id: Гость   вход   регистрация
текущее время 18:40 29/03/2024
Автор темы: Гость, тема открыта 12/06/2004 20:09 Печать
http://www.pgpru.com/Форум/РаботаСPGP/БезопасностьВводаПароляОнлайн
создать
просмотр
ссылки

Безопасность ввода пароля онлайн


Это PGP/MIME – такая кака! Шифровать можно исключительно в онлайне – прямо непосредственно перед отправкой письма вводяgfhjkmye. ahfpe. Иначе никак – аттачи не шифруются! Т.е. зашифровать письмо в оффлайне в формате PGP/MIME – нельзя! И это очень плохо! Вводить пароль в онлайне либо кешировать его на длятельное время – очень неудобно и, самое главное, это является риском для безопасности.


Может я где-то неправ? Просветите плз...


The Bat! V2.10.01


 
На страницу: 1, 2 След.
Комментарии
— SATtva (11/06/2004 14:55)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Вводить пароль в онлайне либо кешировать его на длятельное время – очень неудобно и, самое главное, это является риском для безопасности.

Риск ввода пароля онлайн ничуть не выше, чем в офлайне. Если опасаетесь keylogger'ов, то они функционируют независимо от подключения к Сети, а при подключении могут просто слить свой протокол взломщику. Касаемо кэширования, пароль сохраняется в ОЗУ, даже не попадая на диск. Поэтому вытащить его оттуда без непосредственного доступа к микросхеме оперативной памяти (т.е. удалённо через сеть) не представляется возможным.
— Гость (11/06/2004 21:50)   <#>
SATtva:
Вводить пароль в онлайне либо кешировать его на длятельное время – очень неудобно и, самое главное, это является риском для безопасности.

Риск ввода пароля онлайн ничуть не выше, чем в офлайне. Если опасаетесь keylogger'ов, то они функционируют независимо от подключения к Сети, а при подключении могут просто слить свой протокол взломщику. Касаемо кэширования, пароль сохраняется в ОЗУ, даже не попадая на диск. Поэтому вытащить его оттуда без непосредственного доступа к микросхеме оперативной памяти (т.е. удалённо через сеть) не представляется возможным.

Что-то уж очень некомпетентно звучит. Кейлоггеры – это ещё не первоочередная/принципиальная угроза при подключении к сети. Существует целый класс вирусов, эксплуатирующих уязвимости в ОС от Микрософт. Например – всем известный MSBlast/Loveson и т.д. Основанные на переполнении буфера при обработке неправильных TCP/IP пакетов, приходящих на открытый порт. При этом произвольный код получает привилегии как минимум текущего пользователя – или даже Local System. Напомню также, что многие пользователи так и работают в сети под административным аккаунтом. Но и строгое следование правилам безопасности – не ставит непреодолимого барьера на пути такой угрозы.

Вы что, SATtva правда не знаете, что процессы, исполняемые на одном компьютере – в принципе могут читать память друг друга? Они и так имеют этот самый "непосредственный" доступ, о котором вы пишете – так как находятся на той же самой микросхеме памяти.

Ну, подробнее объяснять надо?

Легко представить себе вирус, который, будучи инъектированным через сеть – будет похищать текущие кэшированные пароли и ключи (например, PGPdisk'а) из ОЗУ – и передавать их своим операторам. После чего – мирно самоуничтожаться. Разработчикам такого вируса очень помогут открытые исходники криптографического ПО...

Такой класс угроз давно известен. Именно поэтому и рекомендуют выполнять все криптографические манипуляции в оффлайне – а лучше на компьютере вообще не подключённом к Интернету.
— Гость (11/06/2004 22:04)   <#>
"Поэтому вытащить его(пароль) оттуда без непосредственного доступа к микросхеме оперативной памяти (т.е. удалённо через сеть)" Представляется ВПОЛНЕ ВОЗМОЖНЫМ!"
— Гость (12/06/2004 09:02)   <#>

Не обязательно красть пароли, когда комп в сети. Можно запротоколировать их заранее, а отослать потом.

Firewall, между прочим, тоже не повредит.
— SATtva (12/06/2004 14:33)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
а лучше на компьютере вообще не подключённом к Интернету.

Вот это действительно решение, Ушк, а говорить о том, что на машине, периодически имющей доступ в Сеть, безопаснее вводить пароли в офлайне, мне кажется чем-то несуразным. Это было моей основной мыслью, а не сосредоточение на технической стороне вопроса. Поэтому ежели Вы выходите с конкретного компьютера в Сеть, не будет иметь принципиального значения, вводить ли пароль в офлайне или онлайн.
Станислав:
Firewall, между прочим, тоже не повредит.

Идеологически правильно, товарищ.
— Гость (12/06/2004 19:40)   <#>
Вирус, который протоколирует пароли/ключи заранее и отсылает их в момент подключения к Интернету – будет существенно сложнее устроен (как бы не порядок а то и на два) и будет проще обнаруживаться пользователем инфицированного компьютера.

Поэтому угроза от ввода пароля в онлайне – весьма и весьма превышает таковую от криптоманипуляций в оффлайне. Просто удивительно слышать обратные утверждения! Моё мнение о компетентности SATtva сильно упало. "Техническая сторона вопроса" – здесь весьма и весьма существенна! Описанный мной гипотетический вирус (а точнее внедряемый агент) – не нуждается в сохранении на диск, повторной активации при включении компьютера, определении момента ввода пароля (когда он в кэше) и т.п. Он просто живёт в памяти, хотя и очень недолго – ровно столько, сколько нужно для выполнения своей функции.

