ** za cenne zasoby, pozbądź się tego kiepskiego zamka ** natychmiast **, zastępując go odpowiednią, wysokiej jakości, odporną na manipulacje kłódką lub odpowiednim sejfem, w zależności od wartości.Nie ma sensu używać kiepskiego zamka, który każdy może złamać w ciągu 30 minut.Co gorsza, wiele takich zamków szyfrowych można złamać w ciągu 1 minuty, jeśli wiesz jak, jak szkicuje * Chris Johns * w swojej odpowiedzi.
Gdyby między tarcze można było włożyć cienki metalowy liść, byłby łatwy do zerwania
Te zamki (i ogólnie zamki szyfrowe) są niebezpiecznie niepewne, zwykle z powodu exploitów, które nie mają nic wspólnego z odgadywaniem kombinacji.
BosnianBill ma całkiem niezły film o tym… zna zamki.https://www.youtube.com/watch?v=L0QuuGRbUbU.Oto kolejny o Master 175 i klonach: https://www.youtube.com/watch?v=LIgk-TN6WXM
Kciuk AndrolGenhalda musi być większy niż mój, który obejmuje dwa koła.Więc zazwyczaj poruszam dwoma lewymi kołami, potem dwoma środkowymi, potem dwoma prawymi - zmieniam kierunek - i powtarzam cykl kilka razy.
@Michael masz to od tyłu: zawsze zostawiaj zestaw combo, a ponieważ nikt by nie uwierzył, że zostawiłeś go odblokowany, zawsze zablokują się podczas próby odblokowania :-)
możesz chcieć zbliżyć go do „fałszywego zestawu”, jeśli spodziewasz się wykwalifikowanego napastnika;jeśli uda ci się zmusić ich do zaakceptowania złej pierwszej cyfry, reszta czasu ataku zostanie zmarnowana.
Z jakiegoś powodu mam teczkę na rzeczy medyczne (bandaże, asortyment tabletek itp.) I ma ona kod „0000”.Nie wiem, co myślę o tym poście.
@user21820: Dlaczego?Zawsze miałem wrażenie, że zamki istnieją wyłącznie w celu dostarczenia dowodu ubezpieczenia, że skradzione przedmioty są chronione.Odkąd zdałem sobie sprawę z kluczy uderzeniowych, straciłem zaufanie do kluczy.Jasne, odstraszają amatorów, ale dla kogoś z zręcznością i doświadczeniem w otwieraniu zamków mechanicznych nie stanowią żadnego problemu.
@0xC0000022L: Myślę, że to śmieszny powód.Po pierwsze, w jaki sposób firma ubezpieczeniowa ma zamiar sprawdzić, czy zepsuty zamek to w rzeczywistości zamek, który „chronił” skradzione przedmioty?Po drugie, i co najbardziej ironiczne, jeśli twierdzisz, że te zamki nie stanowią żadnego problemu, firmy ubezpieczeniowe mogą bardzo dobrze traktować skradzione przedmioty jako niechronione, na własne żądanie.W końcu każdy zamek można dosłownie złamać za pomocą wystarczająco potężnego narzędzia, bez „złamania”.= P
@0xC0000022L: Chodziło mi po prostu o to, że zamek lub jakiekolwiek zabezpieczenia, które stosujesz, powinny mieć koszt zerwania równy wartości tego, co chroni.Z dźwięku tego wynika, że pytający jest odpowiedzialny za niektóre „raczej” cenne zasoby, a użycie tak kiepskiego zamka jest bardzo nieproporcjonalne.
Twój komentarz @user21820: „30 minut” jest niebezpiecznym przeszacowaniem.To naprawdę blisko 15 sekund;sejf zaprojektowany tak, aby był odporny na włamanie bez sprawdzania przez strażnika co 30 minut, musi posiadać certyfikat UL na poziomie TL-30.Oto interesujący film z laboratorium oceniającego: https://youtu.be/OtbGUbeM860.To dość droga jednostka;tak zwane sejfy z oceną B lub C (które nie posiadają określonej procedury testowej, więc są to tylko słowa modowe) nie wytrzymują przez 15 minut.Gdy sejf został zgubiony, mieliśmy jeden z oceną C otwarty w ciągu około 10 minut.Używał samej ręcznej wiertarki.
@kkm: Najwyraźniej nie skończyłeś nawet czytać mojego komentarza przed założeniem własnego.Powiedziałem 1 min.
@user21820: Dlaczego tak zrobiłem.Ale słyszę, nie ma sensu.
@0xC0000022L Tylko zamki bez kołków zabezpieczających można uderzać lub grabić, w przeciwnym razie jedyną realną opcją jest wyrywanie pojedynczych zawleczek.Podczas gdy niektórzy ludzie sprawiają, że wygląda to na łatwe, w rzeczywistości wymaga to znacznej praktyki i umiejętności.Istnieją egzotyczne projekty, takie jak klucz Abloy, o których wiadomo, że są wyjątkowo trudne do wybrania.Żadne zabezpieczenie nie jest idealne, ale prawdziwe zamki są _o wiele_ lepsze, niż myślisz.
Nie jestem pewien, czy istnieją bezpieczniejsze warianty tego rodzaju zamków, ale te, które sporadycznie spotykałem przez całe życie, były _bardzo_ łatwe do brutalnego użycia.Nie wymagało to żadnego narzędzia, napinania mechanizmu blokującego, a następnie wypróbowywanie kombinacji za każdym razem załatwiało sprawę.
Myśląc o tym przez tydzień, nie zrobi to żadnej różnicy.Przy 10000 kombinacji, z których jedna jest otwieraczem, jest 9999 innych, które po prostu nie będą działać.Pozostawienie kombinacji w dowolnym miejscu będzie równie „bezpieczne”, ponieważ 0000 jest tak samo przypadkowym błędem, jak kolejna 4-cyfrowa liczba.Ponadto, jeśli chodzi o kolegów, ponowne znalezienie 0000 będzie dla niektórych stratą czasu, słusznie, i nie będą się tym przejmować.Jakie mogą to mieć konsekwencje?
Od czasów liceum wiele z nich mogę otworzyć oczami tylko określając klucz.Wirnik w licznikach ma nacięcie, gdy zacząłeś go widzieć, liczba wynosi +5 mod 10
Dwanaście odpowiedzi:
AndrolGenhald
2018-04-13 19:19:32 UTC
view on stackexchange narkive permalink

Zalecałbym ustawienie go na 0000 lub inną określoną kombinację (nie ma znaczenia co).

„Zacieranie wokół tarcz” jest trochę niejasne, ale myślę, że na podstawie mojej własnej zachowanie polegające na tym, że ludzie mieliby tendencję do poruszania większością lub wszystkimi tarczami naraz, co stworzyłoby silną korelację między bieżącą kombinacją a kombinacją zamka. Na przykład, jeśli kombinacja zamka to 1234, ktoś może zmienić ją na 5678 (prawdopodobnie nie dokładnie, ale na tyle blisko, że atakujący może nadać priorytet kombinacjom, które próbują).

Ludzie również mają skłonność do myślenia rzeczy wydają się bezpieczniejsze, kiedy faktycznie osłabiają bezpieczeństwo. Ktoś może spróbować ustawić kombinację, która wydaje się „dalsza” od kombinacji zamka, na przykład zmiana 1234 na 6578 zamiast 2142, ponieważ 2142 jest zbyt „blisko” kombinacji zamka. Może to pozwolić atakującemu na nadanie priorytetu kolejności prób kombinacji. Określenie stałej wartości, aby ją ustawić, aby uniknąć takich problemów.

A jeśli kombinacją jest 1234, prawdopodobnie nikt nie pozwoli, by po przetasowaniu było x2xx.Osoba atakująca raz po raz rejestruje numery na zamku i może na tej podstawie utworzyć profil zawierający prawdopodobne cyfry.
@ThoriumBR To prawda.Większość ludzi może nawet celowo unikać pojawienia się części ich kodu.Muszę tylko patrzeć, jak obracasz blokadę pół tuzina razy, aby zawęzić dokładne 4 liczby, których używasz, a następnie mam tylko 4 * 3 * 2 * 1 = 24 kombinacje do przetestowania.Właśnie całkowicie zniszczyłeś swoje bezpieczeństwo z powodu własnego błędnego wyobrażenia o tym, czym jest bezpieczeństwo ...
Wersja skrócona: ludzie radzą sobie jeszcze gorzej w RNG niż komputery, nawet jeśli uważamy inaczej.
W prawdziwym świecie obie opcje są w zasadzie równoważne, ponieważ jeśli ktoś naprawdę chce na tyle mocno, by złamać prawo, nie będzie prowadził statystyk ani spędzał godzin na próbowaniu każdej kombinacji.Będą używać łomu lub wiertarki.
Ze względów praktycznych ustawienie 0000 jest prawdopodobnie lepsze, ponieważ wskaże atakującemu, że powinien przejść do łatwiejszego celu.Nawet jeśli atakujący nie złamie Twojego kodu, nie chcesz, aby próbował go spotkać.
@BlueRaja-DannyPflughoeft Chyba że chcą coś ukraść co drugi tydzień, coś, czego można przegapić i nikt nie będzie robił zamieszania.
@ThoriumBR, właśnie do tego [karta wytrychów] (https://www.mitnicksecurity.com/shopping/kevin-mitnick-lock-pick-business-card) wspomniana w komentarzu CGCampbell jest.
Jeśli chodzi o ludzi upewniających się, że żadna z cyfr nie znajduje się w „przypadkowej” niewłaściwej kombinacji, w czasie drugiej wojny światowej Niemcy zrobili to w swojej maszynie Enigma.Upewnili się, że list nigdy nie zostanie zakodowany jako sam.To pomogło Brytyjczykom złamać kod.
@CJDennis: Przypisywanie samego tylko Brytyjczykom łamania zagadki nie jest sprawiedliwe.
Ustawienie 0000 nie robi wiele, jeśli ktoś chce odblokować, dość szybko można użyć noża do znalezienia bramek i do tego kombinacji (około 40 sekund).Nie działa to szybciej ani wolniej po ustawieniu określonej kombinacji.Ludzie, którzy chcą dostać się do środka bez powodowania szkód, raczej nie „próbują” wielu kombinacji.
Chyba że sama kombinacja zamka to 0000.
Wszystkim brakuje to, że korelacja między poprawną kombinacją a słabo losowym stanem zablokowanym, który jest wynikiem pewnego zacierania, jest w dużej mierze nieistotna.Gdyby po kolei zidentyfikowano prawidłowe liczby, byłby to problem, ponieważ poznanie relacji między stanem zablokowanym a stanem otwartym dla jednej liczby daje pewne informacje o tym, jak inne numery mogły zostać obrócone.Ale tak nie jest - cały zamek otwiera się od razu, a przestrzeń „wzorców korelacji”, takich jak wszystkie pokrętła +1 lub +2, albo niektóre +3 i inne -3, szybko staje się zbyt duża, aby mieć jakikolwiek praktyczny wpływ.
@KamilDrakari Oto link, który możesz dać ludziom, aby wyraźnie wykazać ten fakt i ogólnie, jak łatwo jest przewidzieć ludzi: http://web.media.mit.edu/~guysatat/MindReader/index.html
Niestety, 0000 spowoduje, że niektóre tarcze będą się poruszać bardziej w czasie ich życia, powodując to, co przypuszczam, jest wykrywalnym zużyciem.
Chris Johns
2018-04-14 00:31:28 UTC
view on stackexchange narkive permalink

W teorii zerowanie lub jakakolwiek z góry określona sekwencja jest bardziej bezpieczna, niż można, teoretycznie zgadnij, jak daleko ktoś może przesunąć tarcze.

Jest również możliwe, że gdybyś był w stanie sprawdzić stan tarcz, gdy są zablokowane w wystarczająco różnych sytuacjach, można zawęzić prawdopodobną kombinację, jeśli za każdym razem jest resetowana w podobny sposób.

W praktyce jest to prawdopodobnie nieco naciągane i wszystko, co ma zamek szyfrowy, ma prawdopodobnie większe obawy, np. kombinacja znana zbyt wielu osobom lub fakt, że jakakolwiek liczba między 1950 a 2018 rokiem plus rok urodzenia umiarkowanie sławni ludzie to prawdopodobnie całkiem dobre przypuszczenie.

Powiedziawszy, że kombinacje ustawione na zero mogą mieć zalety operacyjne, ponieważ daje to jasną, jednoznaczną wskazówkę i łatwo jest wizualnie sprawdzić, czy zamek jest bezpieczny bez osoby sprawdzającej, która musi znać szyfr, zwłaszcza jeśli faktycznie fizyczna kontrola, czy zamek jest zamknięty, jest problematyczna, np. otwarcie powoduje wywołanie alarmu. Można również argumentować, że dodanie dodatkowego kroku zerowania tworzy więcej rutyny, a więc zmniejsza prawdopodobieństwo, że ludzie w ogóle zapomną o ustawieniu blokady, chociaż jest to wprawdzie dyskusyjne.

Na przykład, jeśli masz nocnego ochroniarza, możesz po prostu poprosić go o sprawdzenie, czy wszystkie zamki są ustawione na 0000, co jest zarówno łatwe do wykonania, jak i weryfikowalne.

Daje również (wprawdzie słabe) sprawdź, czy zamki nie zostały naruszone, tutaj lepsza byłaby bardziej arbitralna sekwencja.

Na przykład, jeśli ustawisz wszystkie swoje zamki na 2375, kiedy wychodzisz, a sekwencja jest inna, gdy wracasz, wiesz, że ktoś się z nimi bawił.

Należy również pamiętać, że niektóre rodzaje zamków szyfrowych są bardzo trywialne do wybrania, ponieważ często można poczuć, że każda tarcza zostaje aktywowana, szybko przechodząc przez każdą tarczę lub sondując z zewnątrz. Podobnie, blokada z 4 pokrętłami ma tylko 10 000 (10 ^ 4) możliwych kombinacji i często można bardzo szybko przejść przez systematyczne kombinacje.

