12:16
31/12/2018

“Rozpoznawanie układu żył jest dobre bo ich układu nie widzisz w świetle widzialnym”. Niestety ten pogląd trzeba będzie zrewidować po tym, jak niemiecki badacz odblokował czytniki modelem dłoni. 

Oczywiście to znów CCC

Kto mógłby wpaść na pomysł, żeby oszukiwać skaner żył ręką z wosku? Oczywiście Jan Krissler kojarzony z grupą Chaos Computer Club (CCC). Wcześniej interesował się on oszukiwaniem czytników linii papilarnych oraz odtwarzaniem odcisków palców na podstawie fotografii. Krissler twierdził m.in., że odtworzył odcisk palca niemieckiej minister obrony Ursuli von der Leyen na podstawie zdjęcia reporterskiego. O grupie CCC było też głośno gdy złamała ona zabezpieczenia biometryczne Samsunga Galaxy S8.

Czytniki żył są uważane za korzystną odmianę zabezpieczeń biometrycznych bo układ naczyń krwionośnych nie zmienia się w ciągu życia tak bardzo jak geometria dłoni. W przypadku każdego człowieka jest to układ unikalny i nawet dwie ręce jednej osoby różnią się pod tym względem. Układ żył można ujrzeć dopiero w świetle zbliżonym do podczerwieni, które jest absorbowane przez hemoglobinę w krwi nienatlenionej. Dzięki temu na fotografii żyły widać na czarno. Na utrwalonym w ten sposób obrazie żył określa się położenie odpowiednich punktów referencyjnych, a następnie zapisuje się te informacje w formie kodu.

Jan Krissler (obecnie pracujący dla Uniwersytetu Technologicznego w Berlinie) wraz z kolegą Julianem Albrechtem postanowili oszukać ten rodzaj biometrii. Musieli rozwiązać dwa problemy. Jak wydobyć od kogoś układ żył i co przyłożyć do czytnika zamiast ręki?

Zdjęcie z suszarki do rąk?

Pierwszy problem rozwiązano zwykłym aparatem cyfrowym z usuniętym filtrem podczerwieni i odpowiednio mocną lampą błyskową. Na YouTube bez problemu znajdziecie filmy o dokonywaniu takiej modyfikacji. Są też ludzie wykonujący odpłatnie usługę usuwania filtra. Po co? Bo fotografowie z artystycznymi ambicjami chcą robić ciekawe pejzaże albo mroczne portrety, na których modele wyglądają jak zombie.

Badacze postanowili wykorzystać takie fotki właśnie w celu “wykradania” obrazów żył.

Taką fotkę może Ci strzelić każdy (teoretycznie)

W wypowiedzi cytowanej przez Motherboard Krissler stwierdził, że do ataku wystarcza zdjęcie zrobione z odległości 5 metrów. Odpowiednie do ataku zdjęcie da się zrobić teoretycznie na konferencji prasowej chociaż – musimy to dodać –  Krissler i Albrecht wykonali ok. 2,5 tys. zdjęć w ciągu 30 dni w celu wypracowania obrazów nadających się do ataku. Dodatkowym problemem widocznym na slajdzie powyżej jest to, że naczynia krwionośne w palcach są osadzone głębiej i dobrze jest je fotografować z podświetlaniem z tyłu.

Oczywiście zdjęć nie trzeba robić z dystansu. Krissler dostrzega możliwość pozyskiwania obrazów żył poprzez instalowanie odpowiednich urządzeń w suszarkach w toaletach. Cóż. Teraz macie jeszcze jeden powód, aby stronić od tych urządzeń :).

