На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 2004-2-26 на главную / новости от 2004-2-26
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 26 февраля 2004 г.

Гейтс предрекает кончину паролю

Председатель правления Microsoft Билл Гейтс предсказал гибель традиционным паролям, так как они не в состоянии обеспечить серьезную информационную безопасность.

Выступив во вторник на конференции RSA Security в Сан-Франциско, Гейтс сказал: «Нет сомнений в том, что со временем опираться на пароли будут все меньше и меньше. Люди пользуются одними и теми же паролями в разных системах, записывают их, а те просто не обеспечивают той защиты, на которую вы рассчитываете».

Microsoft работает с RSA над технологией SecurID, предназначенной специально для Windows. Обе компании решили, что пришла пора устранить уязвимости, связанные с использованием сотрудниками слабых паролей.

SecurID представляет собой наиболее известную двухфакторную систему аутентификации и используется на многих крупных предприятиях. Она генерирует постоянно меняющуюся последовательность номеров, которые пользователь должен вводить вместе со своим обычным паролем или личным идентификатором (PIN). Создание подобной системы специально для Windows может означать, что внедрение строгой аутентификации на предприятиях станет значительно проще и дешевле.

Однако Гейтс сказал, что Microsoft не будет применять у себя систему SecurID, так как компания — с помощью RSA — уже внедрила систему на основе смарткарт. «Недавно Microsoft перешла на систему смарткарт, и нашим ключевым партнером в этом была RSA», — сообщил он.

Microsoft продемонстрировала также ПО «устойчивой к подделке» биометрической идентификационной карты, разработанное собственным исследовательским подразделением компании. Малые и средние фирмы смогут использовать это ПО для создания ID-карт при помощи цифровой камеры, струйного принтера и сканера визитных карточек. Чтобы создать ID-карту, понадобится фотография и некоторая базовая информация о человеке, например имя и дата рождения. Программа обработает эти данные и выдаст цифровую подпись в форме штрихкода, который также наносится на ID-карту. В случае изменения информации на ID-карте она перестанет соответствовать подписи, и система отвергнет такую карту.

По словам Гевина Дженка, менеджера Microsoft Research, демонстрировавшего ПО, одна из главных особенностей системы состоит в том, что она не требует базы данных, так как вся информация хранится на самой карте. «Удостоверяющий личность идентификатор заключается в информации, нанесенной на саму карту. Проблем с нарушением тайны частной информации не возникает, так как то, что фактически записано на этой карте, скрыто от глаз», — пояснил он.

По его словам, система может применяться также для хранения отпечатков пальцев или рисунка радужной оболочки глаза. «Эта система допускает расширение, так что в нее можно включить другую биологическую информацию, такую как рисунок радужной оболочки глаза или отпечатки пальцев. При этом одна и та же степень защиты от подделки сохраняется как на обычной бумаге, так и на пластике», — заверил Дженк.

Microsoft не сообщает, станет ли ПО коммерчески доступным, и если да, то когда.

 В продолжение темы:
2004-04-21   Новый хакерский инструмент: шоколадка
2004-06-04   Началось испытание могильщика паролей Windows
2004-12-12   Неправильный пароль
2006-02-15   Гейтс: «Паролям приходит конец»
Обсуждение и комментарии
/\_/\
26 Feb 2004 11:28 AM
Один из возможных вариантов соблюдения безопасности на предприятих - это запрет закупки желтых липких листочков.
Либо обязательное нанесение надписи на этих листочках - "не для паролей!".
 

Дмитрий
26 Feb 2004 11:49 AM
Ну маразм крепчает день ото дня... Во-первых, у себя-то они этот SecureID применять и не собираются, пластик у них, ну а остальным юзерам сойдет... Правда придется им, остальным юзерам, регулярно получать свежие коды у админа, как в ракетных войсках спецназначения, блин; но никаких стикеров! В голове держать. Ежедневно 15 минут до начала рабочего дня посвящается тренировке памяти сотрудников.
Во-вторых, это как понимать: "система может применяться также для хранения отпечатков пальцев или рисунка радужной оболочки глаза"? Это что, сотрудники будут таскать с собой пластик, на котором будут записаны данные о его сетчатке и пальцах? То есть их он дома оставляет, перед работой, а пластик берет с собой... Ерунда сплошная...
 

Black Bat
26 Feb 2004 12:29 PM
to Дмитрий:

если ты не можешь понять что написано - то это не повод кричать об этом.
 

a
26 Feb 2004 12:34 PM
Хакеры будут теперь глаза вырывать...
 

Имя
26 Feb 2004 1:02 PM
Надоело уже запоминать десятки паролей. Для почты - один пароль, для винды - другой, для аськи - третий. И так можно продолжать еще долго. Хоть бы что нибудь другое придумали вместо паролей.
 

q
26 Feb 2004 2:15 PM
а кстати, как там MS Passport поживает?
была такая мега-система, один пароль на весь интернет
ее что, тоже кончать будут?
 

Serge
26 Feb 2004 2:16 PM
2Имя - теперь будешь носить десятки карточек SecurID и на каждой царапать, для какого она сервиса.
 

VicTor
26 Feb 2004 2:43 PM
2 q:

> а кстати, как там MS Passport поживает?

"В это время группа отступников внутри Microsoft обнаружила в нем фатальный недостаток - его писали не они!" (c)История программных революций от Microsoft
 

erin
26 Feb 2004 2:51 PM
2q: я помню что-то было о блестящих перспективах, потом короткая заметка с названием типа "украдено 10 тыс. учетных записей Passport". а потом тягостное молчание.
 

Павел - m_pashkamail.ru
26 Feb 2004 7:46 PM
Странно, что такая элементарная и простая идея проскакивает только сейчас. По моему каждому второму человеку, которому надо запоминать пароли, такая идея в голову приходила. То ли дорого (реально не так уж и дорого да и безопасность гораздо дороже) то ли между собой договориться не могут. На подъезды и то догадались ставить подобные вещи, а тут вроде хай-тек, а нулями :(.
 

Дмитрий
26 Feb 2004 7:50 PM
2 Black Bat:
> если ты не можешь понять что написано - то это не повод кричать об этом

Ну-ка, ну-ка, давай-ка разберем популярно, что такое написано в статье, что я не понял.

"SecurID представляет собой наиболее известную двухфакторную систему аутентификации и используется на многих крупных предприятиях. Она генерирует постоянно меняющуюся последовательность номеров, которые пользователь должен вводить вместе со своим обычным паролем или личным идентификатором (PIN).

Тут могут быть разночтения? Черным по белому написано - юзер для своей аутентификации должен вводить: 1) пароль, 2) PIN код, 3) постоянно меняющуюся последовательность номеров. Разжевано предельно доступно. Насколько неудобно сотруднику вводить каждый раз такую длинную последовательность, надеюсь, понятно?

"Однако Гейтс сказал, что Microsoft не будет применять у себя систему SecurID, так как компания — с помощью RSA — уже внедрила систему на основе смарткарт."

МС предпочитает пластиковые карты постоянно меняющимся паролям, которые нужно вводить вручную. C ними можно согласиться.

"одна из главных особенностей системы состоит в том, что она не требует базы данных, так как вся информация хранится на самой карте. Удостоверяющий личность идентификатор заключается в информации, нанесенной на саму карту"
"система может применяться также для хранения отпечатков пальцев или рисунка радужной оболочки глаза. «Эта система допускает расширение, так что в нее можно включить другую биологическую информацию, такую как рисунок радужной оболочки глаза или отпечатки пальцев. При этом одна и та же степень защиты от подделки сохраняется как на обычной бумаге, так и на пластике"

То есть на пластиковой или бумажной карте сотрудника может храниться такая информация, как оцифрованный рисунок его радужки или отпечатки его пальцев. Непонятно, зачем это нужно, если карта находится при сотруднике. Логично?

Так что, Black Bat, выходит это ты кричишь о том, что даже не попытался понять. Не надо так больше делать, подумай, прежде чем что-либо написать.
 

torvic
26 Feb 2004 10:28 PM
2 Дмитрий
Ну утомил уже чес-слово. "если ты не можешь понять что написано" может в гугле набрать SecurID???
Ничего для юзера не меняется, вместо пароля надо ввести эту самую последовательность, которую не надо ни запоминать ни брать у админа.
 

Дмитрий
26 Feb 2004 10:49 PM
2 torvic:
ну хорошо, хоть админам не нужно будет напрягаться...
 

rGlory
27 Feb 2004 2:24 AM
2 Дмитрий
> Непонятно, зачем это нужно, если карта находится при сотруднике. Логично?