Ta odpowiedź jest najlepsza, ponieważ bierze pod uwagę rzeczywiste bezpieczeństwo, a nie tylko kryptograficzne bezpieczeństwo samych liczb.
Blokada z czterema tarczami zajmuje stosunkowo dużo czasu, aby przejść przez wszystkie kombinacje, większość zamków dostępnych na rynku to zamki z trzema tarczami, które można bardzo szybko otworzyć tylko poprzez systematyczne sprawdzanie wszystkich kombinacji.Trzy zamki tarczowe nie powinny być używane do niczego poza dziecięcą zabawą.Oczywiście żadna blokada wybierania nigdy nie jest zbyt bezpieczna.
Jeśli potrafisz przesiewać hasła na 4-cyfrowym zamku z prędkością 1 na sekundę, złamanie mogłoby zająć maksymalnie trzy godziny.Ale jeden z tych zamków, które obracasz w tę iz powrotem (jak w szafce) ma 40 numerów i trzy cyfry.Każda próba zajmuje 5 sekund, a więc trwa maksymalnie 100 godzin.Ponadto jeden z tych zamków można zostawić na dowolnym numerze bez obawy, że będzie łatwiej go złamać.
@RedwolfPrograms:, prawdopodobnie powinieneś powtórzyć obliczenia.Blokady wybierania numerów mają zwykle wbudowaną w system pewną tolerancję, więc wybieranie sąsiednich numerów zwykle nadal działa.
@RedwolfPrograms powinieneś być w stanie jechać znacznie szybciej niż 1 na sekundę, nawet jeśli nie możesz poczuć zaczepienia szpilki lub włożyć kilofa.
@OrangeDog Wykorzystałem 1 sekundę, aby uwzględnić fakt, że niektóre zamki wymagają pchania zamka lub pociągania dźwigni, aby otworzyć, co może zająć kilka sekund.Poza tym moje powyższe obliczenia były czasami maksymalnymi
@TeroLahtinen, zwłaszcza jeśli twój 4-tarczowy zamek jest ustawiony tak, aby zdetonować wszystko po 5 prostych niepowodzeniach!
Jeśli założymy, że jedna próba zajmuje 1 sekundę, wtedy blokada 3 pokręteł zajmuje tylko około 8 minut (średnio w najgorszym przypadku * 2), podczas gdy blokada 4 pokręteł zajmuje godzinę i 23 minuty.Dwie blokady z trzema tarczami były powszechne w teczkach, zajmuje to tylko dwa razy więcej czasu niż jedna, czyli średnio 16 minut, jedna blokada z czterema tarczami jest znacznie lepsza.
Podoba mi się aspekt ochrony, ponieważ mogą oni zweryfikować bezpieczeństwo bez konieczności używania kodu.
@TeroLahtinen: Z jakiegoś powodu większość producentów zamków z cyfrowym wybieraniem numerów nie chroni ich przed niektórymi stosunkowo szybkimi, łatwymi i powszechnymi exploitami.Domyślam się, że zamki z cyframi mają taką reputację słabości, że ludzie, którym zależy na bezpieczeństwie, nawet ich nie rozważą, a ci, którzy nie dbają o bezpieczeństwo, nie byliby gotowi wydać więcej na naprawienie słabości.
@supercat być może celem blokad wybierania jest ogólnie po to, aby pomóc uczciwym ludziom pozostać uczciwym, a nie tak naprawdę powstrzymać złośliwych ludzi.
@TeroLahtinen Niektóre blokady wybierania mają lukę, w której jednoczesna próba wybierania numeru i otwierania zamka zapewni informację zwrotną, informującą, czy poszczególne pokrętło znajduje się we właściwej pozycji.Pozwala to na szybsze otwarcie zamka niż brutalna siła.
* lata urodzenia średnio znanych osób to prawdopodobnie dość dobre przypuszczenie. * - czy to naprawdę powszechna kombinacja?W ogóle nie pamiętam roku urodzenia żadnej sławnej osoby.
@RedwolfPrograms,, co LieRyan powiedział o blokadach jednoprzyciskowych.Te, które znam, mają 60 cyfr, 3 cyfry i 3 cyfry gry;czyli 20 możliwości do potęgi 3;więc 8000. (Nieco mniej, ponieważ druga liczba nie ma wszystkich 20 możliwości, ani trzecia, ale będzie blisko). Przy 5 sekundach = 720 prób na godzinę, to około 11 godzin.(Nie mam pojęcia, czy 5 sekund to dokładność. Słyszałem, że na jednej z dużych konwencji / targów był zespół, który zbudował robota do ich łamania, ale nie wiem, jakie były ich czasy).
@LieRyan: Z jakimi blokadami wybierania miałeś do czynienia?Te na szafkach, w których chodziłem do liceum, niezawodnie odmawiały otwarcia, chyba że masz kombinację _ dokładnie_ poprawnie.(Przez połowę czasu też się nie otwierały, ale jestem prawie pewien, że było to spowodowane przepełnieniem mojej szafki i zaciśnięciem mechanizmu zatrzaskowego, a nie samym zamkiem).
jpmc26
2018-04-14 06:04:49 UTC
view on stackexchange narkive permalink

To nie ma znaczenia.

