mboost-dp1
Flickr - Mirko Macari
#2 -
28. maj 2010 13:40
Det vil sige at man blot skal huske 2 billeder når man kigger en over skuldren ?
Det kan godt ske at en keylogger ikke dur... men en screenlogger eller PVR burde da smadre deres system...
Det kan godt ske at en keylogger ikke dur... men en screenlogger eller PVR burde da smadre deres system...
Det der ender galt.
Man kan være HELT sikker på, at der kommer screenloggers eller lignende så.
Faktisk findes funktionen allerede i Windows Vista / Windows 7. Den hedder Problem Steps Recorder. Den kan kun aktiveres manuelt - men det skal der sgu nok komme et exploit til!
Man kan være HELT sikker på, at der kommer screenloggers eller lignende så.
Faktisk findes funktionen allerede i Windows Vista / Windows 7. Den hedder Problem Steps Recorder. Den kan kun aktiveres manuelt - men det skal der sgu nok komme et exploit til!
Statiske koder er pivåbne for kriminelle, huh?
Så bruger han nok ikke dankort. Eller en pc. Eller en mobiltelefon.
Det er nemt at finde grove designfejl og mangler ved konkurrenten NemID's løsning, men at pixlogin har svært ved at finde indpas på det danske marked skyldes nok nærmere deres eget produkt.
At skulle præsentere brugeren for 100 symboler sætter både større krav til enheden man skal kunne logge ind fra (farver, skærmopløsning), men også det rent praktiske (hvor hurtigt kan man finde 2 billeder ud af 100) og det æstetiske (du har lige brugt en masse tid på at designe et super layout til dit site, og nu skal folk logge ind ved at vælge mellem 100 clipart ikoner).
Så bruger han nok ikke dankort. Eller en pc. Eller en mobiltelefon.
Sikkerhedssystemet fungerer ved, at man bliver præsenteret for 100 forskellige billeder, og skal som password vælge en rækkefølge af to billeder. Det giver ifølge udviklerne over 100.000 forskellige muligheder.100^2 er vel 10.000. Eller det samme som en 4-cifret pinkode. Ikke 100.000.
Det er nemt at finde grove designfejl og mangler ved konkurrenten NemID's løsning, men at pixlogin har svært ved at finde indpas på det danske marked skyldes nok nærmere deres eget produkt.
At skulle præsentere brugeren for 100 symboler sætter både større krav til enheden man skal kunne logge ind fra (farver, skærmopløsning), men også det rent praktiske (hvor hurtigt kan man finde 2 billeder ud af 100) og det æstetiske (du har lige brugt en masse tid på at designe et super layout til dit site, og nu skal folk logge ind ved at vælge mellem 100 clipart ikoner).
#5 -
28. maj 2010 14:17
Uha bringer minder frem med Back Orifice og Sub7....
apropro Sub7, så er hjemmesiden http://www.hackpr.net/~sub7/ lidt sjov....
Er åbenbart positivt at McAfee har haft sat Sub7's Risk Assessment til High :-P
apropro Sub7, så er hjemmesiden http://www.hackpr.net/~sub7/ lidt sjov....
Er åbenbart positivt at McAfee har haft sat Sub7's Risk Assessment til High :-P
Herligt... så skal de bare opretholde den årlige "flere-hundrede-tusinde-kroners-patent-gebyrer" hvis de ønsker at være rette ejere.
Der skal godt nok nogle kroner ind i kassen før dette tjener sig hjem.
Omend har vi et godt eksempel her på News... man kender altid sit lille ikon når man scroller ned :-)
Jeg ser 5% chance for det lykkedes dem, der skal godt nok nogle kontakter og netværk i brug.
Held og lykke
Der skal godt nok nogle kroner ind i kassen før dette tjener sig hjem.
Omend har vi et godt eksempel her på News... man kender altid sit lille ikon når man scroller ned :-)
Jeg ser 5% chance for det lykkedes dem, der skal godt nok nogle kontakter og netværk i brug.
Held og lykke
Lyder umiddelbart som en fed og innovativ idé.
Men mon ikke, at 2 billeder er lige lidt?
En billedserie på ca. 5 billeder ville være en del mere sikkert.
Men så igen, så er det jo en del nemmere at hacke med screenloggers eller folk der kigger ovre skulderen end et normal password...
Men mon ikke, at 2 billeder er lige lidt?
En billedserie på ca. 5 billeder ville være en del mere sikkert.
Men så igen, så er det jo en del nemmere at hacke med screenloggers eller folk der kigger ovre skulderen end et normal password...
Når nu man i dag kan få apps til de fleste mobiltelefoner der laver tidsbestemte engangskoder, så er det svært at se hvad pokker man skal med disse billeder eller skrabe loder etc.
