ID kaart ja tema nõrkus (UI / Windows / paroolid)

Nii oli korraks vaba hetk ja mul tekkis professionaalne huvi, et kui turvaline siis see ID kaardi UI pool Windowsi all on ja tulemus, olgem ausad – sõna masendav oleks ilustatud vorm.
Mingit sensatsiooni pole mõtet otsida, ID kaart ise ja tema tehnoloogia VÄGA tugev, aga parooli küsimise pool on katastroof

Kui ma selle testi tegin, võtsin eelduseks selle, et kui kiiresti on võimalik kirjutada erinevad osad ja siin siis tulemus. Rõhutan, tegin lihtsustatud variandi ehk püüduralgoritme annaks viia N taseme keerukuseni.

– ID kaardi paroolide püüdur IE / Firefox PIN 1/2 28 minutit
– pangalogini püüdur 44 minutit (hetkel puudutab vaid IE kasutajaid)
– püütud ID kaardi paroolidega automaatne logimissüsteem panka 53 min

Nagu näete tulemus on masendav ja TÕESTI ma tegin võimalikult lihtsustatud süsteemi, mis suudab ka panka logida. Seda saaks vabalt laiendada pangamaksete tegemiseni ja kasvõi vajadusel panna süsteem dokumente allkirjastama.

Mäletan mingit vaprat isikut serdi keskusest, kes tagus vastu rinda, sellist süsteemi pole olemas… Võtku õlled või hea vein kaasa ja näitan talle…ON

Mis on SELLE postituse eesmärk, tuleb kirjutada “tugevam” vorm, mis paroole küsib. Loomulikult oleks kõige õigem, kui Te kasutaksite PIN-pad lugejat.

Aga ID kaardi tarkvaras peaks olema võimalus, kus saab seadistada, et tuleb parool sisestada ning valida kontrollpilt mitme pildi seas. See välistaks automaatsüsteemid, nende algoritme saab küll täiustada, aga see muutub juba väga väga keerukaks. Ka virtuaalne klaviatuur annaks eeliseid.

Lisaks veel tehnilist poolt:

PIN2 osa võiks ikka olla niivõrd intelligentne, et

A) kui tehakse moodulise sees getwindowtext…siis programm ikka vaataks, kas ta TÕESTI küsib ise seda (dll injection teema). Proovige ntx TrueCrypt aknast küsida parooli injection abil 😉
B) parooli sisestamise aknas PASTE ära keelata, eriti PIN2 puhul !
C) kui klaviatuurilt sisestus, siis peaks programm analüüsima, kui kiiresti need tähed ikka tulid, sest alla 60ms on juba mingi jama

NÜÜD kindlasti küsimus, aga kus on need programmid / katsetused on ehk ma ajan udujuttu. Vaadake, neid programme ei saa avalikustada, sest meie seas on liiga palju pahatahtlikke inimesi. 3 usaldusväärset isikut on kinnitanud tarkvara tööd !

Soovitus, kui Teil tehingud tehtud, võtke ID kaart lugejast välja, ta ei pea seal pidevalt paiknema.

Kuidas saaks üldse selline pahatahtlik tarkvara Teie arvutisse – vene keeles ütlus, eto vopros tehniki

Kui mõni usin arvutiajakirjanik tahab probleemi olemust “lives” näha, lepime aja kokku ja saab demo…

—–

Loo eesmärk oli see, et kui tehakse mingi riiklik asi, siis see peab olema tippturvalisusega, mitte stiilis, aga sellist pahalase programmi ei ole ju…tule taevas appi ja too meile seemneid.

Üldiselt Linux ja Mac kasutajad võivad rahulikult magada 😉

Seniks levi lõpp…

Advertisements

Üks vastus to “ID kaart ja tema nõrkus (UI / Windows / paroolid)”

  1. ID kaart + Windows – pole PIN pad lugejat = paha idee | Ingmar Tammeväli Says:

    […] Artikkel ise on siin; https://tingmarprog.wordpress.com/2012/06/04/id-kaart-ja-tema-norkus-ui-windows-paroolid […]

Lisa kommentaar

Täida nõutavad väljad või kliki ikoonile, et sisse logida:

WordPress.com Logo

Sa kommenteerid kasutades oma WordPress.com kontot. Logi välja /  Muuda )

Google+ photo

Sa kommenteerid kasutades oma Google+ kontot. Logi välja /  Muuda )

Twitter picture

Sa kommenteerid kasutades oma Twitter kontot. Logi välja /  Muuda )

Facebook photo

Sa kommenteerid kasutades oma Facebook kontot. Logi välja /  Muuda )

Connecting to %s


%d bloggers like this: