Vilken typ inloggning är billigast? har tänkt att ha den till ett program som jag skrivit i vb har kollat på lite olika lösningar men känner att jag behöver lite hjälp. inloggningssystemet ska kommunicera med datorn och mitt vb program och ska vara nått liknande magnetkort/smartcard/ibutton/fingeravtryck
så vilket alternativ ska jag välja? har tänkt att ha upp till 20 olika användare
Billigaste inloggningen
-
sebastiannielsen
- Inlägg: 3663
- Blev medlem: 11 september 2004, 09:30:42
- Ort: gbg
- Kontakt:
Kolla min säkerhetsanalys:
(bilden är större än 700 pix bred, därför får ni klicka...)
http://www.sebn.1.vg/bilder/sakerhet_jamforelse.JPG
(om ni undrar varför ibutton bara har fått 6 i säkerhetsnivå så beror det på att 7-10 är för de biometriska metoderna...)
Hålkort är billigast och hyffsat säkert. (Hållbart** är det också) Det går att bygga en egen RS232-läsare för 10x10-hålkort för bara ca 350 kr, och varje hålkort går på ca 0,10-1 krona* styck, om man borrar själv. (går ju lätt att fixa en borrmall/borrjigg med 100 hål i, och så borrar man bara dom hål som ska vara hål, enligt ett genererat mönster som man skulle kunna visa på en datorskärm)
* Man kan köpa ett 1000-pack med vita tomma plastkort för ca 400 kr...
Vet inte hur mycket en svensk leverantör vill ha för ett 100-pack, men kan tänka mig 80 öre/styck
** Ett hålkort tål att det blir skrapat lite på ytan (krävs att man skrapar ner minst 0,8 mm som är tjockleken på kortet innan information börjar bli förstörd), och det tål även att man "råkar" lägga kortet på en högtalare utan att det säger "zipp" och informationen är raderad...
(bilden är större än 700 pix bred, därför får ni klicka...)
http://www.sebn.1.vg/bilder/sakerhet_jamforelse.JPG
(om ni undrar varför ibutton bara har fått 6 i säkerhetsnivå så beror det på att 7-10 är för de biometriska metoderna...)
Hålkort är billigast och hyffsat säkert. (Hållbart** är det också) Det går att bygga en egen RS232-läsare för 10x10-hålkort för bara ca 350 kr, och varje hålkort går på ca 0,10-1 krona* styck, om man borrar själv. (går ju lätt att fixa en borrmall/borrjigg med 100 hål i, och så borrar man bara dom hål som ska vara hål, enligt ett genererat mönster som man skulle kunna visa på en datorskärm)
* Man kan köpa ett 1000-pack med vita tomma plastkort för ca 400 kr...
Vet inte hur mycket en svensk leverantör vill ha för ett 100-pack, men kan tänka mig 80 öre/styck
** Ett hålkort tål att det blir skrapat lite på ytan (krävs att man skrapar ner minst 0,8 mm som är tjockleken på kortet innan information börjar bli förstörd), och det tål även att man "råkar" lägga kortet på en högtalare utan att det säger "zipp" och informationen är raderad...
Sebastiannielsen:
Finns det någ som helst bakgrundsinfo till betygen i din lista?
Hur kan hållbarheten vara lägre för ansiktsavkänning/irisavläsning/fingeravtryck än för "dallas-knapp", inte så lite lägre heller utan 1,2,3 för de som man faktiskt har på kroppen och 10 för den som man kan köra över med bilen...
Hur kan hålkort få bäst betyg när det bara har 3 i säkerhet? Är det inte bättre att vikta totalsumman så att säkerhet är det viktigaste betyget för ett säkerhetssystem?
Hur kan streckkod få 6 i nogrannhet? jag har aldrig varit med om en streckkod som lästs av som en annan streckkod...
Hur kan PIN/Lösenord ha 1 i hållbarhet och säkerhet? det finns ju faktiskt system där man kan ha lite krav på komplexiteten i lösenorden (typ i windows-nätverk m.m.)
Finns det någ som helst bakgrundsinfo till betygen i din lista?
Hur kan hållbarheten vara lägre för ansiktsavkänning/irisavläsning/fingeravtryck än för "dallas-knapp", inte så lite lägre heller utan 1,2,3 för de som man faktiskt har på kroppen och 10 för den som man kan köra över med bilen...
