mboost-dp1
PBS A/S
På grund af den dårlige stabilitet har DanID været ned til at betale en bod til IT- og Telestyrelsen, hvilket de har gjort siden NemID blev taget i drift i juni i år.
Og hvad helvede hjælper det så os End-users der er blevet tvunget til at bruge det af vores bank og andre offentlige instanser?
Det mest nedern ved nemid for mig, er i forbindelse med netbank. skrev login forkert 3 gange, og så er det åbenbart slut, så skal jeg OP i banken for at bede dem om at åbne igen, forhen kunne jeg bare trykke på "få sendt koder" som automatisk ophævede spærringen, men fordi nempis er 3. part....
Jeg forstår ikke helt kritikken af selve papkortet og central lagring af krypteringsnøglerne.
Netop denne fremgangsmåde bruges da i godt og vel alle token VPN løsninger. Blizzard bruger det også mig bekendt i WoW til at sikre spillerne.
Er det fordi papkortet får det til at blive noget der lugter "analogt"?
Netop denne fremgangsmåde bruges da i godt og vel alle token VPN løsninger. Blizzard bruger det også mig bekendt i WoW til at sikre spillerne.
Er det fordi papkortet får det til at blive noget der lugter "analogt"?
mFriis (5) skrev:Jeg forstår ikke helt kritikken af selve papkortet og central lagring af krypteringsnøglerne.
Hvad er der ikke at forstå ved kritik af at alle nøgler er samlet centralt?
Netop denne fremgangsmåde bruges da i godt og vel alle token VPN løsninger. Blizzard bruger det også mig bekendt i WoW til at sikre spillerne.
Jamen wow er da også helt klart på samme niveau som netbank, skat og andre steder hvor man kan få adgang til personfølsomme data.
Er det fordi papkortet får det til at blive noget der lugter "analogt"?
Papkortet er bøvlet. Men det er ikke det største problem ved den her "løsning"...
#8 du svarer meget selektivt på mit spørgsmål. Hvorfor er en løsning der sikrer verdens største virksomheder imod hackere og spionage ikke god nok til din netbank?
Jeg spørger fordi jeg er interresseret i information og viden omkring problemstillingen, ikke en ophedet og ensidet flamewar.
Jeg spørger fordi jeg er interresseret i information og viden omkring problemstillingen, ikke en ophedet og ensidet flamewar.
#0 skrev:så har den tekniske løsning med kodekort af [bold]pap[/bold] og central lagring af krypteringsnøgler været i kritikernes søgelys.
Er jeg den eneste der fornemmer at manden bag nyheden ikke kan lide løsninger, der "virker" gammeldags?
Noget helt andet, så kan jeg både se fordele og ulemper ved systemet.
Jeg tror det er valgt ud fra at de fleste sikkerhedsbrud sker hos forbrugeren (ladet sine passwords flyde et offentligt sted, fået spyware/orme/alskens lort på sin computer, etc.), og derfor har man valgt at bruge dette system.
Jeg er sådan set ligeglad, jyske (net)bank har benyttet det system længe.
#9 Er det virkelig mere sikkert end det var før? Der behøvede jeg ikke have et skive pap i min pung hele tiden, men bare en nøglefil liggende i min email.
#11 Ja det vil jeg påstå det er. Før hadve du en statisk kode og en statisk nøgle fil som begge blev brugt på samme maskine. En svaghed på den maskine var altså nok til at opnå adgang.
Nu har du et statisk brugernavn/password og en engangskode som ved login bliver ugyldiggjort. Selv om maskinen er inficeret med afføring så har du altså kun givet halvdelen af sikkerheden væk med mindre angriberen også har en kopi af dit papkort.
Et rent digitalt angreb ville altså være muligt før, men ikke umiddelbart muligt med nemid.
At vi så burde have fået en Token istedet for det papkort er noget helt andet, jeg syntes også det er lidt mærkeligt :)
Nu har du et statisk brugernavn/password og en engangskode som ved login bliver ugyldiggjort. Selv om maskinen er inficeret med afføring så har du altså kun givet halvdelen af sikkerheden væk med mindre angriberen også har en kopi af dit papkort.
Et rent digitalt angreb ville altså være muligt før, men ikke umiddelbart muligt med nemid.
At vi så burde have fået en Token istedet for det papkort er noget helt andet, jeg syntes også det er lidt mærkeligt :)
Hubert (8) skrev:Hvad er der ikke at forstå ved kritik af at alle nøgler er samlet centralt?
Formentlig mængden (af kritik) og argumentationen.
Når jeg ser på argumenterne for og imod, synes jeg det virker næsten fjollet ikke at opbevare nøglerne centralt. I hvert fald som udgangspunkt, hvor folk så selv kan vælge et alternativ.
Hubert (8) skrev:Papkortet er bøvlet.
Sikkerhed er bøvlet. Folk mente nok også at det var bøvlet at rende rundt med et stykke metal da dørlåse blev indført.
Hubert (8) skrev:Papkortet er bøvlet. Men det er ikke det største problem ved den her "løsning"...
Alt sikkerhed er "bøvlet". Det er et offer vi må gøre for netop at holde tingene sikre. Der er folk der mener at det alene at skulle huske en adgangskode er bøvlet, men selv de forstår også godt det meste af tiden hvorfor det nok er en god ide at der er et adgangskodekrav til deres Netbank/E-mail :-)
Papkortet er kun så bøvlet som man gør det til. Jeg valgte at bestille 3 kort mere (du kan bestille op til 3 ekstra), skanne dem alle sammen ind og klippe dem sammen i samme billedfil som jeg så lagde ind i min browsers bogmærker. Det tog mig omkring 5 min, og vil sandsynligvis kunne holde op til 10 måneder med mit forbrugsmønster af NemID. Jeg kan finde ting der er LANGT mere bøvlet end det.
mFriis (9) skrev:#8 du svarer meget selektivt på mit spørgsmål. Hvorfor er en løsning der sikrer verdens største virksomheder imod hackere og spionage ikke god nok til din netbank?
Jeg spørger fordi jeg er interresseret i information og viden omkring problemstillingen, ikke en ophedet og ensidet flamewar.
Det er ikke så meget min netbank jeg er bekymret for. Det er mere den adgang til man ville kunne opnå til personfølsomme data jeg ser som værende et problem.
Du skal iøvrigt være velkommen til at komme nærmere ind på hvor det er du mener min argumentation mod nemid fejler. :)
David Munch (11) skrev:#9 Er det virkelig mere sikkert end det var før? Der behøvede jeg ikke have et skive pap i min pung hele tiden, men bare en nøglefil liggende i min email.
haha, ja den løsning er ABOSLUT mindre sikker end den NemID har gang i.
Hvor mange gange hentede du din nøgle? hver gang du hentede den fra nettet, var du udsat, hvis du sad på et usikkert netværk.
Man kunne sniffe på samme netværk som du sad på, og så var der meget god mulighed for at få alle dine oplysninger.
SKulle måden med nøglefil endelig have været mere sikker, så skulle du have haft den med dig offline, og samtidig have haft godt beskyttelse på din computer.
Athinira (14) skrev:Alt sikkerhed er "bøvlet". Det er et offer vi må gøre for netop at holde tingene sikre. Der er folk der mener at det alene at skulle huske en adgangskode er bøvlet, men selv de forstår også godt det meste af tiden hvorfor det nok er en god ide at der er et adgangskodekrav til deres Netbank/E-mail :-)
Så alt sikkerhed er bøvlet... Tak for info - det var jeg slet ikke klar over på trods af at jeg har arbejdet en del med it-sikkerhed... ;)
Papkortet er kun så bøvlet som man gør det til. Jeg valgte at bestille 3 kort mere (du kan bestille op til 3 ekstra), skanne dem alle sammen ind og klippe dem sammen i samme billedfil som jeg så lagde ind i min browsers bogmærker. Det tog mig omkring 5 min, og vil sandsynligvis kunne holde op til 10 måneder med mit forbrugsmønster af NemID. Jeg kan finde ting der er LANGT mere bøvlet end det.
Så har du jo så bare forbrud dig mod reglerne for brug af nemid...
mFriis (9) skrev:#8 du svarer meget selektivt på mit spørgsmål. Hvorfor er en løsning der sikrer verdens største virksomheder imod hackere og spionage ikke god nok til din netbank?
Jeg spørger fordi jeg er interresseret i information og viden omkring problemstillingen, ikke en ophedet og ensidet flamewar.
Et VPN token kan enten være baseret på private/public key system eller på shared secret.
I Blizzards tilfælde er det et private/public key system hvor private key netop ligger i dit hardware token og kun i dit hardware token. (blizz har forstået PKI og beholder derfor ikke din private key)
Ud over din private key indeholder blizz authentikatoren også et ud.
Så når du trykker på knappen laves der en digital sidnatur med dimsens serial number + et timestamp.
Om signaturen så er ægte kan blizz tjekke kun med din public key.
DERFOR er der kæmpe forskel på hardware tokens og papkort.
Papkort = alle landets private keys samlet på en server hos DanID
Hardware token = private key i en hardware dims du har kontrol over.....
get it?
Forresten kommer NemID på et senere tidspunkt med et hardware token med ens private key så man slipper for papkort.
buchi (16) skrev:haha, ja den løsning er ABOSLUT mindre sikker end den NemID har gang i.
Hvor mange gange hentede du din nøgle? hver gang du hentede den fra nettet, var du udsat, hvis du sad på et usikkert netværk.
Man kunne sniffe på samme netværk som du sad på, og så var der meget god mulighed for at få alle dine oplysninger.
SKulle måden med nøglefil endelig have været mere sikker, så skulle du have haft den med dig offline, og samtidig have haft godt beskyttelse på din computer.
Jeg vil nu sige at det er omtrendt lige usikre. Du har nøglen gemt centralt begge steder. Og det er netop det største problem ved nemid. Du har ingen kontrol over din nøgle...
#18 : Sikrere - altså bortset fra at selv Blizzard har måttet sande at sikkerhed kan brydes]Blizzard har måttet sande at sikkerhed kan brydes. Og så har man også længe kunne emulere en authenticator hvis man ikke lige gad punge ud for en authenticator/ipod/iphone/smartphone.
/topic
Ud med de lorte papkort! Jeg vil kraf*æsel*ene have lov til at beholde min potentielt usikre bankfil. Jeg føler mig sgu som en pensionist der spiller banko hver gang jeg hiver mit nemid foldud frem. *rant*
/topic
Ud med de lorte papkort! Jeg vil kraf*æsel*ene have lov til at beholde min potentielt usikre bankfil. Jeg føler mig sgu som en pensionist der spiller banko hver gang jeg hiver mit nemid foldud frem. *rant*
mFriis (5) skrev:Jeg forstår ikke helt kritikken af selve papkortet og central lagring af krypteringsnøglerne.
Hvad er der ikke at forstå.. At samle samtlige nøgler på 1 centralt lager er sku ikke just top sikkerhed. Hverken mod nedbrud eller indbrud.
Et papkort der jævnligt skal skiftes kan du ikke se noget gaklt i her i år 2010? Bruger du stadig telegraf?
Netop denne fremgangsmåde bruges da i godt og vel alle token VPN løsninger. Blizzard bruger det også mig bekendt i WoW til at sikre spillerne.
Er det fordi papkortet får det til at blive noget der lugter "analogt"?
Nej Blizzard og RSA SecurID benytter netop elektroniske dongles der aldrig skal skiftes. Jeg tvivler også meget stærkt på at de lagrer samtlige deres adgangskoder på 1 centralt sted..
Hell ved Blizz kan du få en authenticator app til din Phone.
Desuden er det at holde Blizzard til samme standard som NemID åndssvagt.
HerrMansen (20) skrev:#18 : Sikrere - altså bortset fra at selv Blizzard har måttet sande at sikkerhed kan brydes]Blizzard har måttet sande at sikkerhed kan brydes. Og så har man også længe kunne emulere en authenticator hvis man ikke lige gad punge ud for en authenticator/ipod/iphone/smartphone.
Nu krævede det specifikke hack så også at en Virus slap ind på din com først. Og ikke engang USA´s atomvåben kryptering er sikret mod fejl 40 (En president havde smidt koderne væk i 6 mdr på et tidspunkt)
mFriis (9) skrev:
Forresten kommer NemID på et senere tidspunkt med et hardware token med ens private key så man slipper for papkort.
Så er jeg lidt mindre negativ omkring det. Mit største problem med nemID er pap kortene, ikke fordi det ikke virker, men mere på grund af det spild af materialer ved at lave dem (lav en masse pap og smid det ud). Jeg undrede mig over hvorfor man ikke lavede en løsning som Blizzard fra starten, idéen bag systemet syntes jeg er at fortrække frem for én statisk kode og/eller nøglefil.
Hubert (17) skrev:Så har du jo så bare forbrud dig mod reglerne for brug af nemid...
And I'm supposed to care about that, or what? :-)
Jeg bekymrer mig på ingen måde om overtrædelse af latterlige regler. F.eks. har jeg har gennem hele mit liv taget sikkerhedskopier/backups af mine indkøbte medier selvom det er ulovligt (ihvertfald hvis du skal bryde en kopibeskyttelse, hvilket du skal i 99% af tiden). Selv APG/mediabranchen har med den historie der var for et års tid siden, hvor en mand meldte sig selv for at sætte fokus på hvor latterlige reglerne var, meldt ud at de var røvligeglade med om du brød copyrightlovgivning/kopibeskyttelsen hvis du kun tog sikkerhedskopier til eget brug.
Og det er derfor jeg efterhånden er blevet større og større fan af udtrykket "Regler er til for at blive brudt". Regler er ufleksible, oftest designet af inkompetente tosser og tager ikke højde for alle situationer/individer/outliers. Hvis NemID's regler siger man ikke må skanne kortet ind, så er det jo nok fordi de er bange for at folk skal blive hacket på en komprimetteret computer. Det tager jo stadigvæk ikke højde for dem af os der ved en del mere om IT-sikkerhed og ved hvordan vi skal passe på vores computere.
Loke76 (21) skrev:Nej Blizzard og RSA SecurID benytter netop elektroniske dongles der aldrig skal skiftes. Jeg tvivler også meget stærkt på at de lagrer samtlige deres adgangskoder på 1 centralt sted..
Det gør de.
Elektroniske Dongles er faktisk endnu mere usikre fordi at de, i modsætning til hvad mange fejlagtigt tror, ikke genererer tilfældige (eller pseudo-tilfældige) tal når du skal bruge dem. I stedet kører de samme tal i et loop, hvilket er en klar forringelse af sikkerheden.
Derudover er det sværere at få sin konto spærret (og senere genoprettet) i WoW hvis den skulle blive hacket selv med authenticator.
Men rent sikkerhedsmæssigt er det ikke et problem.Loke76 (21) skrev:Et papkort der jævnligt skal skiftes kan du ikke se noget gaklt i her i år 2010? Bruger du stadig telegraf?
At mange hellere vil have en token er da forståeligt, men der er også mange der ikke vil have en token.
De hersens tokens folk så gerne vil have koster altså langt mere end et papkort og går ofte i stykker. De er besværlige at skifte batteri på og rigtig ofte har folk med børn i huset haft en langfingret unge der trykker koden forkert ind så kortet bliver spærret. Du vil jo også skulle have ENDNU en kode du skal huske udenad bare for at aktiverer kortet. Husk at løsningen er lavet til Hr. og Fru Danmark - også dem ældre end 75.
Hubert (26) skrev:Athinira (23) skrev:And I'm supposed to care about that, or what? :-)
Du kan jo sådan set være ligeglad. Men det er dog sådan at hvis det bliver opdaget har danid taget det forbehold at de kan lukke adgangen.
Pointen er jo at det ikke kan opdages på nogen måde, så det er jo komplet irrelevant :-) Du kan jo lige så godt antage at reglen ikke eksisterede, det ville ingen forskel gøre.
Så med det udgangspunkt vender jeg tilbage til min oprindelige pointe: Hvis du mener det er besværligt med papkort, så bestil ekstra kort og skan dem ind.
gensplejs (18) skrev:mFriis (9) skrev:#8 du svarer meget selektivt på mit spørgsmål. Hvorfor er en løsning der sikrer verdens største virksomheder imod hackere og spionage ikke god nok til din netbank?
Jeg spørger fordi jeg er interresseret i information og viden omkring problemstillingen, ikke en ophedet og ensidet flamewar.
Et VPN token kan enten være baseret på private/public key system eller på shared secret.
I Blizzards tilfælde er det et private/public key system hvor private key netop ligger i dit hardware token og kun i dit hardware token. (blizz har forstået PKI og beholder derfor ikke din private key)
Blizz's token er mig bekendt fra Vasco, og jeg ville umiddelbart gætte på de bruger symmetriske nøgler. Af ren og skær interesse: har du et link, der dokumenterer, at der i Blizz's tokens bruges asymmetriske nøgler?
