(no subject)

[catpad]

Повторю свой вопрос, который я задал в encyclop:

У меня есть такой небольшой прибор для определения текущего пароля некоего секретного сервера. Прибор этот видимо работает на батарейке, не знаю. В любой данный момент времени он определяет единственно верный пароль. Как он это делает - загадка. Понятно, что это какой-то алгоритм, зашитый в прибор, который совпадает с алгоритмом сервера, но:
алгоритм этот может быть основан только на внутренних встроенных часах, иначе совершенно непонятно, как прибор может вычислить пароль в зависимости от времени. Но я не могу представить, что часы, встроенные в него, настолько точны - не отстают, не спешат, полностью синхронизированы с сервером вот уже три года! Как же это сделано, кто-нибудь знает ?

А вот ещё оффтопик с собственному посту:
видел сегодня мобильный телефон с распознавателем отпечатка пальца. Он включается только, если распознаёт палец владельца.

Comments

[kostia-inochkin.livejournal.com]

телефон - это очень правильно! с такими телефонами воровство мобильников прекратится вообще.

[catpad.livejournal.com]

Главное, чтобы он не ошибался. А то была у нас тут на двери такая распознавалка - каждый раз входишь и волнуешься: впустит-не впустит.

[kostia-inochkin.livejournal.com]

ничего, отшлифуют:)

[levong.livejournal.com]

палец? :)

[tsw.livejournal.com]

вот это не оно:
http://www.surfnet.nl/innovatie/surf-ace/security/doc/skey.html (http://www.surfnet.nl/innovatie/surf-ace/security/doc/skey.html) ???

[catpad.livejournal.com]

Нет, это не то. Эту штуку я знаю, она нужна для того, чтобы охранять пароли на UNIXе.

[dlina.livejournal.com]

tam glavnoe posledovatelnost
fishka v tom chto nelzya ispolzovat
parol dvazdy,server i korobochka znaut kakie paroli zakonny
posle uzhe ispolzovannogo parolya
Korobochka umeet sgenerit' posledovatelnost paroley,a server umeet
proverit ne narushena li polsedovatelnost


kazetsya eto lagoritm tovarisha po imenei Fiat
mogu statyu nakopat

[catpad.livejournal.com]

Ага! То есть время не имеет значения ? И для каждого юзера будет свой пароль, в зависимости от того, сколько раз он залогинился ?
Это объясняет дело. Ну не могу я поверить, что они всунули туда такие точные часы!

[mopexod.livejournal.com]

Да, про такие последовательности паролей я тоже читал. Но и часы - не сложно. Сигналы очень точного времени можно ловить из радиоэфира. Например со спутника GPS, или со специальных каналов радио.

[catpad.livejournal.com]

Да, о радио-синхронизации я тоже думал, но мне не верится, что они в эту фигульку запихали приёмник. Уж больно мала и неказиста. Это точно последовательность, теперь сомнений нет.

[reineke.livejournal.com]

в каждой ж джипиэске запиханы атомные часы

[catpad.livejournal.com]

Объясните профану, что такое атомные часы ?

я тоже не спец отнюдь

[reineke.livejournal.com]

Не, ошибся. Атомные часы на спутниках, в самих приемниках попроще, а синхронизируются по спутникам.
Собсно атомные часы - супермегаточный счетчик, технологию точно не знаю, какой-то там очередной распад чего-то там. "Бортовые атомные часы имеют точность приблизительно в 1 наносекунду (нс) по времени, и приблизительно 1 нс/день по скорости хода." (http://www.acmephysics.narod.ru/b_r/gps.htm)

[dlina.livejournal.com]

nadeus chto takoe atomny budilnik obyasnyat ne nado;-)

[air-the-best.livejournal.com]

не везде есть доступность радиоэфира и gps.

[dlina.livejournal.com]

togda by na priborchike byl by LCD
s urovnem priema signala kak na mobilnike;-))

Interesen byl by takzhe mechanishesky variant s podzavodkoy;-)

[dlina.livejournal.com]

nado stateyku glyanut,po-pamayati rabotaet kazhetsya tak:
U usera est priborchik kotory generit polsedovatelnost paroley
(dlya kazhdogo usera svoya)
Server sam takuy posledovatelnost sgenerit ne mozhet i nikto ne mozhet
Server mozhet proverit:
a) Poluchenny Parol iz dannoy polsedovatelnosti
b) Poluchenny Parol v posledovatelnosti idet posle poslednego ispolzovannog parolya

Za tochnost ne ruchaus,detaley generzaii polsedovatelnosti ne pomnu;-)

[catpad.livejournal.com]

Спасибо, наконец-то разрешилась тайна, над которой я думаю уже третий год :)

[dixi.livejournal.com]

я сталкивался с системой авторизации, которая была основана на генерации псевдослучайного числа в зависимости от времени, причём, как мне сказали, система имеет толерантность к небольшому различию во времени у сервера и клиента. Т.е. если время совпадает в известных пределах - то авторизация проходит.

[greenadine.livejournal.com]

А ты уверен, что пароль - единственно верный? Может там есть какая-то закономерность, девайс генерит пароли, а сервер только проверяет валидность? Ну, что-то типа номера кредитки, по которому можно сразу сказать, может ли существовать карта с таким номером.

А по поводу отпечатков пальцев - на Ixbt ребята тестировали этот (подобный?) аппарат, считали количество ошибок и все такое. Под конец извратились, сделали слепок из пластилина - не прокатил (он "негативный" был). Тогда они сделали "позитивный" (воск отлили, по-моему) - прокатило :)

[catpad.livejournal.com]

Да, мне уже объяснили про закономерность (см. комменты).
Про палец смешно :)

[greenadine.livejournal.com]

Если я правильно понял, тебе предложили версию с заданным порядком паролей. Один за другим, заранее известная последовательность. А у меня - на сервере определено правило, которое проверяется для каждого введенного пароля. Т.е. вместо того, чтобы вводить их один за другим, ты можешь пропустить пяток, затем ввести шестой, а затем когда-нибудь использовать пропущенные пять.

[dlina.livejournal.com]

"Т.е. вместо того, чтобы вводить их один за другим, ты можешь пропустить пяток, затем ввести шестой, а затем когда-нибудь использовать пропущенные пять"
tak eto ze vsu security lomaet
kartochku sperli,parol zapisali potom vospolzovalis

"Один за другим, заранее известная последовательность"
mozho propuskat,glavnoe avtorizovanny login zapreshaet vse poroli iz proshhlogo
ispolzovannye ili ne ispolzovannye

[kalvado.livejournal.com]

Pro avtomobil'nye radiootkryvashki slyshal bajku, chto tam generit'sya kod, v zavisimosti ot proshlogo pri kajdom najatii knopki
A priemnik proveryaet, sootvetstvuet li etot kod odnomu iz N (50 vrode) sleduyushih posle poslednego raspoznannogo..
Itogo, esli 51 raz najat' na knopku otkryvaniya vdali ot avtomobilya - brelok posle etogo ne srabotaet

[dimrub.livejournal.com]

Есть несколько фирм, которые эти приборчики выпускают. Самые, кажется, распространенные - это SecurID фирмы RSA и Vasco одноименной фирмы. Алгоритмы разные. В частности, у SecurID все зациклено на часах, поэтому раз в 3 месяца примерно их приходится ссинхронизовывать обратно. А как Васко работает я не знаю. В любом случае, используется генератор псевдо-случайных чисел, который есть функция, преобразующая одно число в другое так, что зная сколько угодно таких чисел (но не зная функцию) очень трудно предугадать следующее.

[catpad.livejournal.com]

Вот именно то, что их не надо синхронизировать меня и смущало. Не верю я, что можно сделать такие точные и такие дешёвые часы. А про генератор уже тут объяснили, теперь всё ясно.

[dlina.livejournal.com]

chasy nushny dlya drugogo

v segenerirovanom chisle zakodirovana time information

eto na sluchay sleduyshego scenariya:

kto-to sel meshdu mnoy i serverrom ,shaval moy password i ne peredal ego serveru
a potom cherez 2 chasa vospolzovalsya ukradinoy infoy
Server sveryaet vremya passworda so svoim vremenem i ne daet vospolzovatsya passwordom kotory byl sgenerirovan 2 chasa nazad.

Yasny pen chasy nado vermya ot vremeni sinchronizirovat

[stroy.livejournal.com]

интересно, если несколько паролей не вводить (ну пускай 10 сгенереный), то если все завязано на последовательностьи - пустит система или нет?