lucchetto a combinazione quadrante 4: è più sicuro azzerarlo o girare i quadranti dopo averlo bloccato?

153

Sono parzialmente responsabile di alcune risorse protette da un lucchetto a combinazione quadrupla come questo :

Ci sono due cose che le persone di solito fanno dopo averlo bloccato:

  • ripristina tutte le cifre a 0, in modo che la combinazione legga 0000 o
  • schiacciare un po 'i quadranti in modo che la combinazione legga qualcos'altro.

Ho la netta sensazione che non esista alcuna differenza funzionale tra i due, ma sono incoraggiato a impostare una best practice. Quindi, supponendo che il lucchetto abbia una combinazione casuale ed è praticamente indistruttibile senza entrare nella combinazione corretta, quale approccio è più sicuro?

    
posta Peter Schilling 13.04.2018 - 16:05
fonte

12 risposte

116

In teoria l'azzeramento o qualsiasi sequenza predeterminata è più sicuro che puoi, in teoria fai un'ipotesi su quanto lontano qualcuno potrebbe muovere i quadranti.

In pratica questo è probabilmente un po 'inverosimile e qualsiasi cosa abbia un blocco combinato probabilmente ha preoccupazioni maggiori, ad esempio la combinazione è conosciuta da troppe persone o il fatto che qualsiasi numero tra il 1950 e il 2018 più gli anni di nascita di persone moderatamente famose è probabilmente una buona ipotesi.

Avendo detto che potrebbero esserci vantaggi operativi nell'avere combinazioni azzerate in quanto fornisce una chiara linea guida non ambigua ed è facile verificare visivamente che la serratura sia sicura senza che la persona che effettua il controllo debba conoscere la combinazione, specialmente se verificare fisicamente che il blocco sia chiuso è problematico, ad es. l'apertura fa scattare un allarme. Si potrebbe anche obiettare che l'aggiunta del passo aggiuntivo di azzeramento crea più di una routine e quindi rende meno probabile che le persone si dimentichino di impostare il blocco, anche se questo è certamente discutibile.

Ad esempio, se hai una guardia di sicurezza notturna, puoi semplicemente chiedere loro di controllare che tutti i blocchi siano impostati su 0000, che è sia facile da fare che verificabile.

Fornisce anche un controllo (certamente debole) che le serrature non sono state manomesse, qui una sequenza più arbitraria sarebbe meglio.

Ad esempio, se si impostano tutti i blocchi su 2375 quando si esce e la sequenza è diversa quando si torna indietro si sa che qualcuno ha giocato con loro.

Dovresti anche essere consapevole del fatto che alcuni tipi di combinazione di blocco della composizione sono molto banali da scegliere, come spesso si può percepire quando ogni quadrante si attiva scorrendo rapidamente in ogni quadrante o sondando dall'esterno. Allo stesso modo, un blocco di 4 dial ha solo 10.000 (10 ^ 4) combinazioni possibili e spesso è possibile effettuare sistematicamente le combinazioni molto rapidamente.

    
risposta data 13.04.2018 - 21:31
fonte
193

Consiglierei di impostarlo su 0000 o qualche altra combinazione specificata (non importa cosa).

"Schiacciare i quadranti" è un po 'vago, ma indovinerei in base al mio comportamento che le persone tendono a spostare la maggior parte o tutti i quadranti contemporaneamente, creando una strong correlazione tra la combinazione attuale e il combinazione di blocco. Ad esempio, se la combinazione di blocco è 1234, qualcuno potrebbe cambiarla in 5678 (probabilmente non esattamente, ma abbastanza vicino da consentire a un utente malintenzionato di dare la priorità alle combinazioni che tenta).

Gli umani hanno anche la tendenza a pensare che alcune cose sembrano più sicure quando effettivamente indeboliscono la sicurezza. Qualcuno potrebbe provare a impostarlo su una combinazione che sembra "ulteriore" dalla combinazione di blocchi, come cambiare da 1234 a 6578 anziché 2142 perché 2142 è troppo "vicino" alla combinazione di blocco. Ciò potrebbe consentire a un utente malintenzionato di dare la priorità all'ordine in cui tentano le combinazioni. Specificare un valore costante per impostarlo per evitare tali problemi.

    
risposta data 13.04.2018 - 16:19
fonte
33

Non importa.

Un blocco può fornire tre forme di protezione:

  1. Ritardare un utente malintenzionato dall'accedere a una risorsa in modo che possano essere interrotti e arrestati
  2. Fornire prove di manomissione
  3. Dissuadere un potenziale aggressore dal tentativo di attacco

Come discusso nelle risposte e nei commenti, non riesce a fare molto nel modo di ritardare un aggressore. Il blocco può essere facilmente tagliato con uno strumento, come questo $ 10 paio di cesoie per bulloni . Può essere facilmente selezionato con uno strumento , come CGCampbell 's commento indica.