Blokada może zapewnić trzy formy ochrony:

  1. Opóźnić atakującego przed dostępem do zasobu, aby można było go przerwać i zatrzymać
  2. Zapewnij dowody manipulacji
  3. Odwróć potencjalnego napastnika przed próbą ataku

Jak omówiono w odpowiedziach i komentarzach, nie daje to zbyt wiele w sposób opóźniający napastnika. Zamek można łatwo przeciąć narzędziem, takim jak to para przecinaków do śrub za 10 USD. Można go łatwo wybrać za pomocą narzędzia, na co wskazuje komentarz CGCampbell.

Łatwość, z jaką może być wybierany, ogranicza również jego skuteczność jako dowodu manipulacji. Inne odpowiedzi wskazują, że można go dość łatwo pokonać nawet bez narzędzia do zbierania. Więc to też naprawdę zawodzi.

Pozostawia to jedyną wartość jako korzyść psychologiczną. Komunikuje, że cenne przedmioty w środku nie są przeznaczone do nieograniczonego dostępu, co odwiecza ludzi, których poczucie moralności lub strach przed złapaniem uniemożliwi im podjęcie jakichkolwiek prób.

To, na czym tarcza jest osadzona, ma więc prawie zero znaczenie dla jego zdolności obronnych. W rezultacie będziesz potrzebować innych mechanizmów obronnych, aby osiągnąć swoje cele w zakresie bezpieczeństwa, jeśli obejmują one coś poza wpływem psychologicznym. Nadzór (wideo lub osobisty) zapewniłby znacznie bardziej wiarygodne dowody fałszerstwa, jeśli tego właśnie potrzebujesz; jeśli to nie jest wykonalne, istnieją inne sposoby osiągnięcia tego. Jeśli zamierzasz chronić go przed zdeterminowanymi napastnikami, wymagane są inne środki ochrony.

Zamki są często używane do zabezpieczania przed manipulacją, a nie tylko do fizycznego zabezpieczenia.W takich sytuacjach napastnik może mieć mniej ścisły limit czasu, ale nie jest w stanie fizycznie zniszczyć zamka (ponieważ pozostawiłoby to dowód).
Zobacz komentarz @CGCampbell's do pierwotnego pytania.Ten zamek nie zapewnia nawet dowodu manipulacji.Każdy, kto zna sztuczkę, może otworzyć ten zamek prostym narzędziem szybciej niż osoba, która zna kombinację, może ją wybrać. Otwarcie go za pomocą narzędzia nie pozostawia żadnych śladów.
Lub przeciąć zamek, otworzyć [pojemnik] i zastąpić innym zamkiem - kogo obchodzi, czy szyfr jest zły ...
@forest Dzięki.Zaktualizowałem swoją odpowiedź, aby uwzględnić tę możliwość.
AJAr
2018-04-13 19:13:22 UTC
view on stackexchange narkive permalink

Zero to. Może więcej pracy, ale nie ryzykujesz zbyt małej rotacji lub obrócenia tej samej wartości dla wielu tarcz. Jednak w każdym przypadku napastnik miałby niewiele do zrobienia ... Większość ludzi by tego nie rozważała. Rzeczywiste bezpieczeństwo w świecie rzeczywistym jest prawdopodobnie prawie równe. Po prostu nie mieliby nic więcej do roboty, gdybyś to wyzerował, i dobrze jest wyrobić taki nawyk.

To może nie być więcej pracy.Jeśli umieścisz to na 0000, możesz pomyśleć o kombinacji 1234 jako 1 kliknięcie w górę na pierwszej tarczy, 2 kliknięcia w górę na drugiej itd. I nie musiałbyś robić odejmowania, aby dowiedzieć się, jak daleko się przesunąćkażda tarcza.I możesz zrobić to samo wstecz, kiedy później go zresetujesz.To może być nawet łatwiejsze!
Kluczem jest zresetowanie go do tego samego wzorca, aby reset nie mógł być użyty jako wektor ataku, wtedy możesz użyć tej spójności, aby otworzyć wygląd bez wzroku ... dodając nawet WIĘCEJ bezpieczeństwa.
Myślę, że ta odpowiedź jest prawidłowa, ale z zastrzeżeniem, że jeśli dodatkowe zabezpieczenie jest * warte * tej dodatkowej pracy, prawdopodobnie używasz zbyt słabego zamka do pracy.Ale to może nie być pod twoją kontrolą.
Ten zamek wygląda jak ten, który miałem kilkadziesiąt lat temu - jeśli tak, uważam, że miał zatrzymanie, które uniemożliwiło mu powrót do zera, co znacznie ułatwia zerowanie niż mieszanie.
Dobrzy napastnicy to nie „* większość ludzi *” - jak zawsze model zagrożenia musi uwzględniać poziom przeciwnika, przed którym się bronisz.
@TobySpeight Tak, to słuszna uwaga.
Marcos
2018-04-14 02:18:50 UTC
view on stackexchange narkive permalink

Odpowiadając na to pytanie, należy wziąć pod uwagę kilka rzeczy.

  1. Jeśli szukasz odpowiedzi statystycznej, „obracaj” pokrętłami określoną liczbę razy losowo do przodu i do tyłu. (Nie mam licznika, ponieważ byłyby to obliczenia, których nie mam przy sobie. To jak wymagana liczba tasowań w Vegas, aby można je było uznać za losowe).

  2. Jeśli patrzysz na to z punktu widzenia bezpieczeństwa, lepszą odpowiedzią jest ustawienie określonej liczby (gdzie 0000 może być tą konkretną liczbą). Powód, dla którego jest to lepsza odpowiedź, został poruszony w innych postach, ale podsumowując, wymaga to od osoby zamykającej zamek „pomyślenia”, aby upewnić się, że został wybrany. Nie dostarcza żadnych danych statystycznych w czasie, aby odgadnąć ruchy. Pozwala na okresowe „wykrywanie” manipulacji (nawet w celu przemieszczania liczb). Jeśli ustawiona liczba to 0000, część służąca do manipulacji będzie miała potencjalnie niższą skuteczność, ponieważ ktoś bawiący się nią prawdopodobnie zapamięta, aby zmienić ją z powrotem na 0000.

Niestety, wszystkie Ogólnie rzecz biorąc, jest to nieco dyskusyjne, jeśli osoba próbująca otworzyć zamek wie, co robi. Te 4-cyfrowe zamki typu combo, takie jak ten na zdjęciu, zazwyczaj mogą zostać otwarte w mniej niż 30 sekund przez osobę, która ma z nimi doświadczenie. Jeśli mają cienką podkładkę, nawet szybciej ... Tylko typowy przykład wideo pokazujący, jak to się robi (choć z bardziej odsłoniętymi tarczami) https://www.youtube.com/watch?v=ABKsUNitXqw lub https://www.youtube.com/watch?v=jmhSSuCIdPI. Pracując w DefCon przez kilka lat, niesamowicie jest siedzieć kilka minut w wiosce otwierania zamków i obserwować, jak młodzi dorośli szybko robią takie rzeczy po mniej niż 15 minutach treningu.

Wiedząc, jak łatwo jest to zrobić pop, i fakt, że prawdopodobnie martwisz się o manipulowanie, # 2 powyżej to długoterminowa droga.

(+1) W większości zgadzam się z twoją odpowiedzią, z wyjątkiem „1”: W przypadku tego typu zamka szyfrowego (# 1) „kręcenie” (dowolne lub wszystkie) wybieranie więcej niż jeden raz nie poprawia bezpieczeństwa.Problem polega na tym, że osoba zamykająca zamek (lub weryfikująca ją później) powinna upewnić się, że wszystkie tarcze są odsunięte od kombinacji otwierającej.Pytanie brzmi, czy powinny zostać przesunięte na określone (nieprawidłowe) pozycje (np. 0-0-0-0), czy też na jakieś przypadkowe pozycje.Jeden ruch na każdej tarczy powinien wystarczyć do określonej lub przypadkowej pozycji.Przesunięcie tarczy dwukrotnie (lub więcej) w dowolnym kierunku może spowodować jej powrót do pozycji otwarcia.
Przesunięcie każdego pokrętła osobno do losowej, ale nieotwieranej pozycji powoduje wyciek informacji o kodzie do obserwatora, który może obserwować zamek w czasie.
To dobrze, jeśli * niektóre * tarcze mogą znajdować się w pozycji „otwarcia”, o ile * nie wszystkie * są.W ten sposób przestrzeń wyszukiwania jest zmniejszona tylko o jeden kod na obserwację.
Jeśli chodzi o statystyki, prawdziwa losowość oznaczałaby obracanie się od 0 do 9 pozycji do przodu, z równymi szansami dla każdej tarczy niezależnie od pozostałych.Nie liczyłbym do tego na pamięć mięśniową;użyj RNG.
„brak informacji statystycznych na przestrzeni czasu” - Domyślam się, że dodatkowe zużycie tych tarcz, których prawidłowe cyfry są najbardziej oddalone od 0, będzie w końcu wykrywane.
Esa Jokinen
2018-04-14 10:41:26 UTC
view on stackexchange narkive permalink

Aby zapewnić dodatkowy poziom bezpieczeństwa, użyj obu kierunków jednakowo do zerowania lub zawsze obracaj wszystko w jednym kierunku, aby pozostawić równą liczbę odcisków palców. Ludzie zwykle wybierają numer raz i zapamiętują go. Ścieżka od zera do (lub blisko) właściwej kombinacji może zostać ujawniona w świetle UV.

