9 июля 2017

Беседка №145. Отпечаток — не пароль

Мнение о биометрической аутентификации и уровне её безопасности.

Для большинства из нас давно очевидна вся важность паролей. Вкратце об основных правилах:

  • Не использовать один и тот же пароль на разных сайтах. В случае взлома баз паролей на одном сайте ваши учетные записи на других сайтах автоматически подпадают под аналогичный риск.
  • Не использовать короткий пароль. Пароли короче 12 символом (некоторые утверждают, что до 16 символов) уязвимы для атак методом перебора.
  • Не использовать простые пароли. Комбинация пароля должна включать комбинацию строчных и заглавных букв, чисел и символов.
  • Не использовать легко угадываемые пароли. Имена членов семьи, важные даты, клички животных и подобная информация не подходит для паролей.
  • Не использовать понятия из словаря. Хотите — верьте, хотите — нет, но в словаре не так много слов. Их полный перебор занимает не так много времени, особенно если учесть доступную современным компьютерам вычислительную мощность. За двадцать лет мы научились придумывать пароли, которые непросто запомнить человеку, но которые с легкостью «взломает» компьютер.

Если всё это кажется сложным, то вы не ошиблись.

Интересно, сколько человек сменили пароль на correcthorsebatterystaple

Чтобы облегчить себе (и потенциальным мошенникам) задачу мы используем менеджеры паролей (LastPass, KeePassX и встроенные в ваш браузер инструменты). Их минус в том, что они настолько надёжны, как 1) пароль, защищающий вход в приложение 2) пароль, защищающий устройство с приложением, будь то телефон, планшет или компьютер.

Вдобавок к традиционным менеджерам паролей вы можете использовать на своём телефоне приложение-кошелёк (Apple Pay, Android Pay, Samsung Pay, Coinbase, Google Wallet, Square, PayPal или даже банковское приложение), что означает потенциальный риск для ваших финансов в случае ненадёжной защиты устройства.

Чтобы облегчить нам жизнь (мне кажется, я начинаю видеть закономерность), OEM-производители начали создавать способы подтверждения нашей личности на аппаратном уровне. От распознавания лица до сетчатки глаза и отпечатка пальцев большинство из них пытается отсканировать что-то, имеющее способность персонально идентифицировать нас и каждый раз осуществлять этот процесс под нашим контролем (подразумевая, что некто не завладел чужим глазом или пальцем).

Но подтверждение личности не является паролем и в этом кроется важное различие.

Когда я показывают кому-то свои права или карточку Tribal ID, я тем самым подтверждаю свою личность. Я не оплачиваю счёт. Я не покупаю газировку. Я не открываю дверь. Я не делаю чего-то, кроме представления доказательств, что я — это я. На каком-то этапе повествования аналогия смешалась и вместе с этим появилась угроза для нашей безопасности.

Да, есть те, кто говорят, что сейчас мы больше защищены, чем раньше. Если под «раньше» понимать время, когда мы не использовали пароли и ПИН-коды для защиты наших устройств, то они, возможно, правы. Как бы то ни было, если вы использовали пин-код, пароль или рисунок для разблокировки устройства, а сейчас перешли на отпечаток пальца, распознавание лица или сетчатки глаза, то я бы поспорил, что защита стала лучше.

«Надо не забыть протереть дисплей»

Проиллюстрируем мои доводы на примере: представьте, что вы возвращаетесь домой из отпуска и таможня (или другой правоохранительный / разведывательный орган) хочет «осмотреть» ваше устройство. Надеемся, что вы вняли нашим советам и выключили телефон до того, как попали в эту ситуацию. Когда современное устройство включается, то вам необходимо ввести пароль или ПИН перед тем, как пользоваться сканером отпечатка пальца, сетчатки или распознаванием голоса. Если вы поступили иначе и не хотите, чтобы представитель таможни получил доступ к вашему устройству без особого предписания, то им для этого всего лишь нужно поднять устройство к вашему лицу или прижать ваш палец к сканеру и вуаля, доступ получен.

Естественно, некоторые из вас повторят всё ту же избитую фразу: «Если нечего скрывать, то и нечего бояться». Для тех, кто продолжает поддерживать это заблуждение: что если вместо правительственного агента будет уличный грабитель, кто-то захвативший вас в заложники или какой-либо другой представитель криминального мира? Всё еще чувствуете себя в безопасности?