Wydruk i wosk

Kiedy już udało się zrobić dobre zdjęcia, badacze wykonali woskowe modele ręki. Większość mediów prezentuję poniższą fotografię autorstwa Krisslera i Albrechta, choć nie wszyscy tłumaczą co dokładnie na niej widać.

fot. Krissler, Albrecht

Model jest dwuwymiarowy. Na żółtym wosku, który znalazł się pod spodem, umieszczono nadruk ze wzorem żył. Następnie przykryto ten nadruk czerwonym woskiem imitującym skórę. Wydruk musi być zrobiony na takiej drukarce, która nanosi cząstki tonera odpowiednio absorbujące światło (czytaj: nie uda się z każdym modelem). Mimo wszystko Krissler przyznał, że był mocno zaskoczony łatwością z jaką udało się oszukać czytnik.

Fujitsu uważa atak za niemożliwy

Efekty eksperymentu zostały przekazane firmom Fujitsu i Hitachi, które są producentami czytników żył. O reakcji tych firm pisze niemiecki Spiegel.

Firma Hitachi jest otwarta na współpracę z badaczem, natomiast Fujitsu nie uważa ataku za wykonalny w praktyce. Firma twierdzi, że badacz musiał użyć urządzenia, w którym skonfigurowano niską rozdzielczość obrazu. Poza tym czytniki Fujitsu mają być wyposażone w metodę wykrywania fałszywych obiektów, której firma dokładniej nie opisała, nie mówiąc już o wyjaśnieniu dlaczego ta metoda nie zadziałała w czasie testów badaczy.

Krissler twierdzi, że w ogóle nie zmieniał konfiguracji badanych urządzeń.

Materiał do przemyśleń

Badacze przyznają, że czytniki biometryczne mogą wykrywać przepływ krwi w naczyniach krwionośnych i takich urządzeń woskowa ręka by nie oszukała. Być może dałoby się zrobić rękę drukowaną w 3D, która mogłaby udawać żywy organ, ale wówczas koszt ataku nieporównywalnie rośnie. Przede wszystkim jednak to co pokazali badacze powinno uświadamiać nam jedno. Układ naszych żył nie jest tak bardzo ukryty jak sądzimy.

Dla Spiegela wypowiadała się także niemiecka Federalna Służba Wywiadowcza (BND), która korzysta z czytników żył w swoich obiektach. Agencja nie chciała dyskutować o swoich zabezpieczeniach, co jest zrozumiałe. Zapewniła tylko, że korzysta z różnych dodatkowych zabezpieczeń.

Samo omijanie zabezpieczeń biometrycznych atrapami części ciała nie jest niczym nowym. W roku 2016 pisaliśmy, jak to policja odblokowała telefon zmarłego wydrukowaną kopią odcisku palca

Szczegóły?

Ustalenia  Krisslera i Albrechta zostały zaprezentowane na Chaos Communication Congress (35c3). Prezentację badaczy możecie obejrzeć m.in. na YouTube.

Przeczytaj także:

32 komentarzy

Dodaj komentarz
  1. Odcisk palca, obraz tęczówki, układ żył, twarz itd. to tylko login, a nie hasło.
    Można powtarzać to jak mantrę, a producenci swoje. :|

    Skopiowali odcisk palca? Pozostało 9. Skopiowali rękę? Szybko można zmienić na drugą. Potem stopę lewą, prawą, lewy półdupek… I co dalej? Części ciała zabraknie.

    A hasło mamy w głowie. :)

    • Właśnie, nie ma jeszcze tak mocnych lamp, żeby prześwietliły pamięć, ale są… alkohol i kobiety.
      “Jak się nie zaloguję po 8 piwach?! Potrzymaj mi kufel!” (tłumaczenie z wybełkotanego na polski ;) )
      “No jak to nie podasz mi hasła do poczty? Coś ukrywasz” :/

