I codici di autorizzazione in Star Trek sono sicuri nella vita reale?

1

Sto guardando Deep Space 9 e ho notato che usano codici di autorizzazione parlati quando comandano altre navi, computer, ... Nello show sembra "Autorizzazione Some-Name 5 7 3 5 blue", quindi l'altra persona lo digita nel computer (e alza gli occhi per paura, dice "Non lo sapevo" e file via).

L'uso di un singolo codice non è ovviamente abbastanza buono, perché tutti gli utenti possono ascoltarlo, quindi stavo pensando che forse tutti possono avere un elenco pre-generato di queste password memorizzate e memorizzate in un computer centrale e quando si verifica l'ultima il codice usato verrebbe invalidato.

Un tale sistema sarebbe fattibile nella vita reale? Quanto sarebbe strong?

Sto pensando di implementare uno schema come questo per il mio server di casa quando accedo da internet (principalmente per il valore di hacking, però), quindi sono interessato anche ai dettagli di implementazione - per esempio come conservare questo tipo di password sul computer (probabilmente hash di tutti loro, giusto?).

    
posta cube 28.08.2016 - 11:49
fonte

4 risposte

2

No, non è sicuro.

Altre persone possono sentire l'utente pronunciare la password. Questo li compromette facilmente. Inoltre, le password di solito sono troppo banali ( con eccezioni ).

Anche una lista di password monouso non è una soluzione. Questo sistema è effettivamente utilizzato nel mondo reale. Si chiama elenco TAN . Ma non ci si aspetta che gli utenti li memorizzino. Le persone hanno stampe fisiche di liste generate casualmente e conservate in un luogo sicuro che cercano, se necessario. Quando ti aspetti che gli utenti scrivano i loro elenchi TAN e li memorizzino, finisci con passcode troppo banali (Autorizzazione Picard-Alpha-1 ... Picard-Alpha-2 ... Picard-Alpha-3 ... ah, questo funziona).

Probabilmente i computer della Flotta Stellare combinano le password con il riconoscimento vocale biometrico, quindi la password corretta pronunciata dalla voce sbagliata non sarà accettata (potrebbe volere chiedere su scifi stackexchange per conferma o contro-esempi. So solo abbastanza su Star Trek di non revocare la mia carta nerd). Ma come la maggior parte della tecnologia biometrica, questo può essere facilmente aggirato. In questo caso attraverso un software di sintesi vocale altrettanto avanzato.

È molto più probabile che i codici di autorizzazione della Flotta Stellare non siano tanto un meccanismo di autenticazione e tanto più una funzione di usabilità. Anche il software di riconoscimento vocale più avanzato potrebbe ottenere falsi positivi di tanto in tanto, pertanto le azioni più critiche richiedono un passcode per impedire l'esecuzione accidentale. Inoltre costringe l'utente a pensarci due volte prima di dare un comando che potrebbe pentirsi in seguito. "Computer: attiva la sequenza di autodistruzione!" è detto abbastanza facilmente, ma quando l'utente deve anche richiamare il loro codice di autorizzazione, riceve un po 'più di tempo per valutare se veramente vuole farlo. Tipo di flotta stellare equivalente a sudo .

    
risposta data 28.08.2016 - 12:10
fonte
2

Potresti configurare Google Authenticator e utilizzare l'app Google per consentire l'accesso. Questo è il più vicino alla tua idea OTP senza creare nulla da te. Se vuoi qualcosa di più stravagante, dovresti dare un'occhiata a piccoli token RSA, il tipo usato per SecureID.

    
risposta data 28.08.2016 - 12:04
fonte
1

Non ho visto il film (s?) di cui stai parlando, ma - specialmente in un contesto di fantascienza - potrebbe esserci più background in sottofondo per autenticare le persone di quanto tu non creda.

L'autenticazione implicita è stata proposta negli ultimi dieci anni circa come metodo per superare alcuni limiti di usabilità dei sistemi di autenticazione e fornire fattori di autenticazione aggiuntivi senza alcun costo per l'utente. Può includere voce, pronuncia e intonazione. Ma potresti anche immaginare la presenza di CCTV HD con sensori di riconoscimento facciale, peso e movimento che controllano se il corpo dell'attore è coerente con le interazioni passate (altezza, modo di camminare, linguaggio del corpo abituale), ecc. Altri metodi possono includere RFID-like token indossati dagli individui, la cui posizione e prossimità autentica i loro corpi.

In definitiva, un codice breve su un canale audio (possibilmente con osservatori contraddittori) non è affatto sicuro, ma l'impostazione in cui si verifica fornisce fattori aggiuntivi che possono rendere gli attacchi più facili da individuare.

Poiché questi metodi presentano tutti un certo grado di fallimento, uno avrà bisogno di uno schema di autenticazione a più fattori esplicito più strong per quando l'utente legittimo non può essere riconosciuto. Ovviamente, tirando fuori dalla tasca una scheda magnetica, facendo una scansione dell'iride e digitando una password di 14 caratteri non è molto sexy in TV (e non è molto veloce nella vita reale), quindi non verrà mostrato sullo schermo cinque volte per episodio della serie / film.

    
risposta data 28.08.2016 - 12:41
fonte
1

Dipende da cosa è l'autenticazione.

In alcuni luoghi le forze dell'ordine hanno codici di identificazione in modo che quando chiamano una linea di emergenza (come la 911) non devono passare attraverso l'intero script di valutazione della situazione.

Nel peggiore dei casi, qualcuno sente il codice e può usarlo per segnalare un'emergenza o fare uno scherzo.

Può funzionare anche in una situazione in cui non esiste un'autenticazione. Quando chiamo il nostro ISP al lavoro dico "Vengo dall'IT al cliente NNN" e mi collegano al loro supporto tecnico "avanzato". A seconda della situazione, possono in seguito prendere provvedimenti per verificare la mia richiesta, ma non per correggermi.

In the show it looks like "Authorization Some-Name 5 7 3 5 blue", then the other person types it into the computer (and looks up in fear, says "I didn't know" and files away).

Questo suona esattamente bene. "A" afferma di essere Some-Name, ma dal momento che ci sono molte persone in questo universo non fanno ricerche di nomi, da cui il numero.

"B" interroga il numero nel database e viene visualizzato un profilo. C'è una foto che corrisponde alla persona che ha di fronte, anche il nome corrisponde, e dice anche che Some-Name lo supera di un certo margine. Da qui la paura.

Ovviamente questo schema non funzionerebbe per la sequenza di lancio del missile, ma è abbastanza buono in molte situazioni.

    
risposta data 28.08.2016 - 16:55
fonte

Leggi altre domande sui tag