Вне зависимости от того, принадлежите ли вы к параноикам, которые не хотят, чтобы другие совали свой нос в их личные дела, отпечаток пальца, сетчатка глаза и голос не являются вашими паролями и будет разумно с вашей стороны не относиться к ним как к таковым.

Оригинальный материал, автор — Джо Леви

Попробую несколько развить высказанный автором тезис. Под предлогом облегчения ввода идентифицирующей нас информации для разблокировки устройства производители с другой стороны подложили нам «свинью», и вот мы уже читаем безобидные и не очень истории о разблокировке устройств пальцами спящих владельцев, а также их фотографиями. Ну и не стоит забывать более изощрённые способы, например, изготовление отпечатка пальца невнимательного владельца. Поневоле задумываешься, стоят ли все вот эти нововведения появившихся рисков?

Я одобряю заботу автора о безопасности личных данных пользователей, но пока есть не совсем грамотные в этом плане люди, будут и готовые нажиться на этом. И никакие объяснения причин хранения на смартфоне без какой-либо защиты от несанкционированного вторжения фотографии с записанными на бумажке логином и паролем к учетной записи Google / Apple не вернут потерянное /украденное и впоследствии сброшенное до заводских настроек устройство. Если вы на 100% уверены в том, что ваши гаджеты не попадут в чужие руки, то вам не о чем волноваться, если же нет — вероятно, стоит задуматься.

twitter

Читайте также

  • Alexandr.Noskov

    Илья классную статью нашел, есть что обсудить! Наш англоязычный визави забыл еще один важный момент. Момент в том, что, к примеру, эксперт дает заключение, что отпечаток на стакане идентичен отпечатку гр-на Х. Но нигде в открытых источниках не обсуждается, почему он не указывает, что это отпечаток гр-на Х. Чуете разницу? А знаете почему? 🙂 Да потому что один и тот же отпечаток принадлежит разным людям с вероятностью около 1:100 000))) Сейчас не помню точно где наткнулся на глобальные исследования (очень давно было), но точный тезис звучит так — «каждый конкретный отпечаток пальца одного человека идентичен по крайней мере еще одному отпечатку другого человеку на планете». Вот такая вот безопасность и уникальность. С другой стороны, такая вероятность взлома устройства меня вполне устраивает.

  • bot!

    «что если вместо правительственного агента будет уличный грабитель, кто-то захвативший вас в заложники или какой-либо другой представитель криминального мира?» которому срочно надо посмотреть мои фото и послушать музыку? я не буду жадничать)

  • Alexandr.Noskov

    Покажи фотки или смерть? =) Или жизнь. Как правильно вообще писать, «кошелек или смерть» или «кошелек или жизнь»?

  • bot!

    приставляют нож к горлу и заставляют подписываться на свой инстаграм)

  • anonymousses_v5

    1:100 000? А почему не к 1 000 000? Не к 1 000 000 000? Не классические 1:64 000 000 000? А наткнулись вы на обсуждение «людей было 100млрд уже, поэтому наверное можно считать, что когда-то отпечатки уже совпали». Только непонятно у кого и с кем. У питекантропа Аоуыауы с жившим в позапрошлом веке Сан Хозе Бернардино Марией Альфонс Дельмарио, например.

    А про эксперта вообще … гм, домыслы. Потому что эксперт буквально отвечает на вопросы и не может заниматься домыслами. А в нормальной экспертизе нельзя поставить вопрос «чей это отпечаток», можно только спросить «соответствует ли какой-то оттиск вот на этой карте» вот этому, снятому с предмета. Потому что иначе юридически некорректно.

  • Нищеброд

    Что отдашь — кошелёк или жизнь?

  • Vladimir Medvedev

    Если налички нет, но на телефоне банковское приложение, а к нему доступ через отпечаток — то почему бы нет. Появятся и такие продвинутые грабители. Но тогда какая разница — либо заставят с ножом у горла сделать вход отпечатком — либо заставят ввести пароль, чем безопаснее пароль в такой ситуации? Можно, конечно придумать вариант «неправильного входа», который будет действовать для кризисной ситуации. Например, пароль, который открывает фейковый вариант приложения, в нем денег на счету нет. Но тогда можно завести и отпечаток для аналогичных целей. Например, большой с левой руки — правильный, а большой с правой — открывает фейк.

