标记为“身份验证”的条目

第24页第1页

匿名艺术家班克斯如何认证他或她的作品

有趣的计划

这一切都始于一个相当糟糕的标准画廊风格证书。工程细节,认证机构,有点浮雕和一个大的印象深刻的签名在底部。正是那种可以被某个任务中的人轻易复制的东西,以创造完美的假货。

那张破了一半的钞票?别管签名了,压花或蜡封。面对面坦纳正在做所有的认证重吊起这里。

眼泪是唯一分开私人钥匙的东西,那张纸条的一半在害虫防治时被锁上了钥匙,使用公钥。公钥是随打印件传递的认证证书所附说明的一半。并允许其真实性易于验证。

我们不知道害虫防治局的私人文件上写了什么。这意味着它不容易被重新创建,这就使得害虫控制部门能够保留目前拥有每项认证银行工作的权威名单。

4月10日,2019年5点44分·查看评论

中科院补发100多万张弱证书

原来是一堆ca用来生成公钥证书的软件瑕疵的:他们创建的随机序列号只有63位,而不是所需的64位。对外行来说这似乎不是什么大问题,但这一位的变化意味着序列号只有所需熵的一半。这真的不是安全问题;序列号用于防止涉及弱散列函数的攻击,我们不再允许那些弱哈希函数。仍然,中科院重新颁发证书是件好事。标准的要点是要遵守。

发表于3月18日,2019年上午6:23·查看评论

用假手击败手静脉生物测定

尼斯工作

静脉系统的一个吸引力说,更传统的指纹系统是,攻击者通常很难了解用户的静脉在皮肤下的位置,不是从拿着的物体或高质量的照片上提取指纹,例如。

但话虽如此,克里斯勒和阿尔布雷希特首先拍下了他们的静脉模式。他们使用了一个经过改装的单反相机,去掉了红外滤光片;这使他们能够看到皮肤下的静脉图案。

“从五米远的地方拍照就足够了,去参加一个新闻发布会并给他们拍照可能会有用,”克里斯勒解释说。总共,这对夫妇在30天内拍摄了2500多张照片,以完善这一过程,并找到一张有效的图像。

然后,他们用这幅图像制作了一个包含静脉细节的手蜡像模型。

斜板线.

1月11日发布,2019年上午6:38·查看评论

针对双因素身份验证的实时攻击

攻击者是针对双因素认证系统:

代表伊朗政府工作的攻击者收集了有关目标的详细信息,并利用这些信息编写专门针对目标操作安全级别的矛式网络钓鱼电子邮件,安全公司certfa实验室的研究人员说博客帖子.这些电子邮件包含一个隐藏的图像,当目标查看这些信息时,该图像会实时提醒攻击者。当目标公司在一个伪造的Gmail或雅虎安全页面中输入密码时,攻击者几乎同时将凭证输入一个真实的登录页面。如果目标公司的账户受到2FA的保护,攻击者将目标重定向到请求一次性密码的新页面。

这不是新的。我在二千零五2009.

发布于12月14日,2018年上午10:02·查看评论

使用机器学习创建假指纹

研究人员能力创造假指纹导致20%的假阳性率。

问题是,这些传感器只获取用户指纹的部分图像——在与扫描仪接触的点上。该报指出,由于部分印刷品不如完整印刷品那么独特,一个局部打印与另一个匹配的几率很高。

人工生成的指纹,研究人员将其命名为DeepMasterPrints,利用上述漏洞在数据库中准确地模仿五分之一的指纹。该数据库最初被认为只有千分之一的错误率。

研究人员利用的另一个弱点是一些自然指纹特征的高流行率,如循环和螺纹型,与其他人相比。有了这样的理解,该团队生成了一些包含这些常见特征的打印。他们发现这些人造指纹比正常情况下更可能与其他指纹匹配。

如果这个结果是可靠的——而且我认为它在未来几年将会得到改进——它将使当前一代的指纹阅读器不再是安全的生物特征识别器。这也开启了生物识别认证系统和假生物识别技术之间的军备竞赛的新篇章,假生物识别技术可以愚弄他们。

更有趣的是,我想知道类似的技术是否可以用来对付其他生物特征识别技术。

研究.

斜板线

发布于11月23日,2018年上午6:11·查看评论

特洛伊猎取密码

特洛伊·亨特好文章关于为什么密码会留在这里,尽管存在安全问题:

这就是为什么密码在可预见的将来不会出现在任何地方,也就是为什么[在这里插入东西]不会杀死它们。如果只关注密码有多糟糕,或者有多少帐户被破解,或者当人们无法访问他们的帐户时需要付出多少代价,那么这一切都不会改变。[在这里插入内容]的技术能力也不会改变讨论,因为它根本无法与密码竞争,因为一个度量标准组织如此关注:可用性。当然,会出现边缘情况,当然还有一些情况是,由于受保护资产的性质或受众的人口统计,更大的摩擦是合理的,但你不会看到你的日常电子商务,社交媒体,甚至银行网站都在发生大规模的变化。

他正确地指出,生物识别认证系统——比如苹果的人脸识别和指纹认证——增加了密码,而不是取代它们。我想补充一下,好的双因素系统,像哆一样,同时增加密码而不是替换它们。

黑客新闻线.

11月5日发布,2018年上午10:24·查看评论

Facebook正在使用你的双因素认证电话号码来定位广告

喀什米尔希尔

Facebook不满足于使用你自愿放入Facebook个人资料中的联系信息进行广告宣传。它还使用您出于安全目的而移交的联系信息和您根本没有移交的联系信息,但这是从其他人的通讯录中收集的,Facebook隐藏了一层关于你的信息,我称之为“影子联系信息”。我在艾伦·米斯洛夫(Alan Mislove)的影子头像前投放了一则广告。这意味着,你为了打折或网上购物而交出的垃圾邮件地址很可能与你的帐户有关,并被用来作为广告的目标。

这是研究报告.Hill:

他们发现,当一个用户给Facebook一个电话号码进行双因素身份验证,或者为了接收用户帐户新登录的通知时,这个电话号码在几周内就被广告商瞄准了。因此,那些希望自己的帐户更安全的用户被迫进行隐私权衡,让广告商更容易在社交网络上找到他们。

发布于10月2日,2018年上午5:53·查看评论

使用智能手机的麦克风和扬声器窃听密码

令人惊讶的是,这甚至是可能的。”声纳:主动声侧信道攻击”:

文摘:我们报告了第一次主动声侧信道攻击。扬声器用来发出人耳不见的声音信号,通过麦克风记录回声。把智能手机的音响系统变成声纳系统。回波信号可用于描述用户与设备的交互。例如,受害者的手指移动可以推断为窃取安卓手机解锁模式。在我们的实证研究中,攻击者必须尝试在三星S4安卓手机上验证自己身份的候选解锁模式数量,使用这种新颖的声学侧通道最多可减少70%。我们的方法可以很容易地应用于其他应用场景和设备类型。总体而言,我们的工作突出了一系列新的安全威胁。

新闻文章.

发布于9月5日,2018年上午6:05·查看评论

良好的双因素认证安全入门

斯图亚特·谢赫特发表了优质底漆关于双因素认证的安全问题。

虽然这通常是一个重要的安全措施,这不是万能药。Stuart讨论了在部署系统之前必须考虑的可用性和安全性问题。

8月22日发布,2018年上午5:51·查看评论

关于量子密钥分布的GCHQ

英国的GCHQ直言不讳评估量子密钥分配:

QKD协议只解决了为加密数据约定密钥的问题。无处不在的按需现代服务(如验证身份和数据完整性,建立网络会议,提供访问控制,自动软件更新)更多地依赖于身份验证和完整性机制,如数字签名,而不是加密。

QKD技术不能取代当代公钥签名提供的灵活认证机制。QKD似乎也不适合未来的一些重大挑战,如确保物联网(IOT)安全,大数据,社会化媒体,或云应用程序。

我同意他们的看法。这是个聪明的主意,但实际上根本没用。在这个量子计算机已经打破了传统的公钥算法的世界里,我甚至认为这只是一个小众解决方案。

把整件事都读一遍。它是短的。

8月1日发布,2018年下午2点07分·查看评论

乔·麦金尼斯的布鲁斯·施耐尔侧边栏照片。

Schneier on Security是一个个人网站。betway88必威官网备用表达的意见不一定是IBM弹性.