Frage:
4-Zifferblatt-Kombinationsvorhängeschloss: Ist es sicherer, es auf Null zu stellen oder die Zifferblätter nach dem Verriegeln blind zu drehen?
Peter Schilling
2018-04-13 19:05:23 UTC
view on stackexchange narkive permalink

Ich bin teilweise für einige Ressourcen verantwortlich, die durch ein 4-Wähl-Kombinationsschloss wie dieses geschützt sind: Lock

Es gibt zwei Dinge Dies tun die Benutzer normalerweise, nachdem sie es gesperrt haben:

  • Setzen Sie alle Ziffern auf 0 zurück, sodass die Kombination 0000 lautet, oder
  • mischen Sie auf den Zifferblättern a Bit, damit die Kombination etwas anderes liest.

Ich habe das starke Gefühl, dass es keinen funktionalen Unterschied zwischen den beiden gibt, aber ich werde ermutigt, eine bewährte Methode festzulegen. Angenommen, das Schloss hat eine zufällige Kombination und ist praktisch unzerbrechlich, ohne die richtige Kombination einzugeben. Welcher Ansatz ist sicherer?

Mit einer Auswahl von [Kevin Mitnicks Lock Pick-Visitenkarte] (https://www.mitnicksecurity.com/shopping/kevin-mitnick-lock-pick-business-card) (ich habe zwei, eine rückgängig gemacht) und einem [Video] (https://youtu.be/D7jwY81-gQY) um zu erfahren, wie jeder in wenigen Sekunden einen 175d auswählen kann. Machen Sie sich keine Sorgen darüber, wie Sie die Wählscheiben zurücksetzen.
Setzen Sie nicht alle Ziffern auf 0 zurück, wenn die Kombination 0000 ist!;-);
Stellen Sie es auf Null und stellen Sie die Kombination auf 0000 ein.
Wenn Sie tatsächlich für wertvolle Ressourcen verantwortlich sind, entfernen Sie dieses miese Schloss sofort und ersetzen Sie es je nach Wert durch ein geeignetes, hochwertiges, manipulationssicheres Vorhängeschloss oder einen geeigneten Safe.Es macht keinen Sinn, ein mieses Schloss zu verwenden, das jeder innerhalb von 30 Minuten aufbrechen kann.Schlimmer noch, viele solcher Zahlenschlösser können innerhalb von 1 Minute aufgebrochen werden, wenn Sie wissen wie, wie * Chris Johns * in seiner Antwort skizziert.
Wenn ein dünnes Metallblatt zwischen die Zifferblätter eingefügt werden kann, kann es leicht ausgewählt werden
Diese Sperren (und Kombinationssperren im Allgemeinen) sind gefährlich unsicher, normalerweise aufgrund von Exploits, die nichts mit dem Erraten der Kombination zu tun haben.
BosnianBill hat ein ziemlich gutes Video darüber. Er kennt Schlösser.https://www.youtube.com/watch?v=L0QuuGRbUbU.Hier ist eine weitere über Master 175 und Klone: https://www.youtube.com/watch?v=LIgk-TN6WXM
AndrolGenhalds Daumen muss größer sein als meiner, der zwei Räder bedeckt.Also bewege ich normalerweise die linken beiden Räder, dann die mittleren zwei, dann die rechten zwei - unterschiedliche Richtung - und wiederhole den Zyklus einige Male.
@Michael du hast es rückwärts bekommen: lass immer das Combo-Set und da niemand glauben würde, dass du es entsperrt hast, werden sie immer gesperrt, während sie versuchen, es zu entsperren :-)
Vielleicht möchten Sie es in die Nähe eines "falschen Satzes" bringen, wenn Sie einen erfahrenen Angreifer erwarten.Wenn Sie sie dazu bringen können, eine falsche erste Ziffer zu akzeptieren, wird der Rest der Angriffszeit verschwendet.
Aus irgendeinem Grund habe ich eine Aktentasche für medizinische Dinge (Bandagen, Tablettensortiment usw.) und sie hat den Code "0000".Ich weiß nicht, wie ich mich zu diesem Beitrag fühle.
@user21820: Warum?Ich hatte immer den Eindruck, dass Schlösser existieren, um der Versicherung nachzuweisen, dass die gestohlenen Gegenstände geschützt waren.Seit ich auf Schlagschlüssel aufmerksam geworden bin, habe ich jegliches Vertrauen in Schlüssel verloren.Sicher, sie sind eine Abschreckung für Amateure, aber für jemanden mit der Geschicklichkeit und Erfahrung im Öffnen von Schlössern sind mechanische Schlösser überhaupt kein Problem.
@0xC0000022L: Ich denke, das ist ein lächerlicher Grund.Erstens, wie wird die Versicherungsgesellschaft überprüfen, ob das kaputte Schloss tatsächlich das Schloss ist, das die gestohlenen Gegenstände "schützt"?Zweitens, und am ironischsten, wenn Sie behaupten, dass diese Schlösser überhaupt kein Problem darstellen, könnten Versicherungsunternehmen die gestohlenen Gegenstände sehr gut durch Ihren eigenen Anspruch als nicht geschützt behandeln.Schließlich kann jedes Schloss mit einem ausreichend leistungsstarken Werkzeug buchstäblich aufgebrochen werden, ohne dass es „aufgebrochen“ wird.= P.
@0xC0000022L: Mein Punkt war einfach, dass das Schloss oder die Sicherheit, die Sie einsetzen, Kosten verursachen sollte, die dem Wert des Schutzes entsprechen.Nach dem Geräusch ist der Fragesteller für einige "ziemlich" wertvolle Ressourcen verantwortlich, und die Verwendung eines solch miesen Schlosses ist sehr unverhältnismäßig.
@user21820: 'fraid Ihr "30 Minuten" Kommentar ist eine gefährliche Überschätzung.Es ist wirklich fast 15 Sekunden;Ein Safe, der Einbruch standhält, ohne alle 30 Minuten von einem Wachmann überprüft zu werden, muss die UL-Einstufung TL-30 haben.Hier ist ein interessantes Video aus dem Bewertungslabor: https://youtu.be/OtbGUbeM860.Es ist eine ziemlich teure Einheit;Die sogenannten B- oder C-Tresore (denen ein definiertes Testverfahren fehlt, also nur Schlagworte) halten nicht 15 Minuten lang.Wir hatten eine C-Bewertung in ca. 10 Minuten von einem Safesmith geöffnet, als die Kombination verloren ging.Er benutzte allein eine Handbohrmaschine.
@kkm: Anscheinend haben Sie meinen Kommentar noch nicht einmal gelesen, bevor Sie Ihren eigenen begonnen haben.Ich sagte 1 min.
@user21820: Warum, ich habe es getan.Aber ich höre dich, kein Grund.
@0xC0000022L Nur Schlösser ohne Sicherheitsnadeln können gestoßen oder geharkt werden, andernfalls ist die einzige echte Option die Einzelstiftauswahl.Während einige Leute es einfach aussehen lassen, ist die Realität, dass dies viel Übung und Geschick erfordert.Es gibt exotische Designs wie die Abloy-Keilnut, die bekanntermaßen außerordentlich schwer zu finden sind.Keine Sicherheit ist perfekt, aber echte Schlösser sind viel besser als Sie denken.
Ich bin mir nicht sicher, ob es sicherere Varianten dieser Art von Schlössern gibt, aber diejenigen, denen ich in meinem ganzen Leben sporadisch begegnet bin, waren sehr leicht zu erzwingen.Es war kein Werkzeug erforderlich, um den Verriegelungsmechanismus zu spannen, und dann machten das Ausprobieren von Kombinationen jedes Mal den Trick.
Nachdem ich eine Woche lang darüber nachgedacht habe, wird es keinen Unterschied machen.Mit 10.000 Kombinationen, von denen eine der Opener ist, gibt es 9.999 andere, die einfach nicht funktionieren.Das Belassen der Kombination an einem beliebigen Ort ist genauso sicher, da 0000 genauso zufällig falsch ist wie eine andere 4-stellige Zahl.Für Kollegen wird es für einige zu Recht Zeitverschwendung sein, 0000 wieder zu finden, und sie werden sich nicht darum kümmern.Welche Konsequenzen könnte es geben?
Seit meiner High School kann ich viele von ihnen nur mit meinen Augen öffnen, indem ich den Schlüssel bestimme.Der Rotor in den Zählern hat einen Schnitt. Sobald Sie ihn sehen, ist die Zahl +5 mod 10
Zwölf antworten:
AndrolGenhald
2018-04-13 19:19:32 UTC
view on stackexchange narkive permalink

Ich würde empfehlen, es auf 0000 oder eine andere angegebene Kombination einzustellen (spielt keine Rolle, was auch immer).

"Um die Zifferblätter herum pürieren" ist ein wenig vage, aber ich würde es anhand meiner eigenen erraten Verhalten, bei dem die meisten oder alle Wählscheiben auf einmal bewegt werden, wodurch eine starke Korrelation zwischen der aktuellen Kombination und der Sperrkombination entsteht. Wenn die Sperrkombination beispielsweise 1234 ist, kann jemand sie in 5678 ändern (wahrscheinlich nicht genau, aber nah genug, dass ein Angreifer die von ihm versuchten Kombinationen priorisieren kann).

Menschen neigen auch dazu, einige zu denken Dinge scheinen sicherer zu sein, wenn sie die Sicherheit tatsächlich schwächen. Jemand könnte versuchen, eine Kombination festzulegen, die "weiter" von der Sperrkombination entfernt zu sein scheint, z. B. 1234 auf 6578 anstelle von 2142 zu ändern, da 2142 zu nahe an der Sperrkombination liegt. Dies könnte es einem Angreifer ermöglichen, die Reihenfolge zu priorisieren, in der er Kombinationen versucht. Durch Angabe eines konstanten Werts zum Festlegen werden solche Probleme vermieden.

