Citat:
Onda praviš sopstvenu enkripciju.
Govorio sam o TPM. Dovoljan je review koda na greške i kriprtografsku bezbednost od strane onih koji to proučavaju u akademskim institucijama. Nemam PhD iz matematike i nisam specijalista za kriptografiju, tako da to ne mogu, medjutim TPM ne pruža ni to, jer je black box koji je potpuno nepoznat, ni HW implementacija ni kod (FPGA kod recimo) nisu analizirani niodkoga? I neko nas ne vuče za nos? Ali idem u offtopic.
Citat:
Poenta ovog članka i teme nije FUD, već obznanjenje da lozinke kakve su danas najčešće u upotrebi jednostavno više nisu sigurne. Jes da gomila ljudi i dan danas koristi lozinke tipa pera123, ali čak i oni u koje spadam i ja, koji to malo zakomplikuju i produže, ne mogu da se pouzdaju u tu lozinku kao bezbednu, čak i od casual napada.
Sa time se slažem, ako je hash dostupan i hash funkcija poznata. Hash, medjutim, može sam da se enkriptuje sa full disk enkripcijom. A zašto full disk enkripcija, ako 99% svojih podataka ne trebaš da držiš enkriptovanim? Zbog loše bezbednosti 'trusted third party'...
Citat:
Korišćenje dugačkih passphrase-ova je spomenuto, i to je nepraktično jer većina ljudi ne mogu da zapamte odgovarajući passphrase, pa bi ga zapisivali, a čak i oni koji bi mogli da zapamte, mogu da zapamte eventualno 1 ili 2 bez zapisivanja.
Jes' nego šta... Možda ovako?
ime-prezimemojeprvedevojke-telefonnekogakogapoznajem-ime-prezimepoznateličnostikojucenim-nekadesetareč
Ja sam koristim takve kobasice tamo gde ostavljam broj svoje kartice, još ubaciš ćirilično slovo ili neki specijalni znak da limitiraš, umesto '-', dolar, tarabu, nebitno. To ćeš zaboraviti teže nego pera123 (sem ako se ti ili neki rodjak/prijatelj ne zovete Pera). A da vidim bruteforce i pogadjanje toga! Ajd da vidim dictionary napad na to! Smor je menjanje sa ćirilice na latinicu, znam, ali kome treba, ne može reći nisam znao, mogao da zapamtim, itd.
Citat:
Korišćenje 10Mpix skena otiska prsta kao autentifikaciju, nisam siguran dal je bez mana, jer šta ako recimo povrediš prst, posečeš se ili nešto? Onda ne možeš da pristupaš sopstvenom sistemu dok ne zaraste? Šta ako ostane ožiljak?.
Kompjuter bi prepoznavao tvoj otisak prsta, takodje, mogao da izmeri tvoj puls, da te neko ne ukoka i ne prinese tvoj prst skeneru. Može to da se iskombinuje i sa klasičnom lozinkom, a ima i drugih načina. Sve se to koristi i danas, u državnim službama (vojska, obaveštajna služba itd.) uz fizičko obezbedjenje kompjutera. Ništa to nije novo.
Citat:
Znači treba revidirati trenutni password policy, koji je opštezastupljen i uopšte authentification policy. U međuvremenu će ovi BF programčići koji koriste GPU za BF biti izvor zabave za decu i glavobolje za žrtve.
Nego šta, trenutni password policy je loš. Zaboga, neko ko te zna ode na Google, unese odgovor na tajno pitanje jer zna (recimo gde ti je rodjen otac ili sl. glupost) i udje na tvoj nalog. Naravno, ili ne koristi tajno pitanje, ili daj bezveze odgovor koji samo ti znaš. Kad je tako za Google, koliko će se brinuti neki običan čovek?
Citat:
P.S. E da, rado bih ja koristio ćirilična slova u lozinci, ali šta ću kad treba da se prijavim odnekud gde nema instalirane ćirilične tastature tj. karakter-seta? To predstavlja problem.
Predstavlja problem većini čovečanstva a ne manjini, jer samo manjina koristi engleski alfabet. Ogromna većina ostalih koristi bar poneki znak koga nema u engleskom alfabetu. A Amerikanac i ruska tastaura, ili japanska? Kad sad imamo i domene u UTF-8, ne vidim kako lozinke bitnije menjaju stvar. Hoćeš na kineski ftp tipa ftp.kineskiovde.com? Ajd' kucaj!
[Ovu poruku je menjao bojan_bozovic dana 07.06.2011. u 18:34 GMT+1]