Új hozzászólás Aktív témák

• #1 gazazegesz csendes tag

  Új Válasz 2006-10-11 08:40:11 #1

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  gazazegesz

  csendes tag

  Informatikai elemzésnek szegényes, leirták mit gondolnak, persze elfogadható mint a saját véleményük, de hogy biztonsági elemzésnek nevezhetjük és megoszthatjuk az érintettel. Ez a cikk nos... kmh ujságírás.. (gondolom ha az lett volna benne h az ügyfélkapuval minden oké akkor nem jelenik meg pedig a kijelentés értéke ugyanaz lenne)
  Javaslat, talán be kellett volna linkelni a pdf-et, amit irtak..
  Természetesen nem fikázásnak szántam de egy lukas huszfillérest nem adnék ezért az elemzésért, az egyetlen komoly megállapítás, hogy egylépcsős az authentikáció,
  Ezt gondolom a rendszer üzemeltetői is tudják nem új információ és gondolom nem véletlen, hogy igy van.
  Nekem hiányzik a rendszer egyébb elemeinek elemzése (pl. authorizáció).
  Szomorú, hogy mostmár mindenhol feltűnik az identifikáció szó miközben virtuális megfeleltetés sohasem lehet teljes biztonságú azonosítás. Azaz ha valakit kispista loginnal tesz sohasem jelenthető ki azonosítás után egyértelműken, hogy az csak és kizárólag Kis Pista lehet, csak az mondható el hogy annak valószínűsége, hogy nem Kis Pista hogyan csökkenthető. Ebben az a legszomorúbb, hogy köznapi nyelvben értelmezhető szavak (identification) arra ösztönzik a törvényalkotókat, és a törvényalkalmazókat akiket csak jóindulattal nevezhetünk csupán laikusnak, hogy elhiggyék a virt. megfeleltetés biztonsága 100%. Ez igy befolyással van törvényeink későbbi alakulására illetve ezek alkalmazására. Virtuális megfeleltetés jelentse mindig azt, ami. Azaz ha kispista csinált valamit, és ne tegyük lehetővé azt hogy azt egyértelműen Kis Pista csinálta. A virtuális megfeleltetés sohasem lehet teljesen biztonságos ezért alkalmazzák a környezet mentését, hogy független állományokból visszaállítható legyen a valós személy. A digitális aláírás is lopható, ugyanúgy mint a jelszó.
  Szörnyű lenne az a kijelentés, hogy az alapján elitélhetnek, hogy az otthoni gépem hibája miatt szervízbe vittem, valami szánalmas jelszóval védett privát kulcsomat elvitték és utána bejelentkeztek nevemben én meg leülöm a 10 évet mert biztosan én követtem el. Emellett az elemzés nem terjed ki arra, mennyivel csökkentené a felhasználók számát ha előirnánk az aláírás használatát. Ne feledjük el, hogy sokak számára kötelező a rendszer használata.
  A legtöbb számítástechnikai rendszer egylépcsős authentikációval rendelkezik, és jól működik. Mivel ezen rendszer használata ténylegesen kulcsfontosságú lehet, vizsgálni kell, hogyan lehetséges biztonságosabbá tenni. Erre jóval egyszerűbb tudás alapú módszer is alkalmazható, ennek alapeleme a visszajelzéses rendszer lehetne (pl email), azaz az azonosító kizárólagosan tájékozódásra használható, bármilyen más művelet a rendszer részéről külön csatornán megerősítés egyszerűbb az ügyfél részére és a rendszer szempontjából is kevés fejlesztéssel elérhető.
  Itt van a legnagyobb felelősége az analizis készítőinek akik kizárólag kritizálják a rendszert, de egyértelműen elsikkad az a rész, hogy mit javasolnak, hogy biztonságosabb legyen a rendszer, mert egyrészt a címe is az hogy '' kitől lehet tanulni '' másrészt felsorolás, és nem értékelés a megvalósithatóság szempontjából (pedig a mobil az egy jó javaslat, csak van technikai feltétele).
  A második pozitívum a analizisben, hogy felhívják a figyelmet a social engieering problémájára és a phising-re, és talán ebben az anyagban láttam egyértelműen laikus számára is elmagyarázza hol van ennek veszélye. Ehhez viszont gratulálok, kár tényleg, hogy a pdf link kimaradt a cikkből.
  A cikkről azonba semmilyen pozitívum nem mondható el, szakmaiságba bujtatott szenzációvadászat.

Új hozzászólás Aktív témák