it-swarm.com.de

4-Rad-Kombinationsvorhängeschloss: Ist es sicherer, es auf Null zu stellen oder die Zifferblätter nach dem Verriegeln blind zu drehen?

Ich bin teilweise verantwortlich für einige Ressourcen, die durch ein 4-Zifferblatt-Zahlenschloss wie dieses : Lock

Es gibt zwei Dinge, die Leute normalerweise tun, nachdem sie es gesperrt haben:

  • setzen Sie alle Ziffern auf 0 zurück, sodass die Kombination 0000 oder lautet
  • auf den Zifferblättern etwas zerdrücken, damit die Kombination etwas anderes liest.

Ich habe das starke Gefühl, dass es keinen funktionalen Unterschied zwischen den beiden gibt, aber ich werde ermutigt, eine bewährte Methode festzulegen. Angenommen, das Schloss hat eine zufällige Kombination und ist praktisch unzerbrechlich, ohne die richtige Kombination einzugeben. Welcher Ansatz ist sicherer?

156
Peter Schilling

Theoretisch ist das Nullstellen oder eine vorgegebene Sequenz sicherer als möglich. Theoretisch raten Sie, wie weit jemand die Wählscheiben bewegen könnte.

Es ist auch denkbar, dass Sie die wahrscheinliche Kombination eingrenzen könnten, wenn Sie den Status der Wählscheiben überprüfen könnten, wenn sie bei genügend verschiedenen Gelegenheiten gesperrt sind, wenn sie jedes Mal auf ähnliche Weise zurückgesetzt werden.

In der Praxis ist dies wahrscheinlich ein bisschen weit hergeholt und alles mit einem Zahlenschloss hat wahrscheinlich größere Bedenken, z. B. die Kombination, die zu vielen Menschen bekannt ist, oder die Tatsache, dass eine beliebige Zahl zwischen 1950 und 2018 plus die Geburtsjahre mäßig berühmter Menschen wahrscheinlich ziemlich fair ist gut geraten.

Allerdings kann es betriebliche Vorteile haben, wenn Kombinationen auf Null gesetzt werden, da dies eine klare, eindeutige Richtlinie darstellt und es einfach ist, visuell zu überprüfen, ob das Schloss sicher ist, ohne dass die Person, die die Prüfung durchführt, die Kombination kennen muss, insbesondere wenn sie tatsächlich physisch prüft Dass das Schloss geschlossen ist, ist problematisch, z. B. löst das Öffnen einen Alarm aus. Sie könnten auch argumentieren, dass das Hinzufügen des zusätzlichen Nullungsschritts eher zu einer Routine führt und es daher weniger wahrscheinlich ist, dass die Benutzer vergessen, die Sperre überhaupt zu setzen, obwohl dies zugegebenermaßen umstritten ist.

Wenn Sie beispielsweise einen Nachtwächter haben, können Sie ihn einfach bitten, zu überprüfen, ob alle Sperren auf 0000 eingestellt sind. Dies ist sowohl einfach als auch überprüfbar.

Es gibt auch eine (zugegebenermaßen schwache) Überprüfung, ob die Schlösser nicht manipuliert wurden, hier wäre eine willkürlichere Reihenfolge besser.

Wenn Sie beispielsweise alle Ihre Sperren beim Verlassen auf 2375 setzen und die Reihenfolge bei Ihrer Rückkehr anders ist, wissen Sie, dass jemand mit ihnen herumgespielt hat.

Sie sollten sich auch darüber im Klaren sein, dass einige Arten der Kombinationswahlsperre sehr trivial zu wählen sind, da Sie häufig spüren können, wenn jedes Zifferblatt einrastet, indem Sie schnell durch jedes Zifferblatt fahren oder von außen prüfen. Ebenso hat ein 4-Wählschloss nur 10.000 (10 ^ 4) mögliche Kombinationen und Sie können Kombinationen oft sehr schnell systematisch durchlaufen.

118
Chris Johns

Ich würde empfehlen, es auf 0000 oder eine andere angegebene Kombination einzustellen (egal was).

"Um die Wählscheiben herum pürieren" ist ein wenig vage, aber ich würde aufgrund meines eigenen Verhaltens vermuten, dass die Leute dazu neigen, die meisten oder alle Wählscheiben gleichzeitig zu bewegen, was eine starke Korrelation zwischen der aktuellen Kombination und der Sperrkombination erzeugen würde. Wenn die Sperrkombination beispielsweise 1234 ist, kann jemand sie in 5678 ändern (wahrscheinlich nicht genau, aber nah genug, dass ein Angreifer die von ihm versuchten Kombinationen priorisieren kann).

Menschen neigen auch dazu, einige Dinge zu denken scheinen sicherer zu sein, wenn sie tatsächlich die Sicherheit schwächen. Jemand könnte versuchen, eine Kombination festzulegen, die "weiter" von der Sperrkombination entfernt zu sein scheint, z. B. 1234 auf 6578 anstelle von 2142 zu ändern, da 2142 zu nahe an der Sperrkombination liegt. Dies könnte es einem Angreifer ermöglichen, die Reihenfolge zu priorisieren, in der er Kombinationen versucht. Durch Angabe eines konstanten Werts zum Festlegen werden solche Probleme vermieden.

192
AndrolGenhald

Es spielt keine Rolle.

Ein Schloss kann drei Arten von Schutz bieten:

  1. Verzögern Sie einen Angreifer, auf eine Ressource zuzugreifen, damit er unterbrochen und gestoppt werden kann
  2. Beweise für Manipulationen vorlegen
  3. Halten Sie einen potenziellen Angreifer von einem Angriffsversuch ab

Wie in den Antworten und Kommentaren erläutert, kann ein Angreifer nicht viel verzögert werden. Das Schloss kann einfach mit einem Werkzeug wie diesem $ 10 Paar Bolzenschneider geschnitten werden. Es kann einfach mit einem Werkzeug ausgewählt werden, wie CGCampbell 's Kommentar weist darauf hin.

Die Leichtigkeit, mit der es gepflückt werden kann, schränkt auch seine Wirksamkeit als Manipulationsnachweis ein. Andere Antworten weisen darauf hin, dass es auch ohne ein Kommissionierwerkzeug ziemlich leicht besiegt werden kann. Auch das scheitert also wirklich.

Dies lässt seinen einzigen Wert als psychologischen Nutzen. Es wird mitgeteilt, dass die Wertsachen im Inneren nicht für einen uneingeschränkten Zugang bestimmt sind, was Menschen davon abhält, deren Sinn für Moral oder die Angst, erwischt zu werden, sie daran hindert, es überhaupt zu versuchen.

Was auf dem Zifferblatt sitzt, hat somit für seine Verteidigungsfähigkeiten nahezu keine Relevanz. Infolgedessen benötigen Sie andere Abwehrmechanismen, um Ihre Sicherheitsziele zu erreichen, wenn diese über den psychologischen Einfluss hinausgehen. Die Überwachung (Video oder persönlich) würde Ihnen Manipulationsnachweise viel zuverlässiger liefern, wenn Sie dies benötigen. Wenn dies nicht möglich ist, gibt es andere Möglichkeiten, dies zu erreichen. Andere Schutzmaßnahmen sind erforderlich, wenn Sie sie vor entschlossenen Angreifern schützen möchten.

34
jpmc26

Stellen Sie es auf Null. Vielleicht mehr Arbeit, aber Sie laufen nicht Gefahr, zu wenig oder um dieselbe Menge für mehrere Wählscheiben zu drehen. Ein Angreifer hätte in beiden Fällen allerdings nur sehr wenig zu tun ... Die meisten Leute würden dies nicht in Betracht ziehen. Die tatsächliche reale Sicherheit zwischen den beiden ist wahrscheinlich ungefähr gleich. Sie hätten nur nichts extra, um weiterzumachen, wenn Sie es auf Null setzen, und es ist gut, eine solche Gewohnheit zu bilden.

23
AJAr

Bei der Beantwortung dieser Frage sind einige Dinge zu beachten.

  1. Wenn Sie nach einer statistischen Antwort suchen, "drehen" Sie die Wählscheiben eine bestimmte Anzahl von Malen zufällig vorwärts und rückwärts. (Ich habe nicht die Zählung, da dies eine Berechnung wäre, die ich nicht bei mir habe. Es ist wie eine erforderliche Anzahl von Mischvorgängen in Vegas, um als zufällig angesehen zu werden.)

  2. Wenn Sie dies aus Sicherheitsgründen betrachten, ist es die bessere Antwort, wenn Sie es auf eine bestimmte Nummer setzen (wobei 0000 diese bestimmte Nummer sein könnte). Der Grund, warum es eine bessere Antwort ist, wurde in anderen Posts angesprochen, aber zusammenfassend erfordert es, dass die Person, die das Schloss sperrt, "nachdenkt", um sicherzustellen, dass es gewählt wurde. Es liefert keine statistischen Informationen über die Zeit, um Bewegungen zu erraten. Es ermöglicht die regelmäßige "Entdeckung" von Manipulationen (wenn auch nur, um die Zahlen zu verschieben). Wenn die von Ihnen festgelegte Zahl 0000 ist, hat der Manipulationsteil möglicherweise eine geringere Wirksamkeit, da jemand, der damit spielt, wahrscheinlich daran denken wird, ihn wieder auf 0000 zurückzusetzen.

Leider ist all dies insgesamt etwas umstritten, wenn die Person, die versucht, das Schloss zu öffnen, weiß, was sie tut. Diese 4-stelligen Kombinationsschlösser wie das abgebildete können in weniger als 30 Sekunden von jemandem geöffnet werden, der Erfahrung mit ihnen hat. Wenn sie eine dünne Unterlegscheibe haben, sogar noch schneller ... Nur ein typisches Beispielvideo, wie dies gemacht wird (allerdings mit stärker belichteten Zifferblättern) https://www.youtube.com/watch?v=ABKsUNitXqw = oder https://www.youtube.com/watch?v=jmhSSuCIdPI . Nachdem ich mehrere Jahre bei DefCon gearbeitet habe, ist es ziemlich erstaunlich, ein paar Minuten im Lockpicking-Dorf zu sitzen und jungen Erwachsenen zuzusehen, wie sie diese Dinge nach weniger als 15 Minuten Training schnell platzen lassen.

Zu wissen, wie einfach es ist, diese zu platzen, und die Tatsache, dass Sie sich wahrscheinlich Sorgen um Manipulationen machen, # 2 oben ist der langfristige Weg.

11
Marcos

Um ein zusätzliches Maß an Sicherheit zu schaffen, verwenden Sie entweder beide Richtungen gleichermaßen zum Nullstellen oder drehen Sie immer alle in eine Richtung, um die gleiche Anzahl von Fingerabdrücken zu hinterlassen. Die Leute neigen dazu, eine Nummer einmal zu wählen und sie auswendig zu lernen. Der Weg von Null zu (oder nahe) der richtigen Kombination kann im UV-Licht sichtbar werden.

Ich denke, das ist noch einfacher, als zu erraten, ob eine gezeigte Nicht-Null-Kombination aus blindem Spinnen oder von Hand ausgewählt wurde: Das Auswendiglernen des bereits Versuchten kann ähnlich viel Zeit und Mühe kosten, als das Durchlaufen von 0000-9999 in der richtigen Reihenfolge. Und sobald es gestohlen wird, spielen Zeit und Kombination keine Rolle mehr: Ich würde mich auf Bedrohungen konzentrieren, die sich verwirklichen könnten, während Sie den Rücken kehren, ohne zu wissen, dass die Geheimnisse kompromittiert wurden.

6
Esa Jokinen

Theoretisch ist die Einstellung auf 0000 überlegen, da keine Korrelation zu dem besteht, was zuvor vorhanden war. In der Praxis ist es etwas überlegen, da Sie die Möglichkeit haben, die Konformität zu überprüfen, während ein bestimmtes Verfahren, das eine angemessene Randomisierung erfordert, nicht einfach überprüft werden kann, um festzustellen, ob die Benutzer das Protokoll tatsächlich befolgen, anstatt nur beiläufig zu bürsten ihren Daumen über alle Räder zusammen.

Noch praktischer ist es jedoch, sich für ernsthafte Sicherheit auf ein solches Schloss zu verlassen. Wenn es diese Analyse wert ist, ist es ein Schloss wert, das kein Spielzeug ist. Regel für Bolzenschneider.

4
user175731

Mehr zum Nullstellen des Ergebnisses, was mein empfohlener Ansatz ist. Dies ist eine theoretische Antwort.

Angenommen, ein Angreifer weiß, wie Sie die Sperre zurücksetzen, indem er entweder auf Null setzt, einen festen Wert festlegt oder die Ziffern verschlüsselt, sollte er die richtige Kombination nicht kennen und somit die gleichen Chancen haben, eine zufällige Kombination zu finden.

Dies könnte durch "Herumtollen" gebrochen werden, da kein Mensch eine perfekte Quelle für zufällige Quellen ist. Eigentlich könnten sie das Schlimmste sein.

Das Maischen um die Ziffern könnte mit einem mechanischen/elektronischen Gerät funktionieren, das die Ziffern basierend auf einer wirklich oder gut zufälligen Quelle dreht.

Normalerweise wendet der Mensch jedoch die Ziffernmuster an, die die möglichen zu suchenden Werte verringern können.

Angenommen, Sie und der Angreifer teilen sich eine Reihe von Sperren, von denen beide kennen die Kombination. Normalerweise würde man zum Beispiel die Finger "zufällig" über die Walzen streichen, damit sie auf eine andere Zahl zeigen. Oder bewegen Sie die Rollen in einer Reihenfolge, die das Gehirn beibehalten möchte.

Vielleicht stellt jemand sicher, dass die resultierende Zahl alle von der richtigen Kombination abweichenden Ziffern oder eine Mindestanzahl von Häkchen anzeigt, wenn jede Ziffer geändert wird.

Dies führt zu einem bekannter Klartextangriff einer zunehmenden Anzahl von Versuchen (dies ist wiederum eine theoretische Antwort) und gibt zusätzliche Informationen über die Kombination, die der Angreifer nicht haben sollte.

Was bedeutet hervorgehobenes zusätzliches ? Selbst wenn es dem Angreifer gelingt, festzustellen, dass eine einzelne Ziffer sicherlich eine falsche Vermutung ist, hat er die erforderlichen Brute-Force-Angriffe um 1000 verringert. Fügen Sie weitere Ziffern hinzu, um die Angriffsfläche einzuschränken.

Einstellung auf 0000 oder auf einen vordefinierten Wert machen die Chancen jeder Kombination gleich

In praktischer Hinsicht spielt es keine Rolle, dass es schwieriger sein wird, das blinde Scrambling rückgängig zu machen, als nur mit den Wählscheiben herumzuwackeln und ein Gefühl für das Schloss zu bekommen. Es ist ziemlich einfach, ein Zahlenschloss zu öffnen, indem Sie die Wählscheiben drehen und fühlen, wie es reagiert. Zahlenschlösser wie diese sind nur eine milde Abschreckung.

1
Qwertie

Es ist eigentlich eine ziemlich schlechte Idee, von jedem zu verlangen, dass er alle Nullen verwendet, da das Erfordernis aller Nullen ein lästiges Sicherheitstheater ist.

Ich habe das starke Gefühl, dass es keinen funktionalen Unterschied zwischen den beiden gibt, aber ich werde ermutigt, eine bewährte Methode festzulegen.

Die beste Vorgehensweise sollte etwas sein, das die Menschen konsequent tun und befolgen, und etwas, für das Ihre Kohorte die Bedeutung versteht. Die Argumente, die sich ergeben, wenn jemand vergisst, alles auf 0 zu setzen, oder wenn er nicht das Gefühl hat, dass es nichts anderes als kleinlich ist. Natürlich weiß jeder in Ihrem Team, dass es keinen Unterschied macht, zumindest keinen Unterschied, der nicht mit "technisch gut" beginnt.

Wenn das Management in Bezug auf Sicherheit wörtlich ist, können Sie erwarten, dass die Mitarbeiter gleich wieder wörtlich sind. Wenn sich die Leute wirklich aufregen, können Sie davon ausgehen, dass das Schloss am Boden auf alle Nullen eingestellt ist und der Safe eines Tages geöffnet ist, so wie es das Management wünscht.

0
djechlin

sie können beispielsweise auch eine andere Zufallszahl 3234 festlegen und diese nach dem Sperren auf diese Zahl zurücksetzen, damit Sie leichter erkennen können, ob sie anstelle von 0000 gespielt wurde

0
user175812