Myślę, że jest to nawet łatwiejsze niż zgadywanie, czy pokazana kombinacja niezerowa pochodzi z ślepego spinu, czy z ręki: zapamiętywanie został już wypróbowany, może zająć podobną ilość czasu i wysiłku, jak przejście przez numer 0000-9999 w kolejności. A kiedy zostanie skradziony, czas i kombinacja przestaną mieć znaczenie: skoncentruję się na zagrożeniach, które mogą się urzeczywistnić, gdy ty się odwrócisz, nie wiedząc, że tajemnice zostały ujawnione.

Czy ścieżka do zera nie jest odwrotnością ścieżki od zera, której używasz podczas otwierania?Odwrócenie blokady w naturalny sposób powinno więc wyrównać odciski palców w górę / w dół.
Przetoczenie „0-1 -...- 7” do przodu pozostawia ten sam ślad, co przesunięcie wstecz „7-6 -...- 0”, podczas gdy „7-8-9-0” pozostawia odciski palców na wszystkich liczbach.
Ach, wydaje mi się, że rozumiem, co masz na myśli - bardziej myślałem o śladach zużycia na osłonie niż na kołach!
user175731
2018-04-14 21:28:11 UTC
view on stackexchange narkive permalink

Teoretycznie ustawienie 0000 jest lepsze, ponieważ nie ma możliwości jakiejkolwiek korelacji z tym, co było wcześniej. Praktycznie jest to nieco lepsze, ponieważ masz sposób na sprawdzenie zgodności, podczas gdy jakiejkolwiek określonej procedury, która wymaga odpowiedniej ilości randomizacji, nie można łatwo sprawdzić, aby sprawdzić, czy ludzie rzeczywiście postępują zgodnie z protokołem, w przeciwieństwie do zwykłego szczotkowania zębów kciuk na wszystkich kołach razem.

Ale co jest bardziej praktyczne, poleganie na takim zamku jako poważnym zabezpieczeniu jest całkowicie głupie. Jeśli jest wart tego poziomu analizy, warto mieć zamek, który nie jest zabawką. Zasada nożyc do śrub.

Cóż, istnieje prawdopodobieństwo 10/10000 = 0,1% korelacji z tym, co było wcześniej, ponieważ może to być 1111, 2222 itd. Mała, ale nie „brak możliwości”.
@AndrewLeach To nie jest korelacja.Korelacja będzie występować między celem a _ dowolną podaną poprawną kombinacją_.Innymi słowy, byłaby to korelacja z „poprawną kombinacją”, a nie z „1111”.
usr-local-ΕΨΗΕΛΩΝ
2018-04-16 17:16:39 UTC
view on stackexchange narkive permalink

Więcej o zerowaniu wyniku, co jest moim zalecanym podejściem. To jest odpowiedź teoretyczna .

Zakładając, że napastnik wie, jak zresetować blokadę przez zerowanie, ustawienie dowolnej stałej wartości lub zaszyfrowanie cyfr, nadal powinien zachować wiedzę zerową prawidłowej kombinacji, a tym samym równe szanse na dopasowanie losowej kombinacji.

Można to zniwelować „mieszaniem”, ponieważ żaden człowiek nie jest idealnym źródłem losowego źródła. Właściwie mogą być najgorsze.

Zacieranie cyfr może działać z urządzeniem mechanicznym / elektronicznym, które obraca cyfry w oparciu o naprawdę lub dobrze losowe źródło.

Ale zwykle ludzie zastosowałby wzorce cyfr, które mogą zmniejszyć możliwe wartości do wyszukania.

Załóżmy, że ty i atakujący macie wspólny zestaw blokad, z których obaj znacie kombinację . Normalnie można na przykład przesunąć palcami „losowo” na rolkach, aby wskazywały inną liczbę. Lub przesuwaj bębny w kolejności, którą mózg chce zachować.

Może ktoś upewni się, że wynikowa liczba zawiera wszystkie cyfry inne niż poprawna kombinacja lub minimalną liczbę taktów przy zmianie każdej cyfry.

Spowoduje to atak ze znanym tekstem jawnym rosnącej liczby prób (znowu jest to odpowiedź teoretyczna) i da dodatkowe informacje o kombinacji, której atakujący nie powinien mieć.

Co oznacza podkreślenie dodatkowe ? Że nawet jeśli atakującemu uda się określić, że pojedyncza cyfra jest z pewnością błędnym przypuszczeniem, właśnie zmniejszył liczbę niezbędnych ataków siłowych o 1000. Dodaj więcej cyfr, aby ograniczyć powierzchnię ataku.

