Οι 10 πιο επικίνδυνες online ενέργειες των χρηστών

[cipher]

Ευκολο......
cd ./
rm -rF (αν θυμαμαι καλα τα switch)

Μου θύμισες τις ιστορίες του BOFH, που έλεγε:
Για 100% συμπίεση της user area σας: rm -rf ~/*
(Αν και ακόμη καλύτερο είναι το: rm -rf ~/* 2> /dev/nul)

Πάντως, οι χρήστες Windows θα είχαν πολύ λιγότερα προβλήματα αν είχαν λογαριασμό απλού χρήστη και τρέχαν ως admin κάποιο αρχείο που θέλανε να κάνουν setup. Αυτό και μόνο περιορίζει αρκετά τις επιπτώσεις όλων των υπόλοιπων επικίνδυνων ενεργειών.

[kubiak]

Μία λύση είναι να έχετε μονάχα δύο pass και κάθε μήνα να τα εναλλάσσετε!
Πάντως έχεις δίκιο, ένας admin οφείλει να αξιολογεί και το περιβάλλον αλλά και τους χρήστες του.

To καλύτερο είναι να προταθούν αλγόριθμοι παραγωγής κωδικών με πολύ μικρό input που μπορεί εύκολα να απομνημονευθεί.

Ας πούμε ο κάθε χρήστης να έχει στη διάθεσή του καμιά 50αριά αλγόριθμους, να διαλέξει έναν και να τελειώνει...

Το password θα είναι ασφαλές και εύκολο να το θυμηθεί ο χρήστης.

[cipher]

To καλύτερο είναι να προταθούν αλγόριθμοι παραγωγής κωδικών με πολύ μικρό input που μπορεί εύκολα να απομνημονευθεί.

Ας πούμε ο κάθε χρήστης να έχει στη διάθεσή του καμιά 50αριά αλγόριθμους, να διαλέξει έναν και να τελειώνει...

Το password θα είναι ασφαλές και εύκολο να το θυμηθεί ο χρήστης.

Ας πούμε π.χ. μία συνάρτηση κατακερματισμού (hash function). Ό,τι input και να δώσεις, θα σου βγάλει σταθερού μήκους output, ας πούμε 64 bit (για να χωράει ως password). Δεν κερδίζεις κάτι, γιατί ο "κακός" που θα σου κάνει επίθεση, θα περνάει τα πιθανά inputs από μια hash function και θα δοκιμάζει το output. Το ότι θα έχεις στη διάθεσή σου 50 δε σημαίνει πολλά, αφού η εκτέλεσή τους είναι απίστευτα γρήγορη.

[kubiak]

Δεν εννοώ ακριβώς κάτι τέτοιο αλλά μπορείς να το δεις στη γενική εικόνα.
Το hashing αποτελεί ένα είδος fingerprint, ενώ αυτό που περιγράφω είναι κάτι άλλο.
Για παράδειγμα να μπορείς να έχεις ένα κωδικό που να αλλάζεις εύκολα (βασισμένος στον αριθμό της εβδομάδας, το μήνα, τον γύρο ενός πρωταθλήματος που παρακολουθείς, τον αριθμό του τεύχους ενός περιοδικού ή τέλος πάντων κάτι που αλλάζει περιοδικά αλλά αρκετά συχνά και μπορείς εύκολα να θυμηθείς).

Tα πιθανά inputs θα είναι αρκετά αλλά οι αλγόριθμοι περιορισμένοι.

Και πάλι, κάποιος που θα θέλει να ρίξει μια κλεφτή ματιά θα πρέπει να μαντέψει πρώτα τον αλγόριθμο και στη συνέχεια να βρει το σωστό input. Δε μιλάμε φυσικά να κλέψει το password file και να του επιτεθεί καθώς από τη στιγμή που θα το είχε στα χέρια του θα ήταν κάπως trivial να βρει τους κωδικούς...

[maik]

Και λιγα σας έβαλε, σκέψου τώρα ότι οταν εσυ πήγες στην τουαλέτα οτι περασε κάποιος αλλος και είδε αυτά που θα έπρεπε να ειναι μονο για τα δικά σου ματια,

το οτι το έχουν πανω στο γραφείο τους δεν φταιει ο admin, ή μαλλον φταίει που ακόμα τους επιτρέπει πρόσβαση στο συστημα!!

Δεν μιλαμε για τα μυστικα της NASA ή της CIA εδω. Το μονο που μπορει να γινει ειναι να δει ο συναδελφος που δουλευει στο διπλανο γραφειο αν μου εστειλε mail η γκομενα μου . Και οι δυο δουλεουμε ακριβως τις ιδιες εφαρμογες απλα μπαινουμε με διαφορετικα ονοματα χρηστη. Γενικα ολα τα τερματικα ειναι απροσπελαστα απο ασχετο κοσμο απο θεμα χωροταξιας και μονο. Και σε αυτα που ειναι σε κοινη θεα πιο πολλα παραγματα θα μπορεσει να δει καποιος "αδιακριτος" κοιταζoντας πανω απο την πλατη του μπροστινου του στην σειρα παρα αν κατσει στο pc.
Απλα η αισθηση του μετρου και της πραγματικοτητας ειναι χαμενη.

[PopManiac]

08. Σύνδεση με σε άγνωστα, επισφαλή και αναξιόπιστα δίκτυα WiFi.

Τώρα εδώ, τι να πω που ταξιδεύω συνέχεια και αναγκάζομαι να χρησιμοποιώ ό,τι WiFi βρίσκω αφού είναι τσιγκούνηδες από τη εταιρεία και ούτε blackberry μου δίνουν, ούτε κάρτα μεταφοράς δεδομένων μέσω gprs...

Αναγκάζομαι λοιπόν όποτε είμαι on-the-go να παίζω με wifi που βρίσκω σε αεροδρόμια / ξενοδοχεία κλπ.

Πάντα βέβαια με φειδώ και προσοχή και ποτέ δεν κάνουμε online banking ή αγορές.

[MNP-10]

Δεν μιλαμε για τα μυστικα της NASA ή της CIA εδω. Το μονο που μπορει να γινει ειναι να δει ο συναδελφος που δουλευει στο διπλανο γραφειο αν μου εστειλε mail η γκομενα μου . Και οι δυο δουλεουμε ακριβως τις ιδιες εφαρμογες απλα μπαινουμε με διαφορετικα ονοματα χρηστη. Γενικα ολα τα τερματικα ειναι απροσπελαστα απο ασχετο κοσμο απο θεμα χωροταξιας και μονο. Και σε αυτα που ειναι σε κοινη θεα πιο πολλα παραγματα θα μπορεσει να δει καποιος "αδιακριτος" κοιταζoντας πανω απο την πλατη του μπροστινου του στην σειρα παρα αν κατσει στο pc.
Απλα η αισθηση του μετρου και της πραγματικοτητας ειναι χαμενη.

Δυστυχως αυτη η αναντιστοιχια θεωριας και πραγματικοτητας που οδηγει σε τραγικα προβληματα υλοποιησης (οπως αυτα που περιγραφεις), ειναι υπαρκτη.

[thama]

Δεν μιλαμε για τα μυστικα της NASA ή της CIA εδω. Το μονο που μπορει να γινει ειναι να δει ο συναδελφος που δουλευει στο διπλανο γραφειο αν μου εστειλε mail η γκομενα μου . Και οι δυο δουλεουμε ακριβως τις ιδιες εφαρμογες απλα μπαινουμε με διαφορετικα ονοματα χρηστη. Γενικα ολα τα τερματικα ειναι απροσπελαστα απο ασχετο κοσμο απο θεμα χωροταξιας και μονο. Και σε αυτα που ειναι σε κοινη θεα πιο πολλα παραγματα θα μπορεσει να δει καποιος "αδιακριτος" κοιταζoντας πανω απο την πλατη του μπροστινου του στην σειρα παρα αν κατσει στο pc.
Απλα η αισθηση του μετρου και της πραγματικοτητας ειναι χαμενη.

Δυστυχως αυτη η αναντιστοιχια θεωριας και πραγματικοτητας που οδηγει σε τραγικα προβληματα υλοποιησης (οπως αυτα που περιγραφεις), ειναι υπαρκτη.

Αν μιλάμε για domain, τότε τα πράγματα είναι πολύ πιο απλά.
Ενεργοποίηση του screen saver με προστασία password.
[Το οποίο ουσιαστικά κάνει lock τον υπολογιστή μετά από το προκαθορισμένο χρονικό διάστημα]

[cipher]

...
Για παράδειγμα να μπορείς να έχεις ένα κωδικό που να αλλάζεις εύκολα (βασισμένος στον αριθμό της εβδομάδας, το μήνα, τον γύρο ενός πρωταθλήματος που παρακολουθείς, τον αριθμό του τεύχους ενός περιοδικού ή τέλος πάντων κάτι που αλλάζει περιοδικά αλλά αρκετά συχνά και μπορείς εύκολα να θυμηθείς).
...

Αν αλλάζει περιοδικά, είναι ακόμη χειρότερα, γιατί σε περίπτωση που βρει κάποιος έναν κωδικό, τότε μπορεί να προβλέψει και τους επόμενους, ενώ εσύ θα έχεις μείνει με την εντύπωση "έχω αλλάξει τον κωδικό μου, άρα είμαι ασφαλής".

Μη σε ξεγελάει το γεγονός ότι χρειάζεται να θυμάσαι π.χ. το 23-10-2006, το οποίο ο αλγόριθμός σου θα το μετατρέψει με κάποιο τρόπο σε π.χ. "#5R278dGjk*&H$#@&^K3JX#K0=|{". Κάθε ορθά σκεπτόμενος επιτιθέμενος θα επικεντρωθεί στο να βρει το "23-10-2006" και όχι στο output του αλγόριθμου μετασχηματισμού.
Όπως είπε και ο A. Kerckhoff: “Η μυστικότητα πρέπει να βασίζεται εξ’ ολοκλήρου στο κλειδί”.

[kubiak]

§

Αν αλλάζει περιοδικά, είναι ακόμη χειρότερα, γιατί σε περίπτωση που βρει κάποιος έναν κωδικό, τότε μπορεί να προβλέψει και τους επόμενους, ενώ εσύ θα έχεις μείνει με την εντύπωση "έχω αλλάξει τον κωδικό μου, άρα είμαι ασφαλής".

Είναι απλά ένας τρόπος που προσφέρει ένα επίπεδο ασφάλειας για τον αποκλεισμό ματιών στον υπολογιστή σου, με την ιδιότητα και να θυμάσαι εύκολα τον κωδικό σου (ώστε να μην τον γράφεις), και να απαιτεί κάποια προεργασία από την πλευρά αυτού που θα επιθυμήσει να δει τα προσωπικά σου.

Το δύσκολο θα είναι να μαντέψει κάποιος από που αντλείς εσύ το input και ποιον αλγόριθμο από τον πεπερασμένο αριθμό που σου παρέχεται χρησιμοποιείς.

Πραγματικά αν βρει κάποιος ένα κωδικό (και δεδομένου ότι το input είναι ένας αριθμός που αυξάνεται με σταθερό ρυθμό) τότε είναι πολύ εύκολο να βρει τα επόμενα. Δεν είναι τόσο απλό όμως.

Μη σε ξεγελάει το γεγονός ότι χρειάζεται να θυμάσαι π.χ. το 23-10-2006, το οποίο ο αλγόριθμός σου θα το μετατρέψει με κάποιο τρόπο σε π.χ. "#5R278dGjk*&H$#@&^K3JX#K0=|{". Κάθε ορθά σκεπτόμενος επιτιθέμενος θα επικεντρωθεί στο να βρει το "23-10-2006" και όχι στο output του αλγόριθμου μετασχηματισμού.
Όπως είπε και ο A. Kerckhoff: “Η μυστικότητα πρέπει να βασίζεται εξ’ ολοκλήρου στο κλειδί”.

Μη νομίσεις ότι είναι ευκολο να μαντέψεις ένα αλγόριθμο και στη συνέχεια τον κωδικό. Όχι ότι δεν γίνεται, είναι δύσκολο όμως δεδομένων των απαιτήσεων...

