PL
 |
EN
Preferencje help
Polish version English version Język
Widoczny [Schowaj] Abstrakt
Liczba wyników

Znaleziono wyników: 3

Liczba wyników na stronie
first rewind previous Strona / 1 next fast forward last
Wyniki wyszukiwania
Wyszukiwano:
w słowach kluczowych:  passwords
help Sortuj według:

help Ogranicz wyniki do:
first rewind previous Strona / 1 next fast forward last
1
Content available Using gamification and fear appeal instead of password strength meters to increase password entropy
Rodwald Przemysław
Scientific Journal of Polish Naval Academy
|
2019
|
R. 60 nr 2 (217)
17--33
EN
It is very common for users to create weak passwords. Currently, the majority of websites deploy password strength meters to provide timely feedback. These meters are in wide use and their effects on the security of passwords have been relatively well studied. In this paper another type of feedback is studied: a gamified approach supported by fear appeal. In this approach, users are encouraged to make passwords stronger through the use of visual and textual stories. This ap-proach is supported by data-driven suggestions about how to improve password security as well as by fear appeal. To prove the effectiveness of this gamified password creation process, an ex-periment was performed in which users changed their passwords in two ways: without any feed-back, and with gamified feedback with fear appeal. To support the initial findings a questionnaire was completed by participants at the end of research.
PL
Użytkownicy systemów informatycznych bardzo często tworzą słabe hasła. W celu dostarczenia informacji zwrotnej o skuteczności tworzonego hasła część stron internetowych wykorzystuje mierniki jego siły. Ich wpływ na bezpieczeństwo został stosunkowo dobrze zbadany. W artykule zaproponowano i zbadano nowe podejście do dostarczania informacji zwrotnej o sile tworzonego hasła. Opiera się ono na gamifikacji wzmocnionej komunikatami wywołującymi poczucie strachu. Użytkownicy są tu motywowani do tworzenia silniejszych haseł poprzez wykorzystanie wizualnych i tekstowych historyjek. Podejście to jest wspierane przez komunikaty informujące o tym, w jaki sposób można poprawić bezpieczeństwo haseł oraz komunikaty wywołujące strach u użytkowników (na przykład powiadamiające, ile czasu potrzeba hakerowi do złamania hasła). W celu udowodnienia skuteczności zaproponowanej metody przeprowadzono eksperyment, w którym użytkownicy zmieniali swoje hasła na dwa sposoby: bez żadnej informacji zwrotnej oraz przy wykorzystaniu zaproponowanej metody. Uzyskane tezy o skuteczności zaproponowanego podejścia zostały wsparte wynikami przeprowadzonej ankiety.
2
Content available Wybór strategii łamania hasła przy nałożonych ograniczeniach czasowych
Rodwald Przemysław
Biuletyn Wojskowej Akademii Technicznej
|
2019
|
Vol. 68, nr 1
79--100
PL
Celem artykułu jest przedstawienie metodyki postępowania w przypadku, gdy atakujący (biegły sądowy, technik kryminalistyki, pentester) ma za zadanie złamać hasło do pewnego systemu teleinformatycznego przy nałożonych ograniczeniach czasowych. Sytuacja taka ma często miejsce w toku działań procesowych prowadzonych przez organy ścigania, podczas zatrzymań sprzętu komputerowego. Na wstępie przedstawiono obowiązującą wykładnię prawa wraz z dobrymi praktykami przy zabezpieczaniu materiału dowodowego. Następnie omówiono sposoby przechowywania haseł w systemach informatycznych, po czym dokonano przeglądu różnych klas ataków na hasła. Wyszczególniono także najpopularniejsze narzędzia wspomagające proces łamania haseł. W głównej części pracy przedstawiono autorską strategię przeprowadzania ataku przy nałożonych z góry ograniczeniach czasowych dla dostępnych zasobów sprzętowych. Pokazane zostały również szacunkowe koszty i efektywność ekonomiczna dla wybranych rozwiązań. Obliczenia pokazano na przykładzie dwóch rzeczywistych ataków przeprowadzonych przez autora w trakcie prawdziwych działań procesowych.
EN
The aim of the article is to present the password breaking methodology in case when an attacker (forensic investigator, court expert, pen tester) has imposed time restrictions. This is a typical situation during many legal investigations where computers are seized by legal authorities but they are protected by passwords. At the beginning, the current state of law in that matter is presented, along with good practices in seizing the evidence. Then, the ways of storing static passwords in information systems are showed, after which various classes of password breaking methods are reviewed (dictionary, brute-force, rule, combinator, mask, hybrid, etc.). The most popular tools supporting this process are listed as well. The main part of the paper presents the original strategy of conducting an attack on a single hashed password with time constraints. Costs as well as economic efficiency for four different hardware solutions (laptop, gaming computer, rig with 6 GPU’s, cloud computing) are discussed. The calculations are shown on the example of two real attacks carried out by the author in the real legal cases.
3
Content available Nieinwazyjne metody oceny i poprawy bezpieczeństwa systemów komputerowych bazujące na standardach DISA
Kołodziejczyk Marcin
Studia i Materiały Informatyki Stosowanej
|
2010
|
nr 2
23--30
PL
Artykuł jest próbą analizy dostępnych, nieinwazyjnych metod pozwalających na całościową analizę i ocenę bezpieczeństwa systemów komputerowych. Opisane metody nie ingerują bezpośrednio w działanie gotowych systemów, skupiając się w dużej mierze na statycznej analizie systemu. Analiza taka opiera się na stwierdzeniu zgodności systemu z poszczególnymi wymaganiami bezpieczeństwa, tworzonymi przez organizację DISA. Organizacja ta swoje wymagania przedstawia w trojaki sposób: tworząc statyczne wymagania tzw. STIG'i, manualne procedury, mające pomóc w analizie bezpieczeństwa oraz skrypty automatyczne dla części systemów (tzw. SRR). Przekrój systemów objętych wymaganiami jest ogromny, zaczynając od systemów operacyjnych, idąc przez systemy bazodanowe, sieci a skończywszy na tworzonych przez programistów aplikacjach. Artykuł zawiera również krótką analizę pewnych braków, niedogodności i wad wyżej wymienionych metod oraz jest próbą odpowiedzi w jakim kierunku powinien iść ich rozwój.
EN
This article is an attempt to analyze the available, non-intrusive methods of analyzing and assessing if the overall security of computer systems. These methods do not interfere directly in the working systems, focusing largely on static analysis of the system. The analysis base on the finding of compliance with the various safety requirements, formed by the DISA organization. This organization presents its requirements in three ways: by creating the static requirements, so-called STIGs, manual procedures (checklists), helped in the analysis of the security and automated scripts for system components (SRR). The scope of the systems covered by the requirements is very big, including operating systems, database systems, the network and applications created by software developers. This article also contains a brief analysis of some shortcomings, disadvantages and drawbacks of the above-mentioned methods and is an attempt to answer for the question: what should be done in the nearest future for static security analysis.
first rewind previous Strona / 1 next fast forward last
JavaScript jest wyłączony w Twojej przeglądarce internetowej. Włącz go, a następnie odśwież stronę, aby móc w pełni z niej korzystać.