Frage:
Warum benutzen wir immer noch Schlüssel, um Autos zu starten? Warum nicht Passwörter?
Ulkoma
2015-08-20 14:04:50 UTC
view on stackexchange narkive permalink

Vor ungefähr einem Jahr habe ich eine Frage zum schwächsten Authentifizierungsfaktor gestellt.

Ich hatte einige gute Antworten, die mich überzeugten, da ich mir den Authentifizierungsprozess immer vorgestellt habe Mein Kopf als Angestellter in einer Hochsicherheitseinrichtung, der versucht, durch Eingabe seiner PIN Zugang zu seinem Büro zu erhalten, oder als jemand, der versucht, sich durch Eingabe seines Passworts in seinen PC einzuloggen, aber die Antworten sind wenig sinnvoll, wenn wir über ein Fahrzeug sprechen.

  • Autoschlüssel können leicht von einem Fremden verloren gehen oder gestohlen werden, den Sie in einer Kneipe getroffen haben, aber es ist höchst unwahrscheinlich, dass Sie Ihr Passwort schreien, während Sie im Schlaf sprechen.
  • Es ist ein großer Aufwand teurer Prozess zum Ändern Ihrer Autoschlüssel; Passwörter sind sehr einfach zu ändern.

Wie Sie der anderen Frage entnehmen können, waren die größten Probleme mit Passwörtern (gemäß den Antworten, die ich erhalten habe):

  • Wenn jemand Ihr Passwort hat, können Sie möglicherweise nicht feststellen, dass er dieses Wissen aktiv nutzt.
  • Passwörter ermöglichen zufälliges Erraten, Offline-Wörterbuchsuche und andere Angriffe.

Nun ...

  • Das stimmt, wenn jemand Ihr System ausspioniert hat, aber wenn ein Fremder Ihre Autoschlüssel hätte, würde er Ihr Auto wahrscheinlich nicht zurückgeben, und wenn ja können Sie feststellen, dass jemand anderes Zugriff auf Ihr Auto hatte.
  • Das Auto nach drei fehlgeschlagenen Versuchen 5 Minuten lang gesperrt zu haben, ist eine ziemlich gute Lösung.

Hast du es eilig zur Arbeit zu gehen? Gehen Sie ins Haus und holen Sie sich den physischen Hauptschlüssel. Ein physischer Hauptschlüssel, der das Kennwortsystem überschreibt, ist eine gute Rettungslösung, aber nicht, wenn Sie ihn ständig bei sich haben. Das Tragen des Authentifizierungsgeheimnisses in Ihrem Kopf ist sicherer als das Tragen in der Tasche.

Wenige andere Dinge, die mir in den Sinn kommen, lassen mich fragen, warum ich noch nie ein Auto mit einem Passwort gesehen habe

Dragons' Den season 13 episode 5

Peter Jones griff die Idee an, weil Ihr Handy möglicherweise nicht mehr aufgeladen ist. Das Authentifizierungssystem des Autos würde niemals leer werden, wenn es von der Autobatterie gespeist wird. Es ist austauschbar, geschützt und wenn es ausgefallen ist, ist das Auto trotzdem ausgefallen und Sie können dem Authentifizierungssystem keine Schuld geben.

Gute Frage. Dies würde auch ein in Großbritannien verbreitetes Verbrechen besiegen: Einbrecher, die in Häuser einbrechen, um Autoschlüssel zu stehlen.
Denn jedes Mal, wenn eine solche Lösung herauskommt, ist sie schrecklich kaputt, die Autos der Leute werden gestohlen und die Hersteller müssen große Rückrufe durchführen.
@Polynomial Wie? Das ist meine Frage, was ist der Schwachpunkt eines solchen Systems?
Normalerweise schlechtes Protokoll (anfällig für Schnüffeln oder Wiedergabe), schlechtes RNG, schlechte Krypto, schlechte Implementierung auf der Autoseite (z. B. keine korrekte Zustandsmaschine erzwingen) oder irgendetwas dazwischen.
Wenn Sie einen Unfall haben und Ihr Gedächtnis verlieren ...
Dann haben Sie viel größere Probleme, als in die Entsperr-App Ihres Autos zu gelangen. Wahrscheinlich sollten Sie überhaupt nicht fahren, wenn Sie an einer retrograden Amnesie leiden.
Ähnliche Frage: [Warum verwenden die meisten Autos physische Schlüssel und keine PIN?] (Https://security.stackexchange.com/q/39168/32746), obwohl das Passwort auf einen nur numerischen PIN-Code beschränkt zu sein scheint sind für die aktuelle Frage noch relevant.
Es ist eine Frage der Benutzerfreundlichkeit und Wartbarkeit. Wie lange brauchen Sie, um in einer kalten, windigen Nacht in Dawson City "Correct Horse Battery Staple" einzugeben?
Wenn Ihre Batterie leer ist, können Sie dann nicht mehr in Ihr eigenes Auto steigen? Wenn ja, wie würden Sie die Haube öffnen, um die Batterie zu ersetzen?
Schlüssel sind viel schneller und einfacher zu bedienen, und sie sind tatsächlich ziemlich zuverlässig. Beachten Sie, wie wir uns in der Computersicherheit tatsächlich von Passwörtern entfernen - Zwei-Faktor-Sicherheit ist eine beliebte moderne Methode. Die Leute beginnen, ihre Telefone auch für Zahlungen zu verwenden - ein weiterer Schlüssel / Token. Für kontaktlose Zahlungskarten muss für Zahlungen mit geringem Wert keine PIN mehr eingegeben werden. Die Liste geht weiter. Und aus persönlicher Erfahrung habe ich meine Passwörter einige Male gestohlen (sogar "starke" Passwörter) - ich habe meine Schlüssel nie verloren.
@Luaan Ich denke, es unterscheidet sich von einer Person zur anderen. Ich vergesse immer, wo ich mein Telefon abgelegt habe, vergesse aber nie das Passwort Telefon
Die Standardverwendung von Autoschlüsseln ermöglicht es Ihnen, sie anderen Personen zu geben und sie dann zurückzunehmen. Das Äquivalent zu einem Passwort ist, ihnen das Passwort zu geben und dann das Passwort zu ändern (* klingt für mich eher schmerzhaft *). Die Telefon-App tauscht nur die Schlüssel für das Telefon aus, was das Ausleihen noch schwieriger macht. Ich weiß, dass meine Familie oft ein oder zwei Fahrzeuge unter uns allen geteilt hat. Ich kann mir nicht vorstellen, ob ein Passwort an eines unserer Telefone gebunden werden musste, das die ganze Zeit im Auto bleiben musste.
* "Hey, ich habe etwas in deinem Auto vergessen, wirf mir deine Schlüssel" *
Anders als bei den meisten herkömmlichen Verwendungen von Passwörtern hat der Kriminelle in diesem Fall physischen Zugriff auf Ihre Hardware. Und wahrscheinlich haben Sie diesen Zugriff mehrere Stunden lang, bevor Sie oder jemand anderes ihn das nächste Mal überprüfen.
Außerdem "können Autoschlüssel leicht von einem Fremden verloren gehen oder gestohlen werden" - nicht wirklich, unsere Zivilisation hat [mehrere hundert Jahre] (https://en.wikipedia.org/wiki/Lock_ (security_device)) Erfahrung im Umgang mit Schlüsseln So kann sich heutzutage fast jeder um einen kümmern. Passwörter hingegen werden viel kürzer verwendet und haben sich bereits als mit den Köpfen der meisten Menschen nicht kompatibel erwiesen.
Sie können Ihr Auto versichern und ersetzen lassen. Ihre Daten sind eine andere Geschichte. Die Unannehmlichkeit eines gestohlenen Autos ist gering, wenn Ihre Kreditkarteninformationen durchgesickert sind. Zweitens, nachdem ich eine Autodiebstahl in JHB Südafrika überlebt habe, kann ich mit Sicherheit sagen, dass diese Idee Menschen töten wird. Es ist bekannt, dass diese Wagenheber Menschen erschießen, die zu lange dauern. Ich würde lieber meine Schlüssel übergeben und leben, als mein Passwort falsch einzugeben.
Wenn ein Passwort für ein Auto leicht zu ändern ist, ist dies die Sicherheit eines Passworts für das Auto, das unbrauchbar wird. Warum das vorhandene Passwort direkt angreifen, wenn es eine generische Möglichkeit zum Zurücksetzen des Passworts geben muss? Sicher, Sie können einen Hauptschlüssel oder ein Passwort für das einzelne Auto haben, aber wenn ein solches System für herkömmliche Schlüssel verwendet wurde (Fiat, Ducati und verschiedene andere verwendeten ein solches System), landen Sie einfach bei den meisten Menschen, die den physischen Hauptschlüssel verlieren oder Code und dann mit einer sehr großen Rechnung (dh neue ECU, etc.).
Autoschlüssel sind eins zu eins oder wenige zu eins, nicht viele zu eins. Mein Autoschlüssel passt nicht in die meisten Automarken, geschweige denn in sie. Mit Passwörtern kann jeder versuchen einzubrechen. Physische Schlüssel sind für physische Einzelobjekte oder wenige physische Objekte wie Autos und Häuser sinnvoll. Kennwörter eignen sich besser zur Authentifizierung vieler Personen für den Zugriff auf ein einzelnes System, das lokal oder remote sein kann. Derzeit tragen die meisten Menschen nicht die Werkzeuge mit sich herum, die zum Einbruch oder Diebstahl von Autos erforderlich sind. Passwörter ändern dies.
Wenn jemand meine Schlüssel stiehlt (was noch nie passiert ist), muss er wissen, wo sich mein Auto befindet. Die Schlüssel sind ohne Auto unbrauchbar und das Auto ist ohne Schlüssel unbrauchbar. Der erste Teil der Sicherheit ist abschreckend. Wenn ein potenzieller Angreifer weiß, dass er keinen Erfolg hat, wird er es gar nicht erst versuchen. Mit Passwörtern hat jede Vermutung eine Chance auf Erfolg, sodass möglicherweise mehr Menschen versuchen, in Autos einzubrechen oder diese zu stehlen.
Vergessen wir nicht alle Tesla-Besitzer, die aufs Land gefahren sind, die Sonne genossen haben und dann ihr Auto nicht neu starten konnten, da sie (und das Auto) keinen Handyempfang für die App hatten, um das Auto zu starten - http: //www.telegraph.co.uk/technology/2017/01/16/tesla-driver-stranded-desert-smartphone-app-failure/
Nach meinen Beobachtungen ist die überwiegende Mehrheit der Fahrer technisch nicht ausgereift genug, um zu verstehen, wie ein Blinker zu bedienen ist.Ein Passworteingabesystem würde Lichtjahre über ihrem Verständnisniveau liegen.
Siebzehn antworten:
Gilles 'SO- stop being evil'
2015-08-20 19:21:59 UTC
view on stackexchange narkive permalink