§

[cipher]

Είναι απλά ένας τρόπος που προσφέρει ένα επίπεδο ασφάλειας για τον αποκλεισμό ματιών στον υπολογιστή σου, με την ιδιότητα και να θυμάσαι εύκολα τον κωδικό σου (ώστε να μην τον γράφεις), και να απαιτεί κάποια προεργασία από την πλευρά αυτού που θα επιθυμήσει να δει τα προσωπικά σου.

Το δύσκολο θα είναι να μαντέψει κάποιος από που αντλείς εσύ το input και ποιον αλγόριθμο από τον πεπερασμένο αριθμό που σου παρέχεται χρησιμοποιείς.

Και ποια είναι αυτά που συνήθως θυμάσαι εύκολα; Αυτά που συνήθως ήδη χρησιμοποιείς ή έχεις χρησιμοποιήσει ως password, οπότε πάλι είσαι στο ίδιο σημείο. Αν κάνεις ένα πείραμα σε σχολή σχετική με πληροφορική και συγκεντρώσεις για κάθε άτομο στοιχεία όπως: ημ/νία γέννησης, τηλέφωνο, ημ/νία γέννησης & τηλέφωνο & ημ/νία δημιουργίας δεσμού με το "έταιρον ήμισι" και αγαπημένη ομάδα, θα εκπλαγείς από το πόσα passwords θα βρεις, μόνο και μόνο με απλούς συνδυασμούς των παραπάνω. Δε σου λέω τι έχει να γίνει σε μη κομπιουτερόβιες σχολές...!

Πραγματικά αν βρει κάποιος ένα κωδικό (και δεδομένου ότι το input είναι ένας αριθμός που αυξάνεται με σταθερό ρυθμό) τότε είναι πολύ εύκολο να βρει τα επόμενα. Δεν είναι τόσο απλό όμως.

Ε, δε θα το κάνει με το χέρι...! Μιλάμε για κάποιον που έχει τις απαραίτητες γνώσεις. Τρόποι υπάρχουν και έχουν αποδειχθεί επιτυχείς για πιο δύσκολες καταστάσεις.

Μη νομίσεις ότι είναι ευκολο να μαντέψεις ένα αλγόριθμο και στη συνέχεια τον κωδικό. Όχι ότι δεν γίνεται, είναι δύσκολο όμως δεδομένων των απαιτήσεων...

Αν βασίζεις την ασφάλεια στη μυστικότητα του αλγορίθμου, το έχεις χάσει το παιχνίδι. Ακόμη κι αν διοχετεύσεις με ασφάλεια τον αλγόριθμο σε μεμονομένα άτομα, πόσο νομίζεις ότι θα παραμείνει κρυμμένο μυστικό στο σκληρό τους δίσκο; Το χειρότερο είναι ότι οι περισσότεροι θα επαναπαυθούν και δια διαλέγουν ακόμη πιο εύκολα seed-passwords, έτσι ώστε όταν θα "διαρρεύσει" ο αλγόριθμος, θα γίνει πάρτι μέχρι να το πάρεις χαμπάρι!!!

[aroutis]

Το 10. Συμμετοχή σε chat rooms, και social networking sites. είναι και δεν ειναι επικίνδυνο, εξαρτάται καθαρά από το ποιός ειναι ο χρήστης βασικά. Απο κει και πέρα καλό αρθρο.

[kubiak]

Βρε cipher απλά δεν με καταλαβαίνεις γιατί δεν διαφωνούμε πουθενά...

[cipher]

Βρε cipher απλά δεν με καταλαβαίνεις γιατί δεν διαφωνούμε πουθενά...

Καταλαβαίνω τι είναι αυτό που θέλεις να θίξεις και είναι σωστότατο, αλλά εξετάζω λίγο την υλοποίηση του τρόπου που προτείνεις και βλέπω ότι έχει κάποια κενά. Τίποτα παραπάνω

[BLuEArMyGR]

Τα κάνω όλα αυτά και ποτέ δεν έχω πάθει τίποτα!