Keresés: - [Re:] Informatikai szörnyszülött az Ügyfélkapu

Legfrissebb anyagok

PROHARDVER! témák

Mobilarena témák

IT café témák

GAMEPOD témák

LOGOUT témák

Keresés

Új hozzászólás Aktív témák

#28 gazazegesz csendes tag csabika25 #2

Új Válasz 2006-10-11 20:04:49 #28
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

gazazegesz

csendes tag

válasz csabika25 #2 üzenetére

Birtokalapú megoldás sem okoz nagyobb biztonságot, mert vagy csökkenti a lehetőségeket (chipcard) vagy tulzott adattárolás (biometria) vagy nem elégséges birtokviszony (mobil).
A mobil csak a mobilcégnek jobb, mivel UK használatakor internet előtt ülsz regisztrálják az emailed, amit nem tudsz változtatni. Szóval kb eq mint a mobil.
Másrészt fogalmam sem volt, hogy ''házigazda'' irta és a neten ugye az iró bfsága miatt csak a http://www.ik.bme.hu/publication/nws2006_krasznay.pdf-et találtam.
Ez alapján irtam. Köszönd a kollégádnak v. ennek a verziónak amit irtam erről. Fenntartom: a cikk egy szenzációhajhász cikk. Amit irtál nincs időm elolvasni, illetve sejtem mit fejthettél ki amit hiányoltam eredetileg.
Kérdés(csak a tisztánlátás kedvéért): szerinted jó az, ha identification-nek hivjuk a felhasználó megfeleltetést?
#1 gazazegesz csendes tag

Új Válasz 2006-10-11 08:40:11 #1
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

gazazegesz

csendes tag

Informatikai elemzésnek szegényes, leirták mit gondolnak, persze elfogadható mint a saját véleményük, de hogy biztonsági elemzésnek nevezhetjük és megoszthatjuk az érintettel. Ez a cikk nos... kmh ujságírás.. (gondolom ha az lett volna benne h az ügyfélkapuval minden oké akkor nem jelenik meg pedig a kijelentés értéke ugyanaz lenne)
Javaslat, talán be kellett volna linkelni a pdf-et, amit irtak..
Természetesen nem fikázásnak szántam de egy lukas huszfillérest nem adnék ezért az elemzésért, az egyetlen komoly megállapítás, hogy egylépcsős az authentikáció,
Ezt gondolom a rendszer üzemeltetői is tudják nem új információ és gondolom nem véletlen, hogy igy van.
Nekem hiányzik a rendszer egyébb elemeinek elemzése (pl. authorizáció).
Szomorú, hogy mostmár mindenhol feltűnik az identifikáció szó miközben virtuális megfeleltetés sohasem lehet teljes biztonságú azonosítás. Azaz ha valakit kispista loginnal tesz sohasem jelenthető ki azonosítás után egyértelműken, hogy az csak és kizárólag Kis Pista lehet, csak az mondható el hogy annak valószínűsége, hogy nem Kis Pista hogyan csökkenthető. Ebben az a legszomorúbb, hogy köznapi nyelvben értelmezhető szavak (identification) arra ösztönzik a törvényalkotókat, és a törvényalkalmazókat akiket csak jóindulattal nevezhetünk csupán laikusnak, hogy elhiggyék a virt. megfeleltetés biztonsága 100%. Ez igy befolyással van törvényeink későbbi alakulására illetve ezek alkalmazására. Virtuális megfeleltetés jelentse mindig azt, ami. Azaz ha kispista csinált valamit, és ne tegyük lehetővé azt hogy azt egyértelműen Kis Pista csinálta. A virtuális megfeleltetés sohasem lehet teljesen biztonságos ezért alkalmazzák a környezet mentését, hogy független állományokból visszaállítható legyen a valós személy. A digitális aláírás is lopható, ugyanúgy mint a jelszó.
Szörnyű lenne az a kijelentés, hogy az alapján elitélhetnek, hogy az otthoni gépem hibája miatt szervízbe vittem, valami szánalmas jelszóval védett privát kulcsomat elvitték és utána bejelentkeztek nevemben én meg leülöm a 10 évet mert biztosan én követtem el. Emellett az elemzés nem terjed ki arra, mennyivel csökkentené a felhasználók számát ha előirnánk az aláírás használatát. Ne feledjük el, hogy sokak számára kötelező a rendszer használata.
A legtöbb számítástechnikai rendszer egylépcsős authentikációval rendelkezik, és jól működik. Mivel ezen rendszer használata ténylegesen kulcsfontosságú lehet, vizsgálni kell, hogyan lehetséges biztonságosabbá tenni. Erre jóval egyszerűbb tudás alapú módszer is alkalmazható, ennek alapeleme a visszajelzéses rendszer lehetne (pl email), azaz az azonosító kizárólagosan tájékozódásra használható, bármilyen más művelet a rendszer részéről külön csatornán megerősítés egyszerűbb az ügyfél részére és a rendszer szempontjából is kevés fejlesztéssel elérhető.
Itt van a legnagyobb felelősége az analizis készítőinek akik kizárólag kritizálják a rendszert, de egyértelműen elsikkad az a rész, hogy mit javasolnak, hogy biztonságosabb legyen a rendszer, mert egyrészt a címe is az hogy '' kitől lehet tanulni '' másrészt felsorolás, és nem értékelés a megvalósithatóság szempontjából (pedig a mobil az egy jó javaslat, csak van technikai feltétele).
A második pozitívum a analizisben, hogy felhívják a figyelmet a social engieering problémájára és a phising-re, és talán ebben az anyagban láttam egyértelműen laikus számára is elmagyarázza hol van ennek veszélye. Ehhez viszont gratulálok, kár tényleg, hogy a pdf link kimaradt a cikkből.
A cikkről azonba semmilyen pozitívum nem mondható el, szakmaiságba bujtatott szenzációvadászat.