Schlechte Passwortauswahl

Die Hauptbedrohung, vor der ein Autoschloss schützt, ist der Diebstahl des Autos oder von Gegenständen im Auto. Der meiste Diebstahl ist opportunistisch und nicht zielgerichtet: Gehen Sie auf einen Parkplatz und probieren Sie mehrere Autos aus, bis Sie ein schlecht geschütztes finden. Mit Passwörtern oder PIN wissen Sie, dass viele Leute Passwort oder 1234 auswählen oder für diejenigen, die paranoider sind, ihr Geburtsdatum. Das Sperren eines Autos nach fehlgeschlagenen Versuchen spielt keine Rolle: Der Dieb versucht nur die drei wahrscheinlichsten Werte für jedes Auto und fährt dann fort.

Außerdem wäre es ärgerlich, das Auto nach fehlgeschlagenen Versuchen zu sperren, wenn Sie Kind fängt an, die Knöpfe zu drücken.

Schulter-Surfen

Das Eingeben eines Passworts ist anfällig für Schulter-Surfen. Es ist schwierig, einen physischen Schlüssel ausschließlich aus Bildern zu duplizieren (dies ist möglich, jedoch nur mit ausreichend präzisen Bildern). Es ist für einen Menschen ohne Hilfe unmöglich, einen physischen Schlüssel zu duplizieren.

Für einen Menschen ohne Hilfe ist es einfach, sich an die PIN zu erinnern, die er gerade gesehen hat. Gehen Sie an jemandem auf einem Parkplatz vorbei, notieren Sie sich die PIN, sehen Sie ihn am nächsten Tag / in der nächsten Woche ungefähr zur gleichen Zeit, profitieren Sie.

Ausleihen

Ich kann meine Autoschlüssel an jemanden ausleihen. Wenn sie mir den Schlüssel zurückgeben, kann ich ziemlich sicher sein, dass sie keinen Zugang mehr zu meinem Auto haben. Sicher, sie haben vielleicht die Schlüssel dupliziert, aber das erfordert Zeit (wenn sie das Auto nur für kurze Zeit ausleihen, weiß ich, dass sie es nicht getan haben), und wenn ich ihnen genug vertraue, um mein Auto auszuleihen, vertraue ich ihnen wahrscheinlich Die Schlüssel nicht kopieren.

Wenn es ein einziges Passwort zum Öffnen des Autos gibt, hat er für immer Zugriff, wenn ich jemanden mein Auto benutzen lasse.

Dies kann natürlich durch mehrere Passwörter zum Öffnen des Autos gelöst werden. Dies führt jedoch zu weiteren Schwierigkeiten. Zum einen muss der Schlüsselraum möglicherweise größer sein: Bei einem kleinen Schlüsselraum wie einer 4-stelligen PIN kann die Wahrscheinlichkeit einer nicht informierten Vermutung bei mehreren gültigen Codes nicht vernachlässigbar werden. Eine größere Schwierigkeit besteht darin, dass Joe Random die Schlüsselverwaltung durchführen muss. Der Videorecorder von Joe Random blinkt seit dem letzten Stromausfall um 12:00 Uhr. (Vielleicht nicht mehr mit DVR, die über eine Internetverbindung verfügen.) Joe Random versteht physische Token - wenn ich das Objekt in der Hand habe, kontrolliere ich es - aber nicht die Passwortverwaltung.

Mit all diesen unterschiedlichen Antworten begann ich zu glauben, dass meine Frage meinungsbasiert ist. Abgesehen vom Schulter-Surfen sind alle anderen Gründe nicht gut genug, um Schlüssel Passwörtern vorzuziehen, zumindest meiner Meinung nach
Ich denke, die Ausleihe ist hier ein sehr wichtiger Aspekt - ansonsten besonders in Familien (+ Jugendliche). Wenn Sie überall dasselbe Passwort verwenden, haben Sie ein Problem - seitdem kennt diese Person auch Ihr E-Mail- / Skype- / Computer-Passwort!
Ich glaube, dass der dritte Punkt der Schlüssel ist und fast nichts mit Sicherheit zu tun hat: Derzeit leihen Sie sich Ihr Auto aus, indem Sie den Schlüssel ausleihen. Vielleicht haben Sie 2 Schlüsselsätze, aber das war's. Sie möchten dies wahrscheinlich nicht ändern. Das Konzept, dass viele Menschen zufällig ein Auto benutzen, funktioniert nicht, und ein physischer Schlüssel ist eine Möglichkeit, dies zu unterstützen. Wenn ich das Auto meiner Eltern ausleihen möchte, muss ich sie anrufen / ihnen eine SMS schicken und zu ihrem Haus kommen, um es abzuholen. Es ist klar, wer in welchem ​​Moment für das Auto verantwortlich ist.
Und bei der schlüssellosen Eingabe / Zündung geht der Teil über das Kopieren eines Schlüssels aus einem Bild von möglich, aber schwierig bis unmöglich.
* "Sicher, sie haben die Schlüssel möglicherweise dupliziert, aber das erfordert Zeit" * Ich bin anderer Meinung: [Mit der KeyMe-App können Sie einen Schlüssel mit einem FOTO in Sekunden kopieren] (http://www.dailymail.co.uk/sciencetech/article) -2937632 / Kopieren-Schlüssel-Sekunden-mit-PHOTO-App-lässt-neuen-Schlüssel-Haus-nach-Secure bestellen.html)
Soweit jemand weiß, dass jemand keinen Zugriff mehr auf Ihr Auto hat, verfügen viele Garagentorsysteme über "Gast" -Pins, die nur für X-Aktivierungen oder Y-Tage funktionieren und bei Bedarf aus dem "Hauptkennwort" generiert werden können - dies wäre trivial etwas Ähnliches auch für die Autos zu implementieren, wenn es ein tatsächliches Problem war.
@A.L Die meisten Autoschlüssel sind heutzutage abgebrochen. Durch das Kopieren des physischen Schlüssels wird das Auto nicht gestartet.
Was passiert mit dem Mietwagengeschäft, wenn Sie Passwörter verwenden?
Eigentlich ist es [12345] (https://www.youtube.com/watch?v=a6iW-8xPw3k).
Denken Sie auch: Ölwechselgeschäfte, Reifengeschäfte, andere Autoreparaturen, Parkservice. In den USA ist es üblich, ihnen Ihren Autoschlüssel für die Durchführung des Service zu geben.
@Katai, Die Ausleihe ist am wenigsten wichtig, da es sich um ein Problem handelt, das seit den Garagentoröffnern mit Ziffernblock gelöst wurde. Sie erstellen einfach ein temporäres Kennwort für diese Person und entfernen es, wenn Sie nicht mehr möchten, dass sie Zugriff hat. Nur ein physischer Schlüssel kann ein Schloss öffnen (hier werden "Hauptschlüssel" ignoriert ...), aber ein Passwortsystem kann so viele "Schlüssel" haben, wie Sie möchten. Sie können sogar Leistungsbeschränkungen basierend auf dem Kennwort festlegen. Das gleiche könnte für Mechaniker oder Kammerdiener gemacht werden. Erstellen Sie einfach ein neues eintägiges Passwort und sie schreiben es auf.
@LorenPechtel - Ich bin sicher, die Mietwagenagenturen würden Autopasswörter * lieben *. Sie müssen lediglich das Passwort ausdrucken (für jeden Kunden zurücksetzen) und es dem Kunden übergeben - keine Schlüssel, mit denen sie sich befassen müssen, und nein müssen Kundensperrungen behandeln.
@JPhi1618 du hast recht - ich habe nicht über diese Möglichkeiten nachgedacht. Aber trotzdem jeden Tag ein neues Tagespasswort erstellen, um Ihr Auto für den Morgen an Ihre Tochter zu lehnen? Es klingt einfach nach einer Menge Arbeit, anstatt nur einen Schlüssel mit einer Handbewegung auszugeben. Auch dies kann wahrscheinlich mit einer Telefon-App gelöst werden - aber nicht jeder, den ich kenne, hat ein Smartphone. Schlüssel haben einfach etwas ... Einfaches. Passwortverwaltung und (temporäre) richtige Systeme klingen für diese Art von Problem einfach wie ein Overkill.
Kredite sind kein großes Problem. Angenommen, mobile Apps sind der Schlüssel (Tastaturen sind etwas übertrieben und die Beschränkung auf Zahlen ist aus Sicherheitsgründen schlecht), dann könnten Sie mit der App vermutlich im laufenden Betrieb neue Benutzerkonten erstellen und diese später löschen. Das würde Sie Gäste haben lassen. Wir könnten argumentieren, dass eine schlechte Passwortauswahl ein Benutzerproblem darstellt und sich nicht wesentlich von Benutzern unterscheidet, die sich dafür entscheiden, das Auto nicht zu sperren. Schulter-Surfen wäre schwierig, wenn es sich um eine vollständige Tastatur auf einem mobilen Gerät handelt. Das brutale Forcen wird mit einer kurzen Verzögerung zwischen den Vermutungen erledigt. Damit bleiben Telefonbatterien der größte Nachteil.
Polynomial
2015-08-20 15:14:00 UTC
view on stackexchange narkive permalink

Weil es einfacher ist, ein elektronisches System falsch zu machen, und wenn Sie es falsch machen, kostet es Sie viel Geld und schlechte PR, um es zu reparieren:

Es gibt auch viele Möglichkeiten, etwas falsch zu machen:

  • Schlecht gestaltetes führendes drahtloses Protokoll zum Wiederholen / Schnüffeln von Angriffen.
  • Schlecht gestaltete / implementierte Krypto, die Brute-Force von rollierenden Codes ermöglicht.
  • Schlechtes RNG, das die Vorhersage sicherheitskritischer Werte ermöglicht.
  • In der Firmware des Autos wurden unsachgemäße Überprüfungen durchgeführt, die einen Missbrauch der Zustandsmaschine zulassen.
  • Pufferüberläufe und ähnliche Softwarefehler in der Firmware des Autos.

