احراز هویت – آیا باید پیام های اس ام اس حاوی کلمه عبور یک بار حذف کنم؟

طبق معمول، ابتدا با تعریف مدل تهدید شروع کنیم: شما نگران کسی هستید که گوشی خود را نگه دارید و از طریق تاریخچه اس ام اس شما نگاه کنید. اما شما در مورد SMSes که درگیر شده اند نگران نباشید. این کمی از یک مدل امنیتی عجیب و غریب است که موجب می شود SMSes ها به راحتی از بین برود و تلفن شما سرقت شود و از طریق یک رمز عبور قوی نسبتا سخت باشد. اما خوب.


بگو آیا اگر احراز هویت سایت از یک الگوریتم ناامن برای تولید رمز عبور یک بار استفاده کند. با توجه به تاریخچه کافی از گذرواژههای یکبار، کسی که قادر به بازیابی اس ام اس ذخیره شده در تلفن من است، میتواند پسورد یکبار دیگر را در دنباله ایجاد کند.

البته نمیتوانم تضمین کنم که هر سایت در اینترنت ویژگی OTP، اما این یک استاندارد بسیار دقیق تعریف شده است. دیدن ویکیپدیا / HOTP از آنجایی که این بر اساس توابع هش شبیه رمزنگاری قوی است، هیچ خطری برای مهاجم ایجاد ارزش های آینده از گذشته وجود ندارد. و یا اگر آنها می توانند، سپس تابع هش شکسته می شود و آنها را به نفع یک بهتر بازنشسته می شود.

همچنین ممکن است که یک وب سایت به درستی بخش "یک بار" یک بار اجرا نمی شود رمز عبور، اما منظورم این است، یک بخش بسیار اساسی از اجرای سیستم OTP

نرم افزارهای مخرب – (به معنای واقعی کلمه) سبک ترین راه برای اجرای یک سیستم امن دوم چیست؟

هدف من این است که دو سیستم جداگانه داشته باشیم که یکی امن باشد حتی اگر دومین بدافزار باشد. رویکرد فعلی من این است که دو لپ تاپ جداگانه داشته باشیم و تنها راهی که این دو با یکدیگر ارتباط برقرار می کنند، ارسال پیام های متنی (بدون فایل) به یکدیگر از طریق ایمیل است – این نوع حداقل ارتباطات متن مبتنی بر ضرورت است.

من خیلی سفر می کنم و فکر می کنم که چگونه می توانم بسته خود را روشن کنم.

گزینه 1: از آنجایی که SSD را در لپ تاپ قدرتمند تر آسان است، می توانم به راحتی دو درایو SSD (یکی با سیستم امن و دیگری با سیستم امن تر) حمل کند. چیزی که من فکر می کنم می دانم: این دو درایو RAM و BIOS را به اشتراک می گذارند. آنها همچنین دستگاه های ورودی، صفحه نمایش و تعدادی از دیگر ماژول های سخت افزاری را به اشتراک می گذارند اما حدس می زنم که در اینجا کمتر مورد توجه است. آیا من چیزهای زیادی را در اینجا مشاهده کردم؟

گزینه 2: همان گزینه 1 است، اما من می توانم از یک چوب USB به "سیستم عامل امن" بوت کنم، در حالی که هارد دیسک سخت تر هنوز وصل شده است. ارائه یک سطح از امنیت؟

گزینه 3: همان گزینه 1، اما من همچنین می توانم RAM را نیز تعویض کنم.

گزینه 4: اجازه دهید یک تمشک برای استفاده از صفحه نمایش و دستگاه های ورودی لپ تاپ من بدون "گرفتن در تماس "با RAM، هارد دیسک و غیره از لپ تاپ من. آیا این امکان وجود دارد؟

پرسش های من عبارتند از:

a) گزینه دیگری وجود دارد؟ کدام گزینه بهترین تعادل بین امنیت، صرفه جویی در وزن و حداقل (یک بار و در حال انجام) را فراهم می کند؟

b) برای گزینه ای که پیشنهاد می کنید: سوراخ امنیتی باقی مانده چیست؟ چگونه حمله نادرست / دشوار می شود و چگونه سطح امنیتی را با امنیت پایه موجود مقایسه می کند ("سیستم امن" آنلاین است و ایمیل های مبتنی بر متن کمتر از سیستم امن دریافت می کند – نمی توانم این را تغییر دهم)؟

آیا مشترک است که گذر کلمه عبور متن ساده و استفاده از آنها برای ورود به وب سایت های دیگر؟

می توانم بگویم که شما حق دارید که پارانوئید باشد. من می توانم تا حدودی با شما در مورد استفاده از سایت های شناخته شده کمتر همدلی داشته باشم، هرچند این نقطه من با آن مخالف نیست- آنچه که شما در مورد آن صحبت می کنید، صرفا انحصاری نیست به سایت های با کیفیت پایین، کمتر شناخته شده جهان، و کلمه عبور را نمی توان به سادگی در متن ساده ذخیره کرد تا بتواند برای مهاجم برای آینده مفید باشد.

آنچه شما به آن اشاره می کنید اساسا نقص و نشت داده اطلاعات حساس / PII، یا اطلاعات شناسایی شخصی، در اینجا بیشتر بخوانید. یکی از جدیدترین نمونه های این اتفاق در مقیاس وسیع، نقص Equifax در سال 2017 بود.

من همچنین نحوهی که Equifax به مردم اجازه می دهد تا ببینند که آیا آنها به خطر افتاده اند، بسیار وحشتناک هستند. برای این که Equifax به شما کمک کند تا تعیین کنید که آیا اطلاعات شما در واقع نشت کرده است یا خیر، به شما نشان داده شده است، آنها نیاز دارند که نام خانوادگی خود را به عنوان آخرین 6 رقمی شماره امنیت اجتماعی تان وارد کنید. من این را می خواهم.

منابع مانند آیا من پوند؟ توسط محقق امنیتی Troy Hunt که فهرست ایمیل های شناخته شده ایمیل را بررسی می کند تا شما را در تعیین اینکه آیا ایمیل شما در حین نقض نشت کرده است شناسایی کرده است.

و به آخرین نکته شما، این وب سایت های مخرب وجود دارد و کاملا رایج هستند. تعدادی از روش ها برای اینکه چگونه مهاجمان می توانند مردم را به بازدید از سایت ها و افشای اطلاعات خود متمایل کنند، وجود دارد اما طرح کلی این به عنوان فیشینگ شناخته شده است . بیشتر در مورد این موضوع می توان گفت، اما این می تواند در قالب وب سایت های doppleganger، وب سایت های جعلی خریداری شده و تبلیغات گسترده ای باشد و حتی می تواند به وب سایت های راه اندازی نشانه های رمزنگاری معروف و غیره گسترش دهد.

امیدوارم از بالا به شما کمک کند اهمیت چرخاندن کلمات عبور، استفاده مجدد از گذرواژهها، و دائما هوشیاری آنلاین!

گذرواژهها – آیا عبارتی از کلمه کلیدی صحبت می کند؟

(ما فقط باید یک دکمه برای پیوند این XKCD داشته باشیم)

من تازه شروع به تغییر گذرواژههایم کردم. حالا، من هر گونه تاس را رها نکردم تا آنها را بیاورم، که من آنتروپی را فدا می دانم؛ آنها جملات هستند آنها حداقل 25 کاراکتر طول می کشد، حداقل 5 کلمه، و من سعی می کنم یک عدد در آن وجود داشته باشد و همچنین یک کلمه "جعلی" (این می تواند یک کلمه ای است که من مرتب می کنم یا یک کلمه غیر استاندارد مانند "doggo" یا "borked").

اکنون، می دانم که من یک ساختار دارم، به این معنی که من آنتروپی بالقوه را از دست داده ام، اما پیامی که از XKCD دور کردم، این است که memorizablity منبعی است که حداکثر آنتروپی را به حداکثر می رساند. من قدردانی می کنم که می توانم به این همسایه ها این رمز ها را بدون نیاز به هرگز آنها بنویسند (یا، الزام الهی، متن / ایمیل آنها را). من امیدوارم هرگز یک رمز عبور فعال را مشاهده نکنم.

سوال من بعد این است که برای اضافه کردن یک عنصر "Tr0ub4dor" به عبارت عبور من اضافه شود؟

شما می توانید فرض کنید هر تغییری به راحتی حفظ می شود من اغلب کنجکاو هستم اگر یک عبارت عبور به اندازه کافی آنتروپی را به خود اختصاص دهد که راهکارهای سنتی برای آنتروپی دیگر مرتبط نیستند. به عنوان مثال، آیا رمز دوم دوم در اینجا عملی است یا بهتر از اول؟

mydoggoShrekate7bonesyesterday
myd0ggoShr3k4te7bon3 $ yesterd @ y

(همچنین لطفا فقط پیشنهاد مدیر رمز عبور. دلایل من برای تمایل به اجتناب از یکی.)