  • bot!

    а что он будет делать с моим банковским приложением?
    себе на счет деньги переводить? это как-то палевно)
    даже если он деньги куда-то и выведет, я через 5 минут отменю транзакцию по звонку в банк

  • CruelPillow

    Статья высосана из пальца (каламбур!). Отпечаток пальца — идеальный вариант с точки зрения «надежность-удобство» для потребительской электроники. При этом автор предъявляет к технологии претензии, не соответствующие тому уровню защищенности, который требуется для защиты телефона обычного гражданина.

  • Дмитрий Донской

    Правильно писать: «Живота проси!»)))

  • Р

    Терморектальный криптоанализ взламывает пароль любой сложности за считанные минуты.

  • ReadFact

    Дурдом конечно, отпечаток нужен вместо пароля исключительно для удобства

  • >> Например, пароль, который открывает фейковый вариант приложения

    Лучше отдельное рабочее пространство (свои рабочие столы и меню, если оно есть). Там просто не будет банковского приложения.

  • Filipp

    отпечаток надёжнее, чем пароль, это же факт
    пароль можно угадать или подсмотреть, в отличие от отпечатка

  • sergey ivanov

    Вывод эксперта в сравнительной дактилоскопической экспертизе (где представлен какой-то след и дактилокарта подозреваемого Пупкина) звучит именно как «…след пальца руки, изъятый там-то и там-то, оставлен Пупкиным Иваном Ивановичем, указательным пальцем правой руки», т.е. конкретика предельная, никаких обтекаемых формулировок.
    По крайней мере несколько лет назад, когда я ещё работал экспертом, именно так и писали. Возможно, сейчас методики поменялись, я не отслеживаю уже.

    И да, нас учили, что полная повторяемость папиллярного узора в пределах населения Земли равна нулю.

  • gelioson

    Не факт, что через 5 минут после встречи с грабителем Вы будете в состоянии позвонить в банк, не говоря уж о том, что устройство для звонков будет у Вас изъято с вероятностью, близкой к 100%

  • Alexandr.Noskov

    Странно, когда я работал в соседней организации (15 лет назад), учили по другому. Мне кажется это вопрос «у нас так принято» или «не принято». Вообще вопрос все-равно открыт до сих пор, мне кажется.

  • Alexandr.Noskov

    Посмотрел несколько стримов про наши суды, все судьи судят кто как хочет, какая-то анархия.

  • Alexandr.Noskov

    криптопаяльник?

  • anonymousses_v5

    Право не прецедентное, только ВС с пленумом может устанавливать правоприменение. Остальное на усмотрение каждого судьи. И в экспертизе все тоже весело, эксперт единица в целом вполне самостоятельная и иногда это веселит (кроме случаев с пьяным ребёнком, конечно). Но требования к постановке вопросов и ответам все же стандартные. Конкретный вопрос и ответ именно на него (ну или отказ от ответа в случае некорректного вопроса).

  • Alexandr.Noskov

    Что эксперт фигура самостоятельная спора нет. Но вот лично сталкивался, привозишь ему кулечек порошкообразного вещества светло-серого цвета весом не менее 4гр, а он после исследования пишет, что там 1,9гр. Мне в принципе по-барабану, но получается что люди зря работали? Зря разматывали зловонный наркотический клубок и выходили на дилера? И сколько раз так было.

  • anonymousses_v5

    Ой тут надо вопросы задавать эксперту вне эфира «что это было вообще и почему».

  • Alexandr.Noskov

    Вообще он же не знает, кому принадлежит то или иное в-во или предмет. Скорее всего причина банальная до безобразия, писанины больше, а неохота.

  • anonymousses_v5

    Ну я примерно о том же. Что-то ему не понравилось, что-то не сошлось и он пошёл по пути наименьшего сопротивления при отказе 😉

  • Miller Lite

    ну зато пароль можно только выбить,а не приложить палец

  • Aleksandr Kirikoff

    «…звонил своему другу с телефона убитой, при этом отмечая, что подростку пришлось поднести аппарат к ладони девушки, поскольку на нём была установлена система снятия блокировки через отпечаток пальца.» из описания нашумевшего дела об убийстве девушки в Новосибирске. К сожалению, случай из жизни. Так что воспользоваться можно не только телефоном живого владельца при помощи силы, но и уже мертвого

  • Lecron

    Все зависит от того, случайный интерес злоумышленника к устройству или целенаправленный. Оценка уязвимости разных способов в этих вариантах отличается. Точнее, от случайных угроз, оба варианты нормальны, а от целенаправленных — оба слабы. Приложили палец во сне? А просто подсмотреть пароль они конечно не смогут. Применить насилие для прикладывания пальца к датчику? А применить насилие для выбивания кода, постеснялись.

  • sergey ivanov

    «Вообще он же не знает, кому принадлежит то или иное в-во или предмет»

    Почему не знает? На упаковке всё описано, подписи следака и понятых.

  • Quato

    Коротко — очередная бредовая статейка ни о чем.

  • Alexandr.Noskov

    Хм, точно. Забывать начинаю. Это кстати серьезный косяк.

  • Виктор Ковыршин

    Вот новые рекомендации от NIST: https://pages.nist.gov/800-63-3/sp800-63b.html

    Вкратце: Сл0ЖнbIй пароль не нужен. СУПЕРДЛИННЫЙПАРОЛЬ тоже.
    Надо не тупить, менять его переодически, и не вводить на левых сайтах.

    Все боятся перебора пароля(12, а лучше 16 сисмволов!), но никто не думает про коллизию хэшей. (когда у пароля аааа и «оченьсложныйпароль11111» получается одинаковый хэш.

  • SewAwOw

    Ну напиши это в источнике, там тоже дискасс. Зачем ты это тут пишешь? Тут всего лишь перевод.

  • SewAwOw

    А слабо перевести на англ и написать в источнике? Вдруг автор статьи ответит?

  • Damir

    Не надо вдаваться в крайности, снятие блокировки отпечатком во время сна? Так и обычный пароль при желании всё же можно подсмотреть или телефон запрятать за диваном, скажем, с включенной записью. Ищущий да найдет. Пинка под зад. Только так можно научить домашних не лезть в свою личную жизнь, если не понимают. А с прикладыванием пальца представителями закона / не закона — это да, должна быть настройка ввода только пароля при пробуждении и найти время незаметно выключить, если попал. Хотя бандиты не примянуть пару раз примять, чтобы вы сами что угодно рассказали, но вот мент может и подумать прежде чем «выбивать» эту инфу.

  • Духаст Вячеславович

    Наверное многие читали, про графический пароль…
    https://m.habrahabr.ru/post/174773/

  • Orevuar

    ленивый, но самый ненадежный, ибо бывают ситуации, когда ты себя не контролируешь, например сон или когда ты пьяный…Тут даж граф. ключ на заляпанном смартфоне будет надежней)

  • bot!

    5 минут или 5 часов не суть важно, всегда можно развернуть транзакцию, особенно если она подозрительная
    я так и не понял, что все таки грабитель сделал с моим банковским приложением?
    перевел деньги себе на счет?

  • bot!

    да что вы все к этому банковскому приложению пристали?
    что грабитель будет с ним делать по вашему?

  • CruelPillow

    Это комментарии к статье на портале и мы здесь обсуждаем статью, а не качество перевода или личность переводчика. Нет?

  • bot!

    капец тут джеймсы бонды собрались) домашним пинки под зад, перед ментами телефон выключают)

  • bot!

    я один такой, кто ни один из своих девайсов не паролит?

  • 1. Никто, кроме вас, никуда не переставал.
    2. Грабитель переведет все деньги на телефон, а оттуда их уже выведет.

  • Sviatoslav Syrtsov

    Графический ключ зачастую можно увидеть по следам от пальца.
    А если его долго не менять — там вообще дорога протрётся)

  • Alexandr Lbov

    Втарится биткоинами на всю имеющуюся у вас сумму?

  • sidor sidorov

    Нет. Не один.

  • YMA

    Наивный… Давайте вы мне переведете средства на сберовскую карточку, а потом попробуйте отменить транзакцию? 🙂 хотя бы 1000 р, я их обещаю через полгода на развитие википедии пожертвовать :)))
    PS: переводы card2card не откатываются и не опротестовываются. Вообще.