  2. Już o tym pisałem kiedyś i napiszę jeszcze raz. Wszelka biometria ma jedną podstawową zasadę. Jest nią aktywnie funkcjonujący, normalnie żyjący człowiek. Wszędzie zostawiamy swoje DNA, odciski, twarz itd. Bardzo łatwo jest zdobyć nasz profil do skanerów. Skanery oka też można oszukać, o czym niebezpiecznik pisał. Teraz układ żył też udało się zrobić w konia. Niestety, pogódźmy się z tym. Dożyliśmy czasów w których nie ma już zabezpieczeń nie do złamania. Twarz – maska, skaner linii papilarnych z sensorem tętna i ciepła – sztuczny podgrzewany palec z odpowiednim wydrukiem. Skanery dłoni – sztuczna dłoń. Skanery tęczówki/siatkówki – sztuczne oczy z odpowiednim wydrukiem. Skanery DNA nie powstaną bo DNA zostawiamy wszędzie. Oczywiście możemy dyskutować czy to sensory są niedoskonałe czy może my jesteśmy zawodni. Ale to już jest bardzo akademicka polemika. Do momentu kiedy nie wynajdziemy skutecznej metody mapowania neuronów aby odczytać naszą pamięć – stare dobre mocne hasła są jeszcze sensowne.

    • Wszystko to prawda i dlatego biometrii należy po prostu przestać używać. Zarówno w roli “nazwy użytkownika” jak i w roli “hasła” ona po prostu nie działa i ma efekt uboczny w postaci masowej inwigilacji!

      Lenistwo użytkowników w zapamiętywaniu haseł nie może być pretekstem do biometrycznej wszechinwigilacji: zbieranie odcisków palców czy wizerunków twarzy w rządowych czy firmowych bazach danych to już wprost Orwell – bo odciski palców zostawiamy wszędzie (bardzo łatwo sprawdzić, kto dotykał czego) i śledzić wszystkich po twarzach gdy poruszają się w okamerowanym mieście.

      Należy zaprzestać zbierania danych biometrycznych do chipów w paszportach, dowodach osobistych i innych dokumentach.

    • Dlatego też człowiek i dane biometryczne mogą być co najwyżej “identyfikatorem”, a nie “hasłem”. Aczkolwiek i to nie jest najlepszy pomysł wszędzie tam, gdzie nie chcemy być widziani z imienia i nazwiska…

    • Ale to chyba nie zmienia faktu, że próg dla zwykłych pospolitych cyberoszustów jest za wysoki, a tajne służby tak czy siak sobie poradzą.

    • Jeżeli wynajdzie się skuteczną metodę odczytywania pamięci, to wtedy nie jest bezpieczne już nic. Z resztą pełna zgoda. Hasło wymiata, zwłaszcza że po nabraniu wprawy wystarczy pamięć mięśni, by wprowadzić te bardziej skomplikowane.

    • A przeczytałeś ten artykuł chociaż? Mówimy o bardzo kosztownym łamaniu zabezpieczeń w warunkach laboratoryjnych, a więc wciąż dalekim do codziennego praktycznego zastosowania nawet przez służby specjalne. To że da się coś złamać to jedno, ale do codziennego zastosowania, które jest wciąż w fazie eksperymentalnej, daleka droga.

      Biometria wciąż gwarantuje (oczywiście nie każda) na tyle wysoki poziom bezpieczeństwa, że nie ma co siać paniki.

    • @Kamień
      Biometria to żadne zabezpieczenia, a tylko wygoda (jak klamka).
      Odcisk palca – odetną palca, skaner siatkówki – już w filmie z lat 90 wydłubywali oko i nadziewali na ołówek, DNA zostawiasz wszędzie, żyły – utną rękę.

    • > Dlatego też człowiek i dane biometryczne mogą być co najwyżej
      > “identyfikatorem”, a nie “hasłem”.

      Nieprawda. Nie nadają się ani na hasło, ani na identyfikator.

      Po pierwsze, Twoje dane biometryczne bardzo łatwo pobrać bez Twojej wiedzy: odciski palców zostawiasz wszędzie, DNA zostawiasz wszędzie, Twoją twarz można fotografować wszędzie. A jak pokazuje powyższy artykuł, do wykradzenia wzoru żył w dłoni wystaczy kamerka, może być nawet ukryta np. w suszarce do rąk.

      Po drugie, bazy danych biometrycznych to straszliwe narzędzie do permamentego śledzenia tych, których dane są w tej bazie.

      > Mówimy o bardzo kosztownym łamaniu zabezpieczeń w warunkach laboratoryjnych

      Głupoty piszesz. Badacze wyraźnie mówią o taniej kamerce na Raspberry Pi i o tym, że po opracowaniu przez nich tej technologii stworzenie modelu dłoni to kilkanaście minut:
      https://www.heise.de/newsticker/meldung/35C3-Mit-Venenbild-auf-Handattrappe-Geld-abheben-oder-beim-BND-einbrechen-4259637.html

      > tajne służby tak czy siak sobie poradzą

      Niech sobie radzą, ale bez traktowania nas jak świnie w chlewie. Niech inwigilują tylko za uprzednią zgodą sądu i niech w końcu przestaną zbierać dane biometryczne niewinnych ludzi.

    • Bzdury wypisywane przez neofitów. Każde zabezpieczenie można złamać biometrię również. Pytanie – czy zabezpieczenie jest właściwe do celu gdzie się je stosuje. Poza tym nie rozumiecie tego, że złamanie zabezpieczenia w laboratorium to co innego niż zastosowanie tej metody w praktyce. Analogicznie każdy mechaniczny zamek czy kłódkę można otworzyć wytrychami w dosłownie kilka minut i co w związku z tym trzeba przestać montować zamki mechaniczne w drzwiach bo są do niczego? “Specjaliści” z Was co będą “uczyć wszystkich”… raczej banda paranoików.

    • Problem nie tkwi w biometrii, tylko w śmieciowych technikach jej rozpoznawania. Przykład: dzisiaj można wraz z obrazem tęczówki zmierzyć także mikroruchy gałki ocznej (sakkady) i na ich podstawie ocenić, czy właściciel jest żywy, czy jest zdenerwowany, a może w stanie upojenia… Tymczasem, głównie ze względów oszczędnościowych (technika i patenty) stosuje się czytniki, które można oszukać przysłowiowym okiem na ołówku.

      Nowoczesne czytniki układu naczyń krwionośnych są zdolne stwierdzić nie tylko układ, ale też ruch krwi w naczyniach i różnicę ciepłoty krwi oraz otoczenia. Niektóre mierzą też tonus mięśniowy.

      Postępowanie ludzi decydujących o zakupie zabezpieczeń jest spowodowane powszechnie obowiązującą zasadą minimaksu. Problem w tym, że przypomina to zabezpieczanie skarbca zamkiem do toalety i liczenie na głupotę przestępcy.

  3. CCC są już znani duuuuużo dłużej niż złamanie Galaxy S8 :)

  4. Uniwersalny odcisk palca:

    https://img.joemonster.org/i/2018/12/09-20181230182929.jpg

    Ne wiem, czy to prawda.
    Jeśli tak, to kolejny przykład, by sobie tego typu fanaberie odpuścić.

    Odcisk to tylko login, nie hasło.

  5. “Dla Spiegela”… Spiegla? W różnych stronach Polski odmienia się w różny sposób? Podobnie, swego czasu, uderzały mnie oboczności w odmianie nazwiska popularnego kiedyś polityka, o imieniu i nazwisku (w mianowniku :-) Jacek Merkel; ostatecznie w mediach utrwaliła się forma dopełniacza “Jacka Merkla”.

    A co do meritum – właśnie dlatego staję po stronie uważających biometrię za odpowiednik raczej loginu niż hasła.

    Wszystkiego dobrego w nowym roku!

  6. Aparaty bez filtra ir służą do astrofotografii i są dość popularne. Np. Canon posiada w swojej ofercie takie modele bez filtra.

  7. A myślałem, że to się da oszukać samym wydrukiem. A okazuje się, że trzeba wosku. Gdyby CCC robili zdjęcia na kliszach, nie na cyfrówce, to byłoby prościej, tam nie było filtrów podczerwieni – była tylko kwestia kliszy i innego punktu ostrości. Co do dodatkowych zabezpieczeń – bez żartów, pozostaje kwestia ekonomii. A więc albo po taniości czujnik, czy ręka jest 3d (bariera opto), albo termometr bezdotykowy “mniej-więcej” (do oszukania ciepłym woskiem), albo komercyjny pomiar zawartości O2 (który nie zadziała). Ewentualnie pin dotykowy przewodności (oszukiwalny zmoczeniem, jak przy odciskach). Dopplera nikt nie wstawi. Chyba, że czytnik będzie kosztował myrion dolarów.

    • “Gdyby CCC robili zdjęcia na kliszach, nie na cyfrówce, to byłoby prościej, tam nie było filtrów podczerwieni”

      Na kliszach też robiło się zdjęcia w podczerwieni. :)
      I tam też były (i są) filtry IR.
      Klisza przygotowana do takich zdjęć była nawet dużo bardziej czuła niż matryce dzisiejszych aparatów cyfrowych. Za to robienie zdjęć IR aparatami cyfrowymi jest o niebo wygodniejsze.

  8. Cały rok w rękawicach? – Czemu nie? :)

  9. “Po co? Bo fotografowie z artystycznymi ambicjami chcą robić ciekawe pejzaże albo mroczne portrety, na których modele wyglądają jak zombie.”
    Astrofotografia coś wam mówi?

    Do ochrony przerwy takim atakiem wystarczy żeby skaner robił krótki film żeby mógł stwierdzić czy na doczynienia z żywym obiektem czy nie. Patrz optyczny pomiar przepływu krwi, zapewne też można taki pomiar odpowiednio skąplikować żeby nie był tylko zwykłym pomiarem tętna.

    • A o pompce i ręce wydrukowanej na 3D printerze kolega nie słyszał?

      To ślepa uliczka – jak pisali “przedpiścy” (polityczne skojarzenia całkowicie przypadkowe), biometria EWENTUALNIE jako login, nie hasło.

  10. “dopiero w świetle zbliżonym do podczerwieni”…czyli jakim świetle?
    – półczerwień? ćwierćczerwień? czy moze LOLczerwień?

  11. “Oczywiście zdjęć nie trzeba robić z dystansu. Krissler dostrzega możliwość pozyskiwania obrazów żył poprzez instalowanie odpowiednich urządzeń w suszarkach w toaletach”

    …a niby zrobienie zdjęcia z umieszczonej kamery w suszarce..to niby jakie to zdjęcie?!
    ..tzw. “stykowe”?!…czy raczej z dystansu?

  12. Wg mnie biometria weszła pod strzeche właśnie ze względu na łatwość jej złamania. Służby miały problem z hasłami, więc wymyślili sobie, że spopularyzuja metody biometrycznych zabezpieczen. Ot cała sprawa rozwiklana. Nie ma za co ;p

  13. …no i dochodzimy z wolna do wniosku że tylko spektroskopia może dać dobre (=w miarę trudne do podrobienia) wyniki. Albo analiza DNA ;) Zresztą wcale się temu nie dziwię – bo co to jest tak zwana współczesna biometria czyli “odczyt linii papilarnych ” czy tp – jak nie maksymalnym spłaszczeniem i spłyceniem problemu i unikatowości organizmów żywych do 1,2 parametrów grafo-idalnych które to potraktowane jak wyrocznia – zawsze łatwo będzie oszukać .. W ten czy inny sposób.
    W ogóle nazywanie czegoś tak banalnego i trywialnego biomerią – od zawsze budziło moje obawy o typowy “missunderstanding” …

    Dlatego jeśli nie weźmie się za ‘poważniejsze’ badania na samym wstępie, można będzie traktować to , rzeczywiście , jak piszecie- czyli jako mniej lub bardziej kosztowny fikuśny podpis/stopkę do maila :)