Hur kan hålkort få bäst betyg när det bara har 3 i säkerhet? Är det inte bättre att vikta totalsumman så att säkerhet är det viktigaste betyget för ett säkerhetssystem?
Hur kan streckkod få 6 i nogrannhet? jag har aldrig varit med om en streckkod som lästs av som en annan streckkod...
Hur kan PIN/Lösenord ha 1 i hållbarhet och säkerhet? det finns ju faktiskt system där man kan ha lite krav på komplexiteten i lösenorden (typ i windows-nätverk m.m.)
-
sebastiannielsen
- Inlägg: 3663
- Blev medlem: 11 september 2004, 09:30:42
- Ort: gbg
- Kontakt:
med noggrannhet på streckkod menar jag att det händer ibland att den inte läser av streckkoden korrekt, och så får man dra kortet igen.... Dvs den nekar en behörig användare felaktigt.
Hålkort kräver inte lika stor noggrannhet i avläsningssystemet.
Samma med lösenord... Det räcker ju med att man slår en siffra fel så nekar den en behörig användare felaktigt.
Anledningen till att ett lösenord har fått så dålig säkerhetspoäng är för att det inte krävs någon "anstränging" för att gissa ett lösenord. Det är ju "bara" att sätta datorn på att bruteforca/dict-attacka lösenordet, och sedan gå därifrån, i förhoppning att lösenordet knäcks inom några timmar/dagar...
Ett system som baserar sig på kort är ju mycket säkrare, eftersom du måste på något sätt komma åt originalkortet för att kunna logga in, eller kopiera kortet.... I de fall där kortet är lätt kopierat så har jag satt säkerheten lägre, men eftersom informationen på kortet
går att göra 100 % slumpmässig genom att det är ingen som behöver komma igåg den, och dessutom kan man kryptera & scrambla informationen på hålkort/tag/streckkodskort/chipkort whatsoever så att kortnumret inte kan länkas till informationen på kortet utan nyckeln, och därmed räcker det inte med kortnumret för att kopiera kortet...
Om man ska "bruteforca" ett kortbaserat system så måste man borra/koda/programmera/printa ett nytt kort för varje kort man vill prova, vilket är en större ansträngning per lösenord och tar avsevärt längre tid per nummer....
Ett hålkort på 100 hål motsvarar 2^100 kombinationer = 1267650600228229401496703205376 kombinationer.
Om man jämför detta med ett lösenord på basen 83, dvs stora+små+siffror+specialtecken (basen 83 fick jag från wikipedia)
så blir ekvationen så här:
2^100 = 83^X
Om vi logaritmerar båda leden, så blir det så här:
log(2^100) = log(83^X)
Sedan kan vi lösa ut X
log(2^100) = X * log(83)
Sedan flyttar vi över log(83) så X står för sig självt...
log(2^100) / log(83) = X
X = 15,68617748594409857815277378258
Dvs MINST 15 tecken, och lite till.
Kontroll: 83^15,68617748594409857815277378258
= 1267650600228229401496703205351,2
Antal komb på hålkort:
= 1267650600228229401496703205376
DVS ett hålkort på 100 (10x10) hål motsvarar:
HELT slumpmässigt lösenord typ: g32XgXv7?Cv!$s%
Vem kommer ihåg ett sådant? Ingen....
----------------------------------------
Anledningen till att biometriska inloggningssystem har fått dåliga hållbarhetspoäng är att fingret kan ju åka in i sågen om man har otur... Och då kommer man inte in längre i datorn... Röstsystem är känsliga för förkylda röster... Lösenord glöms bort... streckkoden (som bara är bläck på en plast/pappersyta) nöts bort inom något års användande in och ut genom en läsare. Och om någon råkar rikta en laserpekare in i någons öga så kommer man inte igenom iriskontrollen... Signaturer förändras lite med tiden....
Men om du nu inte vill ha hålkort så kan du ju ta ibutton... Den har ju i princip de bästa poängen, men de är DYRAST också per "kort"... De kostar ju TRETTIO KRONOR styck för serienummervarianten EXCL moms!!... (klicka här för att se prislista hos elfa)
--------------------------------------------
>Hur kan hålkort få bäst betyg när det bara har 3 i säkerhet? Är det inte
>bättre att vikta totalsumman så att säkerhet är det viktigaste betyget för
>ett säkerhetssystem?