Und wenn die Kombination 1234 ist, lässt wahrscheinlich niemand sie x2xx sein, nachdem sie gemischt wurde.Ein Angreifer zeichnet die Nummern der Sperre immer wieder auf und kann darauf basierend ein Profil mit wahrscheinlichen Ziffern erstellen.
@ThoriumBR So wahr.Die meisten Menschen vermeiden möglicherweise sogar absichtlich, dass ein Teil ihres Codes angezeigt wird.Ich muss nur zusehen, wie Sie das Schloss ein halbes Dutzend Mal drehen, um genau einzugrenzen, welche 4 Zahlen Sie verwenden. Dann habe ich nur 4 * 3 * 2 * 1 = 24 Kombinationen zum Testen.Sie haben gerade Ihre Sicherheit vollständig zerstört, weil Sie selbst eine fehlerhafte Vorstellung davon haben, was Sicherheit ist ...
Kurzfassung: Menschen sind bei RNG noch schlechter als Computer, auch wenn wir anders denken.
In der realen Welt sind beide Optionen im Grunde genommen gleichwertig, denn wenn jemand tatsächlich schlecht genug will, um gegen das Gesetz zu verstoßen, wird er keine Statistiken erstellen oder Stunden damit verbringen, jede Kombination auszuprobieren.Sie werden eine Brechstange oder einen Bohrer benutzen.
In der Praxis ist die Einstellung von 0000 wahrscheinlich besser, da sie einem Angreifer anzeigt, dass er zu einem leichteren Ziel übergehen soll.Selbst wenn der Angreifer Ihren Code nicht knackt, möchten Sie nicht darauf stoßen, dass er einen Versuch unternimmt.
@BlueRaja-DannyPflughoeft Wenn sie nicht jede zweite Woche etwas stehlen wollen, etwas, das übersehen werden kann und niemand Aufhebens machen würde.
@ThoriumBR, dafür ist [die Lockpick-Karte] (https://www.mitnicksecurity.com/shopping/kevin-mitnick-lock-pick-business-card) in CGCampbells Kommentar erwähnt.
In Bezug auf Menschen, die sicherstellen, dass keine der Kombinationsziffern in der "zufälligen" falschen Kombination enthalten ist, haben die Deutschen dies im Zweiten Weltkrieg in ihrer Enigma-Maschine getan.Sie stellten sicher, dass ein Brief niemals als er selbst verschlüsselt wird.Dies half den Briten, den Code zu brechen.
@CJDennis: Es ist nicht wirklich fair, den Briten das Rätsel zu brechen.
Die Einstellung auf 0000 macht nicht viel, wenn jemand entsperren möchte, ist es ziemlich schnell, einen Messerpickel zu verwenden, um die Tore und damit die Kombination zu finden (ca. 40 Sek.).Dies wird nicht schneller oder langsamer, wenn eine bestimmte Kombination festgelegt wird.Menschen, die einsteigen wollen, ohne Schaden zu verursachen, werden wahrscheinlich nicht eine Reihe von Kombinationen „ausprobieren“.
Es sei denn, Ihre Schlosskombination ist 0000.
Was allen fehlt, ist, dass die Korrelation zwischen der richtigen Kombination und einem schlecht randomisierten gesperrten Zustand, der das Ergebnis einiger Maischungen ist, weitgehend irrelevant ist.Wenn die richtigen Nummern nacheinander identifiziert würden, wäre dies ein Problem, da Sie einige Informationen darüber erhalten, wie die anderen möglicherweise gedreht wurden, wenn Sie erfahren, wie sich der gesperrte Status auf den offenen Status für eine Nummer bezieht.Dies ist jedoch nicht der Fall - das gesamte Schloss wird auf einmal geöffnet, und der Bereich der "Korrelationsmuster" wie bei allen Reglern +1 oder +2 oder einigen +3 und anderen -3 wird schnell zu groß, um praktische Auswirkungen zu haben.
@KamilDrakari Hier ist ein Link, den Sie Personen geben können, um diese Tatsache offensichtlich zu demonstrieren, und allgemein, wie einfach es ist, Menschen vorherzusagen: http://web.media.mit.edu/~guysatat/MindReader/index.html
Leider führt 0000 dazu, dass sich einige der Zifferblätter im Laufe ihrer Lebensdauer mehr bewegen, was vermutlich einen erkennbaren Verschleiß verursacht.
Chris Johns
2018-04-14 00:31:28 UTC
view on stackexchange narkive permalink

Theoretisch ist das Nullsetzen oder eine vorgegebene Sequenz sicherer als Sie könnten. Theoretisch raten Sie, wie weit jemand die Wählscheiben bewegen könnte.

Es ist auch denkbar, dass Sie das überprüfen könnten Wenn die Wählscheiben bei genügend verschiedenen Gelegenheiten gesperrt sind, können Sie die wahrscheinliche Kombination eingrenzen, wenn sie jedes Mal auf ähnliche Weise zurückgesetzt wird.

In der Praxis ist dies wahrscheinlich ein bisschen weit hergeholt und alles mit einem Zahlenschloss hat wahrscheinlich größere Bedenken, z. B. die Kombination, die zu vielen Menschen bekannt ist, oder die Tatsache, dass eine beliebige Anzahl zwischen 1950 und 2018 plus die Geburtsjahre von mäßig berühmte Personen sind wahrscheinlich eine ziemlich gute Vermutung.

Allerdings kann es betriebliche Vorteile haben, wenn Kombinationen auf Null gesetzt werden, da dies eine klare, eindeutige Richtlinie darstellt und es einfach ist, visuell zu überprüfen, ob das Schloss sicher ist ohne dass die Person, die die Überprüfung durchführt, die Kombination kennen muss, insbesondere wenn die tatsächliche physische Überprüfung, ob das Schloss geschlossen ist, problematisch ist, z. B. wenn das Öffnen einen Alarm auslöst. Sie könnten auch argumentieren, dass das Hinzufügen des zusätzlichen Nullungsschritts eher zu einer Routine führt und es daher weniger wahrscheinlich ist, dass die Benutzer vergessen, die Sperre überhaupt zu setzen, obwohl dies zugegebenermaßen umstritten ist.

Wenn Sie beispielsweise einen Nachtwächter haben, können Sie ihn einfach bitten, zu überprüfen, ob alle Sperren auf 0000 eingestellt sind. Dies ist sowohl einfach als auch überprüfbar.

