Wampiryczny blog

Tak, udało się, tym razem łączny dystans to 1200 kilometrów. W tym roku dystans nie był celem samym w sobie, chodziło mi przede wszystkim o utrzymanie nawyku i to udało się zrealizować. Trzy razy w tygodniu (z reguły - poniedziałek, środa i piątek) czuję wewnętrzną presję by pójść pobiegać. Oczywiście zdarzały się tygodnie, gdy nie udało się tego osiągnąć, ale to były raczej odstępstwa od reguły, zwykle spowodowane „obiektywnymi trudnościami”.

No dobrze, więc co z tą kartą / Apple Pay? Rozważmy dwa scenariusze:

1. Znajdujesz kartę, jaka jest szansa, że wpisując losowy PIN trafisz w ten prawidłowy?
2. Znajdujesz telefon, jaka jest szansa, że odcisk Twojego palca zostanie rozpoznany jako prawidłowy?

PIN karty to typowo 4 cyfry. Daje to 10 000 możliwych kodów PIN. Do tego z reguły są trzy próby, czyli szansa powodzenia to (mniej więcej) 1 / 3 333. W praktyce można byłoby pokusić się o sprawdzenie najczęściej występujących kodów PIN co szanse powodzenia zwiększyłoby jeszcze bardziej (patrz: PIN analysis). Można jeszcze dyskutować, czy kody PIN do kart są wybierane przez użytkowników, czy ustawiane w sposób losowy przez bank, jak często klienci korzystają z opcji zmiany PINu (jeśli taka jest udostępniana), ale nie jest to istotne dla tej dyskusji.

Co z biometrią? W tym przypadku kluczowy jest parametr FAR (False Acceptance Rate lub False Match Rate - patrz: biometrics). W przypadku czytników wykorzystywanych obecnie w telefonach parametr ten ma wartość 1:50000, czyli zaczynamy z nieco lepszego poziomu, niż w przypadku PIN. No właśnie, zaczynamy. W przypadku biometrii też mamy kilka prób (trzy), więc można mówić o szansie mniej więcej na poziomie 1 / 16 666. Całość pogarsza się jeszcze, gdy dodany jest więcej niż jeden odcisk palca.

Warto też zwrócić uwagę na to, jak w tym kontekście wypada FaceID.

Załóżmy, że gubisz:

• Kartę kredytową (wymagającą kodu PIN);
• iPhone z aktywnym Apple Pay.

Pytanie, co jest bardziej prawdopodobne:

• stracić pieniądze przez kartę (zakładając, że konieczne jest użycie kodu PIN);
• stracić pieniądze przez Apple Pay?

Wspominałem już, że regularnie słucham różnych podcastów, bo pozwala mi to „odzyskać” trochę czasu przez robienie dwóch rzeczy na raz. Jednym z podcastów, które słucham, jest Hackable. Słucham, ale coraz częściej staje się on wypełniaczem czasu niż czymś, czego słucham uważnie. Dlaczego? Poziom. Podcast zwykle zaczyna się budującą napięcie sceną z jakiegoś znanego filmu lub serialu (oczywiście z hackerem w tle), a potem? Potem jest gorzej.

Właśnie, z tym gorzej mam pewien dylemat - nie wiem, czy problemem jest podcast (jego zawartość merytoryczna), czy raczej ja. Przykładem może być najnowszy epizod, Prying Eyes. Mamy rok 2018 a tematem przewodnim tego odcinka jest szyfrowanie (dysku w laptopie), a wielkim odkryciem jest to, że niezaszyfrowany dysk można podłączyć do innego komputera i uzyskać dostęp do danych. Szok! Brakowało tylko stwierdzenia, że kiedy usuwamy pliki z dysku to nie usuwamy ich naprawdę.

Po krótkiej refleksji - podcast jest w miarę OK, jest po prostu adresowany do innego odbiorcy niż ja. Jeśli ktoś z Was szuka podcastu poruszającego podstawowe tematy związane z bezpieczeństwem, Hackable to całkiem niezły wybór.

W tym roku nawet szybciej niż w ubiegłym (patrz też: 1103).