La facilità con cui può essere scelto limita anche la sua efficacia come prova di manomissione. Altre risposte indicano che può essere facilmente sconfitto anche senza uno strumento di prelievo. Quindi non funziona proprio così.

Questo lascia il suo unico valore come beneficio psicologico. Comunica che gli oggetti di valore all'interno non sono pensati per un accesso illimitato, il che dissuade le persone il cui senso della moralità o la paura di essere scoperti impedirà loro di tentare affatto.

Ciò su cui si trova il quadrante ha quindi quasi nessuna rilevanza per le sue capacità difensive. Di conseguenza, avrai bisogno di altri meccanismi difensivi per raggiungere i tuoi obiettivi di sicurezza se includono qualcosa oltre l'influenza psicologica. Sorveglianza (video o di persona) ti darebbe prove di manomissione molto più attendibilmente se è quello che ti serve; se questo non è fattibile, ci sono altri modi per raggiungerlo. Sono necessari altri mezzi di protezione se si intende proteggerli da determinati aggressori.

    
risposta data 14.04.2018 - 03:04
fonte
23

Risolvilo. Forse più lavoro, ma non corri il rischio di girare troppo poco o di ruotare la stessa quantità per quadranti multipli. In entrambi i casi, un attaccante avrebbe molto poco da fare, però ... La maggior parte delle persone non lo considererebbe. La vera sicurezza del mondo reale tra i due è probabilmente equivalente. Avrebbero solo niente in più da aggiungere se lo azzerassi, ed è bene formare un'abitudine del genere.

    
risposta data 13.04.2018 - 16:13
fonte
11

Ci sono alcune cose da prendere in considerazione quando rispondi a questa domanda.

  1. Se stai cercando una risposta statistica, quindi "gira" i quadranti un numero specifico di volte in modo casuale avanti e indietro. (Non ho il conteggio in quanto sarebbe un calcolo che non ho con me.E 'come se un numero richiesto di shuffles a Las Vegas fosse considerato casuale.)

  2. Se stai guardando questo da un punto di vista della sicurezza, impostalo su un numero specifico è la risposta migliore (dove 0000 potrebbe essere quel numero specifico). Il motivo per cui una risposta migliore è stata toccata in altri post, ma in sintesi richiede che la persona che blocca il lucchetto "pensi" per assicurarsi che sia stata composta. Non fornisce informazioni statistiche nel tempo per indovinare i movimenti. Permette la periodica "scoperta" della manomissione (anche se sposta i numeri in giro). Se il numero impostato è 0000, la parte di manomissione avrà un'efficacia potenzialmente inferiore poichè qualcuno che gioca con esso probabilmente si ricorderà di tornare a 0000.

Sfortunatamente tutto questo è alquanto discutibile se la persona che cerca di aprire il lucchetto sa cosa sta facendo. Queste serrature combo a 4 cifre come quella in genere possono essere aperte in meno di 30 secondi da qualcuno che abbia esperienza con loro. Se hanno uno spessore sottile, ancora più veloce ... Solo un tipico esempio di video di come è fatto (con più quadranti esposti anche se) link o link . Avendo lavorato a DefCon per diversi anni, è piuttosto sorprendente stare per qualche minuto nel villaggio di lockpicking e guardare i giovani adulti scoppiare velocemente queste cose dopo meno di 15 minuti di allenamento.

Sapendo quanto sono facili da far scoppiare, e il fatto che tu sia probabilmente preoccupato per la manomissione, # 2 sopra è la strada da percorrere a lungo termine.

    
risposta data 13.04.2018 - 23:18
fonte
5

Per aggiungere un ulteriore livello di sicurezza, usa entrambe le direzioni allo stesso modo per azzerare o ruota sempre tutto in un'unica direzione, per lasciare una quantità uguale di impronte digitali. Le persone tendono a scegliere un numero una volta e memorizzarlo. Il percorso da zero a (o vicino) la combinazione corretta potrebbe essere rivelato in luce UV.

Penso che sia ancora più facile che indovinare se una combinazione diversa da zero proviene da una rotazione o da una raccolta manuale: memorizzare ciò che è già stato provato potrebbe impiegare una quantità di tempo e impegno simile rispetto all'addestramento di stead999999. E una volta rubato, il tempo e la combinazione diventano irrilevanti: mi concentrerei sulle minacce che potrebbero verificarsi mentre girerai le spalle, senza sapere che i segreti sono stati compromessi.

    
risposta data 14.04.2018 - 07:41
fonte
4

In teoria, impostarlo su 0000 è superiore perché non c'è alcuna possibilità di correlazione con ciò che c'era prima. In pratica, è leggermente superiore perché hai un modo per verificare la conformità, mentre qualsiasi procedura specificata che richieda un'adeguata quantità di randomizzazione, non può essere facilmente verificata per vedere se le persone stanno effettivamente seguendo il protocollo invece che spazzolare solo casualmente il pollice sopra tutte le ruote insieme.

