Billigaste inloggningen

Övriga diskussioner relaterade till komponenter. Exempelvis radiorör, A/D, kontaktdon eller sensorer.
Lullen
Inlägg: 140
Blev medlem: 16 oktober 2006, 17:37:32

Billigaste inloggningen

Inlägg av Lullen »

Vilken typ inloggning är billigast? har tänkt att ha den till ett program som jag skrivit i vb har kollat på lite olika lösningar men känner att jag behöver lite hjälp. inloggningssystemet ska kommunicera med datorn och mitt vb program och ska vara nått liknande magnetkort/smartcard/ibutton/fingeravtryck

så vilket alternativ ska jag välja? har tänkt att ha upp till 20 olika användare
sebastiannielsen
Inlägg: 3663
Blev medlem: 11 september 2004, 09:30:42
Ort: gbg
Kontakt:

Inlägg av sebastiannielsen »

Kolla min säkerhetsanalys:

(bilden är större än 700 pix bred, därför får ni klicka...)
http://www.sebn.1.vg/bilder/sakerhet_jamforelse.JPG
(om ni undrar varför ibutton bara har fått 6 i säkerhetsnivå så beror det på att 7-10 är för de biometriska metoderna...)

Hålkort är billigast och hyffsat säkert. (Hållbart** är det också) Det går att bygga en egen RS232-läsare för 10x10-hålkort för bara ca 350 kr, och varje hålkort går på ca 0,10-1 krona* styck, om man borrar själv. (går ju lätt att fixa en borrmall/borrjigg med 100 hål i, och så borrar man bara dom hål som ska vara hål, enligt ett genererat mönster som man skulle kunna visa på en datorskärm)

* Man kan köpa ett 1000-pack med vita tomma plastkort för ca 400 kr...
Vet inte hur mycket en svensk leverantör vill ha för ett 100-pack, men kan tänka mig 80 öre/styck

** Ett hålkort tål att det blir skrapat lite på ytan (krävs att man skrapar ner minst 0,8 mm som är tjockleken på kortet innan information börjar bli förstörd), och det tål även att man "råkar" lägga kortet på en högtalare utan att det säger "zipp" och informationen är raderad...
Användarvisningsbild
anlamotte
Inlägg: 859
Blev medlem: 5 augusti 2003, 15:54:34
Ort: Stockholm
Kontakt:

Inlägg av anlamotte »

Intressant undersökning. Vad har du fått uppfifterna ifrån?
Hur kommer det sig att PIN/Lösenord fått så dåliga värden?

Noggranhet: 1 hmmm?
DeeJayPA
EF Sponsor
Inlägg: 1384
Blev medlem: 4 december 2004, 21:17:57
Ort: Luleå

Inlägg av DeeJayPA »

Haha hålkort?????
Är det 60talet eller.
danei
EF Sponsor
Inlägg: 27405
Blev medlem: 2 juni 2003, 14:21:34
Ort: Östergötland
Kontakt:

Inlägg av danei »

anlamotte: tvekar du på resultaten från forumets säkerhetsexpert?

Frågan är varför det är så låg "hållbarhet" på de system som helt saknar "kort"
v-g
EF Sponsor
Inlägg: 7875
Blev medlem: 25 november 2005, 23:47:53
Ort: Kramforce

Inlägg av v-g »

Alltså vilken funktion ska systemet ha?

Är det inpassering, kontroll av en läskautomat eller verifiering för dina kärnvapen?

Vad får det kosta?

Med dessa upplysningar tror jag du kan få ett bättre svar!
HBBq
Inlägg: 3
Blev medlem: 14 januari 2007, 23:01:31
Ort: Alingsås

Inlägg av HBBq »

Sebastiannielsen:

Finns det någ som helst bakgrundsinfo till betygen i din lista?

Hur kan hållbarheten vara lägre för ansiktsavkänning/irisavläsning/fingeravtryck än för "dallas-knapp", inte så lite lägre heller utan 1,2,3 för de som man faktiskt har på kroppen och 10 för den som man kan köra över med bilen...

Hur kan hålkort få bäst betyg när det bara har 3 i säkerhet? Är det inte bättre att vikta totalsumman så att säkerhet är det viktigaste betyget för ett säkerhetssystem?

Hur kan streckkod få 6 i nogrannhet? jag har aldrig varit med om en streckkod som lästs av som en annan streckkod...

Hur kan PIN/Lösenord ha 1 i hållbarhet och säkerhet? det finns ju faktiskt system där man kan ha lite krav på komplexiteten i lösenorden (typ i windows-nätverk m.m.)
Användarvisningsbild
Oblivion
Inlägg: 2502
Blev medlem: 31 juli 2003, 22:26:29
Ort: där jag trivs
Kontakt:

Inlägg av Oblivion »

allså lyssna inte på seb... du snackar med killen som la ut lösenorden till sina privata bankkonton på nätet så alla kunde logga in:)

hålkort tillhör det förgångna...
danei
EF Sponsor
Inlägg: 27405
Blev medlem: 2 juni 2003, 14:21:34
Ort: Östergötland
Kontakt:

Inlägg av danei »

Jag gillade tråden när han var tvärsäker på att man var tvungen att hacka mailservern för att ange en falsk avsändar adress. Tyvärr kan listan göras lång. Men han verkar ha lärt sig en del på vägen.
B1n4ry
EF Sponsor
Inlägg: 1327
Blev medlem: 30 november 2005, 20:02:50
Ort: Borås
Kontakt:

Inlägg av B1n4ry »

Öhh... Släng den där jämförelsen i papperskorgen.
Jag jobbar med IT-säkerhet och det där var det löjligaste jag sett.

Hålkort hackade och kopierad jag när jag var 7 år.

//B1N4RY
v-g
EF Sponsor
Inlägg: 7875
Blev medlem: 25 november 2005, 23:47:53
Ort: Kramforce

Inlägg av v-g »

B1n4ry:Fast som "säkerhet" på just hålkort så jar ju seb.. 3 så så väldigt säkert har han inte klassat det.
Användarvisningsbild
Zyxel615
EF Sponsor
Inlägg: 1839
Blev medlem: 9 november 2005, 21:20:43
Ort: Kiruna

Inlägg av Zyxel615 »

Ojojoj :lol: :lol: Vad ska man säga... Stackars den som anlitar Seb för att fixa en säkerhetslösning..
Användarvisningsbild
anlamotte
Inlägg: 859
Blev medlem: 5 augusti 2003, 15:54:34
Ort: Stockholm
Kontakt:

Inlägg av anlamotte »

Jag ska fråga banken om jag inte kan få ett hålkort istället för bankomatkort + PIN kod.... :D
Användarvisningsbild
Zyxel615
EF Sponsor
Inlägg: 1839
Blev medlem: 9 november 2005, 21:20:43
Ort: Kiruna

Inlägg av Zyxel615 »

Tja, tydligen är det betydligt säkrare än ett lösenord så det är ju ett klockrent val:)
sebastiannielsen
Inlägg: 3663
Blev medlem: 11 september 2004, 09:30:42
Ort: gbg
Kontakt:

Inlägg av sebastiannielsen »

med noggrannhet på streckkod menar jag att det händer ibland att den inte läser av streckkoden korrekt, och så får man dra kortet igen.... Dvs den nekar en behörig användare felaktigt.

Hålkort kräver inte lika stor noggrannhet i avläsningssystemet.

Samma med lösenord... Det räcker ju med att man slår en siffra fel så nekar den en behörig användare felaktigt.
Anledningen till att ett lösenord har fått så dålig säkerhetspoäng är för att det inte krävs någon "anstränging" för att gissa ett lösenord. Det är ju "bara" att sätta datorn på att bruteforca/dict-attacka lösenordet, och sedan gå därifrån, i förhoppning att lösenordet knäcks inom några timmar/dagar...

Ett system som baserar sig på kort är ju mycket säkrare, eftersom du måste på något sätt komma åt originalkortet för att kunna logga in, eller kopiera kortet.... I de fall där kortet är lätt kopierat så har jag satt säkerheten lägre, men eftersom informationen på kortet
går att göra 100 % slumpmässig genom att det är ingen som behöver komma igåg den, och dessutom kan man kryptera & scrambla informationen på hålkort/tag/streckkodskort/chipkort whatsoever så att kortnumret inte kan länkas till informationen på kortet utan nyckeln, och därmed räcker det inte med kortnumret för att kopiera kortet...

Om man ska "bruteforca" ett kortbaserat system så måste man borra/koda/programmera/printa ett nytt kort för varje kort man vill prova, vilket är en större ansträngning per lösenord och tar avsevärt längre tid per nummer....

Ett hålkort på 100 hål motsvarar 2^100 kombinationer = 1267650600228229401496703205376 kombinationer.

Om man jämför detta med ett lösenord på basen 83, dvs stora+små+siffror+specialtecken (basen 83 fick jag från wikipedia)
så blir ekvationen så här:

2^100 = 83^X

Om vi logaritmerar båda leden, så blir det så här:

log(2^100) = log(83^X)

Sedan kan vi lösa ut X

log(2^100) = X * log(83)

Sedan flyttar vi över log(83) så X står för sig självt...

log(2^100) / log(83) = X

X = 15,68617748594409857815277378258

Dvs MINST 15 tecken, och lite till.

Kontroll: 83^15,68617748594409857815277378258
= 1267650600228229401496703205351,2
Antal komb på hålkort:
= 1267650600228229401496703205376


DVS ett hålkort på 100 (10x10) hål motsvarar:
HELT slumpmässigt lösenord typ: g32XgXv7?Cv!$s%

Vem kommer ihåg ett sådant? Ingen....

----------------------------------------

Anledningen till att biometriska inloggningssystem har fått dåliga hållbarhetspoäng är att fingret kan ju åka in i sågen om man har otur... Och då kommer man inte in längre i datorn... Röstsystem är känsliga för förkylda röster... Lösenord glöms bort... streckkoden (som bara är bläck på en plast/pappersyta) nöts bort inom något års användande in och ut genom en läsare. Och om någon råkar rikta en laserpekare in i någons öga så kommer man inte igenom iriskontrollen... Signaturer förändras lite med tiden....

Men om du nu inte vill ha hålkort så kan du ju ta ibutton... Den har ju i princip de bästa poängen, men de är DYRAST också per "kort"... De kostar ju TRETTIO KRONOR styck för serienummervarianten EXCL moms!!... (klicka här för att se prislista hos elfa)

--------------------------------------------

>Hur kan hålkort få bäst betyg när det bara har 3 i säkerhet? Är det inte
>bättre att vikta totalsumman så att säkerhet är det viktigaste betyget för
>ett säkerhetssystem?

Alla betyg är viktade likadant. Vilket innebär att ett system med 1 i säkerhet och 10 i pris får samma betyg som ett system med 10 i säkerhet och 1 i pris

-----------------------------------------------

Jag har baserat analysen på vad jag läst på sajter, bland annat att "wiegand" är omöjlig att kopiera, och därför har den fått samma säkerhetsnivå som alla andra tekniker som är omöjliga att kopiera, tex RFID, chipkort, dallas...
Senast redigerad av sebastiannielsen 15 januari 2007, 18:40:52, redigerad totalt 1 gång.
Skriv svar