Legfrissebb anyagok

PROHARDVER! témák

Mobilarena témák

IT café témák

GAMEPOD témák

LOGOUT témák

Új hozzászólás Aktív témák

#8 ArchElf addikt tocsa #7

Új Válasz 2011-03-20 19:39:11 #8
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

ArchElf

addikt

válasz tocsa #7 üzenetére

Nem volt nyílt az algoritmus, de mivel volt Soft Token is, így viszonylag egyszerűen vissza tudták fejteni az algoritmust (azóta van már free SecurID soft token implementáció is) - szóval ha valamit meg tudtak szerezni az:
- kinek milyen azonosítójú SecurID-kat adtak el;
- milyen SecurID azonosítóhoz milyen seed tartozik.
Mivel azt cáfolták, hogy ügyféladatok kiszivárogtak volna, így számomra a második (rosszabb) lehetőség a valószínűbb.
AE
#7 tocsa senior tag ArchElf #1

Új Válasz 2011-03-19 14:57:33 #7
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

tocsa

senior tag

válasz ArchElf #1 üzenetére

Remélhetőleg nincsen szó semmiféle security-by-obscurity esetről, azaz nincs az protokollnak/algoritmusnak olyan része, aminek a nyilvánosságra kerülése gyengítené a rendszert. Az más tészta, ha magát a titkot lopják, például IV-ket. Az szopacs.
#6 DJS tag

Új Válasz 2011-03-18 20:42:41 #6
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

DJS

tag

Nem tudom, kinek az aláírásában olvastam, hogy "amit egy ember megír, azt egy másik fel is tudja törni".
#1 ArchElf addikt

Új Válasz 2011-03-18 10:51:33 #1
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

ArchElf

addikt

Az elmondottak alapján elképzelhető, hogy szériaszámokhoz és a hozzájuk tartozó IV-khoz (Initialization Value) juthattak hozzá a hackerek: megszerzett SecurID kódból és a pontos időből nagy valószínűséggel beazonosítható az eszköz (pin-paddal nem rendelkező eszköz esetében), és generálható új érvényes kód az eszköz birtoklása nélkül is (kvázi ellopható az eszköz akár egyetlen megszerzett OTP érték alapján)... Ha ez történt, akkor ebből azért elég komoly probléma kerekedhet.
AE