Προς το περιεχόμενο

Προτεινόμενες αναρτήσεις

Δημοσ.
Μόλις τώρα, Retromaniac είπε

Για εξήγησε πως ακριβώς μπορεί να χρησιμοποιηθεί το hash για να βγω από την ημιμάθεια.

Προφανώς εσύ το σκέφτηκες και κατάληξες πως είναι άχρηστα όπως κι έγραψες, οπότε κάτσε εκεί χαρούμενος, εγώ είμαι όπως κι εσύ χαρούμενος με τη διαφορά πως θα κρατήσω μια πισινή διότι τα hashes των κωδικών μόνο άχρηστα δεν είναι και μου μπαίνουν ιδέες. Κι αν μπαίνουν ιδέες σε κάποιον με ταπεινή προγραμματιστική/reversing εμπειρία, πόσο μάλλον σε άλλους.

Η πιθανότητα της άγνοιας και ημιμάθειας αναφέρεται σε ΕΜΕΝΑ για να διαχωρίσω το είδος του φόβου μου, καθώς θεωρώ πως το παρεξήγησες. ^_^

Δημοσ.

Μόνο σε εμένα φαίνονται too much αυτές οι τεχνολογικές εξελίξεις; Το δακτυλικό αποτύπωμα μου φαίνεται υπέρ αρκετό για ένα μέσο χρηστη εκτός και αν πουλάει όπλα η δεν θέλει να καταλάβει τα γκομενιλικια του η γυναίκα του. Ας φτιάξουν τις μπαταριες με τεχνολογίες φιλικές για το περιβάλλον αν ρωτούσαν εμένα. Ποιος ειμαι εγώ βέβαια...

Δημοσ. (επεξεργασμένο)
36 λεπτά πριν, PCharon είπε

Προφανώς εσύ το σκέφτηκες και κατάληξες πως είναι άχρηστα όπως κι έγραψες, οπότε κάτσε εκεί χαρούμενος, εγώ είμαι όπως κι εσύ χαρούμενος με τη διαφορά πως θα κρατήσω μια πισινή διότι τα hashes των κωδικών μόνο άχρηστα δεν είναι και μου μπαίνουν ιδέες. Κι αν μπαίνουν ιδέες σε κάποιον με ταπεινή προγραμματιστική/reversing εμπειρία, πόσο μάλλον σε άλλους.

Η πιθανότητα της άγνοιας και ημιμάθειας αναφέρεται σε ΕΜΕΝΑ για να διαχωρίσω το είδος του φόβου μου, καθώς θεωρώ πως το παρεξήγησες. ^_^

Πάντως σου λέω ότι ειδικά για τα βιομετρικά στοιχεία δεν μπορείς να κάνεις dictionary attack (προφανώς) και επίσης ένα collision key θα σου ήταν άχρηστο κάπου αλλού. Επίσης κάθε διαφορετικό μοντέλο μηχανισμού αναγνώρισης της ίριδας θα βγάλει διαφορετικούς αριθμούς για να hashristoun. Οπότε σε άλλο μοντέλο θα είναι άχρηστα ακόμη και τα μη-hasharismena, πόσο μάλλον όταν αυτή η διαφορετικότητα αλλάζει το αποτέλεσμα του hashing μαζί με όλους του τρόπους για να γίνει πιο ασφαλές.

Επίσης τα hashes δεν περιέχουν καμία μορφή πληροφορίας αφού αυτό θα σήμαινε ότι είναι reversible αλλά δεν είναι. Για αυτό και πρέπει να μαντέψεις, να hashareis και να δεις αν ταιριάζει.

Αυτό που πρέπει να φοβάσαι είναι να μη σου κάνουν bypass το security, που είναι απίστευτα πιο εύκολο, και όχι να σου βρουν ένα καλά φτιαγμένο hash key.

Επεξ/σία από Retromaniac
Δημοσ.
2 ώρες πριν, ScorpioX777 είπε

Μια χαρα ειναι η ιριδα μονη της αλλα δεν πειραζει να το δουμε και αυτο, σε παρα πολυ χαμηλο φωτισμο η υψηλο  ουτως η αλλως εχεις το fingerprint.

Απο προσωπικη εμπειρια θα πω οτι η αναγνωριση ιριδας δεν ειναι και τοσο ασφαλης μεθοδος. Οταν πηρα το s8+ ηταν ενα απο τα πρωτα πραγματα που δοκίμασα. Δε θα αναφερθω στο οτι μου βγηκε η πιστη να το σεταρω και οταν ηθελα να το ξεκλειδωσω επρεπε να κανω πολλες περιττές κινησεις (τελικα αναφερθηκα βεβαια). Οταν το δοκιμασα και με χαρα το εδω στη μητερα μου για να δει πού εχουν φτασει τα κινητα, με την πρωτη το τηλεφωνο ξεκλειδωσε με τις δικες της ιριδες και ακαριαια κιολας. Αφου επαθα σοκ, προσπαθησα τουλαχιστον αλλες 20 φορες πανω της και δοκιμασα αλλες τοσες αφου ξανασεταρα τα δικα μου ματια απο την αρχη. Δεν ξαναανοιξε ποτε, αλλα η μια φορα (και η πρωτη κιολας) ηταν αρκετη για να μην εμπιστευτω ξανα αυτη τη μεθοδο.

Δημοσ.
1 ώρα πριν, Retromaniac είπε

Δεν θέλω να σε τρομάξω αλλά αυτό γίνεται ήδη.

Πες μας κάποιες λεπτομέρειες . Κάποιο λινκ ίσως

Δημοσ.
1 λεπτό πριν, Retromaniac είπε

Πάντως σου λέω ότι ειδικά για τα βιομετρικά στοιχεία δεν μπορείς να κάνεις dictionary attack (προφανώς) και επίσης ένα collision key θα σου ήταν άχρηστο κάπου αλλού.

Επίσης τα hashes δεν περιέχουν καμία μορφή πληροφορίας αφού αυτό θα σήμαινε ότι είναι reversible αλλά δεν είναι. Για αυτό και πρέπει να μαντέψεις, να hashareis και να δεις αν ταιριάζει.

Μπορεί να είναι θεωρητικά πολύ δύσκολο το dictionary attack αλλά μπορεί και όχι πρακτικά, δεν έχω μπροστά μου κάποιο αλγόριθμο πχ face ID για να δω σε τί πολυπλοκότητα δουλεύει. Πχ αν το plain input data έχει πολυπλοκότητα/αναλυση/πεστοπωςθες x, αλλά το preproccessed input έχει y και ίσως  y << x, με απλά λόγια ανοχή για λόγους καλής λειτουργίας. Ακόμα λόγω είδους (βιομετρικό) ίσως έχουμε περίπτωση ομοιότητας του input data (pattern) οπότε το ζητούμενο λεξικό μικραίνει τραγικά κι ίσως αποκτά πρακτικότητα ένα τέτοιο attack, περισσότερο μάλιστα από το αν επρόκειται για κωδικό και όχι πρόσωπο/αποτύπωμα/ίριδα διότι στη δεύτερη περίπτωση έτσι και πετύχεις ΑΝΑΓΝΩΡΙΖΕΙΣ αν πρόκειται για το αρχικό data ή όχι (αν σου δείξω ένα επιτυχημένο brute force cracked data αποτυπώματος θα ξέρεις αν είναι αποτύπωμα ή τυχαίο data που ταίριαξε στο hash) γι αυτό και λέω πως ένα τέτοιο hash θεωρώ πως περιέχει πληροφορία, εφόσον έχεις και τον αλγόριθμο να παίξεις. Νομίζω πως εξαρτιόμαστε σε μεγάλο βαθμό από την υλοποίηση της κάθε SAMSUNG κι αυτό εμπίπτει άμεσα στη περίπτωση άγνοιας και ημιμάθειας = δε γνωρίζουμε αν. Όπως δε γνωρίζαμε και γι άλλα πράγματα που αποκαλύφθηκαν αδύναμα όσο εμείς κοιμόμασταν τον ύπνο του δικαίου. Ελπίζω να έχω μεταφέρει σωστά τις σκέψεις μου.

