Det är väl rätt uppenbart; användarna litar ju på fingerläsaren och använder den istället för vanligt hederligt lösenord. Eftersom fingerläsaren uppenbarligen har mycket sämre säkerhet i den omtalade applikationen, som är en typsikt vardagligt exempel för slutanvändare, kommer den förstöra säkerheten jämfört med mer vedertagna metoder.sebastiannielsen skrev:Varför skulle de utgöra ett hot mot säkerheten? Alla små steg utgör ett säkerhetsskydd...
Billigaste inloggningen
-
sebastiannielsen
- Inlägg: 3663
- Blev medlem: 11 september 2004, 09:30:42
- Ort: gbg
- Kontakt:
Trådskaparen sa i sitt inlägg att han accepterar en kortkostnad på max 30 kronor... Och en kostnad för avläsningsutrustningen på max 500 kronor.
Då skulle dallas-knapp eller RFID passa bra.
--------------------------
DALLAS:
En dallas-läsare som interfacas mot ett 1-wire-interface kan ju inte kosta mer än ca 200-300 kronor, men sedan kostar varje dallas-knapp pengar, ca 36 kronor inkl moms hos elfa, om du köper över 10 stycken.
Finns instruktioner på nätet hur man bygger 1-wire-interfacen.
Dallas-knapparna samt en "touch-probe" finns att få tag på elfa... (sök på dallas)
------------------------------
RFID:
Vill du ha en "turn-key"-lösning som är färdig att stoppas in i applikationen, kan du skaffa parallax's RFID-läsare...
http://www.parallax.com , kllicka "accessories", "Radio Frequency (RF)" och sedan kommer RFID-läsaren fram mitt på skärmen...
Kostar 40 dollar, vilket är ca 360 kronor.
Korten kostar 2,48 dollar om du köper över 10 stycken, vilket är ca 20 kronor styck = 400 kronor för alla 20 korten.
(finns 2 typer av tags som kostar lika mycket: en rund och en i form av ett plastkort, frågan är vilken du gillar)
RFID-läsaren skickar ut tagens serienummer på 2400 baud.
Antar att det är en fast drinkblandare och inte en batteridriven, och då behöver du inte använda dig av strömsparfunktionen, altså kan du dra "/enable" till jord, vilket innebär att den är igång hela tiden. Det blir 3 kablar:
+5v, DATA samt GND.
Antar att din drinkblandare antingen är PIC eller dator-styrd och att om din drinkblandare har PIC så har den UART, så då borde det inte vara något problem att interfaca RFID-läsaren mot PIC/datorn.
Då skulle dallas-knapp eller RFID passa bra.
--------------------------
DALLAS:
En dallas-läsare som interfacas mot ett 1-wire-interface kan ju inte kosta mer än ca 200-300 kronor, men sedan kostar varje dallas-knapp pengar, ca 36 kronor inkl moms hos elfa, om du köper över 10 stycken.
Finns instruktioner på nätet hur man bygger 1-wire-interfacen.
Dallas-knapparna samt en "touch-probe" finns att få tag på elfa... (sök på dallas)
------------------------------
RFID:
Vill du ha en "turn-key"-lösning som är färdig att stoppas in i applikationen, kan du skaffa parallax's RFID-läsare...
http://www.parallax.com , kllicka "accessories", "Radio Frequency (RF)" och sedan kommer RFID-läsaren fram mitt på skärmen...
Kostar 40 dollar, vilket är ca 360 kronor.
Korten kostar 2,48 dollar om du köper över 10 stycken, vilket är ca 20 kronor styck = 400 kronor för alla 20 korten.
(finns 2 typer av tags som kostar lika mycket: en rund och en i form av ett plastkort, frågan är vilken du gillar)
RFID-läsaren skickar ut tagens serienummer på 2400 baud.
Antar att det är en fast drinkblandare och inte en batteridriven, och då behöver du inte använda dig av strömsparfunktionen, altså kan du dra "/enable" till jord, vilket innebär att den är igång hela tiden. Det blir 3 kablar:
+5v, DATA samt GND.
Antar att din drinkblandare antingen är PIC eller dator-styrd och att om din drinkblandare har PIC så har den UART, så då borde det inte vara något problem att interfaca RFID-läsaren mot PIC/datorn.
Haha, vilken rolig tråd att läsa! =)
En knappsats med 0-9 och en femsiffrig kod (00000-99999) skulle i snitt ta 42h att knäcka om väntetiden konstant var 3s. (100000*3*50%/3600=42h).
En mycket enkel sak att implementera är att öka väntetiden ju fler felaktiga försök som gjorts...
Låt säga att väntetiden ökas till 10s efter 50 felaktiga försök, att knäcka ett sådant kodlås (00000-99999) med bruteforce skulle då i snitt ta ungefär 6 dygn, 12 dygn i värsta fallet. (fördubbla väntetiden var 50:e felaktig inmatning... ja du förstår nog)
Utöka knappsatsen med några bokstäver så tar det lååååång att knäcka koden med bruteforce.
Visst, chansen finns att hitta rätt kod vid första försöket och samma gäller för hålkort, magnetkort och streckkod....
Vem är så dum att man inte lägger in en väntetid mellan försöken?sebastiannielsen skrev: Anledningen till att ett lösenord har fått så dålig säkerhetspoäng är för att det inte krävs någon "anstränging" för att gissa ett lösenord. Det är ju "bara" att sätta datorn på att bruteforca/dict-attacka lösenordet, och sedan gå därifrån, i förhoppning att lösenordet knäcks inom några timmar/dagar...
En knappsats med 0-9 och en femsiffrig kod (00000-99999) skulle i snitt ta 42h att knäcka om väntetiden konstant var 3s. (100000*3*50%/3600=42h).
En mycket enkel sak att implementera är att öka väntetiden ju fler felaktiga försök som gjorts...
Låt säga att väntetiden ökas till 10s efter 50 felaktiga försök, att knäcka ett sådant kodlås (00000-99999) med bruteforce skulle då i snitt ta ungefär 6 dygn, 12 dygn i värsta fallet. (fördubbla väntetiden var 50:e felaktig inmatning... ja du förstår nog)
Utöka knappsatsen med några bokstäver så tar det lååååång att knäcka koden med bruteforce.
Visst, chansen finns att hitta rätt kod vid första försöket och samma gäller för hålkort, magnetkort och streckkod....
...säker... Hur kan man påstå att något är säkert?sebastiannielsen skrev: men nu när jag har en säker inloggning, vad är felet att lägga uppgifterna där då?
Lösenord är inte så illa som det sägs här, väljs de på rätt sätt kan man ha mycket långa lösenord utan att d är svåra att komma ihåg. Lägg in ett par siffror/krumelurer och eller avsiktliga felstavningar så är lexikonmetoden avvisad. Man kan också kombinera ord med avdelning mitt i stavelser. Sedan skall man ju också undvika idiotiska lösenord av olika typer även om de har blandat bokstäver/siffror. Undrar hur många här på forumet som har t.ex. komponentbeteckningar som lösen...
-
sebastiannielsen
- Inlägg: 3663
- Blev medlem: 11 september 2004, 09:30:42
- Ort: gbg
- Kontakt:
"turn-key"-lösning är en lösning som bara är att installera/koppla in, konfigurera och sedan är det i stort sett färdigt.
Du kan ju köpa en USB<->RS232-adapter, och en MAX232:a och koppla in RFID-läsaren på den. Den drar dock några hundra mA så du får ha väggadapter/trafo, går tyvärr inte med att driva den från USB.
-----------------------
Macce: ASCII-captcha har jag för att försvåra för enklare* trojaner att återskapa inloggningstabellen genom att sniffa trafiken/webbläsaren och på automatisk väg återskapa inloggningstabellen.
Det går ju inte på digital väg ta reda på vilken challenge som tillgör vissa teckenkombinationer, utan att man först måste programmera en trojan specifikt för min sida.
*Med enklare trojaner menar jag sådana som är gjorda att känna av ev "challenge" i ett 2-vägs inloggningssystem, oavsett sajt och spara den tillsammans med svaret för att sedan försöka återskapa inloggningen.
Men iofs går den att göra bättre. Funderar på att ersätta alla mellanrum med slumpmässigt blandande /, |, (, ), \, _, -, =, <, > och sånt fast i ljusare färger, och sedan sätta lite olika mörkare färger på dom andra....
Du kan ju köpa en USB<->RS232-adapter, och en MAX232:a och koppla in RFID-läsaren på den. Den drar dock några hundra mA så du får ha väggadapter/trafo, går tyvärr inte med att driva den från USB.
-----------------------
Macce: ASCII-captcha har jag för att försvåra för enklare* trojaner att återskapa inloggningstabellen genom att sniffa trafiken/webbläsaren och på automatisk väg återskapa inloggningstabellen.
Det går ju inte på digital väg ta reda på vilken challenge som tillgör vissa teckenkombinationer, utan att man först måste programmera en trojan specifikt för min sida.
*Med enklare trojaner menar jag sådana som är gjorda att känna av ev "challenge" i ett 2-vägs inloggningssystem, oavsett sajt och spara den tillsammans med svaret för att sedan försöka återskapa inloggningen.
Men iofs går den att göra bättre. Funderar på att ersätta alla mellanrum med slumpmässigt blandande /, |, (, ), \, _, -, =, <, > och sånt fast i ljusare färger, och sedan sätta lite olika mörkare färger på dom andra....
hmm finns det någon butik i sverige som säljer rfid läsare/sändare??sebastiannielsen skrev:"turn-key"-lösning är en lösning som bara är att installera/koppla in, konfigurera och sedan är det i stort sett färdigt.
Du kan ju köpa en USB<->RS232-adapter, och en MAX232:a och koppla in RFID-läsaren på den. Den drar dock några hundra mA så du får ha väggadapter/trafo, går tyvärr inte med att driva den från USB.
eller finns det någon ibutton -> usb som säljs i sverige?
föresten kan ibutton användas till usb menar drar den tillräckligt lite ström
-
sebastiannielsen
- Inlägg: 3663
- Blev medlem: 11 september 2004, 09:30:42
- Ort: gbg
- Kontakt:
dallas säljer adaptrar för 1-wire till USB.
Den du söker heter DS9490R, så du får nog plocka fram ditt VISA-kort och beställa internationellt ändå...
http://tinyurl.com/29znza
Ibuttons, nyckelringshållare till dessa, och touch probes kan du beställa på elfa.
Men själva converten måste du beställa internationellt...
RFID-läsaren kan du beställa i en svensk butik:
http://tinyurl.com/2atfss
Där kan du också beställa RFID-brickor (tyvärr finns bara den runda varianten, om du nu föredrar den rektangulära):
http://tinyurl.com/2h2oy2
Den du söker heter DS9490R, så du får nog plocka fram ditt VISA-kort och beställa internationellt ändå...
http://tinyurl.com/29znza
Ibuttons, nyckelringshållare till dessa, och touch probes kan du beställa på elfa.
Men själva converten måste du beställa internationellt...
RFID-läsaren kan du beställa i en svensk butik:
http://tinyurl.com/2atfss
Där kan du också beställa RFID-brickor (tyvärr finns bara den runda varianten, om du nu föredrar den rektangulära):
http://tinyurl.com/2h2oy2
Senast redigerad av sebastiannielsen 16 januari 2007, 23:52:13, redigerad totalt 1 gång.
Lullen skrev:hmm finns det någon butik i sverige som säljer rfid läsare/sändare??sebastiannielsen skrev:"turn-key"-lösning är en lösning som bara är att installera/koppla in, konfigurera och sedan är det i stort sett färdigt.
Du kan ju köpa en USB<->RS232-adapter, och en MAX232:a och koppla in RFID-läsaren på den. Den drar dock några hundra mA så du får ha väggadapter/trafo, går tyvärr inte med att driva den från USB.
eller finns det någon ibutton -> usb som säljs i sverige?
föresten kan ibutton användas till usb menar drar den tillräckligt lite ström
Ibutton är nog bra till drinkblandare, när folk har provat ett tag kan det ju vara svårt med både koder och ögon...just det är ju en bra säkerhetsgrej i sig dock, över 1,5 promille så kan dom inte beställa mer!
En alkoholsensor i kombination med en fingeravtryckssensor skulle vara ballast! :)
sebastiannielsen: Man kan korta länkar utan att helt förstöra informationen om vart de går.
[url =http://para.maxim-ic.com/results.mvp?q= ... 20Adapters]iButton Readers and Adapters[/url]
Ger resultatet iButton Readers and Adapters. Om man tar bort mellanslagert efter [url . Dels säger det vad det är man länkar till. Dels så ser man länken i webläsaren om man håller markören över den. Då kan man koppiera, lägga den i adressboken eller vad man nu vill. Varför stutsa via en annan sida? Håller du markören över [URL] knappen så står det hur man ska göra.
[url =http://para.maxim-ic.com/results.mvp?q= ... 20Adapters]iButton Readers and Adapters[/url]
Ger resultatet iButton Readers and Adapters. Om man tar bort mellanslagert efter [url . Dels säger det vad det är man länkar till. Dels så ser man länken i webläsaren om man håller markören över den. Då kan man koppiera, lägga den i adressboken eller vad man nu vill. Varför stutsa via en annan sida? Håller du markören över [URL] knappen så står det hur man ska göra.
