Forum » Informacijska varnost » Pomankljiva zaščita e-identitete Univerze v Ljubljani
Pomankljiva zaščita e-identitete Univerze v Ljubljani
Gandalfar ::
> Glede na to, da sva lahko sošolcu ponastavila geslo le s poznavanjem njegovih (ne ravno) osebnih podatkov in vpisne številke, ali to pomeni, da lahko ponastaviva geslo praktično – komurkoli – na fakulteti? Ime in priimek neke osebe seveda takoj izveš, rojstni datum tudi (če ne drugje pa na Facebooku). Prav tako veš, na kateri fakulteti nekdo študira, manjka pa ti le uporabniško ime in vpisna številka. Obstaja kar nekaj načinov, da izveš vpisno številko. Te se nahajajo na študentskih izkaznicah, v študentskih domovih pa so številke stanovalcev kar objavljene. Če ne gre drugače, lahko vpisno številko študenta izveš s poznavanjem nekoga, ki je v istem letniku po abecednem redu pod to osebo in nekoga, ki je nad to osebo. Vpisne številke se namreč inkrementirajo po abecednem redu. Načinov je še veliko. Tudi če bi moral ugibati med recimo stotimi vpisnimi številkami IN uporabniškim imenom s programom, bi za to potreboval 10.000 * 100 kombinacij, kar je 1.000.000 HTTP poizvedb. To pa je dandanes lahko dosegljivo, še posebej, če se poizvedbe izvršujejo paralelno.
http://pusic.si/post/pomankljiva-zascit...
http://pusic.si/post/pomankljiva-zascit...
tx-z ::
To me spominja na ARS2 in prijavljanje v različne termine vaj. Ko si se prjavu v nek termin vaj, si dobil neko šifro ...In če si se hotu odjavt, si pač vnesu samo to šifro in si se odjavu. In ker so bli vsi dobri termini že zasedeni, si je en možakar (kudos for that), spomnu da bi pač zgeneriru vse te šifre(itak so ble čist simpl..mislm da sam velke črke pa cifre) in pač vse ljudi odjavu in on bi se pol lah v to skupino prjavu...:) Očitno študentje ratujejo bolj pametni kot prfoksi, k to zasnujejo :)
tx-z
RejZoR ::
Ne gre za bolj pametne ampak da je zadeva že v osnovi zasnovana povsem zgrešeno. Mogoče bi to delovalo 20 let nazaj, ko tud internet ni bil v takem razmahu in ni bilo socialnih omrežij, ki so pravi data mining centri. Dandanes pa na njih lahko izbrskaš praktično karkoli in res ni nobena znanost poiskat par podatkov.
Avtentikacija uporabnika bi morala biti bistveno bolj varna oz unikatna. Pa ni treba da ravno nek badass sistem, ki bi ga uporabljale banke ampak vseeno ne tolk primitivnega kot pravi Gandalfar...
Avtentikacija uporabnika bi morala biti bistveno bolj varna oz unikatna. Pa ni treba da ravno nek badass sistem, ki bi ga uporabljale banke ampak vseeno ne tolk primitivnega kot pravi Gandalfar...
Angry Sheep Blog @ www.rejzor.com
techfreak :) ::
Podobno je tudi na FERIju, vendar če veš vpisno številko in ime ter priimek študenta imaš še vseeno v najslabšem primeru 10^4 kombinacij. Če predpostavimo, da pravo številko najdeš v prvi polovici poizkusov je to še vseeno 5000 zahtevkov.
Pri toliko zahtevkih bi se administrator kar hitro vprašal, kaj je obiskovalec delal pri toliko zahtevkih v enem dnevu, kaj šele v eni uri.
Pri toliko zahtevkih bi se administrator kar hitro vprašal, kaj je obiskovalec delal pri toliko zahtevkih v enem dnevu, kaj šele v eni uri.
Zgodovina sprememb…
- spremenil: techfreak :) ()
fizikalac ::
Poizvedbe lahko razpršiš čez daljše časovno obdobje, menjaš user agent ter ip in dodaš random timeoute. Problem še vedno ostaja. Poleg tega pa tistih logov nobeden aktivno ne spremlja oziroma analizira, vsaj po številu neopaženih incidentov sodeč.
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Varstvo podatkov na faksu?Oddelek: Šola | 2071 (1610) | m0LN4r |
| » | [C++] Naloga seznamOddelek: Programiranje | 3303 (2578) | Matic1911 |
| » | BASH skripta za ustvarjanje uporabnikovOddelek: Programiranje | 1067 (836) | golobich |
| » | [c#] Napačen izpis -- prazni stringiOddelek: Programiranje | 1539 (1481) | Spura |
| » | Kdaj študentska izkaznica oz. indeks ?Oddelek: Šola | 8958 (8580) | Lonsarg |