Ustawienie 0000 lub do dowolnej z góry określonej wartości sprawia, że ​​szanse każdej kombinacji są takie same

Qwertie
2018-04-15 17:48:03 UTC
view on stackexchange narkive permalink

Z praktycznego punktu widzenia to naprawdę nie ma znaczenia, próba cofnięcia swojego ślepego mieszania będzie trudniejsza niż zwykłe poruszanie tarczami i wyczucie zamka. Dość łatwo jest otworzyć zamek szyfrowy, obracając pokrętła i wyczuwając reakcję. Takie zamki szyfrowe są tylko łagodnym środkiem odstraszającym.

Niekoniecznie trudno jest cofnąć mieszanie na ślepo.Miałem 4-tarczową blokadę i udało mi się ją odblokować, po prostu przesuwając każdą tarczę naraz (zachowaj tę po lewej, z powodów) i próbując ją otworzyć za każdym razem.Zadziałało w mniej niż minutę.
user175812
2018-04-16 00:50:06 UTC
view on stackexchange narkive permalink

możesz na przykład naprawić inną losową liczbę 3234 i przywrócić ją do tej liczby po zablokowaniu, aby łatwiej było sprawdzić, czy została użyta, zamiast 0000

Każdy musi zapamiętać dwa kody, a wtedy ktoś je pomyli.
To wydaje się bardziej komentarzem niż odpowiedzią ...
djechlin
2018-04-18 03:30:50 UTC
view on stackexchange narkive permalink

To naprawdę zły pomysł, aby wymagać od wszystkich używania wszystkich zer, ponieważ wymaganie wszystkich zer jest uciążliwym teatrem bezpieczeństwa.

Mam przeczucie, że nie ma między nimi żadnej funkcjonalnej różnicy, ale zachęcam do ustalenia najlepszej praktyki.

Najlepszą praktyką powinno być coś, co ludzie konsekwentnie robią i których przestrzegają, oraz coś, dla czego Twoja kohorta rozumie znaczenie. Argumenty, które pojawią się, gdy ktoś zapomni ustawić wszystko na 0 lub nie poczuje, że będzie to nic innego jak małostkowe. Oczywiście wszyscy w Twoim zespole wiedzą, że nie ma to żadnego znaczenia, a przynajmniej żadnej różnicy, która nie zaczyna się od „dobrze technicznego”.

Kiedy kierownictwo mówi dosłownie o bezpieczeństwie, możesz oczekiwać, że pracownicy być dosłownie do nich. Jeśli ludzie naprawdę się zdenerwowali, możesz spodziewać się, że pewnego dnia zamek na ziemi zostanie ustawiony na zero, a sejf zostanie otwarty pewnego dnia, tak jak chce tego kierownictwo.

undercat applauds Monica
2018-04-18 20:22:43 UTC
view on stackexchange narkive permalink

Teoretycznie są równie (nie) bezpieczne. Gdyby jeden z nich był bezpieczniejszy (np. na ślepo kręcił pokrętłami), wówczas atakujący również by to wiedział i ustawił blokadę na „0000”, aby zmniejszyć złożoność, oraz na odwrót.

Należy jednak pamiętać, że losowe obracanie cyfr może teoretycznie ujawnić kod, jeśli „łatwiej” jest obrócić cyfrę na właściwą pozycję (co powinno oznaczać, że jest to bardzo zła blokada, ale o ile wiem, niektóre zamki są takie). Dlatego jeśli chcesz wprowadzić jakiś losowy element, może lepiej będzie, jeśli sam wymyślisz liczbę losową, upewniając się, że nie jest zbyt blisko właściwej liczby i ustawiając blokadę na tę liczbę.

-1 dla „upewnienia się, że nie jest zbyt blisko poprawnej liczby”, ponieważ to samo w sobie jest korelacją, i to całkiem silną.niektóre inne odpowiedzi wskazywały na to.
@forest Gdybyśmy mieli mówić abstrakcyjnie, zgodziłbym się z tobą.[Realistycznie] (https://www.youtube.com/watch?v=Z392cj8GM5U) jest jednak dużo więcej rzeczy w grze, zarówno mechanicznych, jak i psychologicznych.Po pierwsze, wiele osób zapomina zresetować swoje zamki, więc włamywacz będzie znacznie bardziej prawdopodobne, że spróbuje podać numer, na który został ustawiony zamek (wraz z sąsiednimi numerami), zanim przejdzie do metody brutalnej siły.Po drugie, niektóre tanie zamki są zaprojektowane w taki sposób, że losowe obracanie ich tarczami zwiększa prawdopodobieństwo uzyskania prawidłowej cyfry niż jakakolwiek inna.I tak dalej.


To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 3.0, w ramach której jest rozpowszechniana.
Loading...