Darüber hinaus werden die Schlüssel teurer, die Schlüsselbereitstellungssysteme werden teurer, und auf lange Sicht haben Sie viel Technik Schulden, weil Sie Menschen unterstützen müssen, die nach Ersatzschlüsseln für Fahrzeugmodelle fragen, die Sie seit 10 Jahren nicht mehr hergestellt haben.

Physische Schlösser und Schlüssel sind relativ einfach, relativ zuverlässig und relativ leicht zu finden von physischem Design und leiden nicht von Natur aus unter Remote-Angriffen. Schlüssel zwingen Diebe auch dazu, in direktem physischen Kontakt mit dem Auto zu stehen, was aus forensischer und recherchierender Sicht ein Bonus ist.

Wie wäre es dann mit einem Zahlenschloss? Wenn das Problem darin besteht, mechanisch oder elektronisch zu sein, nicht der Authentifizierungstyp?
@Ulkoma Sicher, aber es ist unpraktisch, mit einem Zahlenschloss herumzuspielen, wenn Sie versuchen, Ihr Auto zu öffnen. Ein Schlüssel ist nur einführen und drehen. Es kann im Dunkeln gemacht werden. Es kann mit einer Hand gemacht werden. Dies ist möglich, wenn Ihre Feinmotorik nicht gut ist.
Trotzdem haben die meisten Autoschlüssel seit mindestens zehn Jahren eingebettete Chips, und "schlüssellose" Autos sind weit verbreitet.
Raubtiere auf dem Parkplatz würden für ein Zahlenschloss stimmen. Es würde ihre Opfer länger ablenken.
Ich kann nicht sehen, wie diese Antwort die ursprüngliche Frage beantwortet, die nach der Verwendung von Passwörtern (muss wissen) anstelle von Schlüsseln (muss haben) fragt. Diese Antwort liefert stattdessen eine gute Argumentation für elektronische und nicht elektronische Schlüssel, spricht aber immer noch nur über Schlüssel.
@SteffenUllrich Ich habe mich das Gleiche gefragt, aber mit all den Stimmen und dem Ruf von Poly dachte ich, ich hätte den Punkt verfehlt
Zahlenschlösser wären auch anfällig für Spionageangriffe.
@Ulkoma Ich denke, Poly überbrückt die Lücke vom Passwort zum elektronischen System ein bisschen zu schnell für uns gewöhnliche Menschen. Wenn Sie eine Passworteingabe haben, haben Sie ein elektronisches System, also geht Poly noch einen Schritt weiter und gibt eine breitere Antwort. + 1'd
Diese Links sind etwas besorgniserregend. Ist Ihnen etwas Ähnliches von Ford bekannt? (Ich fahre einen Ford mit einem drahtlosen Schlüssel-Token.)
@MasonWheeler Google für "Ford Electronic Key Recall" liefert 502.000 Treffer. Habe Spaß.
Aber ist der mechanische Schlüssel nicht auch fehlerhaft? Ich meine, zumindest hier in Brasilien gibt es viele ... Vorkommen solcher Fälle. Suchen Sie nach "abrir gol sem chave" und Sie erhalten 480k Ergebnisse. Wenn man bedenkt, dass der Schlüssel in diesen Fällen auch ein Passwort benötigt, wäre es nicht einfach besser? Sie müssen den Schlüssel besitzen, um in das Auto zu gelangen, und von innen benötigen Sie das Passwort, um es einzuschalten und ordnungsgemäß zu verwenden. Wäre das nicht besser als nur das Passwort oder nur der Schlüssel?
Beachten Sie, dass physische Schlüssel nicht besser sind. Alles, was Sie brauchen, um * ein * Auto zu starten / zu stehlen, ist eine Stunde, in der Sie sich in einigen nicht-englischen Foren nach zwielichtiger Software und einem USB-CAN-Kabel umsehen, da alle Computer des Autos ihre gesamte Firmware ohne Authentifizierung und sogar kostenlos ausgeben Sie können eine modifizierte Firmware (wie ohne den Wegfahrsperrencode) installieren.
Steve Sether
2015-08-20 19:31:17 UTC
view on stackexchange narkive permalink

Ich habe genau das gegenteilige Problem. Warum verwenden wir diese albernen passwortbasierten Systeme, die große Mängel aufweisen, wenn physische Schlüssel seit Jahrhunderten alles relativ erfolgreich gesichert haben?

Das passwortbasierte System ist schrecklich fehlerhaft. Nur wenige Menschen verstehen, wie einfach es ist, Passwörter zu erraten. Das Vergessen von Passwörtern ist unglaublich häufig, weitaus häufiger als das Verlieren aller Kopien Ihrer Schlüssel. Ich habe im Laufe der Jahre Dutzende von Passwörtern vergessen, aber nicht ein einziges Mal habe ich jede Kopie eines Schlüssels verloren.

Selbst mit nur 6 Ziffern ist es sehr unwahrscheinlich, dass eine Zahl erraten wird, ohne dass ein Computer sie brutal erzwingt. Wenn ein Auto nur 3 Versuche pro Stunde zulässt und Ihr Foto nach dem dritten Versuch macht, wird es sehr unpraktisch.
@Michael Warum sollte das Fotografieren helfen? Sie konnten nur ein bisschen eine Maske tragen.
"Wenn physische Schlüssel seit Jahrhunderten alles relativ erfolgreich gesichert haben" - sogar Jahrtausende. Das alte Ägypten benutzte bereits Schlüssel und der Apostel Paulus erhielt einen Satz von drei (symbolischen) Schlüsseln, um die Wahrheit für drei verschiedene Gruppen von Menschen zu öffnen, und Jesus soll "sich öffnen, damit niemand ein Schließen schließen kann, damit niemand es kann." öffnen"
Genau. Ich habe kürzlich einen YubiKey NEO gekauft und viele Dinge sind jetzt so viel einfacher. Stecken Sie einfach den Schlüssel in den USB-Anschluss, drücken Sie eine Taste und ich bin angemeldet. Ich hoffe, dass [U2F] (https://fidoalliance.org/specifications/overview/) und dergleichen bald mehr Mainstream-Unterstützung erhalten. Passwörter lassen sich auch nicht mit zunehmender Rechenleistung skalieren. kryptografische Schlüssel tun! Das Alter des Passworts wird bald vorbei sein.
An einem Ort, an dem ich gearbeitet habe und der in Bezug auf die Sicherheit etwas paranoid war, war es unmöglich, sich an einem Computer anzumelden, ohne zuerst eine Smartcard (dieselbe Karte, die zum Betreten des Gebäudes benötigt wird) und dann Benutzername + Passwort einzugeben. Man könnte sich vorstellen, dass ein Auto dasselbe tut.
@Michael Wenn der Code zufällig erstellt wird, ja. Wenn der Code von einem Benutzer festgelegt werden kann, verwenden Benutzer 123456 oder ihren Geburtstag.
@Michael Auch wenn das System Sie nach 3 schlechten Versuchen aussperrt, ist dies ein DOS-Angriff. Ich gehe davon aus, dass Sie in diesem Fall immer noch einen physischen Schlüssel verwenden können, aber wozu dienen die Codes? Meine andere Vermutung ist, dass Sie die Möglichkeiten des Codes eingrenzen könnten, indem Sie einfach auf der Tastatur nach Fingerabdrucköl suchen.
@Michael Wenn es nach 3 Versuchen sperrt, gebe ich es weniger als einen Tag, bis jemand jedes Auto im nächsten Supermarkt sperrt ... Vielleicht ein lautes Geräusch hinzufügen und stattdessen 1 Minute sperren.
Laute Geräusche - wir alle wissen, wie gut das mit Autoalarmanlagen funktioniert hat.
Gehen Sie in jeder Wohngegend umher und geben Sie 123456 für jedes auf der Straße geparkte Auto ein - Sie haben innerhalb einer Stunde ein Auto.
@Kyth'Py1k, die ihr Foto machen, wird helfen. Die Frage ist, wie viel. (1) Viele Diebe sind Idioten, die nicht daran denken, die Maske zu tragen. (2) unangemessenes Tragen einer Maske (d. H. Während der Sommerzeit) kann unerwünschte Aufmerksamkeit erregen; (3) eine solche Maske könnte als Einbruchswerkzeug eingestuft werden, was zu einer erhöhten Bestrafung führt; (4) Eine solche Maske kann gegen einige der geltenden Anti-Klan-Gesetze verstoßen, die das Tragen von Masken in der Öffentlichkeit verbieten, was zu mehr Bestrafung führt.
@SamIAm Wir als Gesellschaft haben in Bezug auf Autoalarme versagt. Die richtige Antwort wäre, einen Abschleppwagen der Polizei zum notleidenden Fahrzeug zu schicken und ihn zu einem sicheren Polizeigelände zu bringen. Der Autobesitzer kann sein Fahrzeug zurückfordern, nachdem er den Besitz nachgewiesen und die beschlagnahmten Gebühren bezahlt hat. Wenn dies die Reaktion auf einen Autoalarm wäre, gäbe es nur wenige Fehlalarme, und wenn der Alarm ausgelöst wird, wäre das Auto tatsächlich geschützt.
@emory Außer wenn Sie wütend auf Ihren Nachbarn oder einen Kollegen werden, gehen Sie einfach zu seinem Auto und tippen Sie darauf oder spielen Sie mit dem Griff oder was auch immer Sie tun müssen, um seinen Autoalarm auszulösen. Jetzt muss er zur Polizeistation gehen, um sein Auto zurückzubekommen und eine Gebühr zu zahlen. Mach es morgen nochmal. Und am Tag danach. Und am Tag danach. Wenn Sie erwischt werden, spielen Sie dumm und sagen Sie, dass Sie gerade durch den Parkplatz gelaufen sind und darauf gestoßen sind. Es würde viel Arbeit erfordern, um zu beweisen, dass Sie dies wiederholt und absichtlich tun. \
@Jay das Wichtigste ist, dass ich nachts nicht geweckt werde. Vielleicht sollten die Alarmhersteller Geräte herstellen, die nicht nur von jemandem ausgehen, der gegen sie gestoßen ist.
Es gibt keine Möglichkeit, die Benutzerfreundlichkeit eines elektronischen Schlüssels zu übertreffen. Gehen Sie zum Auto, drücken Sie den Knopf am Türgriff und steigen Sie ein. Wenn der Schlüssel aus Ihrer Tasche im Auto fällt und Sie versuchen, das Auto zu verlassen und zu verriegeln, werden die Türen nicht verriegelt. Wenn Sie mit dem Schlüssel im Gepäck von einer Flugreise zurückkehren und es regnet, drücken Sie einfach den Knopf und steigen Sie ein - Sie müssen den Schlüssel nicht ausgraben. Ich kann mir nicht vorstellen, ein Passwort oder eine PIN einzugeben, wie es einige ältere Autos im Regen getan haben.
Graham Hill
2015-08-20 16:33:17 UTC
view on stackexchange narkive permalink

Autos (und auch Türen) verwenden seit langem eine tokenbasierte Authentifizierung, da dies (relativ) kostengünstig und einfach möglich war und in Ordnung war.

Heutzutage können wir Kennwörter erstellen basierte Systeme genauso billig und einfach, aber warum sollten Sie das wollen?

Es ist an sich nichts Falsches daran, Token zu verwenden. Wir verstehen, wie sie funktionieren. Sie sind sehr zuverlässig. Wir können sie gut verwalten. Sie sind sicher leichter zu stehlen als Passwörter. Passwörter haben jedoch ihre eigenen Probleme, zum Beispiel den endlosen Kampf, Benutzer davon zu überzeugen, genügend Entropie in sie zu stecken.

Autohersteller und -benutzer erzielen bessere Ergebnisse durch Verbesserungen der vorhandenen tokenbasierten Systeme. Zum Beispiel macht es moderne Technologie praktisch, die Identifikation in den Token aufzunehmen und das Auto selbst neu konfigurieren zu lassen, basierend darauf, wer fährt.

+1 für endlosen Kampf, um Benutzer davon zu überzeugen, genügend Entropie in sie zu stecken. Wenn wir PIN-geschützte Autos hätten, wie viele Autos würden gestohlen, weil die Benutzer die PIN auf 1111 oder 1234 oder ähnliches gesetzt haben? Wenn Sie einen Benutzer zwingen, eine vorgewählte PIN zu verwenden, wird er sie einfach auf ein Stück Papier schreiben, das für andere sehr einfach ist, sie in die Hände zu bekommen (oder ein Bild verdeckt aufzunehmen, während sich der Benutzer befindet schau es dir an, um in ihr Auto zu steigen).
Die kennwortbasierte Authentifizierung erfordert eine Abstraktionsebene, die die Angriffsfläche drastisch vergrößert. Im Falle eines mechanischen Tokens arbeitet Ihre Sicherheit auf der gleichen Ebene wie die Zündung in allen außer den neuesten Modellen :)
Ich hatte eine PIN-Wegfahrsperre in meinem letzten Auto. Vom Tag des Kaufs bis zum Tag des Verkaufs habe ich nie nachgeschlagen, wie ich die Standard-PIN ändern kann. Nur ein Datenpunkt ...
Steffen Ullrich
2015-08-20 15:26:22 UTC
view on stackexchange narkive permalink

Ein Schlüssel ist das, was Sie haben (physisch) und ein Passwort ist das, was Sie wissen. Der erste muss geklont werden und der letztere muss nur erraten oder beschnuppert werden.

Das Schnüffeln eines Passworts auf einem Computer erfolgt entweder durch "Schulter-Surfen" (d. h. Suchen, wenn jemand das Passwort eingibt) oder mit einem Netzwerk-Sniffer. Im (nicht gehackten) Autonetzwerk kann hoffentlich nicht geschnüffelt werden, aber das Schulter-Surfen kann wahrscheinlich leicht durchgeführt werden. In vielen Fällen sind genügend Leute da, wenn Sie Ihr Auto starten, es gibt Überwachungskameras und möglicherweise sind andere winzige Kameras installiert, die Sie nicht bemerken, ähnlich wie Kameras in Geldautomaten-Skimmern.

Möglicherweise versuchen Sie, im Auto einen Platz für die Tastatur zu finden, an dem die Tastendrücke nicht beobachtet werden können, aber dies ist wahrscheinlich ein unangenehmer Ort. Und natürlich muss das Passwort stark genug sein, damit es nicht erraten werden kann, aber dennoch leicht zu merken ist. Dies bedeutet, dass Personen entweder schwache Passwörter haben oder das Passwort irgendwo in das Auto schreiben oder ein anderes Dienstprogramm verwenden, um sich daran zu erinnern (z. B. Papierbetrug in der Tasche, Passwortmanager im Smartphone ...). Die Verwendung eines Kennworts ist möglicherweise nicht so komfortabel wie beabsichtigt oder weist eine sehr schwache Sicherheit auf, sodass es leicht aufgespürt oder erraten werden kann.

Es gibt bereits Lösungen, um die Abhängigkeit vom Schlüssel durch Ersetzen durch zu verringern eine andere Sache, die Sie haben, wie einen Fingerabdruck oder ein Smartphone. Obwohl diese möglicherweise komfortabler sind, können sie auf andere Weise als der übliche Schlüssel fehlschlagen: Angreifer entfernen möglicherweise Ihren Finger oder nicht nur Sie, sondern auch andere entsperren Ihr Auto möglicherweise aus der Ferne aufgrund von unsicheres Design. Wenn sich Autohersteller jedoch mit Sicherheitsexperten zusammenschließen, können sie tatsächlich etwas schaffen, das Komfort bietet, ohne die Sicherheit zu verringern.

Angesichts des jüngsten Trends, die Passwortsicherheit zu verbessern, indem ein zweiter Faktor hinzugefügt wird, um etwas, das Sie kennen (Passwort), durch etwas zu erweitern, das Sie haben (Smartphone, Sicherheitstoken ...), ist es unwahrscheinlich, dass sich die Sicherheit bei Autos in die entgegengesetzte Richtung bewegt . Aber Sie wissen es nie, weil die Autohersteller manchmal seltsame Ideen bekommen, um ihre Kunden zufrieden zu stellen, die sogar die Sicherheit auf unbeabsichtigte Weise beeinträchtigen könnten.

Der Schlüssel kann auch umgangen werden. Ich habe in den ersten Antwortkommentaren mit einigen Referenzen gezeigt, wie es hier in Brasilien gemacht wird. Und es ist ganz einfach.
@Malavos: niemand sagte, dass Schlüssel 100% sicher sind. Passwörter allein sind jedoch noch schwächer. Und während Sie tatsächlich sehen können, ob jemand versucht, ohne Schlüssel in ein Auto einzubrechen, können Sie einen gültigen Autobesitzer nicht von dem unterscheiden, der gerade durch Schulter-Surfen das richtige Passwort erhalten hat.
Hallo. Sicher, aber ich habe nicht gesagt, dass wir Passwörter verwenden sollten. Ich habe gerade gesagt, dass hier die beiden Faktoren: ein Schlüssel zum Öffnen des Autos und ein Passwort zum Einschalten ziemlich gut funktionieren.
@Malavos, wie andere gesagt haben, wurde vor 20 Jahren mit Wegfahrsperren versucht und hat sich nicht durchgesetzt. Vielleicht wäre es heute bei der Smartphone-Generation anders, aber es bedeutet immer noch, dass Sie Ihre PIN / Ihr Passwort an alle weitergeben, die möglicherweise Ihr Auto fahren müssen, z. B. an einen Mechaniker
@MattP Ich verstehe Ihren Standpunkt, mein Kommentar sollte keinen Diskussionspunkt bieten - nur um Informationen für die Benutzer hinzuzufügen, die über Google Search und Duck Go hierher kommen.
Mast
2015-08-21 01:45:22 UTC
view on stackexchange narkive permalink

Es kann erwähnenswert sein, dass einige Autos Passwörter verwenden / verwendet haben. Diese Passwörter sind normalerweise eine 4-stellige PIN.

Sie sehen ungefähr so ​​aus:

keypad

Obwohl ich ' Nachdem ich es in mehreren Autos gesehen habe, kenne ich keine Autos, in denen ein solches System ab Werk eingebaut ist.

Zum Starten des Autos sind sowohl ein Schlüssel als auch der Code erforderlich. Es scheint nicht schwer zu sein, es zu umgehen, wenn man sich so geneigt fühlt, aber es wird immer als zusätzlicher Schritt implementiert, nicht als Ersatz. Ich bin kein Sicherheitsexperte, aber ein abgebrochener Schlüssel scheint mir sicherer zu sein als ein 4-Nummern-Code auf einer Tastatur.

Es scheint mir, dass diese bestimmte Tastatur ziemlich schnell Abnutzungserscheinungen oder Flecken aufweist, wodurch mindestens 6 von 10 Tasten unbrauchbar werden. Unsere Bank verwendet auch ein Pad nur für die PIN, aber die Tasten sind nur vom Touch-Typ und von dem Typ, der nicht viel anzeigt. Selbst dann frage ich mich, ob ich nicht einfach die Ansammlung der öligen Substanz an meinen Fingern (oder natürlich der Pommes Frites) feststellen konnte.
Ja, es gibt einige von ihnen. Citroën ist nur ein Hersteller, der solche Wegfahrsperren verwendet. Wenn es ab Werk eingebaut ist, kann es viel effektiver sein, da sich die Logik im Motorsteuergerät befindet und nicht umgangen werden kann.
@Gábor Ich habe einen von ihnen in einem Citroën Berlingo getroffen, der ziemlich gut umgesetzt aussah. Im Nachhinein könnte es ab Werk eingebaut worden sein.
@MaartenBodewes Bei allen Online-Banking-Kartenlesern, die ich gesehen habe, muss der Benutzer sowohl die PIN / als auch einen sitzungsspezifischen Code auf der Website der Bank eingeben. Daher werden die für die PIN verwendeten Tasten nur geringfügig häufiger gedrückt als andere Tasten. Es würde Forensik erfordern, um herauszufinden, was sie sind.
@gerrit Die neue Version der Rabobank verwendet eine Kamera, um diese sitzungsspezifischen Codes zu lesen, daher die erweiterte Tastatur. Ein Sicherheitsvorteil ist, dass Sie die gesamte Transaktion auf dem Bildschirm des Tokens (!) Erhalten. Obwohl die physische Sicherheit etwas geringer ist, scheint sie besser vor Online-Angriffen geschützt zu sein. (nein, noch keine Bank angestellt, nur ein Kunde)
Peugeot hat ein solches System viele Jahre lang eingesetzt. Ich erinnere mich, wie mein Nachbar viele Male in seinem Auto darauf geschworen hat.
@Kickstart Peugeot- und Citroen-Fahrzeuge werden von derselben Firma hergestellt und haben viele Komponenten gemeinsam.
@Jules Point war eher, wie gründlich ärgerlich ein solches System für diejenigen war, die darunter litten.
@Kickstart Es könnte ausgeschaltet werden, wenn der Besitzer dies entscheidet. Ich weiß eigentlich nicht, warum sie jemals die zusätzliche Sicherheit loswerden wollten, aber es lag sicherlich an ihnen. Ein solches immobilisiertes Auto an Ort und Stelle zu stehlen war nur möglich, wenn der Dieb mit einem genau passenden Motorsteuergerät mit bekannter PIN kam. Nicht ganz unmöglich, aber auch nicht so wahrscheinlich.
@Gábor - wenn es sehr nervig ist, vermute ich, dass viele es gerne ausgeschaltet hätten!
@Kickstart: Auch hier gilt die Standardempfehlung von RTFM. :-)
@Gábor - stimmt, aber wie viele sehr technische Autobesitzer können das schaffen (wahrscheinlich würde ihr 5-jähriges Kind es mit einem zufälligen unbekannten Code wieder aktivieren). Aber wenn Sie ein Autohersteller sind, der Ihre Produkte tatsächlich verkaufen möchte, warum sollten Sie dann eine gewisse Sicherheit einschließen, die viele potenzielle Eigentümer standardmäßig stark ärgert?
@Kickstart: Ich kann nicht zustimmen (und aus persönlicher Erfahrung mit einem solchen Auto). Dies ist eine sehr willkommene Ergänzung, die das Stehlen des Autos so viel komplizierter macht. Zugegeben, einige Fahrer (möglicherweise ein Zustellkurier, der mehrmals am Tag neu starten muss) finden es möglicherweise problematisch, aber ich bin mir sehr sicher, dass die überwiegende Mehrheit der Eigentümer mit einem solchen System zufrieden ist. Wenn dies nicht der Fall ist, können sie die Garage dennoch bitten, die Funktion beim nächsten Besuch aus irgendeinem Grund vollständig zu entfernen. Das Eingeben einer PIN ist viel weniger ärgerlich, als wenn Sie eines Morgens feststellen, dass Ihr Auto weg ist ...
Aber ich kann Ihren Standpunkt in den USA tatsächlich sehen, wo es eine Sammelklage im Namen einiger Darwin Awards-Kandidaten gibt, die die Last, am Ende ihrer Reise ** einmal ** einen Start / Stopp-Knopf zu drücken, als unerträglich empfinden Belastung. ;-))
@Gábor, so viele Besitzer waren unzufrieden, dass die Hersteller es anscheinend aufgegeben haben, sich mit einem solchen System zu beschäftigen ;-), tausende Male einen Stift in die entfernte Möglichkeit zu tippen, dass das Auto ohne dies weg ist, ist ziemlich ärgerlich. Besonders wenn es zwielichtige Software gibt, um die Codes zu lesen und zurückzusetzen.
user1703394
2015-08-22 02:56:27 UTC
view on stackexchange narkive permalink

Es ist eine sehr gute Frage, die einige sehr elementare, aber oft missverstandene Prinzipien der Informationssicherheit berührt. Die elementarste Tatsache ist, dass ein Autoschlüssel eine Autorisierung ist, während ein Passwort, zumindest in seiner allgemeinen Verwendung, häufig an eine Form der Identität (wie einen Benutzernamen) gebunden ist und sich als solches im Authentifizierungstoken befindet. Während diese Konzepte oft austauschbar verwendet werden, sind sie sehr unterschiedlich. Ihr Auto benötigt Ihre Identität nicht, um zu wissen, dass Sie zur Nutzung berechtigt sind. Ihr Schlüssel "ist" die Autorisierung. Wenn Sie mit ein paar Freunden an die Bar gegangen sind und total sauer geworden sind, können Sie Ihre Autorität leicht an das Auto delegieren, indem Sie diesem einen Freund, der die ganze Nacht nur perrier getrunken hat, Ihren Autoschlüssel geben, damit er Sie sicher nach Hause fahren kann. Nachdem er Sie zu Ihnen nach Hause gebracht hat, gibt er Ihren Schlüssel zurück, steigt auf sein Fahrrad und fährt nach Hause. Im Grunde genommen wurde die Delegation freiwillig widerrufen, indem er Ihren Schlüssel zurückgab.

Wenn Sie einen Autoschlüssel durch etwas Besseres ersetzen möchten, ist es sehr wichtig, dass:

A) Sie nicht t in die Falle tappen, Identitäten zu verwenden. Es gibt absolut keine Rechtfertigung dafür, in die Komplexität von Identitäten, Authentifizierung, Zugriffssteuerungslisten usw. einzusteigen. Nach 6 Lagern kann der sicherheitsbewusste Systemadministrator in Ihnen die ACLs nicht ändern, damit Ihr Freund Sie nach Hause fahren kann.

B) Sie möchten das Konzept der Delegation annehmen und darauf aufbauen.

Ich denke, dieser alte Blog-Beitrag berührt einige der menschlichen Aspekte, über die ein besseres Autorisierungssystem nachdenken müsste.

https://minorfs.wordpress.com/2014/07/13/security-debunking-the-weakest-link-myth/

Das Wichtigste ist, dass wir eine bessere Autorisierung benötigen. NICHT (bessere) Authentifizierung für solche Fälle. Könnte solch ein besseres Autorisierungssystem Passwörter verwenden? Wahrscheinlich. Würden Passwörter (oder einprägsame Passwortfunktionen, bei denen es sich im Grunde genommen um Passwörter ohne Identität handelt) allein als Ersatz für Autoritätszeichen ausreichen? Auf jeden Fall nicht. Es wäre jedoch sehr interessant zu sehen, ob jemand eine Lösung findet, die sowohl sicherer als Autoschlüssel ist, aber die natürliche Stärke des Menschen in relativ sicheren, delegationsreichen Interaktionsmustern voll berücksichtigt.

André Borie
2015-08-21 16:58:53 UTC
view on stackexchange narkive permalink

Autohersteller können nicht einmal die grundlegende Sicherheit richtig einstellen, auch nicht mit Standardschlüsseln. Fast alle Autos verfügen heutzutage über integrierte Wegfahrsperren-Technologien (die einen im Schlüssel eingebetteten Chip lesen), aber:

  • ihre "Krypto" ist kaputt und Schlüssel können geklont werden, was mit jeder PKI unmöglich ist Token / Smartcard, die ihren Preis wert ist.
  • Die Computer im Auto zeigen jedem, der danach fragt, gerne die gesamte Firmware und den gesamten Speicher (einschließlich aller Informationen, die zum Programmieren eines passenden Immo-Chips erforderlich sind) und stimmen sogar zu Installieren Sie eine neue Firmware wie eine, die gepatcht wurde, um immo-bezogenen Code zu entfernen.

Wenn sie also nicht einmal die richtigen Schlüssel erhalten können, wie erwarten Sie dann, dass sie die richtigen Passwörter erhalten? Wenn sie Passwörter ausprobieren, wird es sicher einen Idioten geben, der sagt "Hey, lass uns ein unveränderliches Hauptkennwort für die Strafverfolgung implementieren" und sich die Katastrophe danach vorstellen.

Außerdem würden Sie Sie benötigen immer noch einen physischen Token, um das Auto zu öffnen, da die Eingabe eines langen Passworts in einer kalten Nacht auf einem unheimlichen Parkplatz nicht so sicher ist. Wenn Sie also einen physischen Token haben, können Sie diesen auch wiederverwenden. Ich möchte jedoch, dass es sicher ist, da dies derzeit eindeutig nicht der Fall ist.

Übrigens, der teure Prozess zum Ändern von Autoschlüsseln ist beabsichtigt. Was würden die armen Autohersteller tun, wenn sie Ihnen nicht mehr jedes Mal 300 Dollar stehlen könnten, wenn Sie Ihre Schlüssel ersetzen müssen? Der wahre Grund, warum es Wegfahrsperren-Technologien in Autos gibt, ist nicht die Sicherheit (wie ich oben sagte, ihre "Sicherheit" ist umstritten), sondern nur, um ehrliche Kunden zu zwingen, astronomische Beträge für nichts zu bezahlen. Diebe hingegen können softwarebasierte Lösungen verwenden, um weiter zu stehlen.

Ich habe ein Hausalarmsystem. Es gibt ein Standard-Master-Passwort. Als ich davon erfuhr, habe ich es geändert. Aber die Sicherheitsfirma gab mir nie eine Bedienungsanleitung oder irgendetwas, das es erwähnte. Ich habe es nur erfahren, weil ich ein Computerfreak bin und an der Installation basteln wollte. Deshalb habe ich auf der Website des Herstellers des Systems - nicht der Firma, bei der ich das System gekauft habe - ein Installationshandbuch gefunden. und heruntergeladen. Ich bin sicher, dass viele Leute, die bei Sicherheitsunternehmen arbeiten, diese Mastercodes kennen.
Ja. Jetzt, wo ich das weiß, denke ich, wenn ich vorhabe, ein Dieb zu werden, würde ich Installationshandbücher von allen großen Herstellern bekommen und sehen, ob sie Master-Passwörter haben. Diebe arbeiten wahrscheinlich mehr daran, herauszufinden, wie sie in Häuser und Büros einbrechen können, als die Eigentümer, um sie fernzuhalten.
Konrad Gajewski
2015-08-21 18:34:18 UTC
view on stackexchange narkive permalink

Ich denke, das hat zwei Hauptfaktoren:

  • Bequemlichkeit

Es ist viel einfacher, einen Schlüssel in der Nähe zu haben und geben zu können es an jemanden weitergeben, eine Ersatzkopie usw. haben, als ein Passwort zu handhaben, es jedes Mal einzugeben, es zu ändern, wenn Ihr Sohn einen Fender-Bender bekommt usw.

  • Idiotie

Menschen haben lieber ein Gerät, das das Auto entsperrt, als eine Sicherheitslösung zu verwalten, die aus einem Passwort oder einer Reihe von Passwörtern besteht.

( Randnotiz: In den meisten Fällen möchte ich als IT-Spezialist lieber eine Chipkarte oder einen einfachen Schlüssel zum Anmelden als ein Passwort verwenden. Dies ist weitaus praktischer, wenn Sie etwas diagnostizieren / reparieren müssen in einer Unternehmensumgebung, als eine Kennwortrichtlinie zu haben und eine Person ihr Kennwort teilen zu lassen. Ich freue mich also wirklich auf eine breitere Übernahme von Schlüsseln anstelle von Kennwörtern in der allgemeinen IT.)

Daniel Nalbach
2015-08-24 20:02:48 UTC
view on stackexchange narkive permalink

Dies bezieht sich auf die Prinzipien der Informationssicherheit, die eine Multi-Faktor-Authentifizierung wünschenswert machen.

  • Etwas, das Sie wissen
  • Etwas, das Sie haben
  • Etwas Sie sind

Aus Sicherheitsgründen bietet der Handel mit einem anderen keinen exponentiellen Gewinn. Es ist die Kombination mehrerer Faktoren, die in der Regel zu einer Steigerung führt.

Bei Autos ist das, was Sie wissen, normalerweise der Standort des Autos. In der Vergangenheit waren Autos nicht verfolgbar oder aus der Ferne erreichbar, sodass das Risiko auf den lokalen Bereich des Autos beschränkt war. Dies ändert sich allmählich, wenn Autos vernetzt werden. Ähnlich wie in einem Rechenzentrum kann ein Auto in einem Bereich mit eingeschränktem Zugang, z. B. in einer Garage, physisch gesichert werden. Personen, die ernsthaft besorgt sind, dass ihr Auto gestohlen wird, parken wahrscheinlich nur in Sperrgebieten oder in sehr öffentlichen Bereichen, in denen Brute-Force-Diebstahl bemerkt wird. Was Online-Kontoangriffe so gefährlich macht, ist, dass sie weitgehend unsichtbar sind und selten bemerkt werden.

Das, was Sie haben, war schon immer der physische Schlüssel. Heutzutage könnte das ein Schlüsselanhänger oder ein Fernstarter sein. Aus Sicherheitsgründen ist ein physischer Token wertvoll, da er die Reichweite des Diebstahls von jedem auf nur jemanden mit dem Token in der Hand begrenzt. Das bedeutet oft, ein separates Verbrechen zu begehen, um den physischen Token zu erhalten. Durch Hinzufügen eines physischen Tokens zum Online-Kontozugriff für die Zwei-Faktor-Authentifizierung wird das Risiko eines nicht autorisierten Kontozugriffs über ein Kennwort erheblich verringert.

Sie sind der registrierte Eigentümer. Sie können die Polizei jeden verhaften lassen, der im Besitz des Autos ist und nicht der physische Besitzer ist. Dies ist die primäre Abschreckung gegen Diebstahl, nicht die Schwierigkeit. Das Anmelden bei einem Online-Konto ohne dessen Erlaubnis hat fragwürdige Konsequenzen, oft gar keine. Das Auto zu stehlen und erwischt zu werden, ist mit einer Straftat fast garantiert.

Die Anwendung der Grundsätze der Informationssicherheit auf Autodiebstahl ist noch nicht eins zu eins. Wenn Autos vollständig vernetzt und selbstfahrend sind, müssen sie genauso gesichert werden wie Online-Konten, da sie ähnlichen Risiken ausgesetzt sind. Zu diesem Zeitpunkt könnte jemand Ihr Auto stehlen, indem er sich remote einloggt und es selbst zu seinem gewünschten Abholort fahren lässt, ohne dass jemand sie sieht, und ohne sich physisch der Erfassung auszusetzen (wichtige Unterscheidung). Möglicherweise können sie Ihr Auto sogar benutzen und es ohne Ihr Bewusstsein an denselben Ort zurückbringen. Selbst dann könnte jemand Sie als Eigentümer bemerken und alarmieren, da ein großes physisches Objekt seinen Zustand so ändert, dass jede Person (sogar ein Kind) es sehen kann. Diese Sichtbarkeit ist ein kritischer Punkt.

Wir streben eine starke Multi-Faktor-Authentifizierung für Fahrzeuge an. Der Schlüssel (oder Schlüsselanhänger) wird nicht entfernt, es wird einfach nicht mehr ausreichen. Ebenso sollte eine rein virtuelle Lösung wie ein Passwort nicht ausreichen, da nur eine Art von Risiko (physischer Zugriff) gegen eine andere Art (virtueller Zugriff) getauscht wird. Ich vermute, dass der Schlüssel physischen Zugang zum Fahrzeug gewährt (offene Türen, Kofferraum, Motorhaube) und der Schlüssel (RFID) plus Passwort oder Biometrie dann die Verwendung ermöglicht.

Wie oft werden Server als Abschiedsgedanke aus der Ferne gehackt (Passwörter) oder physisch aus Rechenzentren (Schlüsseln) gestohlen? Warum das? Warum wird das immer wahr sein?

Können Sie bitte den dritten Punkt näher erläutern?
Sie sind eine Statusprüfung.Einige Beispiele sind ein Staatsbürger eines Landes, ein Mitarbeiter eines Unternehmens, ein Benutzer eines Systems oder ein Eigentümer einer Immobilie.Mein Status als aktueller Mitarbeiter gibt mir das Recht, unser Gebäude zu betreten.Mein Status als US-Bürger gibt mir das Recht, in das Land einzureisen.In Kombination mit etwas, das ich habe (id), kann ich Dinge nutzen.
Serge Ballesta
2015-08-22 02:20:51 UTC
view on stackexchange narkive permalink

Es gibt noch ein weiteres Problem mit passwortgeschützten Autos. Wir dürfen nicht vergessen, dass der Besitzer / Fahrer im Allgemeinen nur ein Mensch ist. Als solcher ist er / sie seit seiner Kindheit an physische Schlüsselringe gewöhnt und ein Schlüssel für das Auto, zwischen einem und drei für das Haus und einer bei der Arbeit, ist leicht in der Tasche zu tragen. Und selbst wenn Ihr Nachbar das Alter Ihrer Kinder und den Namen Ihres Hundes kennt, ist es keine Hilfe, Ihre Haustür zu erzwingen.

Passwörter andererseits können sehr sein sichern. Ein wirklich zufälliges Passwort mit 4 bis 6 Ziffern sollte eine Sicherheitsstufe bieten, die einem physischen Standardschlüssel entspricht und nicht aus 12 alphabetischen Zeichen besteht. Aber wie ich bereits sagte, sind viele von uns nur Menschen und es ist nur möglich, sich an viele wirklich zufällige Passwörter zu erinnern. Entweder werden die Passwörter von einem dritten Teil bereitgestellt und viele Leute schreiben sie einfach an vielen verschiedenen Stellen auf, um die Sicherheit zu ruinieren, oder sie können ausgewählt werden, und Sie finden den Geburtstag der Kinder oder den Namen des Haustieres. Ok Benutzer von security.stackexchange kennen sich mit IT-Sicherheit aus, kennen sich mit Passwortschwächen aus und können ohne großes Risiko eine durch ein Passwort geschützte Auto- oder Haustür verwenden. Aber wer kennt keinen Freund oder Verwandten, der sich nicht vorstellen kann, ein Passwort auf sein Smartphone zu schreiben oder etwas Komplexeres als den Geburtstag seiner Freundin zu verwenden, um seine Facebook-Seite zu schützen? Was wäre die wirkliche Sicherheit seines passwortgeschützten Autos?

Ok, es ist nur sein Problem. Aber glauben Sie, dass er ein passwortgeschütztes Auto oder ein passwortgeschütztes Schloss an seiner Haustür kaufen wird? Jetzt wird es zum Problem des Unternehmens, Autos und Schlösser zu verkaufen.

TL / DR: Ich glaube nicht, dass Passwörter bald physische Schlüssel für etwas so Schweres wie ein Auto oder eine Haustür ersetzen werden, nicht wegen Sicherheitslücken, sondern einfach, weil die meisten Menschen sie nicht sicher verwenden konnten. Das Problem ist nicht die Technik, sondern wie bei vielen Computerproblemen: Der gefährlichste Teil für einen Computer befindet sich zwischen dem Stuhl und der Tastatur

Peter
2015-08-24 15:53:49 UTC
view on stackexchange narkive permalink

Wenn Sie zwei konkurrierende Lösungen haben und keine einen großen Vorteil gegenüber der anderen hat, gewinnt diejenige, die bereits den Markt dominiert.

Während Schlüssel eine schwache Sicherheit haben und manchmal Passwörter sind eher unpraktisch - nur aus verschiedenen Gründen.

  • Wenn Sie das Auto zu einem Mechaniker bringen, geben Sie ihm die Schlüssel. Was ist, wenn Sie ein Passwort haben?

  • Kameras können Ihr Passwort stehlen, aber nicht Ihren Schlüssel.

  • Wenn jemand Ihr Passwort stiehlt Schlüssel, du wirst es bemerken. Wenn jemand Ihr Passwort stiehlt, werden Sie es nicht bemerken.

  • Passwörter können vergessen werden.

  • Die Eingabe langer Passwörter dauert einige Zeit. Die Verwendung kurzer Passwörter gefährdet die Sicherheit.

  • Ein Schlüsselloch ist hässlich, aber bei weitem nicht so hässlich wie eine Tastatur.

  • Tasten können Arbeit basiert ausschließlich auf Mechanik. Die Passworttastatur stört, wenn der Akku leer ist und Sie das Passwort eingeben müssen, um die Motorhaube zu öffnen, damit der Akku schnell gestartet werden kann.

    • Passwörter sind unterschiedlich, aber nicht besser. Es gibt verschiedene Ansätze, die besser als Passwörter sind und die mechanische Schlüssel ergänzen, z. Drücken Sie die Taste auf der Taste, um die Tür zu entriegeln.

    Tatsächlich haben Sie mir gerade eine Idee gegeben: Wie wäre es, wenn Sie die Tastatur auf der Taste selbst haben? Kein Schulter-Surfen plus die Vorteile eines mechanischen Schlüssels
    @Ulkoma Das ist gut, ich denke, Sie würden leicht ein paar 10.000 Käufer dafür finden. Aber wenn Sie keinen Weg finden, es zum Laufen zu bringen, wenn das Auto keinen Strom mehr hat, ist es nicht für den Mainstream geeignet.
    Der Typ von DD hat es geschafft. Wir müssen ihm nur eine E-Mail senden und ihm sagen, dass er die App von seinem Handy auf den Schlüssel selbst verschieben soll. Das Teil im Motor hat eine eigene Batterie und kann zum Öffnen der Motorhaube verwendet werden
    @Ulkoma "hat eine eigene Batterie". Ich sehe nicht, wie das das Problem löst. Was ist, wenn diese Batterie leer ist?
    Obwohl ich Ihrer Antwort zustimme, würde ich darüber streiten, dass Passwörter zwar vergessen werden können, Schlüssel jedoch verloren gehen können. Ich bin mir nicht sicher, was öfter passiert.
    Wenn Sie davon sprechen, die Schlüssel dauerhaft zu verlieren, würde ich wetten, dass Passwörter viel häufiger vergessen werden. Mein Punkt war, dass beide eine Reihe von Nachteilen haben.
    Dennis Jaheruddin
    2015-08-25 15:21:18 UTC
    view on stackexchange narkive permalink

    Das Stehlen physischer Schlüssel ist ein riskantes kleines Geschäft, das Hacken vielleicht nicht.

    Überlegen Sie, ob Sie diese Wahl treffen müssen:

    1. Gehen Sie auf jemanden zu, stecken Sie Ihre Hand in die Tasche, Nehmen Sie seinen Schlüssel, steigen Sie sofort in sein Auto, fahren Sie weg, verkaufen Sie ihn für alles, was Sie bekommen können.
    2. Hacken Sie etwas, arrangieren Sie einen Verkauf (Passwörter / tatsächliches Auto) zu einem geeigneten Zeitpunkt (lassen Sie jemanden abholen) Das Auto, für das Sie wissen, dass Sie gutes Geld bekommen können.
      3. ol>

      Überlegungen

      Selbst wenn Sie davon ausgehen, dass ein Blick auf das Passwort bei der Eingabe nicht möglich ist, geht es viel einfacher zu sein, ein Auto zu stehlen und damit davonzukommen. Vielleicht nimmt die Anzahl der in Balken gestohlenen Schlüssel ab, aber die Anzahl der gestohlenen Passwörter sollte dies leicht ausgleichen.

      Adressierung anderer Punkte, die in der Frage

      erwähnt werden

      Autoschlüssel können leicht von einem Fremden verloren gehen oder gestohlen werden, den Sie in einem Pub getroffen haben. Es ist jedoch sehr unwahrscheinlich, dass Sie Ihr Passwort rufen, während Sie im Schlaf sprechen.

      Ihr klassischer Schlüssel kann nur von jemandem gestohlen werden, der physischen Zugang dazu hat. Jeder, der versucht, einen Schlüssel zu stehlen, muss ein erhebliches Risiko eingehen und die Möglichkeit in Betracht ziehen, am nächsten Tag im Gefängnis zu sein. Außerdem muss die Person nicht nur den Schlüssel stehlen, sondern ihn auch sofort verwenden, um ins Auto zu gelangen, da sonst die Gelegenheit vergangen wäre. Jemand, der Ihren Passwortcode gestohlen hat, kann wahrscheinlich anonym bleiben und ist nur dann einem gewissen Risiko ausgesetzt, wenn er das Auto zu einem geeigneten Zeitpunkt endlich abholt. Schließlich werden Sie jetzt nicht wissen, dass jemand anderes Ihr Passwort hat.

      Das Ändern Ihrer Autoschlüssel ist ein großer Aufwand und ein teurer Prozess. Passwörter sind sehr einfach zu ändern.

      Da es nicht akzeptabel sein kann, dass Menschen ihre eigenen Autos nicht benutzen können, müssen die Schlüssel wahrscheinlich irgendwo zentral aufbewahrt werden. Außerdem müssen digitale Schlüssel in der Regel viel häufiger gewechselt werden als physische Schlüssel, da sich herausstellt, dass Menschen sie besser stehlen können. Daher werden die jährlichen Einnahmen aus den Verwaltungskosten wahrscheinlich viel höher sein als die Gesamtausgaben für den Austausch von Schlüsseln im Moment.

      Sie können Ihr Auto jederzeit als Fluchtauto in einer Bank verwenden Raub und Youlater behaupten, dass Sie die Schlüssel verloren haben und Sie es nicht waren; Sie können das nicht mit einem Passwort tun.

      Ich verstehe nicht, warum Leute nicht behaupten konnten, dass jemand ihr Passwort gestohlen hat.

    Abgesehen davon würde es natürlich die Sicherheit erhöhen, wenn Sie einen Schlüssel UND ein Passwort benötigen, um loszulegen. Ich bin mir jedoch nicht sicher, ob dieser Zusatz den Aufwand wert wäre. - Idealerweise möchten Sie einen Fingerabdruckdetektor und so weiter, aber neben dem Kostenproblem möchten Sie dann wirklich nicht Ihres Autos beraubt werden!
    Jay
    2015-08-25 00:10:58 UTC
    view on stackexchange narkive permalink

    Einige Ihrer Punkte scheinen mir nicht gültig zu sein.

    Ein Schlüssel ist leicht zu stehlen, ein Passwort jedoch nicht? Wieso das? Ich bin 56 Jahre alt und habe noch nie meine Autoschlüssel gestohlen bekommen. Klar, Leute können in die Tasche gesteckt werden, ich sage sicher nicht, dass es unmöglich ist, das zu tun. Aber die Leute schreiben oft Passwörter auf und das Stück Papier kann gestohlen werden. Die Leute benutzen Passwörter, die leicht zu erraten sind. Mir ist überhaupt nicht klar, dass es einfacher ist, einen physischen Schlüssel als ein Passwort zu stehlen. Ich weiß nicht, ob jemand eine Studie dazu gemacht hat. Obwohl ich in beiden Fällen vermute, hängt es sehr davon ab, wie vorsichtig Sie beim Schutz der Sache sind. Wenn Sie die Gewohnheit haben, Ihre Schlüssel bei der Arbeit auf dem Schreibtisch oder an der Bar des örtlichen Trinklokals zu lassen und wegzugehen, steigt Ihr Risiko erheblich. Wenn Sie die Gewohnheit haben, "Passwort1" als Passwort zu verwenden oder Ihr Passwort auf eine Notiz zu schreiben und es in Sichtweite zu lassen, steigt Ihr Risiko erheblich.

    Wenn Sie Ihr Auto zum Festschreiben verwenden ein Verbrechen, könnten Sie behaupten, ein Schlüssel wurde gestohlen, aber kein Passwort? Das bringt uns zurück zum vorherigen Punkt. Dieses Argument ist nur gültig, wenn wir davon ausgehen, dass Schlüssel leicht zu stehlen sind, Passwörter jedoch nicht zu stehlen sind. Selbst wenn Sie der Meinung sind, dass Schlüssel einfacher zu stehlen sind, ist es sicherlich nicht unmöglich, ein Passwort zu stehlen. Ich gehe davon aus, dass die Polizei in beiden Fällen nach mehr Beweisen suchen würde.

    Wie stellen Sie sich den Benutzer vor, der das Passwort eingibt? Vermutlich müsste sich außen am Auto eine Tastatur befinden. Diese Tastatur müsste unabhängig von Regen, Schnee, Eis usw. zuverlässig funktionieren. Das Auto meiner Tochter verfügt über eine Tastatur und ein Zahlenschloss. Wir haben das Auto gebraucht gekauft und es hat nie funktioniert.

    Wie lange würde die Eingabe des Passworts dauern? Dies könnte beispielsweise ein Problem für eine Frau sein, die in einer dunklen Nacht alleine versucht, in ihr Auto zu steigen. Oder weniger dramatisch für jemanden, der versucht, in sein Auto zu steigen, wenn es regnet oder eiskalt ist und seine Finger taub sind.

    Es ist ein großer Aufwand, die Schlüssel zu wechseln? Nicht wirklich. Ich musste einmal die Tür meines Autos ersetzen, wenn es ein schlechtes Rostproblem gab. Ich kaufte eine Tür von einem Schrottplatz. Natürlich passte das Ersatztürschloss nicht zu meinen Schlüsseln. Mit etwa zwanzig Minuten Mühe tauschte ich den Schlüsselzylinder von meiner alten Tür zu meiner neuen Tür. Ich weiß nicht, wie viel es kostet, einen neuen Schlüsselzylinder zu kaufen, aber es ist nicht so, dass Sie dies jede Woche tun werden. Ein neues Schloss für eine Haustür kostet im örtlichen Baumarkt zehn oder zwanzig Dollar.

    Nachtrag: Wenn Sie bei vergessenen Passwörtern, leeren Batterien usw. einen Hauptschlüssel bereitstellen müssen, haben Sie jetzt zwei Möglichkeiten für einen Dieb geschaffen, Ihr Auto anstelle einer zu stehlen.
    HopefullyHelpful
    2015-08-25 13:16:14 UTC
    view on stackexchange narkive permalink
    1. Ein Passwortsystem benötigt eine Schnittstelle, eine Schnittstelle muss sicher und dauerhaft sein.
      2. ol>

      1.1 Wenn die Schnittstelle an das Auto gebunden ist, ist es für Vandalisten möglicherweise leicht, sie ohne viel Lärm zu zerstören. Eine schlecht gestaltete Schnittstelle kann möglicherweise zum Spaß durch einen Magneten zerstört werden. Wie würden Sie das Auto öffnen, wenn die Schnittstelle fehlerhaft oder beschädigt wäre? Sie erwähnen einen Hauptschlüssel, aber auf diese Weise geben Sie Angreifern nur 1 Angriffsvektor mehr als zuvor und verringern die Sicherheit.

      1.2 Wenn die Schnittstelle portabel ist, kann sie auch gehackt oder zumindest brutal erzwungen werden, indem Sie die Hardware und emulieren Die Signale werden gesendet.

      1. Informationssicherheit, Diebstahl, Eindeutigkeit und Kopien.
        2. ol>

        2.1 Passwörter sind visuelle Informationen, die aus der Ferne leicht gestohlen werden können, z. durch Beobachten der Fingerbewegung, ohne das Eingabegerät tatsächlich zu sehen. Eine Kamera an einem beliebigen Ort auf einem Parkplatz kann problemlos Hunderte von Passwörtern stehlen, ohne dass der Eigentümer dies bemerkt. Darüber hinaus werden Autos an öffentlichen Orten mit Fremden in der Nähe verwendet, und eine unbeobachtete Passworteingabe kann kaum garantiert werden.

        2.2 Informationen können ohne vorherige Ankündigung des Eigentümers übertragen werden. Das bedeutet, dass Ihr Auto-Passwort ohne Ihr Wissen erhalten werden kann, während ein Autoschlüssel nicht gestohlen werden kann, ohne dass Sie es langfristig bemerken.

        1. Relative Kosten, Komplexität und Komfort. ol>

          3.1 Auch wenn Sie alle oben genannten Herausforderungen auf 100% sichere Weise bewältigen und ein Eingabegerät herstellen, das genauso langlebig ist wie ein Schlüssel und ein Schloss. Ist es billiger als das Schlüssel- und Schließsystem?

          3.2 Erhöht Ihr System die Komplexität für Benutzer und / oder erfordert es zusätzliche Geräte, die möglicherweise komplex sind? (Und ja, Smartphones oder Tablets sind komplex und wahrscheinlich sowieso kein sicheres Eingabegerät.)

          3.3 Ist Ihr System komfortabler als das vorherige Schlüssel- und Schließsystem?

          3.4 Ist Ihr System schnell zu bedienen? Wenn ja, ist es wirklich sicher? Wenn dies nicht der Fall ist, ist der Aufwand wirklich besser als bei einem Schlüsselsperrsystem?

          1. Shareablity, Widerruf von Zugriffsrechten usw.
            2. ol>

            4.1 Wenn ich meinem Sohn das Auto leihe, kann ich den Zugang nicht widerrufen, ohne das Passwort zu ändern. Dies würde auch den Zugang für meine Frau widerrufen und wir müssten beide auswendig ein neues Passwort lernen. Kennwörter müssen leicht zu merken sein, da sie durch Aufschreiben abgewertet werden.

            4.2 Wenn mehrere gültige Kennwörter vorhanden sind, ist das System anfälliger für Brute Force, und ein Leck an einem beliebigen Ort ist für die Sicherheit bereits fatal.

    Tom
    2017-04-21 13:08:21 UTC
    view on stackexchange narkive permalink

    Aus zwei Gründen.

    Erstens sind Passwörter ein unglaublich dummes und schwaches Sicherheitskonzept.

    Zwei, Bequemlichkeit.

    Das zweite ist einfacher. Mit einem Schlüssel haben Sie ein angemessenes Maß an Sicherheit in einem praktischen Formfaktor. Sie können es Ihrem Freund für eine Stunde geben und dann zurücknehmen. Stellen Sie sich vor, wie viele Personen in einem typischen Jahr die Schlüssel für Ihr Auto in der Hand hatten. Der Mechaniker in der Garage, Ihre Frau oder Ihr Sohn, Ihr Freund, der Parkservice in dem noblen Restaurant, in das Sie einmal gegangen sind. Stellen Sie sich vor, Sie müssen jedes Mal temporäre Passwörter einrichten oder Ihr Passwort ändern. Schlüssel sind heute auch viel mehr als nur Schlüssel. Sie enthalten Wegfahrsperren, mit denen Sie die Tür oder den Kofferraum oder die Fenster und das Cabrio-Dach aus der Ferne öffnen können. Einige Marken (z. B. BMW) verfügen außerdem über einen Speicherchip, auf dem Fahrzeugdaten (Sitzposition, Klimaeinstellungen usw.) gespeichert werden, sodass zwei verschiedene Personen jeweils ihren eigenen Schlüssel mit ihren persönlichen Einstellungen sowie Diagnoseinformationen haben können für den Autohändler / die Werkstatt, wenn Sie sie zur Reparatur bringen.

    Zweitens sind Passwörter ein defekter Sicherheitsmechanismus, den wir nur weiterhin verwenden, weil er vorhanden ist und wir ihn kennen. Passwörter werden regelmäßig, schwach, vergessen, geteilt. Sie müssen irgendwo aufbewahrt werden und es gibt hundert Möglichkeiten, sie anzugreifen, während es nur etwa ein halbes Dutzend Möglichkeiten gibt, Schlüssel anzugreifen.

    Es gibt noch einen Punkt, der für Strafverfolgung, Versicherung usw. wichtig ist. - Schlüssel sind physische Gegenstände. Oder rechtlich: Beweise. Wenn Sie glauben, Sie hätten mein Auto gestohlen, und die Polizei meine Autoschlüssel bei Ihnen findet, sind das verdammt gute Beweise. Wie kann ich nachweisen, dass Sie mein Passwort kennen?

    Es gibt sicherlich Verbesserungen am Autoschlüssel, die vorgenommen werden können (und die ständig vorgenommen werden), aber das Wechseln zu Passwörtern gehört nicht dazu.

    Alle Ihre Punkte scheinen von allen anderen Antworten abgedeckt zu sein
    Scott
    2015-08-23 18:22:32 UTC
    view on stackexchange narkive permalink

    Aus dem gleichen Grund, aus dem alles, was im Web sicher sein muss, einen RSA-Schlüssel verwendet. Es kann immer nur eine Person haben, es kann nicht erraten oder brutal gezwungen werden und es kann nicht vergessen werden. Wenn jemand Ihren Schlüssel hat, wissen Sie es. Wenn jemand Ihr Passwort hat, wissen Sie es nicht.

    Ich kann mir Passwörter für Dinge merken, die ich jeden Tag benutze, aber so etwas wie ein Auto, das Sie nur ein paar Mal im Monat benutzen müssen, wird das Passwort vergessen werden.

    Was? Sir oder Madam, Ihre Antwort enttäuscht mich, weil ich erstaunlich falsch bin. RSA-Schlüssel, 1 Person, Auto ein paar Mal im Monat benutzt ... Ein großes Fett -1 von mir.
    @DeerHunter Ich stimme größtenteils zu. Ich benutze mein Auto 100 Mal im Monat. Ich könnte mir jedoch eine RSA-Token-Karte mit einer Taste vorstellen, mit der die NFC-Kommunikation den 6-stelligen Code direkt in die Tastatur des Fahrzeugs eingeben kann, mit einer automatischen Sperrung von einer Minute, wenn ein NFC-Code ungültig ist (um Brute-Force-Angriffe zu verhindern). Das * Konzept * klingt cool und ich würde es als erster ausprobieren. Sie können sogar Gästekarten ausgeben (z. B. 3 Verwendungszwecke) oder die Karte an jemanden ausleihen (z. B. einen Schlüssel) oder so weiter. Natürlich vertraue ich auch nicht darauf, dass die Hersteller es richtig machen ...


    Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
    Loading...