Athinira (29) skrev:
Pointen er jo at det ikke kan opdages på nogen måde, så det er jo komplet irrelevant :-) Du kan jo lige så godt antage at reglen ikke eksisterede, det ville ingen forskel gøre.
Jeg tror nu der menes at pointen er at du fjerner sikkerheden på pappet ved at scanne skidtet ind på din PC. Hvis din PC ikke er standalone, har du forringet sikkerheden markant, uanset hvor meget du mener at vide om IT-sikkerhed.
og jeg ville da også gerne se kilden til den der udtalelse om at HWtokens bare kører tal i loop.
Magten (27) skrev:Men rent sikkerhedsmæssigt er det ikke et problem.
At mange hellere vil have en token er da forståeligt, men der er også mange der ikke vil have en token.
Hvad er /betyder en token
Loke76 (21) skrev:
Nu krævede det specifikke hack så også at en Virus slap ind på din com først. Og ikke engang USA´s atomvåben kryptering er sikret mod fejl 40 (En president havde smidt koderne væk i 6 mdr på et tidspunkt)
Ja og? Selvfølgelig skal der målrettet software til at komme ind i folks ting og sager. Der er jo derfor der er så stort et marked for keyloggers og backdoors.
Bllets (24) skrev:Kilde?
For af hvad man har fået at vide angående Blizzards token, så skulle der ikke været noget mønster eller være forudsigelig.
De er fuldt ud forudsigelige. Jeg bruger ikke selv authenticator, men en af mine venner gør, og vi har skulle indtaste det samme 6 cifrede nummer mere end en gang (oddsne er 1:1.000.000) :-)
#35
Nej. Hos Blizzard er det et valg man kan sætte op på sin Battle.net konto, så login kræver token. Det er altså op til den enkelte bruger at bestemme om de vil gøre det eller ej. Token'en fås både som hardware og som app til de fleste mobiltelefoner.
Så du kan købe denne:
http://eu.blizzard.com/store/details.xml?id=221003...
Eller hente en app:
https://eu.battle.net/account/support/mobile-auth-...
Nej. Hos Blizzard er det et valg man kan sætte op på sin Battle.net konto, så login kræver token. Det er altså op til den enkelte bruger at bestemme om de vil gøre det eller ej. Token'en fås både som hardware og som app til de fleste mobiltelefoner.
Så du kan købe denne:
http://eu.blizzard.com/store/details.xml?id=221003...
Eller hente en app:
https://eu.battle.net/account/support/mobile-auth-...
#36
Mig bekendt er det IKKE en fast liste, men en algoritme som ud fra et "seed"/random og nuværende tidspunkt (springer 30 sek) generere et tal (på 6 tegn).
Så har man algoritmen og "start værdien" (seed'en), har man brudt koden.
Og med 6 tegn har man kun 999999 muligheder. Så alle "tal" vil være brugt på ca et år. Men da der er en random ind over, kan tal komme ud oftere. Hvad I jo har oplevet.
Mig bekendt er det IKKE en fast liste, men en algoritme som ud fra et "seed"/random og nuværende tidspunkt (springer 30 sek) generere et tal (på 6 tegn).
Så har man algoritmen og "start værdien" (seed'en), har man brudt koden.
Og med 6 tegn har man kun 999999 muligheder. Så alle "tal" vil være brugt på ca et år. Men da der er en random ind over, kan tal komme ud oftere. Hvad I jo har oplevet.
I stedet kører de samme tal i et loop, hvilket er en klar forringelse af sikkerheden. skrev:
Kunne også godt bruge en kilde for den påstand.
Mit største problem med NemID nedbrud er som sådan ikke, at det går ned, nye systemer kan have "start" vanskeligheder og det må man leve med desværre.
Det største problem er, at folk bliver spærret, når NemID er nede og hele "digitale Danmark" går i stå i et par timer - det er bare ikke holdbart.
Hvis man påtager sig ansvaret for hele digitale Danmark, så må man sq også leve op til ansvaret - fx. hvis der sker nedbrud, så skal man reagere på det hurtigt og lave evt. rollback på de fejl man nu har introduceret.
Desuden virker det som om, at da NemID var i testfasen, så har de tydeligvis ikke skaleret det nok, hvis det allerede nu kan gå ned pga. overbelastning og der ikke er så mange netbankbrugere på endnu; hvad sker der, når alle er kommet på?