Alla betyg är viktade likadant. Vilket innebär att ett system med 1 i säkerhet och 10 i pris får samma betyg som ett system med 10 i säkerhet och 1 i pris
-----------------------------------------------
Jag har baserat analysen på vad jag läst på sajter, bland annat att "wiegand" är omöjlig att kopiera, och därför har den fått samma säkerhetsnivå som alla andra tekniker som är omöjliga att kopiera, tex RFID, chipkort, dallas...
Hålkort kräver inte lika stor noggrannhet i avläsningssystemet.
Samma med lösenord... Det räcker ju med att man slår en siffra fel så nekar den en behörig användare felaktigt.
Anledningen till att ett lösenord har fått så dålig säkerhetspoäng är för att det inte krävs någon "anstränging" för att gissa ett lösenord. Det är ju "bara" att sätta datorn på att bruteforca/dict-attacka lösenordet, och sedan gå därifrån, i förhoppning att lösenordet knäcks inom några timmar/dagar...
Ett system som baserar sig på kort är ju mycket säkrare, eftersom du måste på något sätt komma åt originalkortet för att kunna logga in, eller kopiera kortet.... I de fall där kortet är lätt kopierat så har jag satt säkerheten lägre, men eftersom informationen på kortet
går att göra 100 % slumpmässig genom att det är ingen som behöver komma igåg den, och dessutom kan man kryptera & scrambla informationen på hålkort/tag/streckkodskort/chipkort whatsoever så att kortnumret inte kan länkas till informationen på kortet utan nyckeln, och därmed räcker det inte med kortnumret för att kopiera kortet...
Om man ska "bruteforca" ett kortbaserat system så måste man borra/koda/programmera/printa ett nytt kort för varje kort man vill prova, vilket är en större ansträngning per lösenord och tar avsevärt längre tid per nummer....
Ett hålkort på 100 hål motsvarar 2^100 kombinationer = 1267650600228229401496703205376 kombinationer.
Om man jämför detta med ett lösenord på basen 83, dvs stora+små+siffror+specialtecken (basen 83 fick jag från wikipedia)
så blir ekvationen så här:
2^100 = 83^X
Om vi logaritmerar båda leden, så blir det så här:
log(2^100) = log(83^X)
Sedan kan vi lösa ut X
log(2^100) = X * log(83)
Sedan flyttar vi över log(83) så X står för sig självt...
log(2^100) / log(83) = X
X = 15,68617748594409857815277378258
Dvs MINST 15 tecken, och lite till.
Kontroll: 83^15,68617748594409857815277378258
= 1267650600228229401496703205351,2
Antal komb på hålkort:
= 1267650600228229401496703205376
DVS ett hålkort på 100 (10x10) hål motsvarar:
HELT slumpmässigt lösenord typ: g32XgXv7?Cv!$s%
Vem kommer ihåg ett sådant? Ingen....
----------------------------------------
Anledningen till att biometriska inloggningssystem har fått dåliga hållbarhetspoäng är att fingret kan ju åka in i sågen om man har otur... Och då kommer man inte in längre i datorn... Röstsystem är känsliga för förkylda röster... Lösenord glöms bort... streckkoden (som bara är bläck på en plast/pappersyta) nöts bort inom något års användande in och ut genom en läsare. Och om någon råkar rikta en laserpekare in i någons öga så kommer man inte igenom iriskontrollen... Signaturer förändras lite med tiden....
Men om du nu inte vill ha hålkort så kan du ju ta ibutton... Den har ju i princip de bästa poängen, men de är DYRAST också per "kort"... De kostar ju TRETTIO KRONOR styck för serienummervarianten EXCL moms!!... (klicka här för att se prislista hos elfa)
--------------------------------------------
>Hur kan hålkort få bäst betyg när det bara har 3 i säkerhet? Är det inte
>bättre att vikta totalsumman så att säkerhet är det viktigaste betyget för
>ett säkerhetssystem?
Alla betyg är viktade likadant. Vilket innebär att ett system med 1 i säkerhet och 10 i pris får samma betyg som ett system med 10 i säkerhet och 1 i pris
-----------------------------------------------
Jag har baserat analysen på vad jag läst på sajter, bland annat att "wiegand" är omöjlig att kopiera, och därför har den fått samma säkerhetsnivå som alla andra tekniker som är omöjliga att kopiera, tex RFID, chipkort, dallas...
Senast redigerad av sebastiannielsen 15 januari 2007, 18:40:52, redigerad totalt 1 gång.
