Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > SecureID není až tak úplně "secure"
březen 23
SecureID není až tak úplně "secure"

Nedávno mi Martin Pavlis poslal bezva odkaz. Zdá se, že RSA má trošku problém se svým SecureID. To jsou takové ty tokeny co zobrazují nějaké číslo, pomocí něhož se můžete přihla​šovat do Windows nebo na webové stránky. Jedná se o OTP (One Time Password) multifaktorovou autentizaci.

A von klukům někdo šlohnul dokumentaci. To je sranda. Osobně by mě ani nevadilo, že jim někdo heknul síť. To se samozřejmě stát může. Mohl to být klidně nějaký zaměstnanec nebo uklízečka, to vůbec nemuselo být z venku.

Něco jiného je na tom zarážející. To, že krádež dokumentace může vůbec způsobit kompromitaci zařízení v ostatních firmách. To je vrchol. Tím RSA skončili.

V době, kdy i algoritmy, které se používají na Top Secret jsou veřejně známé, kdy není problém použít bezpečně mnoho známých symetrických i asymetrických algoritmů a existují hardware generátory náhodných čísel, znamená tahle informace jediné. Ten hardware vždycky stál za prd. Jestliže bezpečnost stojí na obscurity, tak je někde něco špatne.

Comments

There are no comments for this post.

Add Comment

Sorry comments are disable due to the constant load of spam *


Omlouvám se, ale příval spamu nelze kontrolovat, takže mi prosím pošlete email, pokud máte nějaký dotaz, nebo připomínku.

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments