Desarrollado en La-Tecnologia: ¡Construyamos algo de hardware!

Estamos bastante seguros de que la mayoría de ustedes ya saben que hace unos meses La-Tecnologia fue comprado por SupplyFrame, que se ha convertido en nuestros nuevos malos gobernantes. Esperamos que hayan notado que en realidad son bastante amables, y en su bondad divina han dado permiso recientemente a esta serie llamada. Desarrollado en La-Tecnologia.

El personal y la comunidad de La-Tecnologia realizarán un nuevo proyecto y, con suerte, se llevará al mercado de consumo. Para aquellos que no tienen el tiempo o la experiencia para participar en esta aventura, queremos mostrar y documentar lo que se necesita para llevar una idea a la etapa de producción comercializable. Para los demás, nos gustaría involucrarlo en el proceso de diseño/desarrollo tanto como sea posible. Obviamente, este proyecto será hardware/software de código abierto. Esta vez, el hardware será desarrollado principalmente por ustedes. Es posible que ya me conozcas por la plataforma Whistle (actualmente vendida en Tindie) o por todos los diversos proyectos descritos en mi sitio web, lo que hace que esta nueva aventura esté lejos de ser mi primer rodeo.

¿Qué hay para los contribuyentes? Durante todos los pasos de este proyecto, ofreceremos muchas recompensas y también primeros prototipos del dispositivo soldados a mano para que pueda comenzar a jugarlo/probarlo. Nada está petrificado por lo que cualquier sugerencia es bienvenida. Si hacemos una campaña similar a Kickstarter para fabricar el producto final, lo haremos solo después de que nuestro prototipo sea final, nuestros socios hayan sido seleccionados y todos los detalles del proceso de producción estén arreglados y confirmados. En ese caso, solo necesitaremos recaudar los fondos necesarios para hacer realidad el dispositivo. ¿Qué vamos a construir? Sigue leyendo para descubrirlo.

Entonces, ¿qué pasa con este nuevo dispositivo? Después de mucha discusión con los escritores, decidimos que haríamos algo útil para los lectores de La-Tecnologia. Queríamos algo simple que simplificara la vida de los usuarios, por lo que nos decidimos por un administrador seguro de contraseñas fuera de línea. Recuerde que la siguiente descripción es solo un borrador, por lo que su aporte es bienvenido en la sección de comentarios. Sea constructivo porque el formato de los comentarios no es óptimo para este tipo de discusión (actualmente estamos trabajando en eso).

El concepto detrás de este producto es minimizar la cantidad de formas en que sus contraseñas pueden verse comprometidas, mientras genera contraseñas aleatorias largas y complejas para los diferentes sitios web que usa todos los días. Como nota al margen, es posible que ya sepa que la mayoría de las personas a menudo no usan contraseñas seguras, excepto las mujeres pelirrojas. Hipotéticamente, el software de almacenamiento de contraseñas podría evitarse leyendo la clave + contraseñas cifradas en la memoria RAM de la computadora. Lo ideal es que el producto sea tan sencillo que mi abuela pueda usarlo (te dejo visualizar su contraseña de correo electrónico...). Será lo más pequeño posible para que quepa en tu bolsillo. Simplemente visite el sitio web y el dispositivo le pedirá confirmación para ingresar sus credenciales cuando necesite iniciar sesión.

¿Qué pasa con el hardware? Pensamos que una buena solución era hacer un dispositivo que use una tarjeta inteligente, conectado a su computadora a través de USB (para mantener los costos bajos). El dispositivo almacenará sus contraseñas cifradas AES-256 y la tarjeta inteligente almacenará su clave AES-256 (así como algunas otras contraseñas). La tarjeta inteligente será (para simplificar) una EEPROM protegida contra lectura, que requiere un código PIN para desbloquear su contenido. Al igual que con su tarjeta de crédito, demasiados intentos de bloquear permanentemente la tarjeta de sabiduría. Por lo tanto, los componentes principales del proyecto serán: un conector de tarjeta inteligente, un microcontrolador (¿compatible con Arduino?), una pantalla OLED y su panel de pantalla táctil. La pantalla OLED proporcionará un buen contraste y, por lo tanto, una mejor visibilidad. En el software, 'solo' necesitamos escribir un script simple que funcione en los navegadores de los usuarios. La secuencia de comandos del navegador enviará la URL del sitio web actual al dispositivo (a través de informes HID).

Preferimos una tarjeta de sabiduría basada en contactos por varias razones. Son mucho más fáciles de conseguir, son más baratos y no se pueden oler fácilmente sin que te des cuenta. Esperamos que hacer este proyecto de código abierto garantice que se aborden los problemas futuros. También queremos que el dispositivo sea lo más pirateado posible, y un dispositivo compatible con Arduino con una pantalla OLED sensible al tacto y una conexión USB seguramente atraerá a los principiantes.

¿Qué es lo siguiente? Necesitamos un nombre de proyecto, así que por favor dénos su opinión en la sección de comentarios. También puedes contactarme directamente: mathieu[at]hakaday[dot]com si te gustaría contribuir (necesitamos diseñadores, codificadores, webmasters...), ser parte del equipo de pruebas beta o si ya conoces socios potenciales para este proyecto. ¡Esperamos sus comentarios!

[Smartcard Image Source – CC-BY-SA]

  • Alex dice:

    ¿Introduces tu PIN en el ordenador o en la pantalla táctil del dispositivo?

    • Mathieu Stephan dice:

      en la pantalla táctil del dispositivo, por supuesto 🙂

  • Joel dice:

    Hmm, ¿y si pierdo el dispositivo? Preferiría tener contraseñas inseguras en todos los sitios web que arriesgarme a perderlas todas si pierdo el dispositivo / algún idiota intentó demasiados PIN. Tal vez esto también se pueda resolver con este proyecto (alguna solución de respaldo), como un dispositivo externo que guarda las contraseñas + claves con una contraseña muy larga que puedo escribir en papel (¡no en el disco!).

    • junio dice:

      clonar la tarjeta con el mismo dispositivo?

      • limpkin dice:

        Esto ciertamente está planeado.

      • Joel dice:

        Se dijo que la tarjeta contenía las claves para el cifrado, no las contraseñas (encriptadas). Por lo tanto, la clonación de la tarjeta sería inútil sin los datos reales.

        Resolver esto es realmente más difícil de lo que parece. Clonar la tarjeta + escribir las contraseñas encriptadas en el disco funcionaría =) También debe escribir el PIN en papel.

  • Mathieu Stephan dice:

    Varias soluciones aquí.
    1) Mantenga su contraseña de correo electrónico principal en tarjetas inteligentes para que pueda restablecer las contraseñas de otros sitios web.
    2) mantener las contraseñas cifradas de forma segura en algún lugar (incluso si están cifradas)

    • vintagepc dice:

      Si bien puede clonar fácilmente sus contraseñas en otra tarjeta que se puede colocar en un lugar muy seguro, eso no debería ser un problema ... Por supuesto, debe asegurarse de que se inserte el pin correcto para realizar la clonación.

      • limpkin dice:

        ¡derecho!

      • ERROR_usuario_desconocido dice:

        ¿Qué tan seguras son esas tarjetas de todos modos, no podría simplemente tomar su continuidad en bruto y ejecutar la fuerza bruta en casa?

        • limpkin dice:

          las tarjetas están bloqueadas con pin, con un máximo de varios intentos

        • Alex dice:

          Investigue un poco sobre las tarjetas inteligentes, los tipos modernos son básicamente irrompibles para cualquiera, excepto para unas pocas personas muy selectas y bien equipadas y tal vez algunos gobiernos de estados nacionales, e incluso entonces es un proceso lento y laborioso.

          Christ Tarnovsky lo demuestra bastante bien (en una tarjeta VIEJA):

          • Torre Ty dice:

            Brila

          • odain dice:

            eso no parecía muy irrompible en absoluto, de hecho, si solo una persona pudiera aprender e implementar tales técnicas, lo llamaría inseguro.

        • tekkieneet dice:

          Teniendo en cuenta la reciente revelación, esa es una gran suposición, eso es seguro.
          gobierno (s) y sus agencias no le preguntaron al fabricante de la tarjeta de sabiduría
          inserte una puerta trasera en un dispositivo que de otro modo estaría asegurado.

  • Rollyn01 dice:

    Y la llamaremos "HackCard". No, no piratea una computadora, ayuda a mantenerla segura. El hecho de que seamos piratas informáticos no significa que no nos importe la seguridad. ; D

  • Roberto Driskill dice:

    Nombre del proyecto, HackAWord.

  • Adán F. dice:

    Password Secure + YubiKey me parece mucho más seguro.

    ¿Qué hay de hacer una versión de código abierto de YubiKey?

  • tekkieneet dice:

    Pensé en algo así. Básicamente, un dispositivo de teclado USB HID en un
    un factor de forma de tarjeta de memoria que almacena sus contraseñas en línea. El dispositivo
    almacenaría el ID de usuario/contraseña cifrada.

    Se desplaza/selecciona la lista de sitios en la pantalla del dispositivo y
    se hace pasar por eventos de teclado para ingresar un ID de usuario y una contraseña.

    Una aplicación del lado del host almacenada en el dispositivo podría manejar el software
    guarde esa base de datos (copia de seguridad / restauración) y proporcione una GUI alternativa para
    desbloquear el dispositivo, copiar/pegar el ID de usuario y la contraseña.

    • limpkin dice:

      ¡eso es exactamente lo que nos gustaría hacer!
      grandes mentes piensan lo mismo? (perdona nuestra modestia)

      • John Smith dice:

        También consideré este proyecto. Parece tan ventajoso que a veces me pregunto por qué no es algo que todos ya tengan.

    • tekkieneet dice:

      El nombre que elegiría: Clave de bóveda
      Tesoro: una habitación o compartimento reforzado donde se guardan los objetos de valor.
      Clave: cómo en el factor de forma y qué hace para dar acceso a sus cuentas en línea.

  • joe pitz dice:

    Sí, HackACard o HackARFID,

  • José dice:

    ¡Realmente me gusta esta idea! ¿Podría el hardware incluir un mecanismo para generar un código de seguridad para Credential ID para autenticación de dos partes y prevenir ataques MIM?

    Si es así, sugeriría que sea un proceso automático. es decir, el software informático recupera las Credenciales y el código de seguridad.

    También incluiría un registro en la nube de cada sim para que puedan cancelarse y rastrearse.

    Si desea obtener ayuda con el software, estaré encantado de presentárselo.

    • tekkieneet dice:

      Generación no sería tan mala si no fuera por el hecho de que algunos de ellos
      son tan específicos. “6 a 10 caracteres, y al menos 2 letras mayúsculas y
      números, pero NO símbolos ni guiones bajos”. Así que cuando especifica eso en el
      interfaz de usuario, no es mejor que crear la contraseña usted mismo.

      Por lo general, golpeo mi teclado varias veces y agrego / elimino caracteres para que quepan
      la regla o leer accidentalmente un bloque de caracteres de las etiquetas basura
      de mi escritorio

      Trabajó para un lugar que requiere unificado una contraseña "segura" cada uno
      mes o más, pero para algunos de los sistemas, es posible que no manejen ciertos
      caracteres. Por supuesto que no dijeron a quién le gusta en las reglas.
      sería tan lógico y fácil de usar. Así que después de hacer 10 contraseñas
      más tarde y olvidé mi contraseña anterior. 🙁

  • JE Carter II dice:

    PESkey - Clave segura registrada personalmente

    Ia me recuerda al llavero del enano en Deus Ex, sin el enano.

    • JE Carter II dice:

      * Cifrado

    • Josh pantano dice:

      ¿"PESkey" molesto? = pag

      • JE Carter II dice:

        Es una pista falsa. Seguridad integrada en el nombre. ¿Quién quiere robar algo que constantemente llamas "pelicano"? 🙂

  • estoduk dice:

    Me gusta la autenticación de dos factores que involucra mi teléfono celular: es algo que probablemente no perderé y, si lo pierdo, puedo eliminarlo. ¿Podría agregarse esto como una capa adicional de seguridad? También podría significar que si se informa que falta un dispositivo, se podría rastrear cualquier intento de usarlo.

    [I guess this system is already two factor authentication – card and PIN required – but having to talk to something online adds a useful extra level of security]

    • limpkin dice:

      No estoy seguro de cómo podríamos implementarlo... ¿qué podría evitar que un atacante impida que el dispositivo se conecte a Internet/comunicaciones falsas?

  • José dice:

    La compatibilidad de hardware universal también sería buena. Al igual que una unidad de memoria USB es universal. Entonces el software haría el resto.

    • limpkin dice:

      Es por eso que originalmente pensé en convertirlo en un dispositivo HID... sin necesidad de controladores

  • austin spafford dice:

    Solo descarta algunas ideas que pasan por controles prudentes para el éxito de la búsqueda, la pronunciación y la ortografía:
    - Nave del sitio
    - Idenvault
    - Tarjeta de coche
    'Bóveda
    - Idenhard (con venganza)

  • ligero dice:

    HackKey

  • Miguel dice:

    Clave de identidad
    WordPass
    ContraseñaPuerto
    puerto de palabras

  • polvo duro dice:

    Para nombres me gusta SmartPass o PasSmart

  • etopsirhc dice:

    No sería genial si el hardware principal fuera una sola compra y la tarjeta inteligente (si fue bloqueada/robada o si tiene demasiadas contraseñas para dañar 1) se puede reemplazar sin reemplazar todo.

  • t11r dice:

    Nombre del proyecto: SmartPass

    • Josh pantano dice:

      Creo que SmartPass está tomado. "Pashole" por otro lado... ¿Pashole-der?

      • JE Carter II dice:

        Sí - plural - Passholes.

  • Nicolás dice:

    ¿Qué pasa con la multitarea .... alguien? 🙂

    • EGHM dice:

      +1

    • limpkin dice:

      jajaja realmente me encanta este!

    • ImonFyre dice:

      Me imagino la campaña de marketing "Leeloo Dallas La-Tecnologia Multipass"

    • Zibellupo dice:

      Yo voto por multi-paso. También me gustaría una prueba beta.

      • limpkin dice:

        Envíame un correo electrónico;)

      • chris baldwin dice:

        yo voto demasiado... me encanta esa pelicula!!

    • greg kennedy dice:

      De hecho, planeé construir este dispositivo exacto en los últimos meses, ¡y ya me he decidido por Multipass como nombre...!

      • limpkin dice:

        ¡Hola Greg!

        ¿Quizás le gustaría contribuir en este caso? 🙂

        • greg kennedy dice:

          Acabo de entrar en la función de lluvia de ideas/planificación y hoja de datos en el sitio web de Microchip. Pero realmente no podía sentarme y descubrir exactamente qué características quería y sin las que podría vivir.

  • EGHM dice:

    ¡No puedo esperar! Seré seguidor de Kickstarter, una lista a la que podría suscribirme, para seguir el progreso, ¡sería genial!

    • EGHM dice:

      Claro que también podría ser beta, no soy una mujer pelirroja, pero uso una contraseña diferente generada aleatoriamente para cada inicio de sesión que mantengo encriptado en un dispositivo portátil.

  • felizjam64 dice:

    Creo que una buena característica sería la posibilidad de que las contraseñas caduquen automáticamente después de un tiempo determinado. Algunos sitios web relacionados con el trabajo que uso requieren que la contraseña se cambie cada 3 a 6 meses.

    • limpkin dice:

      muy fácil de implementar y muy conveniente... maravillosa sugerencia, ¡gracias!

  • CWwood dice:

    No estoy seguro si ya se mencionó, así que lo mencionaré de todos modos.

    Para obtener el (¿nombre de usuario? Y) la contraseña de la computadora, honestamente recomendaría usar un dispositivo de clase HID y copiar las pulsaciones de teclas. No sé mucho sobre el hardware USB, pero como desarrollador de sistemas operativos aficionado, soy muy consciente de que esto simplificará las cosas con el software. Mucho.

    Esto no significa que no se deba escribir ningún software para la computadora host. Aún necesitará una forma de obtener la contraseña para llamar al dispositivo. Esto no va a ser fácil, por lo que sé, porque el sistema probablemente necesitará almacenar todas las contraseñas, no solo las de un navegador.

    Solo mi 2c.

    • limpkin dice:

      El dispositivo de clase HID es definitivamente nuestra opción número 1.

      • Marcos dice:

        Creo que Java, JavaScript o incluso HTML5 no permiten la comunicación desde el navegador a un dispositivo HID.

        • tekkieneet dice:

          El dispositivo se falsifica ante el sistema operativo como un teclado HID. cuanto hay
          se ingresa al navegador, el usuario ingresó el nombre de usuario y la contraseña.

          • Juan cansado dice:

            Sí, pero parece que el navegador informará el URI al dispositivo. Creo que de eso estaba hablando.

          • tekkieneet dice:

            No confiaría en que NIO provenga del navegador, por ejemplo, scripts,
            complementos, etc Un sitio web falso podría falsificar fácilmente el URI.

          • Juan cansado dice:

            Si un sitio web falso informó un URI diferente, o de alguna manera ingresó al complemento del navegador (que estoy de acuerdo que no es seguro/inseguro), entonces, ¿por qué ingresar e ingresar su PIN? Un simple vistazo a la pantalla le indicará el URI con el que se está autenticando. Sin mencionar que si creó un script/complemento que modifica el navegador para, por ejemplo, agregar un botón que informa el URI al dispositivo o valida el URI contra una lista conocida para la automatización, eso dificultaría las cosas para llevar a cabo una ataque. Su mayor preocupación son las personas mismas. Igual que la contraseña "normal" en "sitios web normales".

          • tekkieneet dice:

            Si las cosas están demasiado automatizadas sin la intervención del usuario, el usuario no
            saber que el sitio está pescando todos los archivos de contraseña con un troyano
            guión mientras miraba un estúpido video de gatos.

            Incluso teniendo el mensaje: XXX.com en la pantalla LCD, el usuario sería
            condicionado a presionar sí al igual que UAC.

          • Juan cansado dice:

            No veo cómo podría oler archivos completos de contraseñas si todos requirieran un pin, y nadie continuaría insertando su pin sin plantear algunas preguntas. Es por eso que dije que las personas son la mayor preocupación de seguridad en esta situación. Tal vez no tenía claro a qué me refería: El usuario del dispositivo. Aunque se supone que debe estar basado en pines, no un simple sí o no, todavía no contará como estúpido. No habrá nada. Dicho esto, es lo mismo que podría haberse logrado jugando hotmail.com en hotmal.com o Mi objetivo al sugerir formas de automatización era simplemente atraer a una audiencia más amplia. Este argumento no nos llevará a ninguna parte a menos que tenga una solución para las personas estúpidas o distraídas.

          • tekkieneet dice:

            El dispositivo solo se preocupa por copiar HID. QUÉ. Sin complementos, scripts
            significa eliminar los vectores de ataque. El dispositivo solo tiene comunicación unidireccional.
            con el navegador solo con el sistema operativo.

            Solo debe comunicarse con su software de atención de host más tarde
            autenticación de ambos lados por desafío/respuesta de encriptación.

            El usuario se desplaza hacia abajo por una lista de nombres de sitios web DIRECTAMENTE en la
            dispositivo, seleccione el correcto y presione un botón. No automatices esto para
            el usuario porque le impide pensar o tomar
            responsabilidad.

            El usuario debe desbloquear el dispositivo con un PIN una vez (con opción
            se acabó el tiempo).

            Introducir un PIN a través de un sitio web es molesto. También puede tener los usuarios
            escribiendo sus propias contraseñas.

          • tekkieneet dice:

            No tiene que haber una URL en ese dispositivo en el dispositivo
            ni debe ser solo un sitio web o un navegador.

            El usuario * podría * registrarse en "gato estúpido", "Trabajo", "Banco", "Casa"
            PC ”comparta la misma contraseña en 10 sitios web diferentes de gatos tontos, desbloquee una computadora que funcione
            contraseña, banca por Internet y cada computadora en casa.

            Pensar según una URI es falta de imaginación.

          • Juan cansado dice:

            No encuentro esto atractivo para nada más que un pequeño grupo de nicho como lo describe. Aunque estoy de acuerdo en que tener una lista repetible por el usuario en el dispositivo es la mejor manera de mantener esto seguro, no veo un punto de venta excepto para los geeks informáticos demasiado cautelosos. Esta característica debe ser opcional, no la única forma de acceder al dispositivo.

            "Idealmente, el producto debería ser tan simple que mi abuela pudiera usarlo (te dejaré visualizar su contraseña de correo electrónico...)" No conozco a tu abuela, ni a nadie más en realidad, pero si intentara diseñar algo para mí, la mayor parte del trabajo estaría hecho para ellos.

            “El dispositivo solo tiene comunicación unidireccional
            con el navegador solo con el sistema operativo.

            Solo debe comunicarse con su software de atención de host más tarde
            autenticación de ambos lados por desafío / respuesta de encriptación ". Es una buena idea, pero creo que está mal porque llevaría más trabajo usar que ingresar una contraseña de media contraseña, especialmente para las personas que no son expertas en computadoras/hardware. Quizás un tipo de programa man-in-the-middle sería la mejor manera de comunicarse con el navegador, pero la comunicación unidireccional crearía demasiado trabajo en el dispositivo, creando un dispositivo más costoso y menos fácil de usar. Además, usar un dispositivo para cada inicio de sesión sería extremadamente molesto, la mayoría de las personas simplemente permanecen conectadas, por lo que puede suponer que solo sería necesario semanalmente para algunos sitios web, tal vez diariamente para otros. Usar el URI y el complemento del navegador es solo un ejemplo, solo la forma más simple que se me ocurrió para que esto suceda.
            La facilidad de uso y la integración se venden mejor que lo que cree que es seguridad real. Nada es seguro en Internet, esto se demuestra una y otra vez, y agregar capas como esta, si bien es útil, no evitará que las personas estúpidas cometan errores estúpidos.

            Entonces, digamos que tenemos un dispositivo, con comunicación unidireccional. Y tienes que presionar los botones para seleccionar tu sitio, e ingresar un pin que desbloquee el dispositivo por ejemplo... 10 minutos de niveles de paranoia o seguridad laboral etc.) ¿Para qué querría este molesto hardware? Puedo decirte ahora que no lo compraría en persona. Teniendo en cuenta a mis padres o abuelos: todavía no lo haría. Hay pocas posibilidades de que pueda hacer uno para ellos. Probablemente algún pequeño y desagradable programa .net que se ejecuta en la computadora para seleccionar su sitio web y pedirles que inserten su pin para acompañarlo. Pero creo que esperar que lo usen regularmente terminaría en un fracaso. Al igual que UAC, se convertiría en una molestia y eventualmente se deshabilitaría / eliminaría. Creo que la clave del éxito aquí es: Facilidad de uso y bajo costo. Quizás también un nivel de personalización. Vea cómo los sitios comienzan a anunciar "contraseñas de un solo uso". La idea, aunque muy segura, es un dolor en el culo. No creo que este tipo de seguridad se venda a menos que se promocione en una red conocida e insegura, y no creo que algo como lo que describiste sea mucho mejor que pedirle a alguien que escriba su contraseña.