    Pozdrawiam

    ////||//||\\\
    ///||\\||\\\\
    ??|||||\\\\\\\

    ;)

  14. Ehhh jak czytam wasze komentarze to az sie prosi, zeby dodac swoje 3 grosze. Otoz:

    1) Uswiadomcie sobie, ze nie istnieje 100% zabezpieczenie zadnego systemu, a ochrona przed atakami, czy zagrozeniami w cyberprzestrzeni to nic innego, jak zwykle minimalizowanie ryzyka. Jesli ktos wam mowi, ze zabepieczy was przed zagrozeniami i atakami w sieci to wlasnie minimalizuje ryzyko. Natomiast gdy stwierdzi, ze bedziecie w 100% bezpieczni – wtedy jest klamca ;-))))

    2) Biometria nie jest skuteczna – racja. Ale stosowanie samego hasla rowniez. Dlatego, aby zminimalizowac ryzyko do konkretnego minimum, stosuje sie kilka zabezpieczen na raz. Plus rozne systemy i techniki ‘inwigilacji’, analizy ruchu sieciowego, powlamaniowe techniki, etc. etc. Dlatego bledem jest mowienie, ze Biometria jest ble, ale zabezpieczenie haslem juz spoko :-))))) Uswiadomcie sobie, ze nie ma zabezpieczenia, ktorego nie da sie zlamac. Wszystko zalezy od czasu, uzytych technik, ‘obeznania’ osoby/osob, ktore sie biora za lamanie danego zabezpieczenia, kosztow, etc. Tutaj mamy przyklad metode dosyc kosztowna i w jakims stopniu czasochlonna…

    3) @Gabrierla potrafisz zapamiętać naprawdę ‘silne’ hasło? No to musisz mieć niezły łeb. No chyba, że ‘twoje silne haslo’ opiera sie o jakis algorytm, czyli nie jest randomowe. Wtedy niestety to juz nie jest takie znowu silne haslo. Poza tym, jak pisalem wyzej – jesli stosujesz tylko haslo, to dysponujac odpowiednimi slownikami oraz moca obliczeniowa, zawsze istnieje mozliwosc zlamania go…

  15. Każdy czytnik, który nie analizuje całości osoby oraz kontekstu sytuacji, będzie podatny na oszustwo – w ostatecznej wersji przed czytnikiem może stać właściwa osoba, z bronią przystawioną do skroni.
    I nie ma nic w tym złego, poza błędnym pojmowaniem pojęcia “zabezpieczenie”. Otóż sensem zabezpieczenia nie jest stworzenie absolutnie skutecznej bariery, tylko odpowienio wysokie postawienie poprzeczki – tak, aby atak był nieopłacalny. Nie ma zatem sensu dywagować, jaką metodą można usprawnić biometrię (bo to specjaliści od niej doskonale wiedzą), tylko należy rozważyć, jak się ma koszt skanera do kosztu ataku w aspekcie wartości, którą chroni.
    Jeżeli czytnik za 1000 zł da się oszukać materiałami za 10 zł, to czytnik jest do niczego. Ale jeżeli czytnik o wartości 5000 zł wymaga 100 godzin pracy (np. na robieniu zdjęć) i techniki wartej 50 tys. to jest obiektywnie dobry. Co niekoniecznie znaczy: wystarczająco dobry do samodzielnej ochrony wszystkiego, stąd równoległe stosowanie innych technik zabezpieczeń.

  16. …CENZURA DZIAŁA albo “Pan na folwarku” który decyduje który post zatwierdzi a który nie.

    P.S
    ..i gdzie tu wolność słowa, toż to łamanie Konstytucji RP.

  17. Ehh widzac wasze komentarze, az musze zareagowac:

    1) Pamietajcie, ze nie ma czegos takiego jak 100% zabezpieczenie przed zagrozeniami czy atakami w sieci. Mozna jedynie zminimalizowac ryzyko ataku. To sie tyczy tez zabezpieczen przed nieautoryzowanym dostepem do systemu, konta, etc. Jesli ktos wam powie, ze oferuje zabezpieczenie waszej ‘wlasnosci’ w sieci i macie 100% obrony to jest to zwyczajnie klamca…

    2) Biometria jest tylko jedna z form zabezpieczenia. Haslo tak samo. Ani jedno, ani drugie nie zabezpieczy was przed zhackowaniem waszego konta w 100%. Ba, bedzie to bardzo, a to bardzo trywialne zabezpieczenie sie, jesli uzyjecie jednego z tych mechanizmow.

    3) W nawiazaniu do pkt. 2): Dlatego tez zaleca sie stosowanie kilku zabezpieczen na raz, np. hasla + 2FA + biometrie + … + n zabezpieczen. Ale uwaga!!! To tez tylko minimalizuje mozliwosci skompromitowania konta. Nawet, jesli zastosujecie w tej konfiguracji silne hasla. Nawet, jesli wszystkie mozliwe mechanizmy, to co najwyzej zabezpieczenie sie zminimalizuje ryzyko udanego ataku do kompletnego minimum. Zawsze jednak istnieje ten ulamek procenta mozliwosci, ze ktos bedzie sprytniejszy (znajdzie nieznana do tej pory podatnosc, oszuka was stosujac Social Engineering, …) i was zhackuje, dostajac sie do waszego konta.

    Zabezpieczenie 100% nie istnieje. To wiecej niz mit, czy bajka na dobranoc.

    4) @Gabrierla – uzywasz ‘silnych’ hasel i je pamietasz? Czy moze zwyczajnie uzywasz slabych hasel, 8-znakowych z duzymi literami, malymi literami, cyframi typu data urodzenia, plus powiedzmy znak specjalny, jak np. ! lub # (bo tak wygodniej)?

    Jak by nie bylo, nawet jesli masz za haslo passphrase z roznymi znakami specjalnymi, cyframi, duzymi i malymi literami + min. 16 znakow, to i tak zapewne (skoro je pamietasz) te twoje ‘silne’ haslo jest przewidywalne, bo zbudowane wg jakiegos okreslonego algorytmu, ktory twoj mozg ogarnia. Bo napisales/-as, ze pamietasz (pamiec miesniowa?). A skoro tak, to ten algorytm musi byc mega latwy, bo ludzi mozg taki juz jest. Pomijajac geniuszy, ale nawet oni musza miec jakies ulomnosci – bo to ludzie. A ludzie nie potrafia pamietac randomowych, silnych hasel. Stad wspieramy sie np. takim KeePassem, generujac haslo po polskiem zwane ‘z dupy wyjete’, czyli bez znaczenia. A takie cos jest ciezko spamietac, wiec stawiam piwo, ze to nie jest takie, jakie ty masz.

    Nawet jesli to…

    5) … przy odpowiednich umiejetnosciach + slownikach + aplikacjach + mocy obliczeniowej (np C2 serverach w cloudzie) hakier zlamie te twoje haslo, jesli nie masz innych mechanizmow zabezpieczajacych.

    • >> przy odpowiednich umiejetnosciach + slownikach + aplikacjach + mocy
      >> obliczeniowej (np C2 serverach w cloudzie) hakier zlamie te twoje haslo,
      >> jesli nie masz innych mechanizmow zabezpieczajacych.

      Jeśli funkcja haszująca jest intensywna obliczeniowo (najlepiej Argon2) a hasło jest niesłownikowe i ma powyżej 20 znaków, to nie złamie nawet na GPU.

  18. Skaner żył, ale umarł.

  19. A internet po raz kolejny się zachwyca, że da się oszukać metody biometryczne działające w oderwaniu od jakichkolwiek testów żywotności albo stosujące jakiś jeden podstawowy…

    Jutro wrzucicie ten słynny materiał z odciskami palców z Pogromców Mitów? A może wtopy TouchID? Litości.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.