  • Konstantin Anoshko

    >>и не хотите, чтобы представитель таможни получил доступ к вашему устройству без особого предписания

    да да, пошли таможенника — будет весело. Я даже знаю чем это закончится — в аэропорту задержат до выяснения и прощай вылет. Хорошо еще, если на другой самолет посадят. А при проезде на авто у нас делают крайне жестко, если хамить таможне — устраивают полный досмотр, который подразумевает снятие всей внутренней обшивки, которую после досмотра просто сложат вам в авто и скажут до свидания.

  • Андрей Юдин

    Не один!

  • Духаст Вячеславович

    Об этом и статья

  • ArtemV

    Утюгогрудильныйтепловзлом.

  • ArtemV

    Меня больше по подписям бесило 🙂 один спокойно идентифицирует, а другой — НПВ и все тут. Слишком простая.

  • ArtemV

    А вы там на месте весами вешали?)

  • PatentCrusher

    Я, кстати, уже слышал про ситуацию с принуждением прикладывания пальца к датчику на телефоне. Это говорил Кевин Митник в качестве приглашенного эксперта на каком-то западном канале.

    Он оперировал теми же фразами, что автор статьи и указывал на то, что отпечаток пальца себя дискредитировал тем, что по запросу судьи вы будете обязаны приложить палец к сенсору и разблокировать для властей телефон. А вот с пин-кодом из четырех символов такого не произойдет. Мозг, типа, пока не взламывают.

    На мой взгляд проблема надумана. Ну или не до конца продумана. Противостояние перебору пин-кода заложено в ограниченном количестве попыток ввода. Ну или в принудительной паузе между попытками. Что стоит сделать принудительную блокировку устройства в случае неверного отпечатка пальца, например, с последующей разблокировкой устройства через старый добрый аккаунт электронной почты? Схем можно придумать много. Однако есть одно НО.

    И это «НО» заключается в том, что вполне возможно, не все достижения криптографии доступны на коммерческой основе. Вполне возможно, что существует некая структура специального назначения (чаще всего аббревиатура состоит из трех букв), которая имеет в своем распоряжении условный «компьютер грубой силы». Да, типа того, что был в книге Дэна Брауна «Цифровая крепость». И с помощью этого устройства легко перебирает абсолютно стойкие для коммерческих дешифраторов пароли. Так что здесь и правда проще быть законопослушным гражданином и никому не вредить.

    С кражей паролей злоумышленниками все проще. Никому не показывать. Не использовать одинаковые пароли. Не подключаться к незнакомым вай-фай сетям. Не ставить сторонние клавиатуры. Держать телефон запаролленым сканером отпечатка, чтобы в случае утери успеть заблокировать кредитки, привязанные к установленным приложениям. Как-то так.

  • YMA

    Возможно, это поможет сохранить ваши деньги и спокойствие — поставьте обязательно PIN-код на SIM-карту. Иначе злыдень, наплевав на ваши пароли, отпечатки, и прочее — вставит вашу симку в свой телефон, зарегистрирует приложение или тупо выведет средства через мобильный банк (особенно он будет рад, если у вас Сбербанк).

  • BanyGirlNebritus

    секунды!!!

  • Костямба

    это если не удасться доказать, что действия были по принуждению
    З.Ы. у меня знакомой вернули снятые с терминала 20к — ей нож приставили и заставили (камера это засняла)

  • Alexandr.Noskov

    Конечно! Операм Обнона лень реально бегать за наркошами. Они опрашивают соседей, потом берут объект под наблюдение и когда убеждаются в том, что он реально наркоман, то тупо подбрасывают, потом сажают в стакан на пару дней, а потом узнают адрес имя и т.д. дилера. Так гораздо проще. Это законно? Нет! Это правильно? Да! Я их не осуждаю от слова совсем.

  • Alexandr.Noskov

    Мне слабо, Илье нет))

  • Я хотел дочке помочь подготовить доклад на тему «как взломать смартфоны родителей» (на примерах следов пароля от пальцев и использования отпечатков, когда родители уснули) для научно-практической конференции в школе, но жена запретила 🙂

  • SewAwOw

    Нет, я прост о том, что если ты чем-то недоволен/не согласен в статье, то можешь написать в источнике, вдруг, автор статьи тебе ответит?

  • SewAwOw

    Плохо

  • Alexandr.Noskov

    Да нет, просто пофиг. Наш великий русский язык можно всю жизнь изучать. И историю тоже.

  • Gordon Freeman

    Как мило. А если ошиблись и подкинули не тому? Будут прессовать до последнего и посадят, спасая «честь мундира» и свои задницы?

  • Alexandr.Noskov

    Нет, вы не поняли. Суть захвата наркомана — посадить его на пару дней, а когда начнет ломать, то выдать дозу за информацию. А потом вербануть (если еще пока нормальный человек) и отпустить. Или по административке пустить. Понимаете? Если вы не наркоман и произошла «ошибка» то во-первых вас ен будет ломать, во-вторых вас отпустят, в-третьих к вам домой придет опер со вкусным пакетом и будет извиняться, а потом вы подружитесь. Это все незаконно, но это самый верный путь выйти на дилера. А вообще всякое бывает. Вот есть такой населенный пункт в пригороде СПб — Горелово. И там 7 лет назад наши обноновцы (с транспортной) вместе с ОМОН-ом штурмовали цыганский мини-дворец. Таки и шо вы думаете? Приехали из местного территориального отделения милиционеры и начали типа «давайте стрелку забьем, это наша корова и т.д.». Разумеется были посланы. Я это к тому, что соблюдая закон до запятой, выйти на дилера практически невозможно, плюс — вам будут мешать.

  • Evgeniy Berd

    безопасность в телефонах — модный тренд, не более. 99% людей не хранит ничего важного или секретного в телефоне, а если он еще и запаролен, то в случае его потери это резко снижает ваши шансы на возвращение.

  • Gordon Freeman

    Какая прелесть. Чел, тут ошибочка вышла, ну помариновали тебя в обезьяннике, ну бывает, мир дружба, жевачка, ты ведь не против? Вот тебе вкусняшка. Охренеть. А потом обижаются на, как минимум, настороженное к себе отношение.

  • ArtemV

    Это мне все известно. Лучше б законодатель устранил такую феерическую отмазку для взяточников и наркодиллеров, как провокация преступления. Тогда бы можно было вести нормальную борьбу и с дилерами, и с коррупцией.

  • Alexandr.Noskov

    Вероятность такой ошибки крайне мала, беспокоиться не о чем.

  • Gordon Freeman

    https://uploads.disquscdn.com/images/37ab79d61c641b882e1b1e04245d69dca1bf748b9b8e78f9b2022baadef009e7.jpg
    Извините, не удержался 🙂
    Тем не менее. Сама возможность работы правоохранителей, скажем так, неправовыми методами, никак не повышает степень доверия в их адрес. Один, скажем, ошибся и извинился. А второй — перепугался последствий и полез в бутылку. В итоге имеем немых, выкрикивавших экстремистские лозунги и колясочников — грабителей спецназовцев.

  • Alexandr.Noskov

    А я и не спорю. Только мне кажется они должны бороться с преступностью, а не вызывать доверие. Это имхо, не навязываю его.

  • Gordon Freeman

    Лес рубят — щепки летят? Ок, я вас понял. Просто потом не стоит удивляться, ачоета население не желает сотрудничать с органами. Ибо опасается. Даже не криминал, а тех, кто от него должен защищать.

  • Alexandr.Noskov

    Они и не должны сотрудничать. Такого сотрудничества нет ни в одном законе. А полицейских пускай воспитывают блогеры, у них это получается лучше всех))

  • Gordon Freeman

    Не должны. Но согласитесь, сотрудничество сильно облегчает работу. А когда на каждый звонок в дверь — «Ничего не знаю, ничего не видел», бесит же.

  • Alexandr.Noskov

    Согласен с вами, сотрудничество само по себе хорошая штука. Но вы забываете момент, что полиции здорово увеличили права по сравнению с милицией. Теперь уже и от приглашения быть «понятым» отказаться нельзя и пр.. Так что сотрудничество теперь уже не так критично.

  • Wade Crimson

    Генерал Очевидность советует вообще не брать в руки тел, если не в трезвом сознании.

  • Sevilho

    Про длину паролей и легкость подбора автор чушь написал. Плохо представляю «безграничный перебор» т.к. после 3-кратной неудачи подсистема безопасности скажет адью и надолго. Насчет 16 символьных паролей — явный перебор. В половине случаев длинее 8-10 веб сайты не разрешают делать. И этого достаточно если изредка менять пароли (о чем ни гугу, хотя это азы).

  • bot!

    ну хорошо, в России я давно не живу, не знаю что там можно опротестовать, что нет
    мне другое интересно) вы считаете грабитель будет деньги себе на карту переводить?
    может он вам еще свой паспорт оставит?

  • bot!

    на всю не получится, дневные лимиты на снятие и переводы никто не отменял
    а вообще грабитель, который на вашем телефоне будет ставить софт или браузером пользоваться, это прям фантастика какая-то

  • bot!

    все не получится, есть дневные лимиты как никак
    а если он переведет деньги на телефон, он тем самым не оставит огромный след? после этого его найти займет, ну минут 5, разве нет?

  • Mic111

    Добавил часы в надежные устройства, графический ключ вообще не ввожу. С другой стороны через отладку рутированное устройство можно разблокировать в течении пары минут (

  • Mic111

    Ну обшивку поставить займет не больше часа, а с понятыми они как вопрос решают? Или им не нужно их наличие?

  • Vladimir Medvedev

    Полная повторяемость — да. Но эксперты-то вроде бы полную повторяемость не исследуют, Сравнивают несколько характерных пятен. Это как я помню. Ну а при таком подходе достаточно, чтобы те же 5-10 (не помню, сколько) характерных пятен (локусов) совпали, а не весь отпечаток

  • Vladimir Medvedev

    Чего-то с «вкусняшкой» и предложением дружбы перебор. Сколько слышал, максимум говорят «свободен», и пойдешь домой. Про одного знакомого слышал, что его сначала отвезли в отделение, а потом через несколько часов ночью отпустили. Денег на такси нет, общественный транспорт не ходит, человек был в двух шагах от дома, а оказался на другой стороне района. Ну дошел, конечно.

  • Vladimir Medvedev

    Много раз слышал такое — если тебя задержали, оформили документы, то просто так отпускать уже не будут, вредно для статистики. Или придумают административку, или что похуже.
    И в рамках уголовки — если прихватили некоего «соучастника» преступления, а потом оказалось, что он не при делах, о преступлении не знал — то вряд ли его отпустят, будут натягивать соучастие всеми способами. За раскрытие групповой и оргпреступности большие плюшки, тут чем группа больше, тем лучше. Да и признаваться в ошибке неохота. Это мое мнение — о паре таких случаев узнал хоть и через третьи руки, но вроде достоверно.

  • sergey ivanov

    «Пятна» :)))
    Это называется «частными признаками папиллярного узора», начала, окончания, слияния, фрагменты и т.д.
    Действительно, принято для дачи положительного экспертного заключения указывать 8-12 совпадающих частных признаков, но строгих методик нет. Эксперт даёт заключение, «основываясь на внутреннем убеждении» (цитата из НПА). Я однажды дал идентификацию всего по 4-м признакам, был вызван в суд и отстоял свою позицию.

  • Лимиты — да, усложнят ему задачу. Если денег много, а карта всего одна, то выведет не все.

    А найти его не смогут. Очевидно, что перевод будет сделан на симку, зарегистрированную по фальшивым данным (или по реальным документам какого-нибудь бомжа).

  • bot!

    а с симки он потом куда будет выводить?

  • Есть разные способы. Та же анонимная карта Мегафона, например. Сергей Потресов и Эльдар не раз же писали об этих проблемах.

  • Konstantin Anoshko

    Не больше часа это умеючи. Насчет понятых не знаю — сам не попадал.

  • Александр Данилин

    эээ… никто не подбирает пароли через вебморду, скачивают хешовый файл, обычно сделать это не особо сложно.

  • Александр Данилин

    семь бед — один ответ, мультифакторинговая авторизация.

    пусть гугл и майкрософт сделают по центру авторизации, которые всего лишь разрешают или нет вам доступ на сайт. ресурс на который нужно войти спрашивает у вас ваш простой и удобный пароль, потом запрашивает гугл и майкрософт — пускать или нет. если кто нибудь скажет ни пускать — вы не войдете. в итоге взломщику для доступа к ресурсу надо сломать три аккаунта, притом два хорошо защищенных.

  • Александр Данилин

    не совсем так. отпечатки уникальны. цифровой слепок с сенсора — нет.

    именно по этой причине преступников откатывают на бумажку, чтоб когда комп выдает совпадение, эксперт взял бумажку, лупу и сравнил.

  • Александр Данилин

    если я правильно понимаю, есть еще две формулировки — «может быть оставлен Пупкиным» или «не может быть оставлен Пупкиным». просто потому, что следы подозреваемые оставляют не очень тщательно и аккуратно.

  • Александр Данилин

    Операм также реально бегать за опозиционерами, они хватают их на улице, сажают в стакан, и когда убеждаются что он реально оппозиционер, тупо подбрасывают 4 грамма темно белого порошка. Так гораздо проще и не надо принимать всякие лишние законы.

  • Александр Данилин

    «…опер с вкусным пакетом» — а в голубом вертолете там волшебник не прилетает??

    в ГИБДД есть экспресс-тест к примеру есть, 5 минут и готово. ломку конопляного или кислотного наркомана опер будет ждать до пенсии.

  • Александр Данилин

    более того, еще ни один не сказал «я лучше до утра посижу»

  • Alexandr.Noskov

    Опытный опер их на глаз быстрее определяет, чем тесты. Вот если сразу после школы, тогда конечно без тестов не обойтись.

  • Alexandr.Noskov

    Это вранье.

  • Alexandr.Noskov

    Рисунок сам по себе довольно простой и не дает математического обоснования 100% уникальности. На суперкомпьютере можно посчитать вероятности, наверное.

  • Виктор Ковыршин

    Microsoft предлагает 2FA всем кто пользуется его облаком. Пара приложений в телефоне у меня используют Google Authenticator

  • bot!

    но ок, уболтали) пошел просвещаться)
    но схема преступления очень сложная все равно в итоге при относительно малом выхлопе

  • Alexandr Lbov

    А какой там лимит. Тыщ 300? Пойдёт. А так-то не проблема, один раз заучил правильный порядок действий и всё. Знать при это всю подноготную процесса не обязательно.

  • bot!

    в моем банке можно самому лимиты выставлять, я себе выставил $AUD 300 на снятие в банкоматах
    и $AUD 100 на переводы, поскольку переводами не пользуюсь

  • Антон Иванов

    Так вроде же такие приложения запрашивают доступ к IMEI устройства, и фокус с перестановкой симки не прокатит?

  • YMA

    Возможно вывести средства через мобильный банк посылкой СМС (да, есть ограничения по сумме, но на 8-50 тысяч пострадать тоже неприятно).

  • Sevilho

    файл хэшей паролей? Это как, заплатив админу $1000, через уязвимость или есть еще «не особо сложные» методы?

  • sergey ivanov

    Нет, именно в дактилоскопической экспертизе вероятностный вывод не применяется. Либо Пупкин, либо не Пупкин. Либо след для идентификации личности не пригоден.

  • Shlomo Levi

    достаточно много людей имеют стабильный зароботок, помогаы хозяевам придумавшим суперумный пароль и забывших))) я уже не говорю о том что возврат потерянного телефона с паролем почти невозможен(зачем мне эта мозгокрутка))))

  • Shlomo Levi

    я читал как к пьяному в дупель мужику жен приложила айфон, короче проснулся он уже разведённым)))

  • Shlomo Levi

    ну скажем человек спрашивает зачем жена вдруг поставила пароль на телефон, а ты ему говоришь-готовь финансы к разводу и оказываешься прав)))

  • Shlomo Levi

    у знакомого в канаде проверяли лаптоп, мол все ли программы легальные, их утилита за секунды выдала)))

  • beerbody

    Запросто. Я иногда с симки Би вывожу налик через банкомат БинБанка. Быть клиентом банка и иметь карту необязательно. Правда, проценты конские, но для мошенника особой разницы нет.

  • beerbody

    Обналичивание бабла через банкомат занимает одну минуту буквально, если стоять рядом с банкоматом.

  • Alexandr Lbov

    Сотка тоже отлично

  • Konstantin Anoshko

    В Канаду ни ногой=)
    А что будет, если нелегальные?
    Мне вот интересна ситуация — был у меня на ноуте вин предустановленный. При установке нового ssd я туда поставил пиратский, т.к. переносить почти трехлетний вин мягко говоря бессмысленно — все глюки ваши будут.

  • Shlomo Levi

    Имхо если стикер есть то прокатит

  • Александр Данилин

    обычно уязвимость веб-движка. но бывает и всего сервера. через какой порт ломиться, не столь важно, и открыто портов поболе будет обычно. сервер как то админят? обратный dns резолвят?