Una password in chiaro è mai stata utilizzata in un tribunale come prova di un crimine?

Naviga le tue risposte
4

Indipendentemente da come è stata ottenuta la password (decrittografia, hashing errato, confessione):

  • Ci sono casi noti in precedenza in cui il contenuto della password è stato utilizzato per dimostrare movente o senso di colpa?

Oppure, guardandolo dal punto di vista di un ISP che fa controlli anti-frode: supponiamo che 2 account abbiano lo stesso hash della password; Supponiamo che abbiano scelto anche una password molto complessa, quindi è improbabile che si verifichi una collisione casualmente.

Quindi l'account secondario fa qualcosa di male.

  • È ipotizzabile che l'altro account venga esaminato solo a causa dell'hash simile?
  • Se l'hash fosse abbastanza unico potrebbe essere considerato colpevole per associazione?
posta random65537 23.10.2014 - 19:20
fonte

2 risposte

2

Non è la risposta perfetta, ma qui c'è un caso che volevo condividere. Conosco un caso che non credo sia pubblicato con grande attenzione da parte dei media. Questo è il caso di Tyler Clementi (l'omosessuale che si è suicidato). In questo caso Dharun Ravi è stato incriminato per alcuni conteggi.

Durante la frenesia dei media e il processo da parte dei media ci sono stati casi in cui la password di Dharun è stata riportata come un'indicazione della sua personalità (la sua password come nei notiziari era "DHARUNISAWESOME").

Quindi, anche se non sono sicuro che sia stato effettivamente discusso in tribunale o se abbia comunque influenzato direttamente il giudizio come uno dei fatti del caso, ha ricevuto molta attenzione dai media.

Riguardo all'Hash - sembra un po 'esagerato - qui richiederebbe,

  1. Nessun sale usato - poiché se si usa il sale gli hash per la stessa password saranno diversi.
  2. Gli investigatori devono avere un mucchio di hash che possono essere confrontati.
  3. E se è possibile associare parole simili a un hash non salato, significa anche che si tratta di uno schema di hashing scadente.

Quindi tutto sommato ritengo improbabile che l'hash della password stessa (comparandolo) possa essere usato contro qualcuno in quanto ciò implicherebbe troppi altri fattori da considerare.

    
risposta data 14.12.2014 - 18:23
fonte
2

Tecnicamente questo potrebbe accadere. Anche se non sono riuscito a trovare alcun caso registrato.

Alla legge sulla divulgazione delle chiavi diversi paesi possono ottenere le chiavi di decrittografia, se quelle chiavi erano incriminanti o una confessione, c'è nulla impedisce loro di usarlo contro di te in tribunale.

Negli Stati Uniti, l'emendamento 4 (modificato come da commento !! mi dispiace.) ti protegge dall'abbandonare una chiave di crittografia finché non viene stabilito che devi giudicare e giudicare. Se la chiave viene ottenuta prima del ruling, può essere buttata fuori e non utilizzata contro di te.

Per quanto riguarda l'identica cosa di hash - se hai degli hash identici - lo schema della tua password fa schifo e può essere facilmente rotto con un tavolo arcobaleno o con John lo squartatore. Se la password è incrinata / indovinata e contiene prove incriminanti può essere utilizzata contro di te o il FBI non esitare a vantarti di averlo indovinato e di non aver bisogno di una sentenza.

    
risposta data 20.11.2014 - 18:41
fonte

Leggi altre domande sui tag

Sicurezza con sessioni senza scadenza Certificato SSL scaduto sul dispositivo incorporato (un client)