Все очень просто, достаточно вспомнить, зачем в паспорте фотография... Дошло? (Подсказка, чел не обязательно должен находиться в базе)
 

Roger
27 Feb 2004 5:17 AM
Вообще эти SecurID на самом деле не очень удобны. Насколько я знаю эти штуки от RSA бывают двух форм-факторов - один как кредитка, только потолще, носить в бумажнике и второй носить на связке для ключей. Обе с маленьким экраном. На этом экранчике раз в минуту меняется цифровой код, эти изменения синхрлонихированы с сервером. Юзер вводит сначал PIN, потом точно видит на экране. Если не попал, ждешь минуту, код меняется, опять PIN и код. Все хорошо и секурно. Но как оказалось, те карточки что для брелков не любят тряски. Все их есстественно на ключи и в машину. Черезе месяц все сломались. Так до сих пор на ключах и болтается и вечно одну надпись показывает Pro9 :)
 

apossym
27 Feb 2004 10:16 AM
2Roger
а еще у них батарейки заканчиваются
 

Дмитрий
27 Feb 2004 8:00 PM
2 Apossym:
батарейки рассчитаны на 5-7 лет. Более чем. Если карта - пластик, а не брелок, то еще вполне юзефул...
Правда у меня из головы все не выходит картина: ракетные войска, пульты с лампочками, Главный Ключ, два генерала и - ну конечно, SecurID система...
 

Vlad - vslavsrambler.ru
28 Feb 2004 5:53 PM
Все идет к тому, чтобы любым (желательно цивилизованным и мотивированным) способом лишить человека его ИМЕНИ и присвоить номер (штрих-код стандарт EAN 13 с тремя 666) дабы исполнить тайну беззакония о коей говворится в Библии. Далее лишить свободы через сетевой контроль всех значимых событий и возможностей. Затем в контролированном обществе приход Князя мира сего ... СУД.
Всем нам предстоит участвовать в этих процессах, но в разных качествах.
 

vIv
28 Feb 2004 6:04 PM
мощна!
заменим один пароль другим паролем, - трёхсекционным. правда меняться будет только одна секция...
гениально!
напоминает пароли на LM в которых проверялись отдельно по 4 байта

да и вообще - если карта в кармане, - её можно выкрасть.

а пароли генерить - как нефиг делать. Даже хорошо запоминаемые.

Бесплатные 5 паролей высокой стойкости в подарок:
===
ShlicusEpCeeheybBej5
OfEsBaizcoijLybFahiHiv
OinpeftyavobiajidTomMu
ecJeerkinNiasEgeanMid
yujDaGrid>ochayfsAxNab\
===
 

vIv
28 Feb 2004 6:08 PM
вообще-то биометрия штука полезная
только вот для общих применений это уже overkill
ну и плюс - риск взлома _одного_ пункта.
в случае разнесённых автономных паролепроверялок лом любого их количества никак не сказывается на защищённости других.
ну если конечно юзер не идиот и выполняет правило "на каждую систему свой пароль"
 

MMM
28 Feb 2004 10:32 PM
2 vlv юзер априори ИДИОТ. И именно так и поступает - на все системы один пароль. И по возможности - короткий. Самые идиоты - вообще не желают знать паролей.
 

vIv
28 Feb 2004 10:44 PM
1) короткий не прокатит. ибо генерится рандомно в соответствии с нормами безопасности
2) идиотов лечат деньгами или увольнением
 

Билли
28 Feb 2004 11:52 PM
2vlv:
>>Самые идиоты - вообще не желают знать паролей
идиотов лечат деньгами или увольнением
---
Да Вам везет в жизни, как я погляжу! Мне вот все больше попадаются такие идиоты, которые сами кого хошь полечат и деньгами, и увольнениями. Или такие, которые могут похадатайствовать насчет лечения меня. Те, кто этого не могут, соответственно не позволяют себе такую роскошь - идиотизм.
Интересно, я один такой?
 

real не REAL и не Real
29 Feb 2004 12:37 AM
2Билли
>Интересно, я один такой?
Не один, увы, не один... :(
 

vIv
29 Feb 2004 2:21 AM
всё просто, - я решаю конечные задачи. а они достаточно важны нанимателю. если я говорю, что тётя фрося опасна для бизнеса, - её меняют на неопасную. собстнна и всё... ничего сверхпродвинутого.
если тётя фрося желает получать зарплату - учится запоминать пароли раз в две недели. что тут уже упоминалось.
 

vIv
29 Feb 2004 2:28 AM
и это...
я как-то привык по-умолчанию к людям относиться хорошо. поэтому по-умолчанию опять-же предполагаю обращение на-ты.
на-вы - это с юр. лицами в официальной переписке и врагами. или перед дракой.
 

vIv
29 Feb 2004 2:49 AM
типичный пример:
гендир доверяет главбуху ключевой флоп от клиет-банк и поручает раз в месяц кататься в банк на обновления
что отличает этот ключевой флоп (от счёта фирмы) от права доступа к серверу внутрифирменных транзакций? Что, - меньше чтоли шансов фирму на-бок завалить?
 