Firewall, между прочим, тоже не повредит.

Это подразумевается само собой разумеющимся. Только не спасёт он от всего.
— SATtva (12/06/2004 20:00)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Просто удивительно слышать обратные утверждения! Моё мнение о компетентности SATtva сильно упало.

Переживу. Спишите на шесть часов сна за всю рабочую неделю. Оправдывать же свои высказывания и мнения я не собираюсь... (Вообще последняя часть обсуждения — чистый офф-топик.)

Добавлено:

Тема разделена, можно флеймить дальше...
— Гость (12/06/2004 22:32)   <#>




И Вам кажется, что ПЕРВЫЙ сложнее???



Если предполагать, что на компьютер может получить удаленный доступ кто угодно, то предпринимать какие-либо меры защиты БЕССМЫСЛЕННО. Это все равно что в русскую рулетку играть ПМ или ТТ.
— Гость (12/06/2004 22:44)   <#>
Тогда уж назовите тему: "Опасность компрометации кэшированных паролей и ключей и меры противодействия этому"

Вот "программно-технические" меры противодействия – помимо соблюдения протокола – т.е. минимизации криптоманипуляциий в онлайне – также и хотелось бы здесь обсудить.

Закругляя тему с реализацией PGP-MIME в Bat!'е, хотелось бы подчеркнуть, что в настоящее время реализация эта весьма и весьма корявая. Если не сказать злонамереннонная! :evil: Невозможность защифровать письмо с вложением в оффлайне – это существенный недостаток, кардинально влияющий на удобство и безопасность использовании этой функции программы. Неужели кто-то будет с этим спорить?!!
— SATtva (12/06/2004 22:52)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Можно и не так назвать, только вот не влезет...

Неужели кто-то будет с этим спорить?!!

По поводу функциональности и удобства — нисколько. Но это к разработчикам Мыши.
— Гость (12/06/2004 23:09)   <#>
Anonymous:



И Вам кажется, что ПЕРВЫЙ сложнее???


В точности наоборот. Описанный мной выше гипотетический внедряемый агент именно проще – а потому опасности от него больше.

>не нуждается в сохранении на диск, повторной активации при включении компьютера, >определении момента ввода пароля

А вот такой вирус – предназначенный для мониторинга оффлайн-активности – сложнее.


Если предполагать, что на компьютер может получить удаленный доступ кто угодно, то предпринимать какие-либо меры защиты БЕССМЫСЛЕННО. Это все равно что в русскую рулетку играть ПМ или ТТ.

Ну не надо так уж трагично всё воспринимать! ;) Речь идёт исключительно об оценке вероятности и потенциальной опасности различных угроз.

И снова о Bat!'е.
Как раз невозможность использования PGP-MIME в оффлайне – не позволяет развернуть чистую-оффлайн криптографическую рабочую станцию. Т.е. никак не связанную с Интернетом. Между тем, зашифрованные и сохранённые письма например в формате EML/MSG могли бы физически переноситься на компьютер, подключённый к Интернету и отправляться с него. Это я говорю специально для "идеологически правильных товарищей" :twisted:
— Гость (12/06/2004 23:17)   <#>
Прошу прощения за мой излишний апломб в последнем постинге. Разумеется я не ищу на этом форуме виноватых в недостатках Bat!'а

Просто я изначально, в постинге, который сейчас открывает эту тему, – хотел спросить -действительно ли нельзя зашифровать аттачменты в Bat!'е с помощью PGP-MIME в оффлайне? А то может я что-то недопонял...
— SATtva (12/06/2004 23:45)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Насчёт Бэта я, право, подсказать ничего не могу — клиентом этим не пользуюсь. Но разве нужно непременно использовать PGP/MIME? (Это ведь Бэт, а не юниксовский Эволюшн, который только в PGP/MIME отправляет.) Рецепт прост: с помощью PGP шифруйте текст письма (через current window), аттач, формируйте MSG, экспортируйте и переносите на другую машину. Все операции выполняются офлайн без всяких трудносовместимых форматов. Или Вам по какой-то причине нужен именно PGP/MIME? Тогда Eudora поставьте.
— Kent (13/06/2004 03:09)   профиль/связь   <#>
комментариев: 437   документов: 30   редакций: 15
У меня аттач шифруется. The Bat! 2.11.03.
Возможно, это работает только при включенной опции "хранить прикреплённые файлы в теле письма".
— Гость (14/06/2004 11:46)   <#>
Kent:
У меня аттач шифруется. The Bat! 2.11.03.
Возможно, это работает только при включенной опции "хранить прикреплённые файлы в теле письма".

У меня так файлы и хранятся.
Kent, прошу уточнить, аттачменты шифруются именно в оффлайне в формате PGP/MIME? Какой командой: "Зашифровать весь текст", что ли?
Какая реализация PGP используется – внутренняя или внешняя.

Я в курсе, что при желании можно получить тело письма с аттачментами, зашифрованное PGP/MIME в оффлайне – если "отправить" письмо без соединения с Интернетом. Но потом если попытаться реально отправить такое письмо – Bat откажется это сделать.
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3