Hvad sker der, når vi alle får årsopgørelser næste år og skal logge på skat.dk for at se den? :S
Derudover, der er nok en ret logisk grund til, at der ikke er lavet eTokens til alle danskere.
Der er omkring 3,5mio danske netbank brugere lige nu - dvs. der skal laves +3,5mio eTokens.
Når det nu er et system, der er "trukket" ned over hovedet på folk, så vil vi som brugere jo ikke betale for de her eTokens - hvem skal så betale for dem? Det er fandme en stor udgift.
Det er fint de vil introducere det senere, men jeg tror vi kommer til at betale for det, hvis vi vil have en eToken.
On a sidenote: måske skulle IT telestyrelsen give nogle af pengene til de strandede netbank brugere, der ikke kan lave betalinger pga. NemID og derved får rykkere og lignende...
#fennec, er det min matematik der fejler? Mig bekendt giver 10^6 = 1.000.000. Kan det tænkes, at du glemmer tallet 000000?
Udover at jeg ikke bryder mig brugen af ordet random/tilfældig - da det efter min mening er en umulighed indenfor it og systemer generelt; brug præfikset pseudo og problemet er løst - så lyder resten af forklaringen lyder rigtig fornuftig.
/Iver
Udover at jeg ikke bryder mig brugen af ordet random/tilfældig - da det efter min mening er en umulighed indenfor it og systemer generelt; brug præfikset pseudo og problemet er løst - så lyder resten af forklaringen lyder rigtig fornuftig.
/Iver
Athinira (36) skrev:Bllets (24) skrev:Kilde?
For af hvad man har fået at vide angående Blizzards token, så skulle der ikke været noget mønster eller være forudsigelig.
De er fuldt ud forudsigelige. Jeg bruger ikke selv authenticator, men en af mine venner gør, og vi har skulle indtaste det samme 6 cifrede nummer mere end en gang (oddsne er 1:1.000.000) :-)
Kilde er ikke det samme som personlig mening eller ideer.
Tilfældigheds generator som vælger et nummer mellem 1 og en billion, vil også før eller siden få det samme nummer frem igen.
Det er ikke det samme som der er et loop eller mønster.
fennec (38) skrev:#36
Mig bekendt er det IKKE en fast liste, men en algoritme som ud fra et "seed"/random og nuværende tidspunkt (springer 30 sek) generere et tal (på 6 tegn).
Så har man algoritmen og "start værdien" (seed'en), har man brudt koden.
Og med 6 tegn har man kun 999999 muligheder. Så alle "tal" vil være brugt på ca et år. Men da der er en random ind over, kan tal komme ud oftere. Hvad I jo har oplevet.
Ud fra antagelsen om at det er Vasco tokens med symmetriske nøgler, så genereres der en HMAC over et tidstempel. Så nej, du kan ikke gætte/forudsige tal, medmindre du kender nøglen.
Det er muligt, at man kan ramme det samme tal flere gange i træk, men der er altså også andre faktorer, der spiller ind - eksempelvis tidspunkt. "Nøglen" der skal bruges parres garanteret med et timestamp - hvis vi siger du har et timestamp der hedder 23232329894527558, hvad er oddsne så for at man rammer dette timestamp + din 6 cifrede kode?
Jeg er ikke bekendt med helt præcist hvordan OTP virker, men så vidt jeg har læst mig til, kan de bruge timestamps også og timestamps udregnes ofte i millisekunder, derfor det lange tal ;)
Jeg er ikke bekendt med helt præcist hvordan OTP virker, men så vidt jeg har læst mig til, kan de bruge timestamps også og timestamps udregnes ofte i millisekunder, derfor det lange tal ;)
#40
Jo min fejl. 1.000.000 muligheder :)
Random/tilfældighed eksistere ikke nogen steder. Roulette vil kunne beregnes, det samme med plat/krone. Hvis man har alle input og påvirkninger vil en computer kunne beregne resultatet.
Random inden for IT er så tilfældig som det kan blive. Og så længe der er ubekendte ("seed"/start værdi/nøgle eller hvad man vil kalde det), vil man ikke kunne beregne resultatet.
Desuden ville 100% tilfældighed slet ikke være en mulighed i forbindelse med sikkerhed, er det jo er krav at server og klient generede det samme "tilfældige" tal. Derfor er det tilfældighed inden for visse rammer... Med 100% tilfældighed ville serveren jo ikke kunne validere om det tal brugeren indtaster er rigtig, da den ikke selv kan generere det samme tal...