Илья
29 Feb 2004 10:06 AM
>Хакеры будут теперь глаза вырывать...

Не хакеры, а кракеры. Да и потом, в этом нет необходимости. Где-то была хорошая статья, описывающая "надежность" всех этих методов. Отпечатки пальцев легко "снять" с помощью желатина, образ сетчатки глаза передается в считывающее устройство из проектора и т.д. Единственный надежный способ - экспресс-анализ ДНК, но до этого еще ох как далеко. Так что речь гейтся - не более чем очередной маркетоидный мусор, рассчитанный на неокрепшие умы виндузят..
 

Нос
29 Feb 2004 10:29 AM
2Илья:

ну давай, снимай желатином рисунок подкожных кровеносных сосудов, неокрепший линуксятник :)
 

Билли
29 Feb 2004 10:55 AM
2Илья:
Единственный надежный способ - экспресс-анализ ДНК, но до этого еще ох как далеко.
---
Вы явно не смотрите боевики. Там очень любят подтаскивать к сканеру пароленосителя либо целиком, либо по частям. Вместе с ДНК, заметьте ;)

2vlv:
Тетя Фрося (ака маленький человечек) как раз редко выделывается (если она не внучатая племянница супербосса). Кроме того, она обычно мало может со своим паролем. А вот большие боссы сочетают абсолютные полномочия с абсолютным нежеланием вводить пароли даже типа "123".
 

vIv
29 Feb 2004 7:34 PM
Большие Боссы обычно имеют доступ RO и к тому же могут быть укомплектованны физически или криптографически укомплектованны индивидуальным доступом. Не вопрос ни разу.
 

Билли
29 Feb 2004 8:16 PM
2vlv:
обычно имеют доступ RO
---
имхо, в большинстве случаев взломщикам большего и не нужно.

же могут быть укомплектованны ... индивидуальным доступом
---
С тем же успехом и тетя Фрося может быть укомплектована смарткартой/ключевой дискетой и т.д., раз уж она имеет доступ к важной информации (как это сделал у себя МС). Хотя не очень давно тут кто-то жаловался, что его босс имеет обыкновение забывать смарткарту дома в неподходящий момент. Резюмируя - если для соблюдения безопасности требуется хоть какой-то напряг - босс будет идиотствовать. За исключением разве только случаев, когда утечка информации будет грозить лично ему конкретными неприятностями - от личных финансовых крахов до тюрьмы/могилы.
 

vIv
29 Feb 2004 10:48 PM
ключ от сигналки на квартиру/машину босс не забывает?
а бизнес, его кормящий, ему менее важен?
не верю, извини.
 

Билли
1 Mar 2004 12:10 AM
2vlv:
Последнее предложение как раз об этом. Но не все боссы лично зависят от данных в компутере. Пример - босс крупного госпредприятия. Нет, если данные о коммерческой деятельности вверенного предприятия уплывут налево - это будет печально. Но лично для него это катастрофой не грозит. Потому для порядку он отимеет IT-коллектив, и этим все закончится.
 

PTO - ptokgb.ru
1 Mar 2004 1:17 PM
народ, чего вы спорите, для авторизации есть несколько подходов:
1-факторная "я что-то знаю" - логин/пароль
2-факторная "у меня что-то есть и я что-то знаю" - смарткарта и пин-код
3-факторная "я кто-то, у меня что-то есть, и я это что-то знаю" - отпечаток пальца + смарткарта+ пинкод

секурИД это типа нечто среднее между 2м и 3м... т.е. образ отпечатка хранится в карте самой... т.е. если я украл смарткарту выбив пинкод из человека мне нужна будет еще его рука/образ радужки глаза и т.п.
 

mardong - lnoemail.zp.ua
1 Mar 2004 4:24 PM
2 PTO.

Т.е., для взлома:

1 - нужно выбить логин/пароль
2 - нужно выбить логин/пароль и смарткарту
3 - + отрезать палец (например)

Реально 1 и 2 - это одно и то же (если уж ты выбил пароль, то карточку уже отнял)
3 - немного лучше, но я не хотел бы быть "пароленосителем"

Т.е. на этой самой карте находится то, что обычно лежит в shadow.passwd, т.н. базе данных?

Мда-а-а, далеко продвинулся MS
2 HOC (в том числе)
И еще там биометрическая информация? Типа "кровеносных сосудов под кожей пальца"? А если прихватить, действительно, этого пароленосителя, отделить "непосредственный" пароленоситель, и заморозить - покатит? В конце-концов, метод консервации всегда находится.
2 vlv MMM
Ваши рассуждения по поводу паролей меня умиляют - все ж такие грамотные и умные :-); все говорят, что длинные и разные пароли - это хорошо. Только скажите, plz, сколько вы таких паролей запомните? 10 или 20? А если нужно 100?
Написал это - и задумался - в самом деле, может MS дело предлагает? Но чем это отличается от того, что таскать с собой flash, с записанными и зашифрованными паролями на нем, а для дешифрации - помнить один?
 