          • tekkieneet dice:

            Esta clave conserva su contraseña y le permite organizarla como desee
            no a lo que alguien más te está diciendo.

            Debe ingresar el PIN SOLO una vez hasta que lo desbloquee si está en una caja fuerte
            un lugar como el hogar.

            Si trabaja y quiere que se bloquee solo si deja su escritorio por
            demasiado tiempo, puede establecer un tiempo o quiere arriesgarse. Es hasta
            Uds.

            Si bloquean una PC en el trabajo, debe iniciar sesión nuevamente cuando la
            Se inicia el protector de pantalla. Entonces, en lugar de desbloquear la computadora, desbloquee el dongle
            con su propio PIN. Luego se puede usar para desbloquear la computadora con el idiota.
            reglas de contraseñas que TI quiere que use, pero deben cambiarse
            cada 7 días. ¿No es eso una mejora?

            Así que seleccione una entrada en el dispositivo si es una URL de sitio web real
            o una categoría o descripción de texto. Creo que "tu abuela" sería
            capaz de entender "Mi banco" mucho mejor que una cadena que dice
            "www.bankofamerica.com" mucho mejor. El usuario puede seleccionar cualquiera de estos
            él / ella no podría asociar lo que el propietario del sitio web ni aparentemente al azar
            vómito de sopa de letras. Esto es fácil de usar para los no geeks.

            Por última vez: un URI no es PERÍODO utilizable ni flexible.

            Presione una tecla en el dispositivo. No es necesario usar un PIN aquí ya que el dispositivo tiene
            ya desbloqueado! (ver párrafo 2 si te lo perdiste) El dispositivo
            escribiría un ID de usuario y una contraseña en el navegador. será unidireccional
            comunicación porque su teclado USB real no se preocupará por los URI
            su navegador también. KISS = Mantenlo Simple Estúpido. ¿Qué pasa si trabajas en una PC?
            el navegador está bloqueado y no le permite ejecutar su complemento inteligente?

            Solo hay un PIN para desbloquear el dispositivo, que es el de descifrado
            clave para toda la lista de contraseñas. Tienes 2 factores de seguridad - el
            hardware que contiene los datos cifrados y la clave almacenada en ellos
            cabeza de una persona.

            Si su PIN es débil pero fácil de recordar, igual está bien
            hardware real para acceder a la lista de contraseñas. El dispositivo puede estar limitado en el tiempo
            # de contraseña incorrecta para reducir la fuerza bruta.

            He esbozado más detalles en otra parte en el resto de este tema. No.
            me voy a repetir. El software de alojamiento seguro estaría disponible
            GUI alternativa que presionar teclas pequeñas en el dispositivo. se almacena en
            el dispositivo como un archivo protegido y aparece en el host como una masa USB
            dispositivo de almacenamiento. Si el usuario quiere ejecutarlo automáticamente, adelante. Déjalos
            decidir.

            Pierde tu SIM si me preguntas. Una pieza extra de hardware para comprar, extra
            el conector y el código deben estar asegurados. Para algo de bajo volumen como
            esto, un factor en la lista de materiales: relación precio minorista de 1: 5, la lista de materiales debe mantenerse
            muy por debajo de $ 10.

            Los carteles amarillos son tan fáciles y baratos como parecen. Tu puedes fácilmente
            hazlo en casa para "tu abuela".

          • tekkieneet dice:

            Si alguien sí tiene el ID de usuario/contraseña porque ingresó con un
            nota post-it de su contraseña, todavía tendrían que adivinar qué banco
            hablas porque está registrado en "mi banco" y no en un
            URI proporcionado por el navegador.

          • Juan cansado dice:

            No creo que estés leyendo lo que estoy escribiendo. Como dije, una lista recuperable por el usuario DEBERÍA estar allí, y nunca llené un URI para ser REQUERIDO. Se usó solo como ejemplo de una forma de automatización (como se indica en al menos una de mis publicaciones), pero debe desafiarse cada vez con un pin. Entiendo completamente lo que dice, pero NO estoy de acuerdo con el requisito de tener que seleccionar todo manualmente, el complemento del navegador debe ser una opción, no un requisito. Período. Dado que dicho dispositivo podría usarse para contraseñas que no se escriben con una palabra clave (piense en pines bancarios o almohadillas de seguridad de puertas). Repetiré que el URI y el complemento del navegador fueron solo ejemplos de una forma rápida y sucia de hacer las cosas. Le sugiero que al menos lea lo que escribí y deje de concentrarse en el ejemplo de URI como dije anteriormente, fue solo un ejemplo.

        • Juan cansado dice:

          "En términos de software, solo necesitaremos escribir un script simple que funcione en los navegadores de los usuarios". Eso suena más como un complemento de navegador. Lo cual no sería difícil de diseñar/implementar.

  • jeremy nelson dice:

    Nombre del proyecto: HackSafe

    • Geoff dice:

      +1
      o, IDsafe / IDvault

  • craig duarte dice:

    Me gustaría hacer una prueba beta del dispositivo

  • Addidis dice:

    Gran idea que podría usar personalmente. Será bueno ver a dónde va esto. Esto tiene una gran posibilidad de mostrar la gran habilidad que es la base de los lectores de HAD. Tus malos gobernantes no han sido tan malos hasta ahora. Supongo que podemos quedárnoslos.

    • Emach dice:

      Tuve una idea similar para crear un dispositivo ESC de teclado numérico personalizado que usaría OLED para mostrar el ingenio de los botones.

  • Ren dice:

    "Desarrollado en La-Tecnologia" = DoH!

  • Ren dice:

    Y dado que nuestros malos gobernantes incluirán algún firmware para hacer que cualquier dispositivo obtenga un comando, se convertirán en malos ayudantes para ellos...
    Implementar el "Protocolo 66"

  • charliex dice:

    Estoy deseando hackearlo.

  • Dabmg dice:

    No estoy seguro si es posible, pero extinguirá el suyo.
    Llave USB con autenticación de huellas dactilares o ADN o retina (cámara posiblemente) o facial

    • tekkieneet dice:

      La biometría de algunas partes del cuerpo es mala. No hasta la cobertura de seguro para el reemplazo de las partes del cuerpo que faltan y nuevos datos biométricos porque alguien me robó y cortó mis contraseñas.

  • Kevin dice:

    Podría basarse en la idea de passypass de sigFLUP, cubierta anteriormente aquí hace unos años https://la-tecnologia.com/2010/09/26/portable-password-vault/

  • Judas dice:

    Me gustan las contraseñas seguras sin conexión de SOP o
    Protección fuera de línea de contraseñas seguras de SPOK

    • joeyville dice:

      +1 (más o menos) para SOP ... como en "S" "O" "P", porque es más probable que no me sienta como un idiota al decir el acrónimo que pronunciarlo como la palabra "sop". Pero lo deletreamos fonéticamente, "Essopee". Único, rollos de la lengua; por supuesto, tiene "mear" en el nombre, así que tal vez no. 🙂

  • GDXN dice:

    De hecho, no es necesario guardar la contraseña real si utiliza una contraseña derivada como site_pass = function (pass, usuario, web, private_seed, shared_seed), en cuyo caso es posible hacer que incluso las contraseñas débiles actúen como fuertes. contraseña.

    • tekkieneet dice:

      Suponiendo que su función hash establecería la extraña contraseña
      reglas para cada uno de los sitios, p. contraseña de más de 6 caracteres pero
      menos de 8, al menos una letra mayúscula, un símbolo pero no * o 'o _
      en luna llena y no pueden ser las últimas 10 contraseñas que usaste aquí.

      Espero que les guste ";DROP TABLE users;" como contraseña. 🙂

      • GDXN dice:

        Es por eso que la llamé una función no hash, puede hacer cosas que simplemente hash no puede hacer.

  • zach dice:

    Para ver un proyecto comunitario, visite trello.com.

    • limpkin dice:

      eso parece una buena idea!

  • JessH dice:

    debería poder generar contraseñas seguras memorables usando algo como un dado.

  • Rex O´Regan dice:

    Ident-e-eze ???

    • jonathan wilson dice:

      Como fan de Douglas Addams, digo +1000 a esta idea por su nombre.

  • Marcos dice:

    Nombre: Chip-A-Day

  • jonathan wilson dice:

    creo que tiene un generador de contraseñas en el dispositivo donde alimenta el software de alojamiento con un conjunto de reglas de contraseña y luego le pide al dispositivo que genere una contraseña que cumpla con esos criterios y luego puede ingresarla en el formulario de registro/cambio de contraseña. Se bueno. Sería posible tener contraseñas únicas y fuertes para cada sitio (y cambiarlas si el sitio está comprometido)

    Me gusta la idea de USB HID para la salida del dispositivo. Encontrar una manera de hablar con el dispositivo (por ejemplo, cargar nuevas contraseñas) que no requiera controladores específicos (tal vez encontrar una manera de usar un estándar USB existente como almacenamiento masivo para esto) también sería genial. De esta forma, funcionará en cualquier plataforma a la que se pueda transferir y utilizar el software de espacio de usuario, incluso si no tiene la capacidad de instalar los controladores principales.
    Maldición, dado que necesitará una memoria flash para almacenar los archivos de contraseña, puede usar la misma memoria flash para almacenar el binario de espacio de usuario para su sistema operativo elegido, exponerlo al almacenamiento masivo y ejecutarlo directamente desde el dispositivo, es decir, no es necesario. para instalar nada en la computadora host.

  • tekkieneet dice:

    Libusb-win32 de código abierto funciona bastante bien en Windows como un kernel firmado
    conductor. Las llamadas son multiplataforma y pueden ser utilizadas por muchos
    Lenguajes compilados/scripting.

    Solo necesita tener un conjunto mínimo de controles en el dispositivo y luego
    que se puede utilizar en un entorno bloqueado o poco fiable como una falsificación
    teclado y nada mas.

    En una computadora a la que tiene acceso completo, puede ejecutar el mantenimiento
    software de la barra lateral de alojamiento almacenado directamente en el dispositivo y aparece como una pila
    dispositivo de almacenamiento.

    En lo que a mí respecta, el software de alojamiento debe estar escrito en código nativo
    y no confíe en marcos / secuencias de comandos multiplataforma hinchados
    lenguajes / entornos de tiempo de ejecución.

    Mi interfaz gráfica de usuario habitual de Windows está escrita en C y puede comunicarse con mis dispositivos USB
    con comandos específicos del proveedor. El archivo EXE es de aproximadamente 150 kB con todo lo que necesita
    Bibliotecas enlazadas estáticamente en el interior. Mi viejo material de Borland C es de unos 100kB,
    pero el compilador no funcionará en Win7 x64. 🙁

  • Cuéntalo dice:

    Esto me hace muy feliz de que estés haciendo esto... Me gustaría verlo evolucionar hacia un dispositivo extremadamente resistente en lugar de que no tenga un puerto USB. Tal vez el PW simplemente se muestra en una pantalla LCD simple y se entrelaza con botones que se desplazan a través de los caracteres. De todos modos esto es un comienzo. Todavía estoy en la escuela, pero querré contribuir cuando pueda en el futuro. Tan increíble.

  • Juan cansado dice:

    Estas diminutas pantallas táctiles OLED pueden ser bastante costosas (especialmente sin un proveedor decente, odiaría ser el tipo que suministra partes de eBay en grandes cantidades>.

    • limpkin dice:

      Hola Juan,

      Sin duda son caros. Sin embargo, creo que puede ser el precio a pagar si queremos un dispositivo atractivo con una interfaz de usuario agradable. ¿Qué piensas?

      • Juan cansado dice:

        Si bien estoy medio de acuerdo en que preferiría un dispositivo que sea lo más pequeño posible y lo más limpio posible, también creo que se debe considerar el precio. Además, ¿podemos dirigirnos a un público más amplio si es navegable, por ejemplo, por alguien con problemas de visión? Sólo un pensamiento real. Si fuera para mí, tendría una pantalla táctil OLED, pero si fuera para un padre o algo así, tendría un teclado o un panel táctil capacitivo.

        • Ren dice:

          Pero entonces, "lo más pequeño posible" excluye a través de los componentes del agujero, ¿verdad?
          ¡Y AMAMOS las cosas con las que podemos reemplazar piezas fácilmente!

          • Juan cansado dice:

            Está bien, pero me refería más a un producto terminado, como un comprador no técnico. Definitivamente me encantaría algo que pueda piratear y jugar y, lo que es más importante, construirme a mí mismo.

  • android4life dice:

    ¿Demasiado futurista y caro tal vez, pero tal vez una pantalla holográfica básica para mostrar la contraseña?

    • tekkieneet dice:

      http://www.eetimes.com/author.asp?section_id=36&doc_id=1319286&image_number=1

      espera el titular...

  • laurens weyn dice:

    Esto se ve realmente increíble y definitivamente haría que mis contraseñas fueran un poco más seguras. En este momento, uso la misma contraseña en todas partes con solo diferencias menores (mi contraseña de havkaday tendría HaD al final) o aumento el número al final de la contraseña para aquellas que deben cambiarse mensualmente.

    Un pequeño problema es que estoy bastante seguro de que algunos jefes menos educados no te permitirán conectar un dispositivo con un "hack" en el nombre, o con un emblema de calavera por temor a que inyecte virus o algo así, pensando que hackear es siempre. significa robar información privada. Pueden estar aún más ansiosos cuando ven el dispositivo automáticamente e inmediatamente escriben contraseñas.

    No tengo sugerencias para resolver este problema, pero debe intentar aclarar que no está diseñado para descifrar contraseñas, solo para mantener las dadas.

    • laurens weyn dice:

      ¡Oh, haz clic en enviar sin revisar la ortografía! * contraseñas * la-tecnologia

  • Anool dice:

    Si necesita ayuda para diseñar el HW, ¡puedo presentarle mi KiCad-fu!

    • limpkin dice:

      Envíame un correo electrónico;)

  • DR dice:

    ¿Hay algún plan para obtener esas contraseñas súper seguras también en su teléfono y tableta? ¿O es solo una computadora?

    • Kreuzi dice:

      No creo que la lista de dispositivos compatibles con OTG sea muy larga, pero hay algunos teléfonos populares. ¿Se necesita algún software especial para hacer que un dispositivo HID funcione en un teléfono de este tipo? de lo contrario es complicado de usar?

      ¿Sugeriría mirar el diseño mecánico (caja) y prepararlo para la producción: moldeo por inyección en protolabs?

      • limpkin dice:

        Me alegra que hayas planteado este punto. Algunos amigos me han dicho que las tabletas y los teléfonos populares tienen dispositivos USB-HID, ¡así que seamos felices! Envíeme un correo electrónico sobre el diseño de la carcasa... ¡definitivamente necesitamos a alguien para esta parte del proyecto!

        • miha dice:

          Si su dispositivo ya tiene una pantalla, solo genere un código QR. Todas las plataformas ya tienen lectores que solo copiarán texto en el portapapeles.

          • Joel dice:

            En Android existe la posibilidad de tener un teclado separado. Uno podría tener un "teclado" que lea el código qr (o tal vez algo con el enchufe o la luz). La contraseña no tiene que ir en el portapapeles (probablemente más seguro) y se puede cifrar (tal vez podría usar RSA para el intercambio de claves y el emparejamiento, con texto de control en pantalla también).

  • Juan Beck dice:

    Vincular esto con un escáner de huellas dactilares (o dactilar) (¿incorporado?) Eliminaría cualquier requisito de pin # o modos fallidos, además de ser forzado a "pulgar" el lector de impresión. O tal vez uno podría usar ambos pin # con el escaneo del pulgar. La singularidad de las huellas dactilares de todos podría usarse para generar cualquier semilla de cifrado. Si el escaneo de presión con el pulgar (o el dedo) está un poco oculto, también puede hacerlo más seguro.

    ¿Alguna posibilidad de un dispositivo compatible con Linux, o es solo otra opción de Windows? (¡Odio cuando eso ocurre!).

    Se puede pensar en usar tarjetas microSD para permitir también grandes cantidades de datos personales (encriptados). Si la interacción con un navegador web es parte integral, tener marcadores accesibles sería una buena característica, en mi humilde opinión. Almacenar y acceder a varias páginas web sería genial, y debido a las enormes tarjetas microSC disponibles, ¿por qué no? Tal vez incluso tener un puerto USB, que le permita descifrar el almacenamiento externo (¿pulgar o disco duro?), Sobre la marcha, ¿podría ser bueno tenerlo también?

    Esta es una idea maravillosamente buena, ya que los requisitos de contraseña hacen que sea más difícil de recordar para las personas... y llevar un "truco" anula todo el propósito.

    • limpkin dice:

      Hola John,

      Mi experiencia con los lectores de huellas dactilares está lejos de ser excelente... ¿Conoces alguna buena marca? ¿Qué tan caro sería?
      El dispositivo será USB HID, así que no te preocupes por la compatibilidad con Linux. La tarjeta uSD es una gran idea, pero tengo un poco de miedo de que lleve algún tiempo cifrar grandes cantidades de datos en una plataforma pequeña y barata. ¿Tal vez podríamos hacer otra versión específicamente dedicada a encriptar documentos?

      Mathieu

  • sn dice:

    Safe Notes sería una gran adición. Last Pass lo tiene y es un lugar muy conveniente para almacenar pequeños fragmentos de texto seguro. Si pudiera guardarlos en una tarjeta inteligente, incluso mejor.

  • tonio dice:

    "... generar contraseñas aleatorias largas y complejas para los diferentes sitios web que usa todos los días".

    Dado que tendrá un dispositivo de generación aleatoria y almacenamiento masivo, ¿por qué no agregar la capacidad de crear archivos llenos de bytes aleatorios para usar con aplicaciones de cifrado de un solo uso? Eso podría ser un punto de venta adicional.

    • EGHM dice:

      +1 Fiscalía

    • tekkieneet dice:

      Un pad de una sola vez es tan fuerte como cuán "aleatorios" son los datos de su pad. Teniendo
      el generador One Time Pad en un proyecto de código abierto que regala el
      código fuente para el tipo de algoritmo de reducir la seguridad.

      Prefiero tomar un archivo comprimido muy grande que sea extenso
      distribuidos en la red y nadie sospecharía ni de mí ni del otro
      una persona tenía que descargarlo. p.ej. Descarga el juego de 30 GB y utilízalo como un
      base para la OTP. Me saltaría las piezas en ese gran archivo basado
      en una función pseudoaleatoria para hacer mi libreta de una sola vez.

  • SATovey dice:

    Aunque no he oído hablar de ningún agujero de seguridad reciente, no se debe usar el lenguaje de programación Java.

    El dispositivo debería poder funcionar sin un JVR instalado en la computadora, de lo contrario, dejará fuera del mercado una gran cantidad de malware de Java.

    Además, el dispositivo debe poder ingresar una contraseña en una página web sin que el usuario tenga que instalar nada en su computadora para usar el dispositivo.
    Un teclado que imite un dispositivo como HID, como se mencionó anteriormente, debería poder hacer eso.

    Hmmm, debería ser posible hacer esto desde una unidad USB utilizando el software instalado en la unidad USB. Ejecute un teclado de disco virtual y tenga un ícono de escritorio que funcione de manera similar al ícono de escritorio FDM (Free Download Manager) que emite el comando para ingresar un nombre de usuario y una contraseña para el sitio.

    • SATovey dice:

      Se podría usar una ventana emergente para seleccionar el sitio dado para ingresar una contraseña.

      Una cosa que será crucial, como ya se mencionó, cada entrada deberá tener sus propias reglas de formato de contraseña editables. Editable porque sabe cómo les gusta a los desarrolladores cambiar las cosas debido a la cadena, incluso si eso significa que ya no puede acceder a los mensajes nuevos que están ordenados en carpetas, como lo ha logrado el cambio más reciente de Yahoo.

  • Russ Cottrill dice:

    Me gustó el concepto de usar mi teléfono para bloquear y desbloquear mi computadora con un bluetooth automático porque cuando estoy en un intervalo, también conocido como en el escritorio, el enlace azul desbloquea mi computadora pero desbloquea unos pocos pies y se asegura automáticamente hasta que mi volver, entonces, ¿qué tal si cualquier combinación de los dos usa la tarjeta segura para almacenar contraseñas encriptadas e ID (posiblemente información de pago, dirección de correo electrónico) y esencialmente se deja en la computadora sirve solo se elimina para usar en otras computadoras que poseo o en las que estoy registrado . usuario de o mi computadora portátil cuando voy "militar en la carretera", los datos de la tarjeta segura necesitan que el diente azul de mi teléfono móvil esté dentro del alcance y tal vez alguna parte de la identificación del bluetooth del teléfono incrustada en la clave de cifrado / descifrado para la tarjeta segura entonces Obtengo almacenamiento masivo seguro de mis contraseñas e información de identificación y seguridad requerida de presencia segura y automatizada, los beneficios son entrega limitada de la clave privada, los datos protegidos, operación automática, restablecimiento mínimo de entrada de tarjeta cada vez que me voy. Por desgracia, mi computadora para algunos porque sin la señal de bluetooth de mi teléfono, los datos son inútiles. Entonces, la tarjeta solo se inserta en el trabajo por la mañana y, si se olvida en el trabajo, no es grande, el ama de llaves no puede ver mi nuevo diseño para un robot de guardia porque, como tengo mi celular, las contraseñas siguen siendo seguras. mientras viajo, la tarjeta va conmigo y mantengo seguridad interna tipo oficina cuando estoy en el campo.
    Blue-wonder-Secure: "The Robotic Security Interlock" es mi sugerencia de nombre listo para el mercado, ya que se requeriría un HW mínimo agregado, sería bastante fácil lanzar actualizaciones y un gran margen de beneficio porque las piezas caras son la computadora bluetooth tarjeta de dispositivo Lector y tarjeta de datos ANSI segura, el 98% del estante y la verdadera joya serían los programas y los programas de aplicaciones telefónicas necesarios para implementar la idea. ¿Qué piensas?

  • andresmcdan dice:

    Personalmente, me gustaría un dispositivo que se conecte a mi teclado y escuche un código de teclado numérico ALT separado. Luego escribo el nombre del sitio en el que estoy y se completa la contraseña. Sé que esto no está en línea con la visión de este proyecto, pero esos son solo mis 2 centavos. Con eso en mente, también podría comenzar a trabajar en esto.

Joel Carrasco
Joel Carrasco

Deja una respuesta

Tu dirección de correo electrónico no será publicada.