Es gibt auch eine (zugegebenermaßen schwach) Überprüfen Sie, ob die Sperren nicht manipuliert wurden. Hier wäre eine willkürlichere Reihenfolge besser.

Wenn Sie beispielsweise alle Sperren beim Verlassen auf 2375 setzen und die Reihenfolge anders ist, wenn Wenn Sie zurückkommen, wissen Sie, dass sich jemand mit ihnen angelegt hat.

Sie sollten sich auch darüber im Klaren sein, dass einige Arten der Kombinationswahlsperre sehr trivial zu wählen sind, da Sie häufig spüren können, wenn jedes Zifferblatt einrastet, indem Sie schnell durch jedes Zifferblatt fahren oder von außen prüfen. Ebenso hat ein 4-Wählschloss nur 10.000 (10 ^ 4) mögliche Kombinationen, und Sie können Kombinationen häufig sehr schnell systematisch durchlaufen.

Diese Antwort ist die beste, da sie die tatsächliche Sicherheit und nicht nur die kryptografische Sicherheit der Nummern selbst berücksichtigt.
Das 4-Zifferblatt-Schloss benötigt relativ lange Zeit, um alle Kombinationen zu durchlaufen. Die meisten Schlösser auf dem Markt sind 3-Zifferblatt-Schlösser, die sich sehr schnell öffnen lassen, wenn alle Kombinationen systematisch überprüft werden.3 Wählschlösser sollten nur für Kinderspiele verwendet werden.Natürlich ist jede Wählsperre niemals sehr sicher.
Wenn Sie Passwörter auf einer 4-stelligen Sperre mit 1 pro Sekunde durchsuchen können, dauert das Knacken immer noch maximal drei Stunden.Aber eines dieser Schlösser, die Sie hin und her drehen (wie bei einem Schließfach), hat 40 Ziffern und drei Ziffern.Es dauert 5 Sekunden pro Versuch und dauert maximal 100 Stunden.Außerdem kann eines dieser Schlösser auf einer beliebigen Nummer belassen werden, ohne befürchten zu müssen, dass es leichter zu knacken ist.
@RedwolfPrograms: sollten Sie wahrscheinlich Ihre Mathematik wiederholen.Wählsperren haben normalerweise eine gewisse Toleranz im System, so dass das Wählen benachbarter Nummern normalerweise immer noch funktioniert.
@RedwolfPrograms Sie sollten in der Lage sein, viel schneller als 1 pro Sekunde zu fahren, selbst wenn Sie das Einrasten des Stifts nicht spüren oder keinen Dorn einführen können.
@OrangeDog Ich habe 1 Sekunde verwendet, um die Tatsache zu berücksichtigen, dass bei einigen Schlössern das Schloss gedrückt oder ein Hebel zum Öffnen gezogen werden muss, was einige Sekunden dauern kann.Außerdem waren meine obigen Berechnungen maximale Zeiten
@TeroLahtinen vor allem, wenn Ihr 4-Wählschloss so eingestellt ist, dass nach 5 Fehlern in Folge alles explodiert!
Wenn wir davon ausgehen, dass ein Versuch 1 Sekunde dauert, dauert das Aufheben der 3-Wählsperre nur etwa 8 Minuten (im Durchschnitt der schlimmste Fall * 2), während eine 4-Wählsperre eine Stunde und 23 Minuten dauert.Zwei 3-Wählschlösser waren in Aktentaschen üblich, es dauert nur doppelt so lange wie eine, d. H. Im Durchschnitt 16 Minuten, ein 4-Wählschloss ist viel besser.
Ich mag den Sicherheitsaspekt, weil sie die Sicherheit überprüfen können, ohne den Code selbst zu benötigen.
@TeroLahtinen: Aus irgendeinem Grund können die meisten Hersteller von Zifferblattschlössern sie nicht vor relativ schnellen, einfachen und häufigen Exploits schützen.Ich würde vermuten, dass die Ziffernschlösser einen solchen Ruf für Schwachstellen haben, dass Menschen, denen Sicherheit am Herzen liegt, sie nicht einmal in Betracht ziehen, und diejenigen, denen Sicherheit nicht wichtig ist, nicht bereit wären, zusätzliche Ausgaben zu tätigen, um die Schwachstellen zu beheben.
@supercat Vielleicht besteht der Zweck von Wählschlössern im Allgemeinen nur darin, ehrlichen Menschen zu helfen, ehrlich zu bleiben und böswillige Menschen nicht wirklich aufzuhalten.
@TeroLahtinen Einige Wählschlösser weisen eine Sicherheitsanfälligkeit auf, bei der der Versuch, das Schloss zu wählen und zu öffnen, eine Rückmeldung liefert, die Sie darüber informiert, ob sich ein einzelnes Wählrad in der richtigen Position befindet.Dadurch kann das Schloss schneller als mit roher Gewalt geöffnet werden.
* Die Geburtsjahre von mäßig berühmten Personen sind wahrscheinlich eine ziemlich gute Vermutung. * - Ist dies wirklich eine häufige Kombination?Ich kann mich überhaupt nicht an das Geburtsjahr berühmter Personen erinnern.
@RedwolfPrograms, was LieRyan über Single-Dial-Schlösser sagte.Diejenigen, mit denen ich vertraut bin, haben 60 Ziffern, 3 Ziffern und 3 Ziffern.also 20 Möglichkeiten zur Potenz von 3;also 8000. (Etwas weniger, weil die zweite Zahl nicht alle 20 Möglichkeiten hat, und die dritte nicht, aber sie wird nahe sein.) Bei 5 Sekunden = 720 Versuchen pro Stunde sind das ungefähr 11 Stunden.(Ich habe keine Ahnung, ob 5 Sekunden genau sind. Ich habe gehört, dass es auf einer der großen Kongresse / Ausstellungen ein Team gab, das einen Roboter gebaut hat, um diese zu knacken, aber ich weiß nicht, wie spät es war.)
@LieRyan: Mit welchen Wählschlössern haben Sie es zu tun?Diejenigen auf den Schließfächern, in denen ich zur High School gegangen bin, haben sich zuverlässig geweigert, sie zu öffnen, es sei denn, Sie haben die Kombination genau richtig verstanden.(Die Hälfte der Zeit haben sie sich damals auch nicht geöffnet, aber ich bin mir ziemlich sicher, dass dies daran lag, dass mein Schließfach überfüllt war und den Verriegelungsmechanismus verband, und nicht am Schloss selbst.)
jpmc26
2018-04-14 06:04:49 UTC
view on stackexchange narkive permalink

