Come implementare l'identificazione sicura del dispositivo in un router wifi for-pay per prevenire l'uso fraudolento?

9

Dopo aver letto questa domanda su come i router WiFi for-pay identificano dispositivi specifici, mi sono fatto pensare a cosa sia alternativa sicura potrebbe essere. So che alcune ricerche si sono concentrate sull'identificazione dei dispositivi tramite la loro firma del browser e dal loro firma dell'oscillazione dell'orologio dell'hardware . Il primo può essere sconfitto modificando la firma del browser, e quest'ultimo è difficile da implementare e richiede tempo per creare la linea di base.

Gli indirizzi MAC possono essere modificati, gli IP possono essere ruotati ei cookie possono essere dirottati o cancellati accidentalmente (ad esempio, nel caso del router wifi for-pay, sarebbe indesiderabile). Esistono alternative pratiche per identificare un dispositivo specifico? Ci sono caratteristiche di hardware coerenti, inalterabili e innegabili (ad esempio CPU ID [sono ancora implementate?], Ma forse TPM?)

In che modo puoi proteggere un router WiFi for-pay per impedire ad altri di ottenere l'accesso gratuito?

    
posta logicalscope 01.01.2012 - 19:53
fonte

2 risposte

5

L'unico modo per identificare con precisione un cliente specifico su una rete sarebbe con la crittografia. Se ogni cliente avesse una propria coppia di chiavi asimmetriche e tu avessi usato una VPN SSL, sarebbe molto più semplice applicare le regole sull'utilizzo delle risorse.

Panopticlick non avrebbe mai funzionato per questo. La firma del browser cambierà a causa di aggiornamenti o installazione di nuovi plugin / lingue / ecc. Non solo, ma questo valore è altrettanto facile da falsificare come un indirizzo MAC, basta eseguire Panopticlick sul browser della vittima e quindi modificare il sistema in modo che corrisponda. La linea di fondo è che il fingerprinting del software è troppo facile da imbrogliare ed è soggetto a errori.

Il mio istinto è che l'impronta digitale dell'hardware non è la strada giusta. Cosa succede se l'utente malintenzionato ha hardware identico? I Macbook sono piuttosto popolari in questi giorni. Ancora una volta questo tipo di corrispondenza fuzzy è soggetto a errori e potrebbe produrre falsi positivi / falsi negativi.

    
risposta data 01.01.2012 - 22:04
fonte
0

How would you secure a for-pay wifi router to prevent others from gaining free access?

C'è un contesto mancante qui, ma proverò a fare supposizioni ragionevoli.

Per chi?

Questa è la domanda più importante. Se il pubblico di destinazione è compulsivamente onesto e infallibilmente puntuale nei pagamenti, la maggior parte delle altre domande sono di scarsa importanza. Tuttavia, una risposta più realistica includerebbe una percentuale significativa di utenti disposti a imbrogliare o rubare. Poi chi ha bisogno di stimare le loro abilità informatiche per determinare la loro capacità di imbrogliare il sistema data l'opportunità.

Dove?

Scegliamo arbitrariamente Vancouver nell'area del centro. Ciò attirerà una varietà di utenti dai vacanzieri agli uomini d'affari. Sicuramente un'area con un'alta portata di persone può produrre raffiche di strong domanda e tempi morti affidabili.

Quanto?

Questo è fondamentale per la tua domanda. Quando il costo supera quello che alcuni utenti considerano un buon importo, una certa percentuale di utenti tenterà di rubare il servizio. Potrebbero tentare di pagare per alcuni servizi e utilizzare più di quanto abbiano diritto o potrebbero tentare di ricevere il servizio senza pagare. Più alto è il costo, migliore è il tuo proffit ma più utenti tenteranno di rubare il servizio. Sfortunatamente è difficile dire cosa la maggior parte degli utenti considera equo e ciò che considerano giusto potrebbe essere inferiore al costo di fornitura del servizio (che significa profitto negativo). Tuttavia, se è fattibile, consiglierei un semplice sondaggio su ciò che i potenziali utenti sarebbero disposti a pagare.

Base tariffaria.

In che modo addebiterà agli utenti il servizio WiFi? La mia ipotesi migliore è la tariffa giornaliera piatta con interruzioni di prezzo a tre giorni, cinque giorni, settimanale e mensile.

Identificazione

Questo è difficile. Preferirei la transazione iniziale di persona, ma data la natura del business questo sembra poco pratico. Penso che consentirei la registrazione e il pagamento remoti tramite una connessione SSL. Quindi genera o registra una chiave pubblica e collega il pagamento alla chiave pubblica.

L'autenticazione

OAuth è già implementato e in uso significativo. Un'alternativa sarebbe la PKI Microsoft che utilizza Windows Server 2008, ma potrebbe essere più difficile autenticare gli utenti con Linux, Android, Mac OS X, ecc.

    
risposta data 03.01.2012 - 05:51
fonte

Leggi altre domande sui tag