КЛУБ СТОКОВЫХ ФОТОГРАФОВ, ИЛЛЮСТРАТОРОВ, ВИДЕОГРАФОВ и ИИ-ШНИКОВ

Биометрические системы тоже взламываются. Это не панацея.

Японский специалист по безопасности Цутоми Мацумото на практике показал, как просто обмануть биометрические сканеры отпечатков пальцев с помощью подручных материалов. Он использовал желатин и пластиковый шаблон, чтобы создать поддельный палец, который успешно "проходил" через сканер в четырех случаях из пяти. Более того, полученный нечеткий отпечаток можно перенести на стекло и улучшить с помощью вязкого цианокобаламина (витамин B12) в сочетании с тонким слоем любого суперклея и цифровой камеры. В пакете PhotoShop можно улучшить контрастность изображения, а затем перенести полученный результат на пленку. Цутоми Мацумото проверил 12 разных коммерческих моделей сканеров отпечатков пальцев, получив на всех вероятность взлома 80%. Поэтому не стоит безраздельно доверять 100-долларовым сканерам отпечатков, встроенным в мыши и клавиатуры, - пароль входа в систему следует все-таки установить.

http://www.bytemag.ru/articles/detail.php?ID=6675

Статья старая, но ситуация сильно не изменилась...

... насчет паролей...
Все наши взаимоотношения со стоками так или иначе завязаны не некие финансовые операции. (о суммах не говорим, говорим о принципе). А посему обеспечение финансовой безопасности есть задача первостепенная. Со стороны стока она обеспечивается силами системных администраторов (это тот комплекс мер в котором мы, как пользователи, участия не принимаем)... их задача не допустить утечки информации. Отсюда и защищенные каналы и всякого рода фойерволы и сложные схемы авторизации и смена схем авторизации и т.д. и т.п. Но все-равно информация о логине и пароле где-то в ихней базе лежит в файле паролей. Примерно так реализовано технически. И лежит он в определенном месте (для каждой ОС). Просто так этот файлец с серверной оси не получить даже если и подломить чей-нить аккаунт т.к. прав никаких нету у него кроме как юзерских. Поэтому задача взломщика - сначала получить права рута (для юникс-систем), потом взять файл паролей, потом его декодировать т.к. он там в шифрованном виде (объем работы представляете?)..... дальше нужно говорить о времени, но:

...... тут вставлю немного размышлений... опять же относительно юникс систем... я как взломщик сначала должен определить какая ОС установлена чтоб применить тот или иной алгоритм взлома, а как сисадмин просто обязан этого самого взломщика обмануть... Есть определенная последовательность процедур для получения информации о версии ОС. Эта информация прописана в одном из файлов ОС и не скрывается Я как админ всегда редактирую этот файлец и моя ОС всегда на подобные вопросы абсолютно честно врет (например установлена Solaris, а представляется как BSD )... мой расчет прост - невозможно открыть дверь, которой не существует.
..... Как админ рамышляю дальше... предположим таки эту мою уловку раскрыли (всяко бывает)... взломщик получил рутовые права, но файл паролей не нашел т.к. нету его там где должен он быть по умолчанию.. админ грамотный оказался и перепрятал его... опять время на поиски... В общем на стороне сервера можно и нужно много чего наворотить, чтоб ничего не украли за просто так. Например скрипт поставить на определение ситуации когда пароль подбирается методом перебора и блокировать на попытке №xx. И тем не менее взламывают ведь не смотря на объемы работы и декодируют нужное в читабельный вид. Ну скажем так что объемом никого не испугаешь.. былоб за чо бороться)))... Но если учесть что за подобные действия можно очень надолго сесть в тюрьму - то и охотников ломать подобные финансовые и т.д. сервера очень не много найдется...

На перебор пароля тоже нужно время и чем он длиннее и замысловатее - тем труднее (дольше) подбирать (а там еще и сторож на перебор стоит ). Т.е. нужно время и оно может исчисляться неделями а то и месяцами при соответствующей организации безопасности... Пройдет незаметно сия операция? - врядли

Дополнительной защитой ко всему прочему может быть ещё и регулярная смена пароля самим пользователем. Утрировано можно рассуждать так: если на подбор пароля нужно время N-дней, то сменить его нужно через N-1 день.

... И в моих рассуждениях наверняка есть дыры, но 100% безопасности ведь не существует.

Нифига не понятно зачем кто-то месяцами будет "ломать" аккаунт конкретного чела?
Ну, сломали, гипотетически. Я позвонил в техподдержку и мне выставили новый пароль.
Деньги (максимум за месяц) отозвали обратно.
В чем цимус взломщика?
Типа похвастаться - А я Аркуса взломал! - так ведь закрыться можно реально
за такие шалости.

правильно рассуждаете.. никто конкретного чела месяцами ломать не будет.. в этом нет ни смысла ни денег... попробовал пару минут - не получилось - фиг с ним... попробованные пароли записал))).. потом опять... просто ради интереса... и если пароль не менять, то он рано или поздно таки подойдет...
.. в общем менять нужно хотяб изредка... виндовые вирусы отправляющие пароли куда нужно тож никто не отменял))

.. ну а наказание за такие шалости можно огрести по полной - это точно)

Меняю примерно раз в год или по требованию ресурса - МБ иногда менять заставляет - см. систему выше.
ЗЫ Видовые вирусы из под хорошего файрвола ничего отправить не могут.

ЗЫ 2 Что-то никто не обмолвился про официальную W7 со вчерашнего дня

1. Пароли не храняться в файле - это 99.999%. Они храняться в базе данных.
2. Пароли не хранятся в открытом виде, они захэшированы - это 99.99999%
3. Расшифровать бвстро пароль реально только если такой пароль есть в словаре подбора. Т.е. если вы ввели, положим, русское слово английскими буквами, или в середине слова добавили какие-нибудь цифры или специально слово с опечаткой, разный ресгитр букв - то расшифровать такой пароль с помощью словаря невозможно. Расшифровать же пароль методом подбора букв одна за другой практически неосуществимо. Даже при современных мощностях для расшифровки методом подбора одного пароля может уйти не один десяток лет.

Гораздо проще пароль утащить с компьютера пользователя. Например программой, которая сканирует набор клавишей.

Все не так, ребята...
Пароли, конечно, же нигде не хранятся (если, конечно сам пользователь их где-то не сохранил сам) и не шифруются...

На основе пароля, который вы вводите, вычисляется специальная функция (хэш-функция). Значение этой функции хранится в б/д Манибукерса.

Когда вы вводите пароль при логине, вычисляется хэш, который и сравнивается с хэшем, хранящемся на сервере букерса.

Ребята, что-то вы запутали себя, а заодно и всех остальных.
Всё проще, даже для параноиков:
- все пароли должны быть из случайного набора символов длиной от 10 штук. Для каждого аккаунта свой пароль.
(помнить нужно 2 пароля, остальные записывать - см ниже.)
- применять симбиоз защиты "административная+программная", иначе пшик
*административная: компьтер только для "денежных" делов - никаких игрушек; никаких левых ручек; никаких глазёнок, кроме ваших; никакого ненужного для "денег" ПО; и т.п..
*программное: пароль на вход в комп.; пароль на базу паролей; надёжный антивирус; запретить всё в инете; кроме рабочих (предполагаемо надёжных) сайтов; ну ещё по мелочи для особых параноиков.
Всё остальное - лишнее для среднестатического владельца "денежных" аккаунтов.

Как сказано кем-то выше, любую защиту можно взломать, вопрос только количества денег. Если стоимость вашего аккаунта менее нескольких сотен тыс.уе, то никто специально взламывать его не будет и указанных выше правил более чем достаточно. А если уж всё-таки взломали, то виноваты сами, ибо нарушили одно из 2-х основных правил (см.выше) и тем самым резко уменьшили стоимость взлома (на порядки).

Ломать аккаунт конкретного чела и тем более ломать его в "онлайне" никто не будет.

Пример возможной атаки: ломается сервер букерса, тырится инфа с логинами и хэшами. Затем запускается программулина, которая оффлайново разными методами подбирает пароли так, чтобы они совпали с хэшем.

Первыми падут те, кто выбрал в качестве пароля неслучайные комбинации символов, а например слова, даты рождения и т.п.
Вторыми те, у кого пароль достаточно короткий.
Ну и наконец те, у которых пароли и длинные и к тому же периодически меняются, имеют наименьшие шансы пасть жертвами...

И ещё...
Есть три основных варианта, как могут увести пароль:
- у Вас
- у Сайта
- между сайтом и Вами
У Вас: начиная с банальных троянов и заканчивая спец.оборудованием для удалённого чтения электромагнитных импульсов с вашей клавиатуры. Левая часть цепочки причин решается легко (см. 2 правила), правая часть сложно и очень дорого.
У Сайта: получив доступ к БД (в основном дыры в ПО) + спец.оборудование. Всё решаемо - вопрос профессионализма спецов и жадности владельцев.
Посерёдке: перехват инфы от Вас к Сайту. Если простое соединение, то инфа передаётся в открытом виде, в т.ч. логин и пароль. Как правило солидные сайты для входа используют шифрованный канал - в этом случае дешифрация хакеру поможет, но опять упрётся в цену.
Самый дешёвый вариант, это трояны, вирусы и подглядывание. Это Вы решить сможете/должны сами. Всё остальное очень дорого и лично Вам оно не грозит
п.с. Тусующимся здесь баксовым мультимиллионерам нужно ещё немного усилий для спокойного сна.

И ещё по поводу периодической смены пароля...
Никакого практического смысла в этом нет (при следовании простейшим правилам безопасности) для среднестатического владельца аккаунта. Есть только психологический смысл, коим некоторые сайты и пользуются.

Если бы я был юный хакер, то про такой метод даже и не вспомнил бы - слишком долго, слишком сложно, слишком ненадёжно и очень дорого.

так долго рассуждаешь... когда уже будет инструкция как пароли ломать и бабло выводить .. ???????

А делать ничего не хочется, вот и треплюсь.


Первое не ко мне, ибо я с другой стороны барикад; второе - читаем инструкции на тех сайтах, как правило там всё подробно расписано.

а то что FTP передаёт пароли незашифрованными все в курсе?
Кстати, посоветуйте freeware SFTP клиент