[LACNIC/Seguridad] Password Strength
Fernando Gont
fernando en gont.com.ar
Lun Ago 22 15:33:36 BRT 2011
Hola, Victor,
On 08/22/2011 10:38 AM, Victor Hugo dos Santos wrote:
> En chile algunas ISAPRES (sistemas de salud) venden los bonos
> utilizando unos sistemas de reconocimiento de huellas que se conectan
> al puerto USB.. luego esta "informacion" es enviada por internet y
> comparada (al menos esto creo) con la central y entonces se entrega el
> bono.
El problema es que en ese caso todo se reduce a sniffear una vez la
conexion al dispositivo USB (en caso que no utilizara encripción, o
incluso a comprar uno y hacer ingeniería inversa... o infectar la
maquina del usuario que conecta dicho dispositivo USB en su computadora.
Personalmente, en un caso así (en el cual el usuario o atacante tiene
acceso fisico al equipo que hace la "lectura bioometrica") creo que
directamente no me gastaría en ese tipo de control.
Como decia un amigo, creo que eso entraría dentro de "seguridad placebo"
-- algo que te da una sensación de seguridad, que realmente no existe. :-)
Un abrazo,
--
Fernando Gont
e-mail: fernando en gont.com.ar || fgont en acm.org
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1
Más información sobre la lista de distribución Seguridad