Es spielt keine Rolle.

Eine Sperre kann drei Arten von Schutz bieten:

  1. Verzögern Sie einen Angreifer, auf eine Ressource zuzugreifen, damit sie unterbrochen und gestoppt werden können
  2. Beweise für Manipulationen vorlegen
  3. Einen potenziellen Angreifer davon abhalten, einen Angriff zu versuchen
    4. ol>

    Wie in den Antworten und Kommentaren erläutert, kann er nicht viel bewirken in der Art, einen Angreifer zu verzögern. Das Schloss kann einfach mit einem Werkzeug wie diesem $ 10 Paar Bolzenschneider geschnitten werden. Es kann einfach mit einem Werkzeug ausgewählt werden, wie der Kommentar von CGCampbell hervorhebt.

    Die Leichtigkeit, mit der es verwendet wird kann ausgewählt werden, schränkt auch seine Wirksamkeit als Manipulationsnachweis ein. Andere Antworten weisen darauf hin, dass es auch ohne ein Picking-Tool ziemlich leicht besiegt werden kann. Auch hier scheitert es wirklich.

    Dies lässt seinen einzigen Wert als psychologischen Nutzen. Es wird mitgeteilt, dass die Wertsachen im Inneren nicht für einen uneingeschränkten Zugang bestimmt sind, was Menschen davon abhält, deren Sinn für Moral oder die Angst, erwischt zu werden, sie daran hindert, es überhaupt zu versuchen.

    Auf dem Zifferblatt steht also fast Null Relevanz für seine Verteidigungsfähigkeiten. Infolgedessen benötigen Sie andere Abwehrmechanismen, um Ihre Sicherheitsziele zu erreichen, wenn diese über den psychologischen Einfluss hinausgehen. Die Überwachung (Video oder persönlich) würde Ihnen Manipulationsnachweise viel zuverlässiger liefern, wenn Sie dies benötigen. Wenn dies nicht möglich ist, gibt es andere Möglichkeiten, dies zu erreichen. Andere Schutzmaßnahmen sind erforderlich, wenn Sie beabsichtigen, sie vor entschlossenen Angreifern zu schützen.

Schlösser werden häufig für Manipulationsnachweise verwendet, nicht nur um physische Sicherheit zu bieten.In diesen Situationen hat ein Angreifer möglicherweise ein weniger strenges Zeitlimit, kann das Schloss jedoch nicht physisch zerstören (da dies Beweise hinterlassen würde).
Siehe @CGCampbell's-Kommentar zur ursprünglichen Frage.Dieses Schloss liefert nicht einmal Manipulationsnachweise.Jeder, der den Trick kennt, kann dieses Schloss mit einem einfachen Werkzeug schneller öffnen als eine Person, die die Kombination kennt. Es kann sich einwählen. Das Öffnen mit dem Werkzeug hinterlässt keinerlei Beweise.
Oder schneiden Sie das Schloss, öffnen Sie [Container] und ersetzen Sie es durch ein alternatives Schloss - wen interessiert es, wenn die Kombination falsch ist ...
@forest Danke.Ich habe meine Antwort aktualisiert, um diese Möglichkeit zu berücksichtigen.
AJAr
2018-04-13 19:13:22 UTC
view on stackexchange narkive permalink

Nullen. Vielleicht mehr Arbeit, aber Sie laufen nicht Gefahr, zu wenig oder um dieselbe Menge für mehrere Wählscheiben zu drehen. Ein Angreifer hätte jedoch in beiden Fällen sehr wenig zu tun ... Die meisten Leute würden dies nicht in Betracht ziehen. Die tatsächliche reale Sicherheit zwischen den beiden ist wahrscheinlich ungefähr gleich. Sie hätten nur nichts extra zu tun, wenn Sie es auf Null setzen, und es ist gut, eine solche Gewohnheit zu bilden.

Es kann nicht mehr Arbeit sein.Wenn Sie es auf 0000 setzen, können Sie sich eine Kombination von 1234 als 1 Klick auf das erste Zifferblatt, 2 Klicks auf das zweite usw. vorstellen und müssten keine Subtraktion durchführen, um herauszufinden, wie weit Sie sich bewegen müssenjedes Zifferblatt.Und Sie können dasselbe rückwärts tun, wenn Sie es anschließend zurücksetzen.Es könnte sogar einfacher sein!
Der Schlüssel besteht darin, es auf dasselbe Muster zurückzusetzen, damit das Zurücksetzen nicht als Angriffsvektor verwendet werden kann. Dann können Sie diese Konsistenz verwenden, um den Look ohne visuelle Sicht zu öffnen ... und noch mehr Sicherheit hinzufügen.
Ich denke, diese Antwort ist richtig, aber mit der Einschränkung, dass Sie wahrscheinlich ein zu schwaches Schloss für den Job verwenden, wenn die zusätzliche Sicherheit diese zusätzliche Arbeit * wert * ist.Aber das liegt möglicherweise nicht in Ihrer Kontrolle.
Dieses Schloss sieht aus wie eines, das ich vor Jahrzehnten hatte - wenn ja, glaube ich, hatte es einen Stopp, der es daran hinderte, über Null hinaus rückwärts zu gehen, was es weitaus einfacher macht, auf Null zu gehen als zu kriechen.
Gute Angreifer sind nicht "* die meisten Leute *" - wie immer muss das Bedrohungsmodell die Stufe des Gegners enthalten, gegen den Sie sich verteidigen.
@TobySpeight Ja, das ist ein fairer Punkt.
Marcos
2018-04-14 02:18:50 UTC
view on stackexchange narkive permalink

Bei der Beantwortung dieser Frage sind einige Dinge zu beachten.

  1. Wenn Sie nach einer statistischen Antwort suchen, "drehen" Sie die Wählscheiben eine bestimmte Anzahl von Malen zufällig vorwärts und rückwärts. (Ich habe nicht die Zählung, da dies eine Berechnung wäre, die ich nicht bei mir habe. Es ist wie eine erforderliche Anzahl von Mischvorgängen in Vegas, um als zufällig angesehen zu werden.)

  2. Wenn Sie dies aus Sicherheitsgründen betrachten, ist es die bessere Antwort, eine bestimmte Nummer festzulegen (wobei 0000 diese bestimmte Nummer sein könnte). Der Grund, warum es eine bessere Antwort ist, wurde in anderen Posts angesprochen, aber zusammenfassend erfordert es, dass die Person, die das Schloss sperrt, "nachdenkt", um sicherzustellen, dass es gewählt wurde. Es liefert keine statistischen Informationen über die Zeit, um Bewegungen zu erraten. Es ermöglicht die regelmäßige "Entdeckung" von Manipulationen (wenn überhaupt, um die Zahlen zu verschieben). Wenn die von Ihnen festgelegte Zahl 0000 ist, hat der Manipulationsteil möglicherweise eine geringere Wirksamkeit, da sich jemand, der damit spielt, wahrscheinlich daran erinnert, ihn wieder auf 0000 zu stellen.

    3. ol>

    Leider alle Dies ist insgesamt etwas umstritten, wenn die Person, die versucht, das Schloss zu öffnen, weiß, was sie tut. Diese 4-stelligen Combo-Schlösser wie das abgebildete können in weniger als 30 Sekunden von jemandem geöffnet werden, der Erfahrung mit ihnen hat. Wenn sie eine dünne Unterlegscheibe haben, sogar noch schneller ... Nur ein typisches Beispielvideo, wie dies gemacht wird (allerdings mit stärker belichteten Zifferblättern) https://www.youtube.com/watch?v=ABKsUNitXqw oder https://www.youtube.com/watch?v=jmhSSuCIdPI. Nachdem ich mehrere Jahre bei DefCon gearbeitet habe, ist es ziemlich erstaunlich, ein paar Minuten im Lockpicking-Dorf zu sitzen und jungen Erwachsenen zuzusehen, wie sie diese Dinge nach weniger als 15 Minuten Training schnell platzen lassen.

    Wissen, wie einfach diese sind Pop und die Tatsache, dass Sie sich wahrscheinlich Sorgen um Manipulationen machen, # 2 oben ist der langfristige Weg.

(+1) Ich stimme Ihrer Antwort größtenteils zu, mit Ausnahme von "1": Bei dieser Art von Zahlenschloss verbessert (# 1) das "Drehen" (einiger oder aller) Wählscheiben mehr als einmal nicht die Sicherheit.Das Problem ist, dass die Person, die das Schloss verriegelt (oder später überprüft), sicherstellen sollte, dass alle Zifferblätter aus der Öffnungskombination entfernt werden.Die Frage ist, ob sie an bestimmte (falsche) Positionen (wie 0-0-0-0) oder an zufällige Positionen verschoben werden sollen.Eine Bewegung auf jedem Zifferblatt sollte ausreichen, entweder zu einer bestimmten oder zu einer zufälligen Position.Wenn Sie das Einstellrad zweimal (oder mehrmals) in beide Richtungen bewegen, wird es möglicherweise wieder in die Öffnungsposition gebracht.
Wenn Sie jedes Zifferblatt einzeln in eine zufällige, aber nicht öffnende Position bewegen, werden Informationen über den Code an einen Beobachter weitergegeben, der die Sperre im Laufe der Zeit beobachten kann.
Es ist in Ordnung, wenn sich * einige * der Zifferblätter in ihrer "Öffnungs" -Position befinden können, solange * nicht alle * vorhanden sind.Auf diese Weise wird der Suchraum nur um bis zu einen Code pro Beobachtung reduziert.
Was die Statistiken betrifft, würde echte Zufälligkeit bedeuten, 0 bis 9 Positionen nach vorne zu drehen, mit der gleichen Chance, dass jedes Zifferblatt unabhängig von den anderen ist.Ich würde mich nicht auf das Muskelgedächtnis verlassen.Verwenden Sie ein RNG.
"Keine statistischen Informationen über die Zeit" - Ich vermute, dass der zusätzliche Verschleiß der Zifferblätter, deren korrekte Ziffern am weitesten von 0 entfernt sind, möglicherweise erkennbar ist.
Esa Jokinen
2018-04-14 10:41:26 UTC
view on stackexchange narkive permalink

Um eine zusätzliche Sicherheitsstufe hinzuzufügen, verwenden Sie entweder beide Richtungen gleichermaßen zum Nullstellen oder drehen Sie immer alle in eine Richtung, um die gleiche Anzahl von Fingerabdrücken zu hinterlassen. Die Leute neigen dazu, eine Nummer einmal zu wählen und sie auswendig zu lernen. Der Weg von Null zu (oder nahe) der richtigen Kombination wird möglicherweise im UV-Licht sichtbar.

Ich denke, das ist noch einfacher, als zu erraten, ob eine gezeigte Kombination ungleich Null vom blinden Drehen oder von Hand ausgewählt wurde: Auswendiglernen, was wurde bereits versucht, kann ähnlich viel Zeit und Mühe in Anspruch nehmen, als 0000-9999 in der richtigen Reihenfolge durchzugehen. Und sobald es gestohlen wird, spielen Zeit und Kombination keine Rolle mehr: Ich würde mich auf Bedrohungen konzentrieren, die sich verwirklichen könnten, während Sie den Rücken kehren, ohne zu wissen, dass die Geheimnisse kompromittiert wurden.

Ist der Pfad zu Null nicht die Umkehrung des Pfads von Null, den Sie beim Öffnen verwenden?Wenn Sie das Schloss also auf natürliche Weise zurückdrehen, sollten die Fingerabdrücke nach oben und unten ausgeglichen werden.
Das Weiterrollen von "0-1 -...- 7" hinterlässt die gleiche Spur wie das Zurückrollen von "7-6 -...- 0", während "7-8-9-0" Fingerabdrücke auf allen Zahlen hinterlässt.
Ah, ich glaube ich verstehe was du meinst - ich habe mehr an Verschleißmuster am Gehäuse als an den Rädern gedacht!
user175731
2018-04-14 21:28:11 UTC
view on stackexchange narkive permalink

Theoretisch ist die Einstellung auf 0000 überlegen, da keine Korrelation zu dem besteht, was zuvor vorhanden war. In der Praxis ist es etwas überlegen, da Sie die Möglichkeit haben, die Konformität zu überprüfen, während ein bestimmtes Verfahren, das eine angemessene Randomisierung erfordert, nicht einfach überprüft werden kann, um festzustellen, ob die Benutzer das Protokoll tatsächlich befolgen, anstatt nur beiläufig zu bürsten ihren Daumen über alle Räder zusammen.

Aber noch praktischer ist es absolut dumm, sich für ernsthafte Sicherheit auf ein solches Schloss zu verlassen. Wenn es diese Analyse wert ist, ist es ein Schloss wert, das kein Spielzeug ist. Regel für Bolzenschneider.

Nun, es besteht eine Wahrscheinlichkeit von 10/10000 = 0,1% für eine Korrelation mit dem, was vorher da war, da dies 1111, 2222 usw. sein könnte. Klein, aber nicht "keine Möglichkeit".
@AndrewLeach Das ist keine Korrelation.Eine Korrelation wäre zwischen Ihrem Ziel und jeder gegebenen richtigen Kombination.Mit anderen Worten, es wäre eine Korrelation zu "einer korrekten Kombination", nicht zu "1111".
usr-local-ΕΨΗΕΛΩΝ
2018-04-16 17:16:39 UTC
view on stackexchange narkive permalink

Mehr zum Nullstellen des Ergebnisses, was mein empfohlener Ansatz ist. Dies ist eine theoretische Antwort.

Angenommen, ein Angreifer weiß, wie Sie die Sperre zurücksetzen, indem er entweder auf Null setzt, einen festen Wert festlegt oder die Ziffern verschlüsselt, sollte er dennoch kein Wissen behalten der richtigen Kombination und damit der gleichen Wahrscheinlichkeit, eine zufällige Kombination zu finden.

Dies könnte durch "Herumwirbeln" unterbrochen werden, da kein Mensch eine perfekte Quelle für zufällige Quellen ist. Tatsächlich könnten sie die schlimmsten sein.

Das Umschlagen der Ziffern könnte mit einem mechanischen / elektronischen Gerät funktionieren, das die Ziffern basierend auf einer wirklich oder gut zufälligen Quelle dreht.

Aber normalerweise Menschen würde die Ziffernmuster anwenden, die die möglichen zu suchenden Werte reduzieren könnten.

Angenommen, Sie und der Angreifer teilen eine Reihe von Sperren, von denen beide die Kombination kennen . Normalerweise würde man zum Beispiel die Finger "zufällig" über die Walzen streichen, damit sie auf eine andere Zahl zeigen. Oder bewegen Sie die Rollen in einer Reihenfolge, die das Gehirn beibehalten möchte.

Vielleicht stellt jemand sicher, dass die resultierende Zahl alle von der richtigen Kombination abweichenden Ziffern oder eine Mindestanzahl von Ticks em anzeigt > beim Ändern jeder Ziffer.

Dies führt zu einem bekannten Klartextangriff mit zunehmender Anzahl von Versuchen (auch dies ist eine theoretische Antwort) und gibt zusätzlich Informationen zu der Kombination, die der Angreifer nicht haben sollte.

Was bedeutet hervorgehobenes zusätzliches ? Selbst wenn es dem Angreifer gelingt, festzustellen, dass eine einzelne Ziffer sicherlich eine falsche Vermutung ist, hat er die erforderlichen Brute-Force-Angriffe um 1000 verringert. Fügen Sie weitere Ziffern hinzu, um die Angriffsfläche einzuschränken.

Einstellung auf 0000 oder ein beliebiger vordefinierter Wert macht die Gewinnchancen jeder Kombination gleich

Qwertie
2018-04-15 17:48:03 UTC
view on stackexchange narkive permalink

In praktischer Hinsicht spielt es keine Rolle, dass es schwieriger sein wird, das blinde Scrambling rückgängig zu machen, als nur mit den Wählscheiben herumzuwackeln und ein Gefühl für das Schloss zu bekommen. Es ist ziemlich einfach, ein Zahlenschloss zu öffnen, indem Sie die Wählscheiben drehen und fühlen, wie es reagiert. Kombinationsschlösser wie diese sind nur eine milde Abschreckung.

Es ist nicht unbedingt so schwer, blindes Scrambling rückgängig zu machen.Ich hatte ein 4-Zifferblatt-Schloss und konnte es entsperren, indem ich jedes einzelne Zifferblatt gleichzeitig bewegte (außer dem ganz linken aus Gründen) und jedes Mal versuchte, es zu öffnen.Es hat in weniger als einer Minute funktioniert.
user175812
2018-04-16 00:50:06 UTC
view on stackexchange narkive permalink

Sie können beispielsweise auch eine andere Zufallszahl 3234 festlegen und diese nach dem Sperren auf diese Zahl zurücksetzen, damit Sie leichter erkennen können, ob mit ihr gespielt wurde, anstatt mit 0000

Jeder muss sich zwei Codes merken, und dann wird jemand sie verwirren.
Dies scheint eher ein Kommentar als eine Antwort zu sein ...
djechlin
2018-04-18 03:30:50 UTC
view on stackexchange narkive permalink

Es ist eigentlich eine ziemlich schlechte Idee, von jedem zu verlangen, dass er alle Nullen verwendet, da das Erfordernis aller Nullen ein lästiges Sicherheitstheater ist.

Ich habe das starke Gefühl, dass es keinen funktionalen Unterschied zwischen den beiden gibt. Ich werde jedoch ermutigt, eine Best Practice festzulegen.

Die Best Practice sollte etwas sein, das die Menschen konsequent tun und befolgen, und etwas, für das Ihre Kohorte die Bedeutung versteht. Die Argumente, die sich ergeben, wenn jemand vergisst, alles auf 0 zu setzen, oder sich nicht so fühlt, als wäre es nichts anderes als kleinlich. Natürlich weiß jeder in Ihrem Team, dass es keinen Unterschied macht, zumindest keinen Unterschied, der nicht mit "technisch gut" beginnt.

Wenn das Management in Bezug auf Sicherheit wörtlich ist, können Sie dies von den Mitarbeitern erwarten Seien Sie gleich wieder wörtlich. Wenn sich die Leute wirklich aufregen, können Sie davon ausgehen, dass das Schloss am Boden auf alle Nullen eingestellt ist und der Safe eines Tages geöffnet ist, so wie es das Management wünscht.

undercat applauds Monica
2018-04-18 20:22:43 UTC
view on stackexchange narkive permalink

Theoretisch sind sie gleichermaßen (in) sicher. Wäre einer von ihnen sicherer (z. B. blindes Drehen der Wählscheiben), würde der Angreifer dies ebenfalls wissen und die Sperre auf "0000" setzen, um die Komplexität zu verringern, und umgekehrt.

Eine Sache, die zu beachten ist, ist, dass das zufällige Drehen von Ziffern theoretisch Ihren Code ausgeben könnte, wenn es "einfacher" ist, die Ziffer an die richtige Position zu drehen (was bedeuten sollte, dass es sich um eine sehr schlechte Sperre handelt, aber Meines Wissens sind einige Schlösser so). Wenn Sie also ein zufälliges Element einführen möchten, ist es möglicherweise besser, selbst eine Zufallszahl zu finden, sicherzustellen, dass sie nicht zu nahe an der richtigen Zahl liegt, und die Sperre auf diese Zahl zu setzen

-1 für "Sicherstellen, dass es nicht zu nahe an der richtigen Zahl liegt", da dies selbst eine Korrelation ist und auch eine ziemlich starke.Einige der anderen Antworten haben darauf hingewiesen.
@forest Wenn wir abstrakt sprechen würden, hätte ich Ihnen zugestimmt.[Realistisch] (https://www.youtube.com/watch?v=Z392cj8GM5U) Es gibt jedoch noch viel mehr Dinge, sowohl mechanische als auch psychologische.Erstens vergessen viele Leute, ihre Schlösser zurückzusetzen, so dass der Lockpicker viel wahrscheinlicher die Nummer versucht, auf die das Schloss gesetzt wurde (zusammen mit den angrenzenden Nummern), bevor er sich dem Brute-Force-Ansatz zuwendet.Zweitens sind einige billige Schlösser so konzipiert, dass Sie durch zufälliges Drehen der Zifferblätter mit größerer Wahrscheinlichkeit die richtige Ziffer erhalten als alle anderen.Die Liste geht weiter.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...