Frage:
Wenn der Ablauf des Passworts angewendet wird, sollte auch der Ablauf des Türschlosses angewendet werden?
Xenos
2019-11-21 15:28:35 UTC
view on stackexchange narkive permalink

Nachdem ich hier einige Themen zum Ablauf des Passworts gelesen hatte und diesen Kommentar gelesen hatte, stellte sich mir die Frage: Wenn wir den Passwortablauf zur Sicherheit der Benutzer anwenden, sollten unsere Die Schlüssel der Türschlösser verfallen ebenfalls?

Mit Türschloss meine ich jeden physischen Restriktionszugriff, den wir möglicherweise haben, z. B. Schlösser an der Tür des Serverraums Bei Gebäudeeinträgen des Unternehmens (einschließlich der Hintertür für Feuerwehrleute oder so), Tresoren usw.

Bei Türschlössern mit physischem Schlüssel würde dies bedeuten, dass alle X Monate / Tage / ein neuer Metallschlüssel ausgestellt wird. Wie auch immer, holen Sie den alten Schlüssel zurück und geben Sie den Benutzern den neuen Schlüssel (vorausgesetzt, sie dürfen die Tür noch öffnen). Klingt ziemlich schwer und komplex, könnte aber gegen kopierte Schlüssel oder so helfen.

Bei elektronisch basierten Türschlössern würde dies bedeuten, dass neue Passwörter / Schlüsselzugriffe neu ausgestellt werden, damit die RFID / Welche Karte auch immer ein Upgrade mit dem neuen Zugangsschlüssel benötigen würde. Klingt leichter, obwohl immer noch alle Mitarbeiter, die Zugriff haben, das Upgrade auf die eine oder andere Weise durchführen dürfen. Hier gehe ich davon aus, dass die elektronische Karte irgendwie ein "Sitzungstoken" enthält, keine sich ständig ändernde Benutzer-ID, die die Sperre mit einer Datenbank zulässiger Benutzer vergleichen würde (in einem solchen Fall würde die Benutzer-ID selbst sowohl auf der Karte als auch in der Datenbank benötigt gedreht werden).

Wird eine solche Richtlinie in einigen Unternehmen, Standards usw. angewendet, oder ist es nur eine blöde Idee, die ich hatte?

Bearbeiten:

IMO, es scheint in der Tat ein ziemlich schwerer Prozess zu sein (mehr, was Sie tun, nachdem Sie wissen, dass ein Schlüssel kompromittiert wurde), aber vielleicht kennen Sie risikoreiche Unternehmen oder bestimmte Unternehmen, die eine solche Rotation durchführen? Aus welchen Gründen (wenn beide nicht vertraulich sind!)?

w / r / t elektronische Schlösser: Wenn jeder Benutzer seine eigene eindeutige Schlüsselkarte / seinen eigenen Schlüsselcode / usw. hat, deaktivieren Sie einfach die Anmeldeinformationen eines bestimmten Benutzers im System, wenn Sie dessen Zugriff widerrufen. Dies spielt keine Rolle, ob er Kopien erstellt oder diese an Freunde weitergegeben hatoder irgendetwas anderes, da die Anmeldeinformationen selbst ungültig sind, funktionieren sie nicht ... obwohl es mit Schlüsselcodes / PINs möglich ist, dass ein gültiger Benutzer ihre mit einem jetzt widerrufenen Benutzer geteilt hat, so dass eine regelmäßige Rotation nicht die schlechteste Idee ist.
Wenn Benutzer sich den Kopf reiben und ein lächerliches Lied singen müssen, sollten wir sie dann auch auf einen Fuß springen lassen?
Das Ablaufen des Passworts ist schon eine schreckliche Idee.Keine Notwendigkeit, die Schmerz- und Sicherheitslücken auf die physische Welt zu übertragen.
Um eine Referenz für Gloweyes Kommentar zu geben, [hier Bruce Schneier und NIST, warum das Ablaufen des Passworts (und verwandte Praktiken) veraltet ist] (https://www.schneier.com/blog/archives/2017/10/changes_in_pass.html).
Die Deaktivierung von @DoktorJ: gilt nur für Sperren, die online sind.Ich habe "interessante" duale Ansätze gesehen, bei denen nur Gebäudetüren online sind und beim Betreten zeitlich begrenzte Sitzungstickets für einzelne (Offline-) Bürotüren ausstellen, da Sie nicht immer einen Hausmeister schicken können, um Hunderte von Türen zu aktualisieren, nochDaten und Stromleitungen in Hunderte von Türen nachrüsten.
Acht antworten:
Squeamish Ossifrage
2019-11-22 00:06:11 UTC
view on stackexchange narkive permalink

Sie haben gefragt: " wenn Kennwörter regelmäßig ablaufen sollen, dann sollten Türschlösser regelmäßig ablaufen?". Nun, aus einer falschen Prämisse können Sie jede Schlussfolgerung ziehen! Die Prämisse des regelmäßigen Ablaufs von Passwörtern ist töricht und kontraproduktiv und schadet der Sicherheit, indem Benutzern sinnlose Verwaltungsaufgaben zur schwachen Verteidigung gegen hypothetische Angriffsmethoden auferlegt werden.

Natürlich, wenn Sie Beweise haben, dass a Der Schlüssel wurde kompromittiert - z. B. in einem Foto, das von einer großen Weltzeitung veröffentlicht wurde -, und es kann durchaus ratsam sein, die Schlösser zu ändern, da es möglicherweise ratsam ist, Ihre zu ändern Facebook-Passwort, nachdem Facebook jahrelange Protokollierung von Passwörtern im Klartext gemeldet hat.

_Oh verdammt!Ich habe das Passwort des Ziels geknackt, aber sie scheinen es geändert zu haben!Hmm ... Was würde ich tun, wenn mein Passwort abgelaufen wäre?Ich nehme an, ich kann versuchen, diese 3 in eine 4 zu ändern und ... Bingo! _
Ich stehle total _ "administrivia" _
Einverstanden.Ich erinnere mich, als ich Student war, habe ich ein Tool verwendet, um die lokal gespeicherten Passwörter von einem Computer in der Schule zu extrahieren.Ich fand heraus, dass das Passwort meines Dozenten "pant7mime" war.Ich stelle mir vor, dass dies als "pant0mime" begann, aber erzwungene Passwortänderungen die Zahl erhöhten.Der Typ war der Computer-Dozent.
Diese Antwort gefällt mir nicht, da davon ausgegangen wird, dass es sich bei der Frage um eine logische Aussage handelt.Ich denke, der Geist der Frage ist keine logische Wenn / Dann-Aussage, sondern verbindet zwei ähnliche, aber unterschiedliche Konzepte.Dies ist oft ein sehr guter Weg, um bekanntes Wissen zu erlangen.Die beiden Konzepte sind ähnlich genug, dass es eine gute Frage ist, obwohl ich ehrlich gesagt nicht denke, dass viele Leute in diesem Forum qualifiziert sind, über physische Sicherheitsrisiken zu antworten, wahrscheinlich auch ich.
In einem Hochsicherheitskontext kann es sinnvoll sein, physische Schlüssel regelmäßig abzulaufen.Aber dafür ist MFA / 2FA auch gedacht - es ist viel schwieriger, einen Retina-Scan UND einen elektronischen Türschlüssel zu fälschen als nur den Türschlüssel, und Sie könnten sogar eine PIN-Nummer hinzufügen - der Zugriff erfolgt also über etwas, das Sie _have_ haben.(Karte), etwas, das Sie sind (Netzhaut / Daumenabdruck), und etwas, das Sie kennen (Stift).Wenn Sie jedoch kein Rechenzentrum sind, reichen wahrscheinlich nur zwei Faktoren (2FA) aus.
In mehreren Hochsicherheitsumgebungen, in denen ich gearbeitet habe, werden physische Schlüssel für Sicherheitskontrollen verwendet, nicht für Sicherheitskontrollen (wie Stromschlösser an einem Werkzeug) und müssen im Schloss verbleiben, um zu funktionieren.Kombinationsschlösser werden für die Sicherheitskontrollen verwendet.Die Kombination wird jährlich geändert oder wenn jemand, von dem bekannt ist, dass er die Kombination kennt, die Organisation verlässt.http://fedsafes.com/fedsafes-locks/x-10-locks/ zeigt ein typisches Hochsicherheits-Kombinationsschloss.Diese Schlösser werden mit einer anderen Zugriffskontrolle wie einem Ausweisleser kombiniert, sodass die Kombinationsschlösser die Einrichtung öffnen und der Leser im geöffneten Zustand verwendet wird.
Wie verwalten Sie dann [eine solche unbemerkte Sperrenkompromittierung] (https://www.youtube.com/watch?v=AayXf5aRFTI&t=32m33s)?Regelmäßiger Wechsel der Schlösser würde diese (buchstäblich!) Hintertür fallen lassen (unabhängig davon, ob Sie das gefälschte Schloss an Ort und Stelle lassen oder das ursprüngliche Schloss wieder einsetzen, sobald Sie den Schlüssel kopiert haben).
Steffen Ullrich
2019-11-21 16:00:04 UTC
view on stackexchange narkive permalink

Richtlinien zur Kennwortrotation sind vorhanden, um bestimmte Risiken zu verringern, die es einem Angreifer ermöglichen, das Kennwort des Benutzers abzurufen (und zu verwenden). Diese Risiken sind die Wiederverwendung von Passwörtern, Phishing von Anmeldeinformationen oder andere Formen sozialer Angriffe, um das Passwort zu erhalten, die Gefährdung eines Servers und damit der Zugriff auf die gehashten Passwörter oder das brutale Erzwingen.

Keines dieser Risiken gilt wirklich für physische Sperren in der gleichen Schwere wie für Passwörter, dh es gibt keine Wiederverwendung desselben (starken) Schlüssels für andere Orte, keinen Diebstahl von Remote-Anmeldeinformationen mithilfe von Phishing, keinen gemeinsamen Kompromiss eines zentralen Servers für den Zugriff auf alle Schlüssel und keine praktischen Brute-Force-Angriffe.

Der Verlust oder Diebstahl eines Schlüssels ist weiterhin möglich, unterscheidet sich jedoch erheblich von einem Phishing-Schlüssel, da die Person keinen Zugriff mehr auf den Schlüssel hat. Das Klonen eines Schlüssels erfordert einen vorübergehenden physischen Zugriff auf den Schlüssel und ist daher viel schwieriger, unentdeckt zu bleiben. In allen Fällen erfordert die Verwendung des Schlüssels physischen Zugriff auf das jeweilige Schloss und kann nicht von einer entfernten Stelle oder von irgendwo im lokalen Netzwerk aus erfolgen.

Mit anderen Worten : Die Risiken bei physischen Schlüsseln sind unterschiedlich und der Nutzen der Schlüsselrotation ist viel geringer als bei Kennwörtern. Darüber hinaus sind die Kosten einer solchen Risikominderung unterschiedlich: Die Schlüsselrotation ist bei physischen Sperren nicht nur viel weniger nützlich, sondern auch weitaus teurer zu implementieren, da Sperren ersetzt und Schlüssel physisch verteilt werden müssten.

Daher lassen sich die Risiken mit physischen Schlüsseln am besten auf unterschiedliche Weise begrenzen, z. B. durch schwer zu klonende Schlüssel oder durch Kameras an den empfindlichsten Schlössern, um zu überwachen, wer das Schloss öffnet. Darüber hinaus können physische Schlösser und Schlüssel zusätzliche Risiken bergen, die Passwörter nicht haben, z. B. die Anfälligkeit für (oft einfaches) Öffnen von Schlössern ohne den Originalschlüssel. Rotation würde sowieso nicht wirklich vor diesen neuen Risiken schützen.

Schlüssel können von einem Foto kopiert werden.Mit modernen Kameras können solche Fotos aus der Ferne aufgenommen werden.Jemand, der möglicherweise angesprochen wird, sollte auf jeden Fall Sicherheitsverfahren anwenden, um sicherzustellen, dass Schlüssel niemals für nicht autorisierte Personen zugänglich oder sichtbar sind.
Ich bin anderer Meinung: Die Wiederverwendung von Schlüsseln ist vorhanden (obwohl es sich normalerweise um schlechte Sperren handelt, aber man kann beispielsweise das Postfach anderer Personen mit ihrem eigenen Postfachschlüssel öffnen). Phising ist vorhanden.Es besteht ein zentraler Server-Kompromiss (Steal Lock Manufacturer Sell + Engineering DBs), ein Brute-Force-Angriff (siehe DeviantOllam "Mastering Master Keys").Der Klonschlüssel wird nicht erkannt (siehe Link "Kopierter Schlüssel" in der Frage).Ich stimme nur dem letzten Absatz zu.
@Xenos: Ich habe meine Antwort leicht bearbeitet, damit es nicht so absolut ist, dass die gleichen Risiken überhaupt nicht gelten - aber sie gelten nicht im gleichen Schweregrad wie bei Passwörtern.Ja, es gibt Phishing, aber ich habe ausdrücklich über ** Remote ** Phishing gesprochen.Und ja, es gibt schwache Schlüssel und Sperren, bei denen derselbe Schlüssel möglicherweise mit mehreren Sperren übereinstimmt. Dies entspricht jedoch nicht der Wiederverwendung von Kennwörtern, sondern eher den schwachen Kennwörtern.
@SteffenUllrich Ich denke, das größere Problem sind die * Kosten * für die Überprüfung der physischen Schlösser.Es ist teuer und schwer.Das Überprüfen virtueller Sperren ist billig und einfach zu automatisieren.
@vidarlo: Ich habe die Antwort dahingehend aktualisiert, dass nicht nur der Nutzen der Rotation bei physischen Schlüsseln geringer ist, sondern auch die Rotationskosten höher sind - was es zusammen besser macht, andere Formen der Risikominderung zu verwenden.
Ich würde argumentieren, dass es bei physischen Schlössern unterschiedliche Risiken gibt, die einen halbjährlichen Wechsel der Schlösser rechtfertigen.Das erste ist, dass Schlüssel unglaublich einfach zu kopieren sind, und bei Umsatz ist es wahrscheinlich, dass Sie Schlüssel im Besitz von Personen haben, die seit Jahren nicht mehr im Unternehmen beschäftigt sind.Dies ist einer der Gründe, warum viele Unternehmen HID-Geräte anstelle von physischen Schlössern und Schlüsseln verwenden.
Zum Beispiel hatte ich bei meinem letzten Job einen physischen Schlüssel für den Serverraum, der ein Backup für die HID-Karte war.Kurz bevor ich ging, gab es eine beträchtliche Menge an Umsatz, und buchstäblich wusste niemand, dass ich den Schlüssel hatte.Natürlich habe ich den Schlüssel vor meiner Abreise einem Kollegen übergeben.Aber es wäre genauso leicht gewesen, dies zu vergessen.
In Bezug auf das, was @vidarlo gesagt hat, habe ich noch nie einen PoC gesehen oder durchgeführt, aber ich bin ziemlich sicher, dass Sie das Foto mit tragbarer Ausrüstung in weniger als 10 Minuten Bearbeitungszeit automatisieren können.Es würde nur einen Lebenslauf benötigen, um den Schlüssel zu identifizieren, den Rohlingstyp abzugleichen und ihn an einer Schablone auszurichten, dann eine Mini-CNC-Fräse oder einen Laserschneider, um ihn aus einem geeigneten Metall- oder Kunststoffrohling zu schneiden.
Ein weiterer Aspekt ist die einfache Ersetzung von Anmeldeinformationen und die Störung, die durch einen Ausfall verursacht wird.Das Ändern eines Kennworts kann vollständig automatisiert werden und erfordert nur einen geringen Aufwand für alle Parteien (sowohl Benutzer als auch Administratoren).Die durch ein vergessenes Passwort verursachte Störung ist ebenfalls gering. Möglicherweise ist ein Anruf beim Helpdesk (oder einem gleichwertigen Mitarbeiter) erforderlich, aber es ist keine große Sache und kann innerhalb von Minuten behoben werden.Zum Vergleich: Das Ändern des Schlüssels * aller * für das Büro erfordert einen hohen Aufwand - der Administrator muss jeden Benutzer treffen.Die Logistik könnte es schwierig machen - jemand ist zum Beispiel krank.
Darüber hinaus ist die Störung, die durch das Aussperren von Personen verursacht wird, hoch - sie sind möglicherweise draußen in der Kälte / im Regen und warten, bis derjenige, der für die Schlüssel verantwortlich ist, einfährt, um die Tür für sie zu entriegeln.Wenn also jemand aus einem Computer ausgesperrt wird - 5-10 Minuten verloren und er kann Kaffee in der Küche trinken oder so - kann dies aus der Ferne behoben werden.Jemand, der sein Büro ausgesperrt hat - wahrscheinlich viel mehr Zeit und es muss * persönlich * behandelt werden.
Ich würde nicht zustimmen, dass die Kennwortrotation eines dieser Probleme mindert.Passwörter werden innerhalb weniger Monate gedreht.Selbst wenn ein Angreifer nur eine Woche Zugriff hat, ist dies normalerweise mehr als genug, um einen dauerhafteren Zugriff zu ermöglichen.Darüber hinaus wird die Komplexität der vom Benutzer gewählten Passwörter reduziert.`Winter2019` und` November2019` sind momentan wirklich heiße Passwortkandidaten.
"Ja, Phishing gibt es, aber ich habe ausdrücklich über Remote-Phishing gesprochen", weiß ich nicht.Ich könnte mir einen Betrüger vorstellen, der Leuten eine E-Mail mit dem Titel "Hallo, dies ist Unternehmenssicherheit. Sie müssen uns ein Bild Ihrer Unternehmensschlüssel senden, damit wir überprüfen können, ob Ihnen die richtigen Schlüssel ausgestellt wurden."
aaa
2019-11-22 17:51:24 UTC
view on stackexchange narkive permalink

An einigen Orten wechseln Wohnungseigentümer nach der Vermietung der Wohnung die Schlösser, wenn sie den Mietern kein besonderes Vertrauen entgegenbringen. (Ich scheine mich zu erinnern, dass es bei einigen Arten von mechanischen Schlössern möglich ist, den passenden Schlüssel zu ändern, ohne das gesamte Schloss zu ersetzen - aber nicht alleine, Sie rufen dafür einen spezialisierten Mechaniker an.)

Und afaik Hotels diese Tage ändern routinemäßig die Schlüssel, die die elektronischen Schlösser öffnen, jedes Mal, wenn ein Gast auscheckt. (Sie sind sich über die Mechanik nicht sicher: Entweder werden die Informationen auf der Schlüsselkarte und dem Schloss geändert oder die Korrespondenz der RFID-Karten mit den Räumen.)

Sie können auch Schließfächer an Bahnhöfen in Betracht ziehen Manchmal mit Zahlenschlössern eingerichtet und Sie wählen die Kombination beim Schließen des Fachs - auch bei mechanischen Zahlenschlössern.

Die erwartete Bedrohung ist in den drei Fällen dieselbe: Personen, die Zugang zum Schloss hatten, dies aber nicht sollten. t mehr. Dies entspricht z.B. zum Ändern von Kennwörtern für freigegebene Konten nach dem Beenden eines Mitarbeiters.

Dies ist eine gute Antwort, da echte Bedrohungen aus der Welt der physischen Sicherheit verwendet werden, anstatt auf Analogien aus der Software-Welt zurückzugreifen.Dies ist wahrscheinlich eine schlechte Frage für eine Gruppe von Menschen, die sich eher auf Computer als auf physische Sicherheit konzentrieren.
Bill K
2019-11-22 23:48:49 UTC
view on stackexchange narkive permalink

Verwenden Unternehmen immer noch individuell verschlüsselte Schlösser? Ich habe eine Karte, die alle Türen öffnet, zu denen ich Zugang habe. Wenn ich gefeuert werde, muss mich jemand aus der Tür lassen, weil mein Schlüssel bereits tot ist, aber alle anderen funktionieren noch. Außerdem kann ich mich bei jedem Computer bei der Arbeit ohne Kennwort (nur eine PIN) mit Verschlüsselung auf Basis öffentlicher Schlüssel anmelden, bei dem der private Schlüssel mein Abzeichen nie verlässt.

Die Kombination aus Abzeichen und PIN ist kaum zu übertreffen , arbeitet sowohl für die physische als auch für die Computersicherheit und erfordert zwei Faktoren. Sie können dasselbe mit einem Telefon / Fingerabdruck / PIN (Faktor 2-3) erreichen, wenn Sie nicht für die Sicherheit auf Ausweisbasis bezahlen möchten.

Wenn Sie noch Schlüsselschlösser haben, dann JA, Ändern Sie diese, OFTEN.

Indem Sie die Schlüssel an den Türen ständig ändern, nehmen Sie den SCHLECHTESTEN Teil der Passwörter und wenden ihn auf ein anderes System an.

Was ich wirklich lieber tun würde, ist anzuwenden Identitäts- / Verschlüsselungs-basierte Technologie für alle Computeranmeldungen UND physischen Sperren durch Zugriff auf alles über denselben öffentlichen Verschlüsselungsschlüssel, bei dem sich der private Schlüssel sicher in Ihrem physischen Besitz befindet und nicht von diesem physischen Medium kopiert werden kann.

Wenn man [dies] sieht (https://www.youtube.com/watch?v=AayXf5aRFTI&t=32m33s), haben Unternehmen hier und da Schlüsselschlösser;)
fraxinus
2019-11-23 17:46:52 UTC
view on stackexchange narkive permalink

Die Risiken: Jemand hat den Schlüssel verloren. Wenn mehr als eine Person einen Schlüssel in der Hand hält, gilt normalerweise die Regel 80/20: In 80% der Fälle wird die Tür von 20% der Personen entriegelt. Man kann den Schlüssel verlieren und es lange nicht bemerken. Er kann sogar vergessen, dass er einen Schlüssel für diese bestimmte Tür besitzt.

Jemand hat den Schlüssel legitim erhalten, wurde nicht berücksichtigt und hat den Schlüssel nicht zurückgegeben, wenn er musste.

etc, etc, ... tatsächlich gibt es viele Möglichkeiten, einen physischen Schlüssel schlecht zu verwalten.

Je nach Einsatz kann das Ändern des Türschlosses eine gute Sicherheitspraxis sein.

Ich mag diese Antwort auch, weil sie sich auf die tatsächlichen Risiken physischer Schlüssel konzentriert und nicht auf das, was die Frage, die Passwortrotation, inspiriert hat, die einige Crossover-Konzepte hat, aber nicht ganz.
Hugo
2019-11-22 18:27:34 UTC
view on stackexchange narkive permalink

Es gibt keine direkte Beziehung zwischen den 2;

Wenn wir einen Risikoansatz verfolgen, um eine Beziehung basierend auf dem Risiko zu finden, müssten wir Folgendes tun:

Wie hoch wäre die Wahrscheinlichkeit, dass jemand mehrere Tests durchführt? Schlüssel oder irgendeine Art von Bewertung in Ihrer Tür / Ihrem Schloss jeden Tag? Hat es eine bekannte Sicherheitslücke? Was ist die Auswirkung, wenn es jemandem gelingt, die Tür zu öffnen?

Aus meiner Sicht wird der Dieb immer den Weg des geringsten Widerstands beschreiten. Es ist also nicht praktikabel, sich durch mehrere Stunden Testen Ihres Schlüssels / Ihrer Tür bloßzustellen.

Wenn Sie jedoch diesem Risiko ausgesetzt sind und die Auswirkungen hoch sind, sollten Sie zusätzliche Sicherheitskontrollen hinzufügen.

Wenn das Ändern des Schlosses am effizientesten ist, denke ich nicht.

Es gibt wahrscheinlich viele andere Sicherheitskontrollen, die Sie Ihrer physischen Tür zuordnen können, um Ihr Risiko mit geringeren Kosten zu minimieren.

Wenn Sie für das Kennwort dieselbe Arbeit ausführen, werden Sie feststellen, dass das Erzwingen der Kennwortänderung von Zeit zu Zeit (abhängig von Ihrem Risiko) eine der billigsten Sicherheitskontrollen ist, um die Sicherheit Ihrer Daten zu gewährleisten.

Unternehmen müssen immer einen Zusammenhang zwischen den Kosten der Sicherheitskontrolle, die sie implementieren möchten, und der Effizienz herstellen. Es ist nicht sinnvoll, viel Geld in Türschlössern auszugeben, wenn Sie noch Fenster zum Betreten haben. Oder geben Sie mehr im Türschloss aus als im Haus.

Ein Gleichgewicht zwischen beiden muss eingehalten werden, es wird von Geschäft zu Geschäft unterschiedlich sein.

520
2019-11-22 20:14:13 UTC
view on stackexchange narkive permalink

Die Art von Angriffen, die das regelmäßige Ändern von Passwörtern zu einer guten Idee machen, wird bei der Anwendung auf echte Sperren viel unmöglicher. Tatsächlich ist der einzige vergleichbare Angriff dieser Art, der möglich ist, den Schlüssel zu stehlen und ihn so schnell wie möglich zu verwenden.

Nun sicher, Sie könnten eine Kopie des Schlüssels erstellen, aber das kostet Zeit und Geld, und Jeder Moment, den Sie verbringen, ohne dass der Schlüssel und der Eigentümer wieder vereint werden, birgt das Risiko, dass der Eigentümer bemerkt, dass der Schlüssel fehlt, was es viel schwieriger macht, die Situation zu verbreiten, ohne erwischt zu werden. Sie können ein Schloss auch nicht brutal erzwingen, indem Sie versuchen, Hunderttausende von Schlüsseln zu verwenden, da dies ewig dauern würde, sehr auffällig aussieht und Sie schließlich erwischen wird. Die Verwendung von Lockpicks wäre hier viel praktischer, würde aber dennoch verdächtig aussehen und das Ändern der Sperren wird hier nicht helfen, es sei denn, der Angreifer hat diese Sperre zuvor geöffnet.

Es gibt auch die Tatsache, dass das Ändern von Passwörtern nichts kostet Das Ersetzen von Schlössern erfordert Zeit und Material, was vergleichsweise kostspielig ist.

Sie sehen nicht genug TV-Spionagefilme.Sie müssen den Schlüssel nicht nehmen, sondern nur einen Abdruck auf ein Stück Seife machen.
"Das Ändern von Passwörtern kostet nichts"?Nun, abgesehen davon, dass grundsätzlich jeder gezwungen wird, "password7" zu verwenden ...
@DanielMcLaury mit einer übereifrigen Passwortrichtlinie, klar.Ich habe diesen Punkt nicht mit Blick auf diese spezielle Situation gemacht :)
Tom
2019-11-23 13:15:59 UTC
view on stackexchange narkive permalink

Wenn Ihr Türschloss digital ist und durch eine Zahlenkombination geöffnet wird, möchten Sie vielleicht darüber nachdenken.

Wenn Sie den ganzen Unsinn und das Geschwätz hinter sich lassen, ist der eigentliche Grund für regelmäßige Änderungen von Passwörter sind sehr einfach: Wir bemerken nicht immer, dass ein Passwort kompromittiert wurde, und wir sind faul, die verschiedenen Hinweise zu verfolgen, und die Erkennung von Anomalien ist schwierig und hat viele Fehlalarme und ... es ist einfach einfacher, Leute dazu zu zwingen Ändern Sie ihre Kennwörter von Zeit zu Zeit.

Der physische Eintrag mit physischen Schlüsseln verfügt nicht über diese Eigenschaften. Ein Schlüssel kann verloren gehen oder gestohlen werden, wird aber nur selten unbemerkt kopiert. Es ist viel, viel wahrscheinlicher, dass ein Angreifer ein Passwort hat, aber niemand weiß, dass er es tut, als dass er einen Schlüssel hat, den niemand als vermisst bemerkt hat (mit Ausnahme des Falls, dass er ihn kurz vor dem Einbruch gestohlen hat, was nicht der Fall ist). (durch periodische Änderungen abgedeckt).

Bei physischen Schlüsseln ist es viel praktikabler, Änderungen vorzunehmen, wenn Anzeichen für einen Kompromiss vorliegen, anstatt periodisch.

Was ist dann der Unterschied zwischen digitalen Pin-Schlössern und normalen physischen Schlüsselschlössern?Beide haben entweder digitale oder physische Stifte (siehe das Innere eines Schlosses oder das verknüpfte Video).Physische Sperren scheinen das gleiche Problem (unentdeckte Beeinträchtigung) zu haben wie Passwörter, da der Schlüssel von einem Foto kopiert oder [Zylinder (Schloss) hätte ersetzt werden können] (https://www.youtube.com/watch?v=)AayXf5aRFTI & t = 32m33s) unbemerkt.Übrigens, Sie haben keinen Schlüssel in Ihrem Haus, ohne zu wissen, welches Schloss es öffnet?Dies bedeutet, dass ein Schloss irgendwo einen "unbemerkten" Schlüssel hat, der es öffnet;)
Der Unterschied besteht darin, dass bei physischen Schlüsseln der ** übliche ** Fall darin besteht, dass sie verloren gehen, während sie bei digitalen Schlüsseln normalerweise kopiert werden.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
Loading...