Безопасность индентификации IRL

0

1

В компьютерных сетях, если ты хочешь надежно себя идентифицировать, ты можешь получить SSL сертификат и сообщать его всем направо и налево, а приватный ключ хранить только у себя. И кто угодно сможет понять, что ты это ты, не располагая твоим private key.

Но IRL ситуация совсем иная. В соседнем треде упоминается кража ssn, после которой кто-угодно может выдавать себя за тебя. Но в отличие от private key, ssn ты сообщаешь огромному количеству людей.

В итоге получается полнейшее РЕШЕТО, в котором вся безопасность основывается на доверии к каким-то совершенно левым людям. И если в компьютерной области баги, позволяющие подобное, закрывают довольно быстро после обнаружения, баг с кражей ssn в америке уже известен кучу лет, и никто не чешется.

В чем причина столь халатного отношения к ситуации?

Ссылка

←	куда делся megabaks ?

Программа развития детей

→

Что такое ssn?
Если не чешутся, значит не так уж страшен чёрт, как его малюют.

~~Stahl~~ ★★☆
(09.05.14 01:16:57 MSK)

Ответ на: комментарий от Stahl 09.05.14 01:16:57 MSK

http://ru.wikipedia.org/wiki/Номер_социального_обеспечения

примерно аналог нашего СНИЛС. Только у них дофига на него завязано. И он выступает в роли идентификатора личности.

http://ru.wikipedia.org/wiki/Кража_личности

Ситуация, как если бы ты мог, узнав номер паспорта человека (даже без кражи самого паспорта), делать очень много чего от его имени.

cvs-255 ★★★★★
(09.05.14 01:18:01 MSK) автор топика
Последнее исправление: cvs-255 09.05.14 01:22:06 MSK (всего исправлений: 4)

Ответ на: комментарий от cvs-255 09.05.14 01:18:01 MSK

Ситуация, как если бы ты мог, узнав номер паспорта человека (даже без кражи самого паспорта), делать очень много чего от его имени.

Но ведь так и есть

TheAnonymous ★★★★★
(09.05.14 01:32:02 MSK)

Ответ на: комментарий от TheAnonymous 09.05.14 01:32:02 MSK

Ну в основном все-таки паспорт требуют.

cvs-255 ★★★★★
(09.05.14 01:40:42 MSK) автор топика

Ссылка

Все эти страшилки про кражу SSN в большинстве случаев не обоснованы. Одного SSN не достаточно, обычно нужно еще и права на то же имя иметь. Плюс сам SSN - это бумажка с многими степенями защиты. Это примерно как сказать, что если паспорт подделать, то за кого угодно себя выдать можно.

alexru ★★★★
(09.05.14 01:46:02 MSK)

Ответ на: комментарий от alexru 09.05.14 01:46:02 MSK

Судя по страшилкам, достаточно знать номер ssn, чтобы изрядно подгадить.

cvs-255 ★★★★★
(09.05.14 02:21:27 MSK) автор топика

http://en.wikipedia.org/wiki/Key_signing_party

Lighting ★★★★★
(09.05.14 02:36:59 MSK)

Ссылка

The problem with SSNs is that they were never intended to provide proof of identity or security. It was simply a number attached to a name to differentiate people with similar names for the purpose of delivering federal benefits. Instead, the problem lies with our banking and credit systems which are misusing SSN's as a way of verifying one's identity. The problem lies not with the SSN, but the poorly thought out identity-verification procedures used by the rest of society. It is somewhat unnerving to know that the people trusted with safeguarding our financial systems know no better way of verifying our identities than asking for a name and number combination which can be easily discovered or guessed.

Отсюда: https://www.schneier.com/blog/archives/2009/07/social_security.html#c386455

edigaryev ★★★★★
(09.05.14 02:39:11 MSK)

Ответ на: комментарий от edigaryev 09.05.14 02:39:11 MSK

Ок. Как тогда можно сделать надежную идентификацию?

На ум приходит только смарт-карта, в которой хранится зашифрованный private-key, по которому сделан сертификат, подписанный государственным CA.

Если хотим сделать какое-либо действие от имени человека, вставляем карту в ридер, вводим с клавиатуры пароль от ключа, этот пароль и данные о действии идут в карту, там подписываются с помощью сертификата и ключа (как, например, openssl smime), и выдаются обратно.

Тот, кому данные передаются, получает подписанный текст и проверяет сертификат.

Таким образом, чтобы «украсть личность», понадобится одновременно украсть пароль и карту, что намного сложнее, чем узнать номер ssn.

Если украден только пароль, то просто меняешь его. Если украдена карта, то обращаешься с заявлением о отзыве сертификата и делаешь новый.

cvs-255 ★★★★★
(09.05.14 03:14:04 MSK) автор топика
Последнее исправление: cvs-255 09.05.14 03:16:30 MSK (всего исправлений: 2)

Ответ на: комментарий от cvs-255 09.05.14 03:14:04 MSK

Ну а так, как у теперь все защищено от подделки, принимаем обращения откуда угодно, например из дома. Картридеры стоят совсем недорого, и те, кому оно надо, без проблем приобретут их.

При всяких там трудоустройствах и прочем это тоже можно использовать для идентификации. У работодателя при этом будет храниться только подписаное работником сообщение с чем там надо, а не конфиденциальная информация о человеке.

cvs-255 ★★★★★
(09.05.14 03:28:01 MSK) автор топика

Ссылка

Ответ на: комментарий от cvs-255 09.05.14 02:21:27 MSK

Смотря что считать изрядно. В переходе метро можно купить симку на чужой паспорт, например. Не приятно, но не смертельно.

Банки часто для идентификации спрашивают последние 4 цифры SSN, так что если угадать, то можно делать некритичные банковские операции, например заблокировать карту. Но это не сколько не лучше или хуже девичьей фамилии матери.

Для открытия счетов нужно физически быть в банке и еще предоставить government issued ID (для большинства людей - это водительские права).

alexru ★★★★
(09.05.14 03:39:06 MSK)

Ответ на: комментарий от alexru 09.05.14 03:39:06 MSK

В переходе метро можно купить симку на чужой паспорт, например. Не приятно, но не смертельно.

А в идеале, без подписанного человеком файла, привязка к человеку должна быть недействительна.

cvs-255 ★★★★★
(09.05.14 03:53:50 MSK) автор топика

Ответ на: комментарий от alexru 09.05.14 03:39:06 MSK

например заблокировать карту

У вас «пароля» на это дело нету?

kostian ★★★★☆
(09.05.14 04:20:44 MSK)

Ответ на: комментарий от cvs-255 09.05.14 03:53:50 MSK

А в идеале, без подписанного человеком файла, привязка к человеку должна быть недействительна.

Ну так в этом и заключается неудобство - в случае проблем придется потратить немного времени на доказательство того, что не баран.

alexru ★★★★
(09.05.14 04:27:17 MSK)

Ссылка

Ответ на: комментарий от kostian 09.05.14 04:20:44 MSK

У вас «пароля» на это дело нету?

Я карту не блокировал ни разу, не знаю, что они спрашивают точно. Для on-line банкинга есть контрольный вопрос (3 даже, выбирается каждый раз случано) в дополнение к обычной паре логин/пароль.

Но SSN спрашивают для подтверждения личности, даже когда звоню, чтобы предупредить, что буду использовать карту за границей.

alexru ★★★★
(09.05.14 04:31:57 MSK)

Ссылка

ну и не доверяй совершенно левым людям, в чём проблема.

дилемма *дудочки и кувшинчика* известна давным давно. и с тех пор ни капли не изменилась.

~~feofil~~
(09.05.14 05:05:09 MSK)

Ответ на: комментарий от feofil 09.05.14 05:05:09 MSK

ну и не доверяй совершенно левым людям, в чём проблема.

Т.е. не устраивайся на работу, например?

cvs-255 ★★★★★
(09.05.14 05:38:03 MSK) автор топика

Ответ на: комментарий от feofil 09.05.14 05:05:09 MSK

Дилеммы нет, если сделано не через одно место. Как - я описал. Вроде как в УЭК примерно так и есть

cvs-255 ★★★★★
(09.05.14 05:41:28 MSK) автор топика

Ссылка

Ответ на: комментарий от cvs-255 09.05.14 05:38:03 MSK

Т.е. не устраивайся на работу, например?

разумеется

~~feofil~~
(09.05.14 05:43:28 MSK)

Ссылка

Ответ на: комментарий от TheAnonymous 09.05.14 01:32:02 MSK

Но ведь так и есть

А вот фиг. Можно накопировать свой паспорт и с самолета в виде листовок копии по городу разбрасывать. Ничего по ним официально оформить не могут, только через сговор с должностным лицом, оформляющим соответствующую сделку.

MahMahoritos ★★★
(09.05.14 08:06:22 MSK)