Ναι, το collision key θα σου ήταν άχρηστο σε μια εφαρμογή που δεν είναι πχ της SAMSUNG, θα σου ήταν όμως χρήσιμο αν είναι. Κι επειδή αναφέρθηκα και πιο γενικά, αναφέρθηκα και σε μελλοντικές περιπτώσεις όπου ίσως χρησιμοποιηθούν generic/διαδεδομένες βιβλιοθήκες λογισμικών. Τώρα τί έχει φτιάξει μέσα η SAMSUNG, δε ξέρω.

 

Δημοσ. (επεξεργασμένο)
31 λεπτά πριν, PCharon είπε

Μπορεί να είναι θεωρητικά πολύ δύσκολο το dictionary attack αλλά μπορεί και όχι πρακτικά, δεν έχω μπροστά μου κάποιο αλγόριθμο πχ face ID για να δω σε τί πολυπλοκότητα δουλεύει. Πχ αν το plain input data έχει πολυπλοκότητα/αναλυση/πεστοπωςθες x, αλλά το preproccessed input έχει y και ίσως  y << x, με απλά λόγια ανοχή για λόγους καλής λειτουργίας. Ακόμα λόγω είδους (βιομετρικό) ίσως έχουμε περίπτωση ομοιότητας του input data (pattern) οπότε το ζητούμενο λεξικό μικραίνει τραγικά κι ίσως αποκτά πρακτικότητα ένα τέτοιο attack, περισσότερο μάλιστα από το αν επρόκειται για κωδικό και όχι πρόσωπο/αποτύπωμα/ίριδα διότι στη δεύτερη περίπτωση έτσι και πετύχεις ΑΝΑΓΝΩΡΙΖΕΙΣ αν πρόκειται για το αρχικό data ή όχι (αν σου δείξω ένα επιτυχημένο brute force cracked data αποτυπώματος θα ξέρεις αν είναι αποτύπωμα ή τυχαίο data που ταίριαξε στο hash) γι αυτό και λέω πως ένα τέτοιο hash θεωρώ πως περιέχει πληροφορία, εφόσον έχεις και τον αλγόριθμο να παίξεις. Νομίζω πως εξαρτιόμαστε σε μεγάλο βαθμό από την υλοποίηση της κάθε SAMSUNG κι αυτό εμπίπτει άμεσα στη περίπτωση άγνοιας και ημιμάθειας = δε γνωρίζουμε αν. Όπως δε γνωρίζαμε και γι άλλα πράγματα που αποκαλύφθηκαν αδύναμα όσο εμείς κοιμόμασταν τον ύπνο του δικαίου. Ελπίζω να έχω μεταφέρει σωστά τις σκέψεις μου.

Ναι, το collision key θα σου ήταν άχρηστο σε μια εφαρμογή που δεν είναι πχ της SAMSUNG, θα σου ήταν όμως χρήσιμο αν είναι. Κι επειδή αναφέρθηκα και πιο γενικά, αναφέρθηκα και σε μελλοντικές περιπτώσεις όπου ίσως χρησιμοποιηθούν generic/διαδεδομένες βιβλιοθήκες λογισμικών. Τώρα τί έχει φτιάξει μέσα η SAMSUNG, δε ξέρω.

Καταρχήν αυτό που περιγράφεις δεν είναι dictionary attack. Είναι καθαρό bruteforcing μεταξύ όλων των δυνατών παραμέτρων όλων των βιομετρικών στοιχείων. Το αντίστοιχο δηλαδή να δοκίμαζες όλα τα δυνατούς συνδυασμούς γραμμάτων για password. Και έτσι όμως μπορεί να είναι 15 παράμετροι, όσο rounding και να πέφτει καταλαβαίνεις ότι οι συνδυασμοί είναι εκτός βεληνεκούς ειδικά με το κάθε βιομετρικό στοιχείο να hasharete και μετά και τα 15 να hasharontai όλα μαζί και το καθένα salted και multihashed.

Τώρα αν η samsung έχει ημιμάθεια πως να hasharei αυτό είναι άλλο θέμα και όχι αδυναμία προφύλαξης των δεδομένων σου από τους αλγόριθμους. Υπάρχει και το παράδειγμα της sony αλλά και χιλιάδων άλλων εταιριών που είτε τα είχαν μη hasharismena είτε κάνανε ένα απλό hashing με ένα saltkey μαζί στην βάση τα οποία με ένα καλό dictionary attack, πήρες το 80%.

Και τέλος επισημαίνω ότι το hash δεν έχει απολύτως καμία πληροφορία, αφού αντιστοιχούν άπειρα collision keys σε κάθε hash. Νομίζεις ότι έχουν πληροφορία γιατί μπορείς να κάνεις dictionary attack. Αλλά αυτό γίνεται γιατί οι άνθρωποι δεν χρησιμοποιούν random passwords. Αλλιώς θα ήταν αδύνατον να κάνεις dictionary attack.

Και έτσι σαν τελευταία πληροφορία, το saltkey είναι διαφορετικό για κάθε κωδικό έτσι ώστε να είσαι αναγκασμένος να κάνεις όλο τον κύκλο hashing κάθε φορά για όλο το dictionary και για κάθε κωδικό. Δηλαδή λειτουργεί αποτρεπτικά στο να καθίσει κάποιος να βρει όλα τα passwords χιλιάδων χρηστών και μετά να κάνει μαζικό "attack" ή πώληση. Αυτό που είναι δηλαδή το πιθανότερο ότι φοβόμαστε οι περισσότεροι. Τώρα το να μας στοχεύσουν ειδικά, σημαίνει ότι κάτι δεν πάει καλά :P (Εκτός και αν ζεις στην τουρκία, που ισχύει το αντίθετο :D

 

1 ώρα πριν, vagosd είπε

Πες μας κάποιες λεπτομέρειες . Κάποιο λινκ ίσως

https://www.consumerreports.org/privacy/facial-recognition-who-is-tracking-you-in-public1/

https://www.google.gr/search?q=face+recognition+airports

https://www.google.gr/search?q=face+recognition+public+tracking

 

Επεξ/σία από Retromaniac
  • Like 2
Δημοσ.

Για να μην ανοίγω νέο θέμα, φαίνεται ότι σε λίγα χρόνια και το DNA θα παίρνεται αυτομάτως από το κινητό τηλέφωνο, γιατί ήδη φτιάξανε συσκευή σε μέγεθος τηλεφώνου που κάνει αυτήν την δουλειά.
https://www.the-scientist.com/?articles.view/articleNo/51520/title/Pocket-Size-Nanopore-Device-Sequences-Entire-Human-Genome/

Δημοσ. (επεξεργασμένο)
5 ώρες πριν, stelios18120 είπε

Αυτή την υπερβολή δεν την καταλαβαίνω.

 

Δηλαδή δεν φτάνει το pin η άντε το δακτυλικο αποτύπωμα; Γιατί τόσο υπερβολή;

γιατι τα κινητα τα τελευταια χρονια ειναι ιδια με τα περσινα οποτε κανουν οτι μπορουν να τα διαφοροποιησουν. fun fact ειναι κωδικας του android oreo, οποτε υποθετικα ολες οι εταιρειες μπορουν να βγαλουν σε οποιοδηποτε κινητο εχει τους απαραιτητους σενσορες. αμα θελανε το βαζαν σ ολα και τελιωνε το παραμυθι, αλλα πως αλλιως θα πεισεις το κοσμο να πεταξει 1 χιλιαρικο ενω δεν χρειαζεται? ;)

κλασσικα εντυπωσιακες κουβεντες και πολυ μαρκετινγκ (που θα το πληρωσει ο καταναλωτης, οποτε ξοδευε αβερτα)

Επεξ/σία από Επισκέπτης
Δημοσ.
5 ώρες πριν, vagosd είπε

Πες μας κάποιες λεπτομέρειες . Κάποιο λινκ ίσως

σου εχει βαλει ενα αλλος πιο κατω λινκ εγω θα σου προτεινω και μια σειρα πριν 3 με 4 χρονια που σε προετοιμαζε γι αυτο η πιο καλα τους αμερικανους πρωτα!!!!!
Δες πως δουλευει!!!!!
 


 

Δημοσ.
11 ώρες πριν, hayas88 είπε

Είναι κρίμα που το πασάρει ως νέο future ενώ θα μπορούσε να δώσει software update στο s8 που να κάνει την ίδια δουλειά.. 

Ακόμα μία φορά φύκια για μεταξωτές κορδέλες η Samsung

Κανείς δεν είπε ότι το νέο χαρακτηριστικό δεν θα έρθει και στα S8.

Δημοσ.
17 ώρες πριν, Nikolo1991 είπε

Απο προσωπικη εμπειρια θα πω οτι η αναγνωριση ιριδας δεν ειναι και τοσο ασφαλης μεθοδος. Οταν πηρα το s8+ ηταν ενα απο τα πρωτα πραγματα που δοκίμασα. Δε θα αναφερθω στο οτι μου βγηκε η πιστη να το σεταρω και οταν ηθελα να το ξεκλειδωσω επρεπε να κανω πολλες περιττές κινησεις (τελικα αναφερθηκα βεβαια). Οταν το δοκιμασα και με χαρα το εδω στη μητερα μου για να δει πού εχουν φτασει τα κινητα, με την πρωτη το τηλεφωνο ξεκλειδωσε με τις δικες της ιριδες και ακαριαια κιολας. Αφου επαθα σοκ, προσπαθησα τουλαχιστον αλλες 20 φορες πανω της και δοκιμασα αλλες τοσες αφου ξανασεταρα τα δικα μου ματια απο την αρχη. Δεν ξαναανοιξε ποτε, αλλα η μια φορα (και η πρωτη κιολας) ηταν αρκετη για να μην εμπιστευτω ξανα αυτη τη μεθοδο.

Απο διπλη προσωπικη εμπειρια(S8 και Note 8)στο S8 επειδη ο γιος μου το εβαλε απο λαθος γωνια και αποσταση δεν δουλεψε σωστα, την δευτερη φορα που εγιναν ολα οπως πρεπει δεν υπηρχε κανενα προβλημα(ουτε ανοιγε σε αλλες ιριδες οταν το δοκιμασαμε γιατι φυσικα ειναι απο τα πρωτα τεστ που κανεις).Στο Note 8 ολα καλα με την πρωτη φορα.


Το πιο πιθανο ειναι οτι κατι εκανες λαθος στο αρχικο setup.

  • Like 1
Δημοσ.
6 ώρες πριν, ScorpioX777 είπε

Απο διπλη προσωπικη εμπειρια(S8 και Note 8)στο S8 επειδη ο γιος μου το εβαλε απο λαθος γωνια και αποσταση δεν δουλεψε σωστα, την δευτερη φορα που εγιναν ολα οπως πρεπει δεν υπηρχε κανενα προβλημα(ουτε ανοιγε σε αλλες ιριδες οταν το δοκιμασαμε γιατι φυσικα ειναι απο τα πρωτα τεστ που κανεις).Στο Note 8 ολα καλα με την πρωτη φορα.


Το πιο πιθανο ειναι οτι κατι εκανες λαθος στο αρχικο setup.

Σιγουρα μπορει να ειναι δικο μου λαθος. Απο τη στιγμη ομως που ενα συστημα ασφαλειας δεχεται ως σωστες τις δικες μου λανθασμενες (πιθανως) αρχικες παραμετρους, αυτοματα ειναι ενα αναξιοπιστο συστημα στα δικα μου ματια. 

Δημοσ.
2 ώρες πριν, Nikolo1991 είπε

Σιγουρα μπορει να ειναι δικο μου λαθος. Απο τη στιγμη ομως που ενα συστημα ασφαλειας δεχεται ως σωστες τις δικες μου λανθασμενες (πιθανως) αρχικες παραμετρους, αυτοματα ειναι ενα αναξιοπιστο συστημα στα δικα μου ματια. 

Οπως το θετεις ακουγεται ολοσωστο και θα ηταν ευχης εργο να ηταν ολα αλανθαστα...απο την στιγμη που σου δημιουργει ανασφαλεια ομως, πας στο fingerprint και τελειωνει.


Ευτυχως στη Samsung εχουμε επιλογες.

Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε

Πρέπει να είστε μέλος για να αφήσετε σχόλιο

Δημιουργία λογαριασμού

Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!

Δημιουργία νέου λογαριασμού

Σύνδεση

Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.

Συνδεθείτε τώρα
  • Δημιουργία νέου...