Ma ancora più pratico, è assolutamente stupido dipendere da un tale blocco per una seria sicurezza. Se vale questo livello di analisi, vale una serratura che non è un giocattolo. Regola tagliatori di bulloni.

    
risposta data 14.04.2018 - 18:28
fonte
3

Di più sull'azzeramento del risultato, che è il mio approccio raccomandato. Questa è una risposta teorica .

Supponendo che un utente malintenzionato sappia come resettare il blocco azzerando, impostando su qualsiasi valore fisso, o rimescolando le cifre, dovrebbero comunque mantenere a zero la conoscenza della combinazione corretta e quindi uguali probabilità di trovare una combinazione casuale.

Questo potrebbe essere rotto con "mescolanza" perché nessun essere umano è una fonte perfetta di fonte casuale. In realtà potrebbero essere i peggiori.

Il fruscio attorno alle cifre potrebbe funzionare con un dispositivo meccanico / elettronico che gira le cifre in base a una fonte veramente buona o casuale.

Ma normalmente gli umani applicherebbero i modelli di cifre che potrebbero ridurre i possibili valori da cercare.

Supponi che tu e l'autore dell'attacco condividiate un insieme di blocchi di cui conoscono entrambi la combinazione . Normalmente si dovrebbe ad esempio strisciare le dita "a caso" sui rulli per farle puntare a un numero diverso. O muovi i rulli in un ordine che il cervello vuole mantenere.

Forse qualcuno si assicurerà che il numero risultante mostri tutte le cifre diverse dalla combinazione corretta, o un numero minimo di zecche quando si cambia ciascuna cifra.

Ciò provocherà un attacco di testo in chiaro noto di un numero crescente di tentativi (di nuovo, questa è una risposta teorica) e fornirà ulteriori informazioni sulla combinazione che il l'attaccante non dovrebbe avere.

Che cosa significa enfatizzato aggiuntivo ? Che anche se l'attaccante riesce a determinare che una singola cifra è sicuramente un'ipotesi sbagliata, ha appena lasciato cadere gli attacchi di forza bruta necessari di 1000. Aggiungi più cifre per limitare la superficie di attacco.

L'impostazione su 0000 o su qualsiasi valore predefinito rende le probabilità di ogni combinazione uguali

    
risposta data 16.04.2018 - 14:16
fonte
1

In senso pratico non importa, tentare di annullare il tuo cieco rimescolarsi sarà più difficile di un semplice movimento dei quadranti e una sensazione di blocco. È abbastanza facile aprire un lucchetto a combinazione solo girando i quadranti e sentendo come reagisce. Serrature di combinazione come queste sono solo lievi deterrenti.

    
risposta data 15.04.2018 - 14:48
fonte
1

In realtà è una pessima idea richiedere a tutti di usare tutti gli 0 perché richiedere tutti gli 0 è un teatro di sicurezza gravoso.

I have a strong feeling that there is no functional difference between the two, but I am encouraged to set a best practice.

La migliore pratica dovrebbe essere qualcosa che le persone fanno e seguono costantemente, e qualcosa per cui la tua coorte capisce l'importanza. Gli argomenti che seguiranno quando qualcuno dimenticherà di impostare tutto su 0 o non si sentiranno come se nulla fosse altro che meschino. Ovviamente tutti gli altri membri del tuo team sanno che non fa alcuna differenza, almeno non una differenza che non inizia con "bene tecnicamente".

Quando la gestione è letterale sulla sicurezza, puoi aspettarti che i dipendenti siano letteralisti di fronte a loro. Se le persone si arrabbiano davvero, puoi aspettarti di trovare il blocco sul terreno impostato su tutti gli 0 e la cassastrong aperta un giorno, proprio come lo vuole la direzione.

    
risposta data 18.04.2018 - 00:30
fonte
0

potresti anche aggiustare un altro numero casuale 3234 per esempio e riportarlo a questo numero dopo il blocco, quindi è più facile sapere se è stato giocato con, invece di 0000

    
risposta data 15.04.2018 - 21:50
fonte
-1

In teoria, sono ugualmente (in) sicuri. Se uno di essi fosse più sicuro (ad esempio ruotando ciecamente i quadranti), l'hacker lo saprebbe e imposta il blocco su "0000" per ridurre la complessità, e viceversa.

Una cosa da notare però è che le cifre in rotazione a caso potrebbero teoricamente dare il tuo codice se è "più semplice" girare la cifra nella posizione corretta (il che dovrebbe significare che è un blocco molto brutto, ma per quanto ne so alcune serrature sono come quello). Quindi, se vuoi introdurre qualche elemento casuale, potresti trovarti meglio con un numero casuale, assicurandoti che non sia troppo vicino al numero corretto e impostando il blocco su quel numero

    
risposta data 18.04.2018 - 17:22
fonte

Leggi altre domande sui tag