Всё, приплыли с криптой ?

[DrBeer]

Потерял телефон - нашедший и разблокировавший получает доступ ко всему. К тому же гос сектор сам навязывает пользование этим приложением.

В таком случае, вместо стандартного способа авторизации в этом приложении — пароля, лучше ставить дактилоскопический отпечаток, тогда нашедший не сможет получить доступ ко всем услугам. Хотя зная современных взломщиков, им не составит труда взломать телефон. Но будут ли они взламывать каждый нашедшийся телефон и окупиться ли трата времени на это? А вот то, что навязывают - это плохо, вроде бы и отказаться можно, но тогда лишаешься комфорта и некоторых услуг.

Вроде бы уже и сейчас есть оборудование для создания ложного отпечатка пальца. Если быть точным, то делается печать в виде такого пальца, которая генерит отпечаток, сильно похожий на оригинальный. Достаточно найти отпечаток на стакане, например, и скопировать его. Правда, технологию пытаются защищать, требуется не только отпечаток, а чтобы тепло было, к примеру. Но это задача ещё легче решаемая.

Я работал с достаточно "жирными" СКУД (ситемы контроля и управления доступа), так вот для "особых" обьектов, одним отпечатком не обойдешься. Там только для пальца набор требований - отпечаток, температура, также просвечивают палец и замеряют чтото из серии пульс, влажность, сопротивление кожи,.. А в комплекте еще "глаз покажи" и пин-код введи. Так что для простых СКУД это сработает вероятно, но серьезные системы имеют массу дополнительных уровней проверки

[owlest]

Вроде бы уже и сейчас есть оборудование для создания ложного отпечатка пальца. Если быть точным, то делается печать в виде такого пальца, которая генерит отпечаток, сильно похожий на оригинальный. Достаточно найти отпечаток на стакане, например, и скопировать его. Правда, технологию пытаются защищать, требуется не только отпечаток, а чтобы тепло было, к примеру. Но это задача ещё легче решаемая.

Это если вы знаете, кто потерял вещь, а если просто нашли на улице, то есть владелец неизвестен, значит и отпечаток снять не получится, что значительно усложняет взлом.

И вот тут мы возвращаемся к нашим старым добрым подкожным чипам... Добавляем в качестве дополнительного 2FA к паролю, скану пальца и радужки (или просто морды лица) еще и верификацию пользователя по подкожному чипу для разблокирования его универсального гаджета и для подписи всех важных операций - и дело в кармане. Хакеры и воры остаются ни с чем.

Тут наверное, даже можно и без подкожного чипа обойтись, просто аутентифицирующее устройство держать дома, так даже надежней будет (никто палец не рубанет  ) Ну и как говорят криптаны, лучше вообще молчать, что у тебя есть крупная сумма, деньги же любят тишину, как и монеты с токенами)))

[fgh]

Я работал с достаточно "жирными" СКУД (ситемы контроля и управления доступа), так вот для "особых" обьектов, одним отпечатком не обойдешься. Там только для пальца набор требований - отпечаток, температура, также просвечивают палец и замеряют чтото из серии пульс, влажность, сопротивление кожи,.. А в комплекте еще "глаз покажи" и пин-код введи. Так что для простых СКУД это сработает вероятно, но серьезные системы имеют массу дополнительных уровней проверки

Ахах, это, получается, каша из топора своеобразная. Да, отпечаток пальца нужон, но к нему ещё 50 видов аутентификаций, включая пароль - код доступа. И спрашивается, а накуя тогда энтот отпечаток нужон? Просто до кучи? Ведь всё равно в этой куче аутентификаций есть что-то важное и есть второстепенное. К примеру, потерял чел этот самый палец. Можно его восстановить по паролю или имейлу? Если можно, значит палец этот хрен на постном масле и пароль с имейлом важнее.

[heyod hewow]

В основном будут охотится за подпольными миллионерами Корейко, которые уже по-криптански разбогатели, но всё ещё продолжают жить жизнью скромного бухгалтера.

Ага, так и будет, когда закончатся инфлы и криптоцыгане из тиктока и ютуба, которые успели на заре своей карьеры похвастаться своими доходами. Когда крипто-ютуберы закончатся, охотники начнут искать криптокореек, которые все эти годы тихо сидели как мышь за веником со своими бетховентами, заначенными с 2011-2016 годов. ))

Тут наверное, даже можно и без подкожного чипа обойтись, просто аутентифицирующее устройство держать дома, так даже надежней будет

Как вариант - да, разнести пару гаджет и верификатор это неплохая идея, но и не без недостатков, в дом могут залезть и целенаправленно искать верифицирующее устройство. Так что чип - надежнее. И он ведь необязательно в пальце должен быть, можно в какое-нибудь более экзотическое место, часть тела поместить, про которое не сразу догадаешься и найдешь. И вообще - можно подкожный чип в любимого питомца вживить, собакена там или котега, ящерика, удавчика или кобру. )

[DrBeer]

Я работал с достаточно "жирными" СКУД (ситемы контроля и управления доступа), так вот для "особых" обьектов, одним отпечатком не обойдешься. Там только для пальца набор требований - отпечаток, температура, также просвечивают палец и замеряют чтото из серии пульс, влажность, сопротивление кожи,.. А в комплекте еще "глаз покажи" и пин-код введи. Так что для простых СКУД это сработает вероятно, но серьезные системы имеют массу дополнительных уровней проверки

Ахах, это, получается, каша из топора своеобразная. Да, отпечаток пальца нужон, но к нему ещё 50 видов аутентификаций, включая пароль - код доступа. И спрашивается, а накуя тогда энтот отпечаток нужон? Просто до кучи? Ведь всё равно в этой куче аутентификаций есть что-то важное и есть второстепенное. К примеру, потерял чел этот самый палец. Можно его восстановить по паролю или имейлу? Если можно, значит палец этот хрен на постном масле и пароль с имейлом важнее.

А на кой нужен пароль, и например 2ФА, если есть логин ?
Дело в том что чем ограниченнее доступ, или выше уровень безопасности, тем сложнее механизм доступа. Если вернуться к отпечатку пальца - то сам по себе отпечаток, это всего лишь одна из характеристик используемых для верификации /или идентификации. Но поскольку отпечаток можно подделать, то набор характеристик - несоизмеримо сложнее.   Тем более надо верифицировать - а человек ли это вообще, или муляж латексный А когда верифицировали по некоторым параметрам, тогда уже идентифицируем - этот отпечаток соответствует  Иванову, как и глаз например, и ему в эту левую  дверю можна, а вот в правую - уже нельзя
"Потерянный" палец - это уже отдельная история - пропуск, СБ, блаблабла, отсканировали доступный (на текущий момент) палец

[fgh]

Я работал с достаточно "жирными" СКУД (ситемы контроля и управления доступа), так вот для "особых" обьектов, одним отпечатком не обойдешься. Там только для пальца набор требований - отпечаток, температура, также просвечивают палец и замеряют чтото из серии пульс, влажность, сопротивление кожи,.. А в комплекте еще "глаз покажи" и пин-код введи. Так что для простых СКУД это сработает вероятно, но серьезные системы имеют массу дополнительных уровней проверки

Ахах, это, получается, каша из топора своеобразная. Да, отпечаток пальца нужон, но к нему ещё 50 видов аутентификаций, включая пароль - код доступа. И спрашивается, а накуя тогда энтот отпечаток нужон? Просто до кучи? Ведь всё равно в этой куче аутентификаций есть что-то важное и есть второстепенное. К примеру, потерял чел этот самый палец. Можно его восстановить по паролю или имейлу? Если можно, значит палец этот хрен на постном масле и пароль с имейлом важнее.

А на кой нужен пароль, и например 2ФА, если есть логин ?
Дело в том что чем ограниченнее доступ, или выше уровень безопасности, тем сложнее механизм доступа. Если вернуться к отпечатку пальца - то сам по себе отпечаток, это всего лишь одна из характеристик используемых для верификации /или идентификации. Но поскольку отпечаток можно подделать, то набор характеристик - несоизмеримо сложнее.   Тем более надо верифицировать - а человек ли это вообще, или муляж латексный А когда верифицировали по некоторым параметрам, тогда уже идентифицируем - этот отпечаток соответствует  Иванову, как и глаз например, и ему в эту левую  дверю можна, а вот в правую - уже нельзя
"Потерянный" палец - это уже отдельная история - пропуск, СБ, блаблабла, отсканировали доступный (на текущий момент) палец

Моя мысль была в том, что когда система безопасности сложная и есть много параллельных параметров доступа типа палец, пароль, 2ФА, имейл и прочая и прочая, то неизбежно следующее:
  - Какой-то один или несколько из этих параметров главные, а какие-то неизбежно второстепенные. Скорее всего те, которые леггче подделать и являются второстепенными. И палец тут на одном из последних мест скорее всего.

[owlest]

Моя мысль была в том, что когда система безопасности сложная и есть много параллельных параметров доступа типа палец, пароль, 2ФА, имейл и прочая и прочая, то неизбежно следующее:
  - Какой-то один или несколько из этих параметров главные, а какие-то неизбежно второстепенные. Скорее всего те, которые леггче подделать и являются второстепенными. И палец тут на одном из последних мест скорее всего.

Вы сюда всего столько понаприкручивали, столько лишних заморочек с аутентификацией, как будто на карте или кошельке хранятся все сокровища мира. Даже у централизованных бирж доступ к кошельку попроще будет))) Я понимаю, что собственное богатство нужно хранить в безопасности, но не параноить же до такой степени) Пусть Гейтс, Маски и прочие думают об этом, нам так заморачиваться не стоит))

[DrBeer]

Я работал с достаточно "жирными" СКУД (ситемы контроля и управления доступа), так вот для "особых" обьектов, одним отпечатком не обойдешься. Там только для пальца набор требований - отпечаток, температура, также просвечивают палец и замеряют чтото из серии пульс, влажность, сопротивление кожи,.. А в комплекте еще "глаз покажи" и пин-код введи. Так что для простых СКУД это сработает вероятно, но серьезные системы имеют массу дополнительных уровней проверки

Ахах, это, получается, каша из топора своеобразная. Да, отпечаток пальца нужон, но к нему ещё 50 видов аутентификаций, включая пароль - код доступа. И спрашивается, а накуя тогда энтот отпечаток нужон? Просто до кучи? Ведь всё равно в этой куче аутентификаций есть что-то важное и есть второстепенное. К примеру, потерял чел этот самый палец. Можно его восстановить по паролю или имейлу? Если можно, значит палец этот хрен на постном масле и пароль с имейлом важнее.

А на кой нужен пароль, и например 2ФА, если есть логин ?
Дело в том что чем ограниченнее доступ, или выше уровень безопасности, тем сложнее механизм доступа. Если вернуться к отпечатку пальца - то сам по себе отпечаток, это всего лишь одна из характеристик используемых для верификации /или идентификации. Но поскольку отпечаток можно подделать, то набор характеристик - несоизмеримо сложнее.   Тем более надо верифицировать - а человек ли это вообще, или муляж латексный А когда верифицировали по некоторым параметрам, тогда уже идентифицируем - этот отпечаток соответствует  Иванову, как и глаз например, и ему в эту левую  дверю можна, а вот в правую - уже нельзя
"Потерянный" палец - это уже отдельная история - пропуск, СБ, блаблабла, отсканировали доступный (на текущий момент) палец

Моя мысль была в том, что когда система безопасности сложная и есть много параллельных параметров доступа типа палец, пароль, 2ФА, имейл и прочая и прочая, то неизбежно следующее:
  - Какой-то один или несколько из этих параметров главные, а какие-то неизбежно второстепенные. Скорее всего те, которые леггче подделать и являются второстепенными. И палец тут на одном из последних мест скорее всего.

А, ну если в таком ракурсе - то можно рассмотреть. НО опять же но
Если увлечься этими системами, то проявится один интересный нюанс - вроде действительно есть и простые и вроде как не сильно важные, и даже достаточно неустойчивые к взлому", но.. с точки зрения глоабльной системы, эти нюансики дают очень классный результат. Это как дополнительные пины в сложных ключах - вроде херня, и основные пины отжат не сложно, но "вот точно такое же простое, но чуть другое" очень сильно повышает взломостойкость замка в целом.

[DrBeer]

Моя мысль была в том, что когда система безопасности сложная и есть много параллельных параметров доступа типа палец, пароль, 2ФА, имейл и прочая и прочая, то неизбежно следующее:
  - Какой-то один или несколько из этих параметров главные, а какие-то неизбежно второстепенные. Скорее всего те, которые леггче подделать и являются второстепенными. И палец тут на одном из последних мест скорее всего.

Вы сюда всего столько понаприкручивали, столько лишних заморочек с аутентификацией, как будто на карте или кошельке хранятся все сокровища мира. Даже у централизованных бирж доступ к кошельку попроще будет))) Я понимаю, что собственное богатство нужно хранить в безопасности, но не параноить же до такой степени) Пусть Гейтс, Маски и прочие думают об этом, нам так заморачиваться не стоит))

Извините встряну. Тут какое дело. Все действительно зависит от области применения. Например то чем я говорил (СКУД) - это из серии про то "как попасть в здание, нужное крыло нуждного этажа, там в нужный кабинет, чтобы потом добраться до сейфа".
Если говорит о кошельках, то вопрос намного "проще" - данные для подтверждении транзакции зашифрованы, и нам по сути нужны 2 механизма для разблокировки. Основной и вспомогательный (не туда палец например сунул).
Что выбрать на кошельке - отпечаток или пин код - выбор за нами. Но можно добавить 3 слой который даже при наличии пальца условжним жизнь "похитителю пальца" Например аппаратный кошелек. Т.е. палец подделать можнор, чтобыоткрыть кошелек на мобильном. Или пин-код можно стырить или "принудить к добру" владельца оного при помощи терморектальных алгоритмов. Но вот если нет аппаратного кошелька - с пальцем, пином - кина не будет.

ПС Но тут еще один прикольный вопрос дя ментального беспокойства и новых паранойик - а где и как вы храните копию сиид фразы

[heyod hewow]

ПС Но тут еще один прикольный вопрос дя ментального беспокойства и новых паранойик - а где и как вы храните копию сиид фразы

А пгачему ви спгашиваете (подозрительно щурится)? А мы вам не скажем, где и как мы храним свои сид-фразы.  В потаенных местах храним, вот. )

[fruktik]

Не спроста эту книгу запрещали в совке, а теперь и ...
В произведении конечно немного "усилены цвета", но.. зная безграничность идиотизма, не удивлюсь что запрет - попытка скрыть реальную программу построения Великой Северной Короссии ! Ну чтобы потом не говорили - "тююю, так это ж написал Оруэлл, а не царь-батюшка наш свет солнца породивший жизнь на земле и солнце и планеты и гадов всяких, и хлеб насущный всем давший !" 

Бытует мнение, что ещё несколько лет назад РФ переплюнула те идеи в романе "1984", которые взяла за основу построения текущего "государства". Даже Оруэлл переворачивается в гробу от тех событий, которые происходят в РФ на сегодняшний день. Это произведение было создано как предупреждение о том, как делать не следует, но появились те личности, которые взяли его за основу. Вот и вышло то, что наблюдаем в течение последних лет.

О какой крипте можно рассуждать при таком политическом устройстве страны? Тут бы как не попасть в немилость сЦаря и остаться в живых. Только потом уже думать обо всем остальном.

[fgh]

]

Извините встряну. Тут какое дело. Все действительно зависит от области применения. Например то чем я говорил (СКУД) - это из серии про то "как попасть в здание, нужное крыло нуждного этажа, там в нужный кабинет, чтобы потом добраться до сейфа".
Если говорит о кошельках, то вопрос намного "проще" - данные для подтверждении транзакции зашифрованы, и нам по сути нужны 2 механизма для разблокировки. Основной и вспомогательный (не туда палец например сунул).
Что выбрать на кошельке - отпечаток или пин код - выбор за нами. Но можно добавить 3 слой который даже при наличии пальца условжним жизнь "похитителю пальца" Например аппаратный кошелек. Т.е. палец подделать можнор, чтобыоткрыть кошелек на мобильном. Или пин-код можно стырить или "принудить к добру" владельца оного при помощи терморектальных алгоритмов. Но вот если нет аппаратного кошелька - с пальцем, пином - кина не будет.

