Holy war: Android vs iOS

[rzen]

потому и требуется two-factor authentication.

в телефоне?

[Flash-04]

в идеале

[rzen]

в идеале

почему не трехфакторная?

[Flash-04]

а почему не четырех?

[rzen]

а почему не четырех?

дык в телефон лично мне и одного фактора хватает. вы хотите два, вы и объясняйте зачем.

[Flash-04]

вообще-то то был ответ stenking про банкомат.
про телефон добавили вы, вот и объясняйте (если хотите).

[rzen]

охохо. когда оба фактора можно подсмотреть в одном месте, нафиг нужна такая двухфакторность, для галочки?

[Flash-04]

может тогда вообще давайте от паролей и прочего откажемся? ведь всё равно можно подсмотреть?

[rzen]

может тогда вообще давайте от паролей и прочего откажемся? ведь всё равно можно подсмотреть?

ваша ирония неуместна. когда идет о двухфакторности факторы не должны пересекаться в легкодоступном месте. а отпечатки легко снять с той самой клавиатуры на которой вы набираете код который можно подсмотреть тут же. это не двухфакторость а профанация.

[Flash-04]

что вы понимаете под "легкодоступным" местом? бакомат стоящий на перекрестке? и что по вашему "не легкодоступное место"?

[rzen]

что вы понимаете под "легкодоступным" местом? бакомат стоящий на перекрестке? и что по вашему "не легкодоступное место"?

допустим пин который я вбиваю из головы и номер из токена (присланный мне на телефон по смс например) это будут взаимно малодоступные места. если кто то подсмотрел мой пин через камеру наблюдения встроенную во вставку в банкомате, код моего токена (второй фактор) ничего не даст ибо он сменится через 60 секунд.

[Flash-04]

хороший пример а теперь внимание, вопрос: вы уже пользуетесь этой техникой в банкоматах?
кстати есть такая фича в PayPal, только я её недавно выключил, т.к. по непонятной причине мне перестали SMS на телефон от них приходить.

Но я вам возражу: и это тоже всё ломается. Ломается вообще говоря всё, вопрос только в том проще или сложнее.
Поэтому у нас с вами несколько беспредметный спор. Весь infosec крутится вокруг вопроса о стоимости решения, о silver bullet уже давно никто не говорит.

[geek7]

тем не менее по прежнему биометрия по отпечатку пальца и ретины считается самой надежной и перспективной.

Не знаю. Проблема в этими девайсами что они не отличат реального человека от муляжа. Т.е. если я украду фотку вашего отпечатка то обмануть скажем банкомат нефиг делать.

Вы пробовали?
Тот который большой и дорогой (Static) если он оптический - можно и фоткой
про них как раз большинство ютюбов и руководст (ну и эпизодов шпионских фильмов)
Swipe (маленькие) как правило емкостные(еще есть термо, ВЧ отражающие и пр.)
вот полюбуйтесь
http://www.zdnet.co.uk/news/after-hours ... -39406497/
http://www.puttyworld.com/thinputdeffi.html
сделать молд несколько трудней чем подсмотреть пин или глянуть на полосы
но даже довольно трудоемкий желатиновый молд сделанный с добровольно предоставленного пальца не очень работает

This method was proven to be successful and thus security was compromised. After several tryouts
and many trial-error experiments a suitable way to manufacture a usable mold was found. As a result,
we were able to create a fake finger that was used to fool the scanner. The result is not a hundred
percent proof solution as only few times out of hundred ended up in a successful detection

вот пара исследований
http://www.vidarg.net/projects/Challeng ... anners.pdf
http://stdot.com/pub/ffs_article_asten_akaseva.pdf
сломать конечно можно, но не тривиально. Поэкспериментировав, под конкретный сканер подобрать и с 100-й попытки открыть.
Кстати дорогой - не гарантия вон #3
http://security4dummies.wordpress.com/tag/biometrics/
за 3 дня нашли как взломать, нотебучный оказалось сложнее

там-же утверждается Upek swipe-type capacitive sensor (популярен в нотебуках) взломали мокрой бумагой... как мочили согласно рисунку и сколько недель подбирали бумажку и степень высыхания под этот сканер умалчивается

[geek7]

в идеале

почему не трехфакторная?

как всегда в IT - есть 1 и есть >1. 2,3 или 4 уже не так принципиально как более 1-го

[geek7]

ваша ирония неуместна. когда идет о двухфакторности факторы не должны пересекаться в легкодоступном месте. а отпечатки легко снять с той самой клавиатуры на которой вы набираете код который можно подсмотреть тут же. это не двухфакторость а профанация.

Все правильно. Two-factor = из 2-х и более разных источников. Есть еще определение
"something the user knows", "something the user has", and "something the user is"
но мне не нравится (user has и user is в общем-то не принципиально отличаются).

"легко снять с той самой клавиатуры " это Вы здорово преувеличили, да и потом с этим отпечатком не все так просто

[geek7]

хороший пример а теперь внимание, вопрос: вы уже пользуетесь этой техникой в банкоматах?

Ха. А чеки вообще от балды (от руки) можно на туалетной бумаге изобразить... и примут и с подписью сверятся небудут... короче там проблемма не украсть, а украсть так чтобы потом не ловили или столько чтобы непоймали

[rzen]

хороший пример а теперь внимание, вопрос: вы уже пользуетесь этой техникой в банкоматах?
кстати есть такая фича в PayPal, только я её недавно выключил, т.к. по непонятной причине мне перестали SMS на телефон от них приходить.

Но я вам возражу: и это тоже всё ломается. Ломается вообще говоря всё, вопрос только в том проще или сложнее.
Поэтому у нас с вами несколько беспредметный спор. Весь infosec крутится вокруг вопроса о стоимости решения, о silver bullet уже давно никто не говорит.

мы говорим сейчас о том что вы предложили два фактора а на практике по вашему варианту получается в лучшем случае 1.2

по русски это называется пускать пыль в глаза

в результате гиик7 ходит в полном спокойствии о безопасности своего телефона, тогда как он ломается легко и просто

[Flash-04]

ну возьмите у какого-нибудь знакомого "дроид" с ридером пальцев и сломайте "легко и просто"

[Flash-04]

то что рисунки и короткие PIN-ы легко ломаются, я уже выяснил на практике:
у меня сынишка быстро просек что "андроид" неплохая игровая консоль и за пару дней наловчился подсматривать "грид". 4-х знаковый PIN подсматривал максимум за неделю. Так как мне надоело находить утром полностью разряженный телефон, то пришлось поставить 8-значный PIN, уже второй месяц не взломал

[geek7]

в результате гиик7 ходит в полном спокойствии о безопасности своего телефона, тогда как он ломаетсялегко и просто

1. долго и сложно.
2. Я вполне осведомлен что ломается. Да, контакты и многое другое я не шифрую. до паролей даже взломав телефон добратся будет проблематичней.

Вот возьмем юскейс:
стоит rzen с iPhone, сзади гопник... пора выходить, rzen сует iPhone в карман, гопник достает....
если rzen использует pattern (большинство вообще ничем не закрывают) - гопник смотрит на, скажем, крестик изобоаженный rzen-ом на экране с 1-й -5-й попытки его открывает
вопрос что гопник может сделать с iPhone rzen-а кроме как загнать?

стоит geek7 с Atrix... нафига гопнику Atrix... за сколько загнать iPhone он знает, а как сделать factory reset atrix еще нагуглить надо.
Отпечатки geek7 снимать и со вскрытием мучатся это уже не гопник будет а Джонни Инглиш

[rzen]

в результате гиик7 ходит в полном спокойствии о безопасности своего телефона, тогда как он ломаетсялегко и просто

1. долго и сложно.
2. Я вполне осведомлен что ломается. Да, контакты и многое другое я не шифрую. до паролей даже взломав телефон добратся будет проблематичней.

Вот возьмем юскейс:
стоит rzen с iPhone, сзади гопник... пора выходить, rzen сует iPhone в карман, гопник достает....
если rzen использует pattern (большинство вообще ничем не закрывают) - гопник смотрит на, скажем, крестик изобоаженный rzen-ом на экране с 1-й -5-й попытки его открывает
вопрос что гопник может сделать с iPhone rzen-а кроме как загнать?

стоит geek7 с Atrix... нафига гопнику Atrix... за сколько загнать iPhone он знает, а как сделать factory reset atrix еще нагуглить надо.
Отпечатки geek7 снимать и со вскрытием мучатся это уже не гопник будет а Джонни Инглиш

какой крест, бог с вами, на айфоне отпечатки не остаются. после десяти неуспешных попыток айфон самовытирается. будет приставать гопник я ему айфон дам, мне моя голова дороже, сам быстро слиняю, и удаленно на всякий случай вытру телефон начисто, предварительно слив его (гопника) местоположение ближайшему полицейскому. а когда полицейский подойдет поближе, дам на телефон сигнал тревоги мол вот он я, вяжите

напугали ежа голой попой

[geek7]

какой крест, бог с вами, на айфоне отпечатки не остаются.

Где-то я это слышал... о! "принцессы не какают"

после десяти неуспешных попыток айфон самовытирается.

т.е. ребенок Flash-04, будь у того айфон, не только бы его регулярно разряжал.. но и самовытирал

будет приставать гопник я ему айфон дам, мне моя голова дороже, сам быстро слиняю, и удаленно на всякий случай вытру телефон начисто, предварительно слив его (гопника) местоположение ближайшему полицейскому. а когда полицейский подойдет поближе, дам на телефон сигнал тревоги мол вот он я, вяжите

напугали ежа голой попой

Вы юскейс нечитали... никто в общественном транспорте Вам нож к горлу приставлять небудет - протиснутся мимо, край толкнут невежливо.. а что телефона нет Вы обнаружите только когда в следующий раз соберетесь звонить. к тому моменту телефон будет вскрыт и никаких радиосигналов принимать небудет.

[rzen]

какой крест, бог с вами, на айфоне отпечатки не остаются.

Где-то я это слышал... о! "принцессы не какают"

после десяти неуспешных попыток айфон самовытирается.

т.е. ребенок Flash-04, будь у того айфон, не только бы его регулярно разряжал.. но и самовытирал

будет приставать гопник я ему айфон дам, мне моя голова дороже, сам быстро слиняю, и удаленно на всякий случай вытру телефон начисто, предварительно слив его (гопника) местоположение ближайшему полицейскому. а когда полицейский подойдет поближе, дам на телефон сигнал тревоги мол вот он я, вяжите

напугали ежа голой попой

Вы юскейс нечитали... никто в общественном транспорте Вам нож к горлу приставлять небудет - протиснутся мимо, край толкнут невежливо.. а что телефона нет Вы обнаружите только когда в следующий раз соберетесь звонить. к тому моменту телефон будет вскрыт и никаких радиосигналов принимать небудет.

чем вскрыт то? _нету_ отпечатков. не какает

[geek7]

чем вскрыт то? _нету_ отпечатков. не какает

Не думаю. Но даже если так то варианты есть
1. подсмотреть
2. отверткой

[rzen]

чем вскрыт то? _нету_ отпечатков. не какает

Не думаю. Но даже если так то варианты есть
1. подсмотреть
2. отверткой

подсмотреть когда, перед тем как выщипнуть из моего кармана? Или типа стратегия такая, ходить за мной пока я не решу ввести код? Долго придется ждать, однако

Вы прям знатный щютник