Jo min fejl. 1.000.000 muligheder :)
iver.mo (40) skrev:Udover at jeg ikke bryder mig brugen af ordet random/tilfældig - da det efter min mening er en umulighed indenfor it og systemer generelt;
Random/tilfældighed eksistere ikke nogen steder. Roulette vil kunne beregnes, det samme med plat/krone. Hvis man har alle input og påvirkninger vil en computer kunne beregne resultatet.
Random inden for IT er så tilfældig som det kan blive. Og så længe der er ubekendte ("seed"/start værdi/nøgle eller hvad man vil kalde det), vil man ikke kunne beregne resultatet.
Desuden ville 100% tilfældighed slet ikke være en mulighed i forbindelse med sikkerhed, er det jo er krav at server og klient generede det samme "tilfældige" tal. Derfor er det tilfældighed inden for visse rammer... Med 100% tilfældighed ville serveren jo ikke kunne validere om det tal brugeren indtaster er rigtig, da den ikke selv kan generere det samme tal...
Athinira (36) skrev:Bllets (24) skrev:Kilde?
For af hvad man har fået at vide angående Blizzards token, så skulle der ikke været noget mønster eller være forudsigelig.
De er fuldt ud forudsigelige. Jeg bruger ikke selv authenticator, men en af mine venner gør, og vi har skulle indtaste det samme 6 cifrede nummer mere end en gang (oddsne er 1:1.000.000) :-)
Sagde du ikke lige de kørte i "loop"?
Har din ven så logget ind mere end 1.000.000 gange...eller lukker du bare varm luft ud, igen igen? :)
Terra - Paradox detected...
HerrMansen (20) skrev:#18 : Sikrere - altså bortset fra at selv Blizzard har måttet sande at sikkerhed kan brydes]Blizzard har måttet sande at sikkerhed kan brydes. Og så har man også længe kunne emulere en authenticator hvis man ikke lige gad punge ud for en authenticator/ipod/iphone/smartphone.
/topic
Ud med de lorte papkort! Jeg vil kraf*æsel*ene have lov til at beholde min potentielt usikre bankfil. Jeg føler mig sgu som en pensionist der spiller banko hver gang jeg hiver mit nemid foldud frem. *rant*
--angående kode opsnapning ved brug af hardware tokens--
En virus på din maskine opsnapper den kode du indtaster fra din hardware token og sørger for at du aldrig selv får sendt den. Den kode kan så bruges til at logge på din wow konto. Men de koder dit token generere udløber efter få minutter så det er altså ikke noget du kan bruge til at logge koder og så senere angribe. Hackeren skal have fuld kontrol over din maskine og så misbruge dine nøgler med det samme.
Det samme problem vil du have med NemID.
Hvis jeg har total kontrol over din maskine er der masser af muligheder for at misbruge dit NemID når du når du logger på
Men jeg kan ikke på et senere tidspunkt sidde og misbruge opsnappede koder til at tømme dine konti. (hverken med nemID eller blizz løsningen)
--Angående emulering af hardware tokens--
Det er ligegyldigt om man kan emulere din hardware token. Kryptering er ikke baseret på hemlige algoritmer eller magisk hardware. Det er baseret på hemmelige nøgler og hver eneste hardware nøgle fødes med en hemmelig private key.
Du kan ikke bruge software emulatoren til at overtage en specifik hardwate tokens private key eller forudsige hvilke keys den laver.
Emulatoren fungere som en hardware nøgle. Men det er altså som en helt ny hardware nøgle med sin egen private/public key.
Emulatoren kan ikke forudsige hvilke koder din hardware dims vil give hvis den ikke har den tilhørende private key.
"Hullet" vede blizz løsningen er at blizz ikke binder dit hardware token til din wow konto så snart de lægger private key ned i hardwaren. De producere bare en røvfuld nøgler med en tilfældig private key og public key.
Du skal så selv binde din konto til en specifik nøgle.
Ved bindingen indtaster du din hardware tokens public key og så acceptere blizz ellers engangskoder genereret med den passende private key.
Så du kan binde din wow konto til en vilkårlig hardware key.
Det kan være en af deres eller det kan være noget software der selv generere tilfældig public/private nøgler. Det er blizz ligeglade med.
--Hvordan er NemID hardware nøglen anderledes end blizz auth?
Når NemID til foråret kommer med deres hardware token løsning (og ja det er på vej) så vil det være samme teknologi som blizz bruger. Bortset fra at de laver koblingen mellem nøglens public key og din identitet FØR de sender nøglen ud.
Så du kan ikke selv binde en tilfældig nøgle eller emulator til dit NemId. Du kan kun bruge den key NemID har lavet til dig.
terracide (45) skrev:Athinira (36) skrev:Bllets (24) skrev:Kilde?
For af hvad man har fået at vide angående Blizzards token, så skulle der ikke været noget mønster eller være forudsigelig.
De er fuldt ud forudsigelige. Jeg bruger ikke selv authenticator, men en af mine venner gør, og vi har skulle indtaste det samme 6 cifrede nummer mere end en gang (oddsne er 1:1.000.000) :-)
Sagde du ikke lige de kørte i "loop"?
Har din ven så logget ind mere end 1.000.000 gange...eller lukker du bare varm luft ud, igen igen? :)
Terra - Paradox detected...
Det er ikke noget loop ved det. Engangskoderne er ikke er fortløbende række blizz kan forudsige. Engangskoden genereres ud fra et krypteret timestamp. (ja blizz's key har et real time ur indbygget)
Så blizz aner ikke hvilken kode der skal bruges om 5 minutter.
Men ved brug af din public key kan de undersøge om den engangskode du lige har indtastet er genereret med din private key og om den er genereret med det rigtige timestamp.
Der er ikke nogen forudsigelige cyklus i det.
Visse timestamps vil resultere i samme kode men du kan ikke forudsige hvilke uden at eje private key.
Pally (42) skrev:Ud fra antagelsen om at det er Vasco tokens med symmetriske nøgler, så genereres der en HMAC over et tidstempel. Så nej, du kan ikke gætte/forudsige tal, medmindre du kender nøglen.
Jeg mener da at have læst at blizz tokens kører med asymetriske nøgler. Men det er muligt at jeg tager fejl.
Does anyone know where I can get CCNA certified in Denmark, because I'm trying to get valuable information before making decisions. Firebrand Training has been helpful in advice, information and options to training in a classroom based CCNA course, this is the website I checked out, just in case http://www.firebrandtraining.dk/kurser/cisco/ccna but I still want to double check if anyone has trained with them or something. If you did how was it?
Mikkel.
Mikkel.
terracide (45) skrev:Athinira (36) skrev:Bllets (24) skrev:Kilde?
For af hvad man har fået at vide angående Blizzards token, så skulle der ikke været noget mønster eller være forudsigelig.
De er fuldt ud forudsigelige. Jeg bruger ikke selv authenticator, men en af mine venner gør, og vi har skulle indtaste det samme 6 cifrede nummer mere end en gang (oddsne er 1:1.000.000) :-)
Sagde du ikke lige de kørte i "loop"?
Har din ven så logget ind mere end 1.000.000 gange...eller lukker du bare varm luft ud, igen igen? :)
Terra - Paradox detected...
Hint: Ikke alle tal er indkodet i den token. Ud af en million muligheder vil ikke alle numre blive vist når den kører i loop.
Den kører en vis serie tal over igen og igen og igen. Jeg skal ikke kunne udtale mig om hvor stor serien er, men den er ikke større end at vi ikke har set den gentage sig flere gange. Det bliver bestemt helt tydeligt når et bestemt nummer altid bliver efterfulgt af et andet nummer gentagne gange.
Vi har derudover også oplevet at en authenticator kan blive desynkroniseret, dvs. at den viser tallene for tidligt eller for sent, hvilket kan gøre den ubrugelig. Er ikke sket for min ven med hans WoW authenticator, men kender en anden der har været ude for det med en anden authenticator (ikke til WoW).
Athinira - Den varme luft kan du selv beholde :-)
Edit: Undersøgte lidt mere info på nettet. En Authenticator fra Blizzard har ikke et "indkodet" loop af tal. Derimod bruger den en algoritme der genererer et tilfældigt tal. Denne algoritme gentager sig på bestemte tidspunkter.
Også samme system der bliver brugt til softwareløsningen (du kan få authenticatorapps til iPhone bl.a. for WoW).
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund