01-07-2007, 03:16
|
מנהל פורומי "תכנות ובניית אתרים" ו"חומרה ורשתות"
|
|
חבר מתאריך: 25.10.01
הודעות: 42,775
|
|
בתגובה להודעה מספר 1 שנכתבה על ידי sniffer שמתחילה ב ""עקיפת מנגנון הזדהות -smart card"-האם מדובר במחדל?"
המחדל הוא מחדל רק אם אתה מניח מראש הנחות לא נכונות.
ההנחה הנכונה היא: כדי לבצע הזדהות מול ה DC במשתמש X שהוגדר לו שהוא צריך כרטיס חכם, לא תוכל לעשות זאת בלי הכרטיס. מה שנקרא הזדהות בשני אופנים (הזדהות מרובת פקטורים) : "Something I know" + "Something I have". ו-ז-ה-ו.
כל שאר הדברים שאמרת, אינם קשורים בכלל למה שקיומו של הכרטיס מנסה להבטיח, ולכן, מחדל האבטחה הוא שמישהו הניח הנחות לא נכונות לגבי מטרותיו של הכרטיס הזה...
(ואם אני לא מובן מספיק - דמיין לעצמך את הסנריו הבא: אני מגיע עם הנייד שלי, מחבר אותו לשקע הרשת במקום המחשב המוגן - וגולש לאותו אתר שלך שאמרת שאפשר לגלוש אליו אם אתה נכנס כ Local admin. אני אצליח, הלא כן? אם כך, אפילו גישה למחשבים שלך לא צריך... ולמה? משום שהגנת מפני כניסה לתחנות, ולא מפני כניסה לשירותים, שזה מה שהיה יותר חשוב שתגן עליו אם ההגנה באמת חשובה לך... לא שאני ממעיט מחשיבות ההגנה על התחנות גם, שהרי גם הן יכולות להכיל מידע חסוי וכדו' - אבל אם אתה רוצה להגן על שירותים - לא עושים זאת דרך תחנות הקצה בשום מקרה שהוא...)
ראה גם: http://www.security-gurus.net/2006/...ou-can-you.html
|