PTO - ptokgb.ru
1 Mar 2004 5:23 PM
2 mardong: сие не придумал МС... сие давно существует на земле... МС делает встроенную поддержку всех этих систем
1. можно подсмотреть/подобрать/взломать и я не буду об этом знать
2. значительно сложнее - я должен украсть карту - я буду об этом знать + подобрать пин практически невозможно... т.е. физическое воздействие практически обязательно
3. даже если я украл карту и знаю пин-код, мне нужен сам человек и/или его части... соответственно это еще сложнее

на карте хранится информация о био-параметрах... переписать их невозможно

Это не МС продвинулся - это RSA идея, а МС решила встроить ее поддержку в винды из коробки, как сейчас уже поддерживаются смарткарты

биометрическая информация - человека могут попросить отпечаток пальца, сказать какую-либо фразу и приложить зрачек к фотоэлементу... большинство промышленных систем не обманешь путем прикладыванием замороженного пальца...

я уже давно таскаю с собой смарткарту, которая хранит даже не пароли, а сертификаты по 2К для доступа к разным ресурсам... а пинкод к ней не подберешь
 

Проходящий мимо - xwarlockmail.ru
2 Mar 2004 8:32 AM
тут я подумал:
Хы если биометрические параметры есть на карточке, то они могут быть украдены, считаны и засунуты где то в логи аутентификации и попробуй потом доказывать, что это типа не ты доступ осуществлял ...вот же они ваши отппечатки пальцев!!!
У меня у знакомого подобная фигня была с системой контроля превышения скорости. Пока ТРОЕ уважаемых свидетелей клятвенно не подтвердили что он и его машина в это время были в другом конце города, никто не верил.
Так что всегда думайте об алиби! :)
 

Сергей
2 Mar 2004 6:42 PM
ИМХО, совершенно неясно из статьи, КАК именно работает система идентификации от МS.
Итак:
"Чтобы создать ID-карту, понадобится фотография и некоторая базовая информация о человеке, например имя и дата рождения. Программа обработает эти данные и выдаст цифровую подпись в форме штрихкода, который также наносится на ID-карту. В случае изменения информации на ID-карте она перестанет соответствовать подписи, и система отвергнет такую карту."

То есть, здесь описана технология хранения данных.
А технология проверки? Ничего не сказано, как именно сверяется информация на карточке с реальной информацией.

Если злоумышленник украл эту самую карту, что еще ему понадобится? Только пин-код? Или еще парик надевать, чтобы на фотке похоже выглядеть :-) ? Но про фотокамеру ничего вроде не сказано...

 

PTO - ptokgb.ru
2 Mar 2004 11:42 PM
2 Сергей: читайте плиз внимательно... система не от МС, мс просто поддерживает разработку RSA... думаю на их сайте можно найти подробности
 

Ya tut byl kogda-to
4 Mar 2004 12:41 PM
В конторе, в которой я работаю, есть и SecureID (SID) (используется для доступа в корпоративную сеть, с интернета например), и уже идет внедрение SmartBadge (SB).
Главное отличие от паролей: ты не просто что-то знаешь (user ID/пароль), но и чем-то владеешь (SID или SB).
Конечно может выглядить смешно такие меры, когда у тебя с десяток пользователей, но когда их 10000 и каждый второй хочет сбросить пароль, позвонив на HelpDesk, тут начинаешь понимать серьезность проблемы. Не стоит забывать, что такие системы как Windows XP Pro в первую очередь рассчитаны на корпоративных пользователей. И любые новые или полезные идеи придумываются и внедряются в расчете на них.
Мы уже живем в информационном мире, но не все оценили всех ее прелестей, не говоря уже о недостатках и опасностях.
ЗЫ. Одна из возможностей SB - хранить информацию о десятках паролей для разных мест вкупе с user ID.
 

Slon
8 Mar 2004 4:08 PM
To Проходящий мимо
> Хы если биометрические параметры есть на карточке, то они могут быть украдены, считаны и засунуты где то в логи аутентификации

Глупости говорите. С этих карт информация не считывается (как и с банковских карт на чипах, не путать с магнитными).
 

 

← январь 2004 16  17  18  19  20  24  25  26  27 март 2004 →
Реклама!
 

 

Место для Вашей рекламы!