Hacking behøver ikke være super high tech bare det at læse overskulderen eller kigge på de post-it der findes på monitorer kan bringe dig langt, ja faktisk helt til Horsens og med udvekslingsaftaler om muligt endnu længere :-)
Hacking behøver ikke være super high tech bare det at læse overskulderen eller kigge på de post-it der findes på monitorer kan bringe dig langt, ja faktisk helt til Horsens og med udvekslingsaftaler om muligt endnu længere :-)
Optag skærmbilledet og sammen med en keylogger er det system vel brudt.
Ved at optage skærmen, kan du se hvilket tilfældigt tal som er associeret med billedet.
Så skal man bare log hvilke tal man skriver, og herefter tjek skærm billedet for hvilke tal så var associeret med billedet og vupti så har du fundet frem til billed koden.
Den er jo akkurat lige så statisk som et kodeord.
Ved at optage skærmen, kan du se hvilket tilfældigt tal som er associeret med billedet.
Så skal man bare log hvilke tal man skriver, og herefter tjek skærm billedet for hvilke tal så var associeret med billedet og vupti så har du fundet frem til billed koden.
Den er jo akkurat lige så statisk som et kodeord.
Fidusen er jo at der er forskellige tal på billederne hver gang de bliver vist. Tallene behøver jo ikke være fortløbene og kan snilt være i et space der er langt større.
F.eks en gang får du vist tallene 4044 og 50176. En anden gang 360 og 750032.
Koden er aldrig ens. og der er langt flere kombinationer end 9900.
Men hvis har skurken er screenshot af billederne selv, så er der frit spil.
F.eks en gang får du vist tallene 4044 og 50176. En anden gang 360 og 750032.
Koden er aldrig ens. og der er langt flere kombinationer end 9900.
Men hvis har skurken er screenshot af billederne selv, så er der frit spil.
Men så igen, så er det jo en del nemmere at hacke med screenloggers eller folk der kigger ovre skulderen end et normal password...
Sandt. Andre mennesker vil relativt nemt kunne lure den af, hvis de har videooptagelsen. Det kan dog afhjælpes lidt ved ikke at highlighte billederne, når de klikkes. Så kan brugeren jo i princippet have klikket et hvert billede musen blev flyttet hen over.
For computere er det sværere. For at bruge screenloggerens information skal man jo kunne genkende et billede fra gang til gang. Hvis billede nummer 3 f.eks. er af en isbjørn, og billederne hver gang ændres lidt - f.eks. ved at vælge tilfældigt ved billedsøgning på 'isbjørn' - så har du en ganske glimrende capcha.
Jeg har prøvet at læse den information jeg kunne finde igennem, og jeg forstår altså ikke hvorfor dette skulle være hverken bedre eller mere sikkert end et godt password?
Det kan da godt være nogle tal skifter hver gang, men billederne er de samme? Eller har jeg misset noget?
Og grimt er det da, det kommer vi ikke udenom.
Det bliver ALDRIG implementeret på noget som helst jeg står bag, for design betyder altså noget.
Og det er da totalt ubrugeligt på mobile enheder med små skærme, hvor man betaler for data...
Måske skulle de have brugt et par tusind på lidt markedsundersøgelse, inden de smed penge efter patentet, for det lyder altså ikke som en særlig god investering?
Please, nogen fortæl mig hvorfor dette er så revolutionerende og godt? Jeg KAN altså ikke se det...
Det kan da godt være nogle tal skifter hver gang, men billederne er de samme? Eller har jeg misset noget?
Og grimt er det da, det kommer vi ikke udenom.
Det bliver ALDRIG implementeret på noget som helst jeg står bag, for design betyder altså noget.
Og det er da totalt ubrugeligt på mobile enheder med små skærme, hvor man betaler for data...
Måske skulle de have brugt et par tusind på lidt markedsundersøgelse, inden de smed penge efter patentet, for det lyder altså ikke som en særlig god investering?
Please, nogen fortæl mig hvorfor dette er så revolutionerende og godt? Jeg KAN altså ikke se det...
Lobais (18) skrev:Hvis billede nummer 3 f.eks. er af en isbjørn, og billederne hver gang ændres lidt - f.eks. ved at vælge tilfældigt ved billedsøgning på 'isbjørn' - så har du en ganske glimrende capcha.
Som Captcha kan jeg godt se det kunne være en forbedring, men ikke som password.
Historien gentager sig, blot virker det umiddelbart, som om der her er givet patent på et tilbageskridt i forhold til:
http://www.confidenttechnologies.com/products/conf...
som har denne historie bag sig:
http://en.wikipedia.org/wiki/Vidoop
http://www.confidenttechnologies.com/products/conf...
som har denne historie bag sig:
http://en.wikipedia.org/wiki/Vidoop
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund