Вижу в интерфейсе поле "адрес организации"..
Предположим, логин/пароль от аккаунта GuardSaas украдены.
Если это целенаправленная работа по данной организации, тогда, скорее всего, ее фактический адрес уже известен, и новой информации злоумышленник не получит.
А если кража данных аккаунта произошла без привязки к организации (банальный троян отправил своему владельцу все сохраненные в браузере пароли)?
Если злоумышленник заходит в интерфейс системы и в два клика видит физический адрес организации, ему относительно несложно становится прописать свою карту в систему или сделать дубликат существующей карты. Типов карт немного, оборудование для клонирования доступно, "защищенные" от клонирования решения очень, очень редки. Если возникнет соблазн "сходить посмотреть" и есть хоть чуть-чуть навыков социальной инженерии..
Поле "адрес организации" (и безопасность)
3 posts
• Page 1 of 1
Поле "адрес организации" (и безопасность)
by root » Fri Mar 08, 2013 9:06 pm
Last edited by root on Thu Mar 21, 2013 2:06 pm, edited 1 time in total.
- root
- Posts: 41
- Joined: Wed Feb 27, 2013 1:11 pm
Re: Поле "адрес организации"
by ILogic » Sat Mar 09, 2013 7:56 am
Этот вопрос не является тем, что продаётся в данной системе.
Это имеет отношение к любой системе построенной на доступных к копированию картах,
а в отношении дописать есть переключатель Lock на конвертере - защищающий аппаратно от изменения конфигурации.
Это имеет отношение к любой системе построенной на доступных к копированию картах,
а в отношении дописать есть переключатель Lock на конвертере - защищающий аппаратно от изменения конфигурации.
- ILogic
- Posts: 2
- Joined: Sat Mar 09, 2013 7:51 am
Re: Поле "адрес организации"
by root » Thu Mar 21, 2013 1:23 pm
ILogic wrote:Этот вопрос не является тем, что продаётся в данной системе.
Не вполне понял фразу. Можно другими словами?
ILogic wrote:Это имеет отношение к любой системе построенной на доступных к копированию картах,
Да это так.
Но я тут ругаю не железо (контроллерам/считывателям), которое делает возможным копирование.
Я ругаю именно GuardSaaS за облегчение злоумышленнику задачи.
Для копирования карты в традиционной системе нужен доступ к карте. В случае СааС он не нужен, если есть доступ к аккаунту.
Кстати, кроме скрытия адреса организации, в качестве противодействия злоумышленнику подойдут:
лог административных действий, его рассылка администраторам (как я понимаю, эта фича - уже в списке на внедрение);
скрытие от пользователей SaaS-системы (или большей их части) идентификаторов карт.
Идентификатор карты в открытом виде для большей части пользователей можно заменить хэшем, с уникальной "солью" для каждой организации. Большей части пользователей хеша хватит, а подсмотреть и склонировать идентификатор карты будет уже невозможно.
ILogic wrote:а в отношении дописать есть переключатель Lock на конвертере - защищающий аппаратно от изменения конфигурации.
Правильно ли я понимаю (по нику), что вы сотрудник ironLogic?
Переключатель на конверторе защищает от изменения конфигурации конвертера. Он не защищает от изменения конфигурации подключенных контроллеров.
- root
- Posts: 41
- Joined: Wed Feb 27, 2013 1:11 pm
3 posts
• Page 1 of 1
Return to Часто задаваемые вопросы
Who is online
Users browsing this forum: No registered users and 3 guests