کلیک کنید: خرید VPN خرید وی پی ان خرید فیلتر شکن خرید فیلترشکن
خرید کریو خرید وی پی ان خرید VPN خرید فیلترشکن
اکثر بانک ها از OTP (رمز عبور یک بار) برای غنی سازی احراز هویت از طریق عامل دوگانه استفاده می کنند.
اما من مشاهده کردم که بانک ها OTP را به موبایل و همچنین ایمیل ارسال می کنند.
امن نیست و کارشناس توصیه های امنیتی توصیه نمی شود.
زیر ایمیل نمونه ای است که با OTP به موبایل دریافت می کنم:
آیا OTP من نیست امن با توجه به عملکرد بانک؟ یا من چیزی از دست رفته در اینجا؟
من اخیرا یک نوت بوک جدید با یک درایو SSD خریداری کرده ام. من ویندوز 10 را نصب و پیکربندی کردم (هیچ اطلاعات شخصی تا کنون درگیر نیست)، و سپس VC 1.22 نصب کرده ام و درایو سیستم را رمزگذاری کرده ام (که یک SSD است، همانطور که در بالا گفته شد).
سپس من شروع به فکر کردن درباره آنچه اتفاق افتاده است:
همانطور که همه ما می دانیم، هنگام نوشتن یک فایل به یک هارد دیسک، و سپس تغییر محتویات فایل، لزوما به این معنی نیست که مکان های فیزیکی همان جایی که فایل در اصل در آن قرار داشت، رونویسی می شود. این همیشه در مورد هارد دیسک های معمولی و همچنین SSD ها است، زیرا رفتار معمولی سیستم فایل است.
اکنون چیز جدیدی با SSD ها این است که سخت افزار SSD در هر زمان ممکن است تصمیم بگیرد که مکان فیزیکی را "دوباره" جایی که فایل در ابتدا ساکن بود، در نتیجه جلوگیری از دسترسی O / S به آن منطقه در آینده . این بدان معنی است که اگر شما یک فایل را روی یک SSD بدون رمزگذاری ایجاد کرده و سپس آن فایل یا آن SSD را رمزگذاری کنید، SSD ممکن است نسخه اصلی (بدون رمزنگاری) را در همان حال به یک مکان فیزیکی کپی کند که هرگز به هیچ وجه به آن دسترسی نخواهید یافت حتی این درست پس از درخواست نوشتن O / S اتفاق می افتد.
نکته بد این است که یک دشمن با دانش و ابزار مناسب قادر به خواندن آن فایل ها / زمینه های رمزگذاری نشده است، هر چند که توسط O / S قابل دسترس نیستند.
این دقیقا همان چیزی است که برای من (و احتمالا بسیاری دیگر) اتفاق افتاده است هنگام نصب VC و رمزگذاری درایو. من به VC گفته ام که فایل دیسک نجات را تأیید نکنم، که VC در واقع آن را انجام نداد، اما فایل دیسک نجات را ایجاد کرد و آن را به برخی از دایرکتوری در SSD (هنوز رمزگذاری نشده) .
بنابراین، احتمال دارد که این فایل دیسک نجات ممکن است به صورت صریح (توسط سخت افزار / سیستم عامل نرمافزاری SSD) به یک منطقه فیزیکی کپی شود که بعدا O / S قبل از فرایند رمزگذاری یا در طی آن دسترسی به آن ندارد در حال حاضر فکر می کنم: این اصل فایل نجات دیسک اجازه می دهد هر کسی که آن را داشته باشد رمزگشایی SSD، بدون در نظر گرفتن که اغلب رمز عبور رمزگذاری شده پس از آن تغییر کرده است و با توجه به رفتار استاندارد VC (ایجاد فایل دیسک نجات و قرار دادن آن در (در عین حال رمزگذاری نشده) درایو که برای رمزگذاری)، احتمال وجود دارد که این فایل دیسک نجات در فرم رمزنگاری به مناطق فیزیکی است که من هیچ دسترسی به هر گونه بیشتر، اما یک دشمن احتمالا دارد. [19659002] من به شدت امیدوارم که اشتباه کنم اگر نه، این کاملا دقیقا همان چیزی است که هر نرم افزار رمزنگاری باید در هر شرایطی اجتناب کند و وضعیت یک شکست فاجعه آمیز است که باید بلافاصله اصلاح شود. راه حل آسان خواهد بود:
VC نباید فایل دیسک نجات را هر گونه شرایطی ایجاد کند تا زمانیکه دیسک سیستم به طور کامل رمزگذاری نشود (دقیق تر: تا زمانی که VC کنترل کامل نداشته باشد همه درخواست ها را می نویسند، اطمینان حاصل کنید که هیچ اطلاعات رمزگذاری نشده تحت هر شرایطی نوشته شود).
حتی اگر بتوانید فایل دیسک نجات را به یک درایو دیگر ذخیره کنید (متاسفانه، نمی توانم به یاد داشته باشید که این امکان پذیر بود) احتمالا کافی نخواهد بود، حداقل تا زمانی که VC به نحوی نوشته شود که هرگز از فایلهای موقت استفاده نکند
من به شدت در مورد دوم شک دارم: با توجه به اینکه فایل دیسک نجات در فرمت ZIP است، به احتمال زیاد محتویات آن برای اولین بار به فایل های موقت منتقل می شود، احتمالا در دایرکتوری موقت O / S، که به نوبه خود روی فایل زیپ شده و در نهایت به مقصد انتخاب شده توسط کاربر نوشته می شود. این بدان معنی است که فایل دیسک نجات احتمالا در قالب خام در پارتیشن سیستم (با این حال رمزگذاری نشده) ذخیره می شود، قبل از اینکه فرم آخر آن (ZIP) در جاهای دیگر نوشته شود.
من نمی توانم وضعیت دیگری را که در آن امیدوار بودم به یاد بیاورم من یک خیمه کامل هستم بنابراین، هر کس، لطفا به من ثابت کنید که (لزوما با استفاده از همان اصطلاح)!
توجه داشته باشید 1
گرچه صحبت در مورد SSD ها در اینجا، من آگاه است که همین مشکل با HDD های معمول وجود دارد. اما احتمال این که چیزی بد با SSD اتفاق بیافتد با توجه به میزان سفارش (در مقایسه با هارد دیسک های معمولی) به علت بارگذاری لباس و بیش از حد مقرر بالاتر است.
Note 2
در انجمن وراکریپت اما هیچ کس حتی پس از 3 روز واکنش نشان نداده است، بنابراین سوال من اینقدر احمقانه است که حتی لازم نیست پاسخ داده شود یا امنیت بیشتر نباشد. با این حال، احساس من این است که این یک مسئله فوری است، بنابراین من به شدت قوانینی را که من معمولا دنبال می کنم برمیدارم و از بین رفته اند.
پیام ها فقط در دستگاه محلی من ذخیره می شوند. پس از دریافت آنها، اطمینان دارم که تمامی نسخه ها از سرور حذف می شوند.
اگر GPG / PGP یا SSL / TLS بین سرورهای ایمیل استفاده نشود. به عنوان مثال. یک ایمیل از Outlook به Gmail ارسال می شود. سپس این یک نقطه عطف بزرگ است. با این حال، بدون E2EE (رمزنگاری پایان دادن به پایان) سرور A و سرور B هنوز می توانند ایمیل ها را بخوانند، زیرا SSL / TLS تنها امنیت پایایی را بین دو سرور فراهم می کند و نه در حالت استراحت.
سیستم ایمیل من استفاده می شود رمزگذاری شده و "امن"
این درست است، به جز اصطلاح "شرکت". بنابراین نمیتوانم ببینم چگونه E2EE در حال پردازش است، بنابراین من نمیتوانم به سیمکارتان اعتماد کنم. این مسئله یکی دیگر از مشکلات است، آیا ایمیل شرکت (سرور A) ایمیل را رمزگذاری می کند، بنابراین فقط شما می توانید به ایمیل دسترسی داشته باشید؟ این به این معنی است که یک بار ایمیل رمزگذاری شده است، سرور A و سرور B (که در آن ایمیل از سرور A دریافت می شود) نمی تواند محتوای ایمیل متن ساده را بخواند. تنها کسی که قادر به رمزگشایی متن رمز شده است شما و نه هر سرور.
این می تواند پیاده سازی PGP باشد.
برای دسترسی به کلمات عبور، هکر باید دسترسی به دستگاه من که باید کمتر احتمال دارد به عنوان آن در یک شبکه شرکت باشد.
با توجه به هیچ متن ساده و یا نسخه های رمزگشایی (در یک زمان معقول منطقی) در هر سرور نگهداری می شود، این به نظر خوب است. با این حال، اکنون باید اطمینان حاصل کنید که ایمیل هایی که به صورت محلی ذخیره می شوند تنها می توانند توسط شما قابل دسترسی باشند و اگر دستگاه شما به خطر بیافتد، چگونه تداخل را بازی می کنید؟ رمزگذاری محتویات ایمیل محلی شما می تواند یک گزینه قابل قبول در اینجا باشد. موزیلا تاندربرد ارائه می دهد 'رمزگذاری مشخصات'. با این حال، این تنها اجازه می دهد که سیستم پرونده رمزگذاری (EFS)، که تنها محدودیت آن را فراهم می کند. EFS باید انتخاب شما باشد. شخصا، من یک ماشین مجازی رمزگذاری شده (رمزگذاری کامل دیسک) یا یکی دیگر از کاربرانی که در آن من رمزعبور خانه کاربر را رمزگذاری می کنم انتخاب می کنم.
من می توانم یک مشکل دیگر را پیش بینی کنم هرچند که Thunderbird نمی داند بدن پیام حاوی یک رمز عبور حساس است، ممکن است محتویات داخل حافظه ذخیره شود، حافظه مبادله یا فایل های موقت ذخیره شده در حافظه ثانویه (مانند HDD) conjecture و باید برای تمام برنامه ها اذعان شود.
اگر یک هکر به دسترسی دست پیدا کند، به احتمال زیاد فکر نمی کند که در ایمیل های آرشیوی ذخیره شده در دستگاه محلی نگاه کند
ممکن است بر خلاف آن، من نمی خواهم امنیت خود را بر امید، به ویژه ایده "من امیدوارم که آنها نه فکر می کنم از این."
آیا هیچ راهی برای اندازه گیری این خطر وجود دارد؟
من می توانم این را به چندین نقطه دیگر شکستن:
اینها تنها چند نکته هستند، بیشتر میتوانند اضافه شوند، اما اینها میتوانند در نظر گرفته شوند. اگر شما یک جایگزین را در نظر بگیرید، اما میخواهید یک راه حل منبع باز باشد، KeePassX را در نظر بگیرید. اگر به درستی استفاده شود، می توان آن را به عنوان یک مدیر رمز عبور مبتنی بر ابر نیز مورد استفاده قرار داد.
برای خواندن بیشتر، آیا رمز عبور ایمیل ایمن برای کاربر ارسال می شود؟
یک سرویس به نام https://www.typingdna.com/ وجود دارد که کاربر را براساس عادت های تایپ کردن آن تأیید می کند و به خوبی کار می کند اما هنوز هم نیاز به یک رمز عبور دارد.
برای تلاش و جایگزینی رمز عبور، آیا امکان اجرای یک پنجره مانند اندازه مدال مانند چیزی است که Google Recaptcha که کاربر می خواهد از موش یا انگشت خود برای رسم دادن به منظور تایید هویت استفاده کند، هر کاربر باید به شیوه ای متفاوت از آن استفاده کند؟ بنابراین ایده بر مبنای هر کدام از شخصیت های منحصر به فرد خود است که یک بازی را برای تأیید صحت یک جلسه جدید در وب سایت ایجاد می کند.
آیا این ایده امکان پذیر است؟ اگر این بود، فضای "رمز عبور" بزرگ خواهد بود، درست است؟
شما می توانید این کار را با یک ماسک جداگانه برای هر طول انجام دهید، با استفاده از یک مجموعه کاراکتر سفارشی:
-1 btp1367 xxx 1 1 1 1 1 1 1 1 1 1 1 1 1 1
-1 btp1367 xxx؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1
-1 btp1367 xxx؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1
-1 btp1367 xxx؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1
-1 btp1367 xxx؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1
… جایی که xxx هر کدام از سه کاراکتر استاتیک است.
همچنین توجه داشته باشید که میتوانید این را در یک فایل ماسک قرار دهید:
btp1367، xxx 1؟ 1؟ 1؟ 1؟ 1 ؟ 1؟ 1؟ 1؟ 1؟ 1
btp1367، xxx؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1
btp1367، xxx؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1
btp1367، xxx 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1
btp1367، xxx؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1؟ 1
… و آنها را با یک فراخوانی هشاک تنها اجرا می کنند، فایل نام فایل maskfile را در خط فرمان عرضه می کند.