ПС Но тут еще один прикольный вопрос дя ментального беспокойства и новых паранойик - а где и как вы храните копию сиид фразы

По сути всё упирается в основной метод доступа. Условно говоря, чтобы получить вам доступ к некой платформе от вас требуется только пароль и отпечаток пальца. И имейл. Приэтом вы можете нажать 2 кнопки:
- Потерял пароь (восстановить через имейл. Не спрашивайте как; допустим, это возможно).
- Потерял пароль (восстановить через имейл).
    Вопрос: тут 3 независимых медода доступа или только один? Ответ: только один. Ибо всё это сбрасывается и восстанавливается через имейл. И тогда какой в этой бесполезной хрени смысл?

[owlest]

Извините встряну. Тут какое дело. Все действительно зависит от области применения. Например то чем я говорил (СКУД) - это из серии про то "как попасть в здание, нужное крыло нуждного этажа, там в нужный кабинет, чтобы потом добраться до сейфа".
Если говорит о кошельках, то вопрос намного "проще" - данные для подтверждении транзакции зашифрованы, и нам по сути нужны 2 механизма для разблокировки. Основной и вспомогательный (не туда палец например сунул).
Что выбрать на кошельке - отпечаток или пин код - выбор за нами. Но можно добавить 3 слой который даже при наличии пальца условжним жизнь "похитителю пальца" Например аппаратный кошелек. Т.е. палец подделать можнор, чтобыоткрыть кошелек на мобильном. Или пин-код можно стырить или "принудить к добру" владельца оного при помощи терморектальных алгоритмов. Но вот если нет аппаратного кошелька - с пальцем, пином - кина не будет.

ПС Но тут еще один прикольный вопрос дя ментального беспокойства и новых паранойик - а где и как вы храните копию сиид фразы

Тогда уже лучше создавать мультиподписной кошелек с 3 или 4 подписантами, где каждый подписант - отдельный девайс. На каждый девайс отпечаток, пароль, кодовую фразу, и все вместе задействовать, устройства распихать по разным геолокациям. Паранойя? Естественно, а потом изжай, собирай кошельки, подписуй транзакции, подходит только миллионерам в битке))) Насчет сид фразы, это можно сказать бесконечная история, но я думаю, что главное для этого - не транслировать ее в инет, хранить только на бумаге и использовать исключительно холодный кошелек, который никогда не выходил в инет. Хотя даже это не спасет от терморектального дознавательства)))

[DrBeer]

ПС Но тут еще один прикольный вопрос дя ментального беспокойства и новых паранойик - а где и как вы храните копию сиид фразы

А пгачему ви спгашиваете (подозрительно щурится)? А мы вам не скажем, где и как мы храним свои сид-фразы.  В потаенных местах храним, вот. )

 


На самом деле тоже тонкая тема. Бумага - стремно. Надо "железную записку". Но ее тоже надо хранить както безопасно. Сейф ? Ну или заливать в бетон при строительстве дома с распорками на всю площадь, или обыкновенный просто унесут с собой.. Банковская ячейка - ну то вообще не тема Короче тема очень специфическая, и проблема в том что гдето таки надо хранить физический ключ, но безопасно и в тоже время доступно, что имеет противоречие некоторое ...

[owlest]

ПС Но тут еще один прикольный вопрос дя ментального беспокойства и новых паранойик - а где и как вы храните копию сиид фразы

А пгачему ви спгашиваете (подозрительно щурится)? А мы вам не скажем, где и как мы храним свои сид-фразы.  В потаенных местах храним, вот. )

 


На самом деле тоже тонкая тема. Бумага - стремно. Надо "железную записку". Но ее тоже надо хранить както безопасно. Сейф ? Ну или заливать в бетон при строительстве дома с распорками на всю площадь, или обыкновенный просто унесут с собой.. Банковская ячейка - ну то вообще не тема Короче тема очень специфическая, и проблема в том что гдето таки надо хранить физический ключ, но безопасно и в тоже время доступно, что имеет противоречие некоторое ...

Все равно, я считаю, что хранение на отдельном физическом носителе явно безопаснее, чем те же ключи хранить на компе, с которого ведется работа. Но с другой стороны, если на компе установлен кошелек, то сид-фраза, хоть и в зашифрованном виде находится на нем. Современные хакеры брутфорсом могут ее расшифровать, если пароль слабый, но тут нужна именно адресная атака. А насчет хранения такого ключа дома, то у меня в селе наверное мало вообще кто знает о крипте, поэтому особо бояться нечего, а вот в крупном городе да...