candado de combinación de 4 diales: ¿Es más seguro ponerlo en cero o girar los diales ciegamente después de bloquearlos?

En teoría, la reducción a cero o cualquier secuencia predeterminada es más segura de lo que podría, en teoría, hacer una estimación de hasta qué punto alguien podría mover los diales.

En la práctica, esto es probablemente un poco exagerado y cualquier cosa con una cerradura de combinación probablemente tenga mayores preocupaciones, por ejemplo, la combinación que conoce mucha gente o el hecho de que cualquier número entre 1950 y 2018 más los años de nacimiento de personas moderadamente famosas es Probablemente sea una buena suposición.

Habiendo dicho que puede haber ventajas operativas al tener combinaciones establecidas en cero, ya que proporciona una clara guía clara y no ambigua y es fácil verificar visualmente que el candado está seguro sin que la persona que realiza la comprobación necesite conocer la combinación, especialmente si en realidad, verificar físicamente que el bloqueo esté cerrado es problemático, por ejemplo, al abrirlo se activa una alarma. También podría argumentar que agregar el paso adicional de reducción a cero crea más una rutina y, por lo tanto, hace que sea menos probable que las personas se olviden de establecer el bloqueo en absoluto, aunque esto es ciertamente discutible.

Por ejemplo, si tiene un guardia de seguridad nocturno, puede pedirles que comprueben que todos los bloqueos estén configurados en 0000, lo que es fácil de hacer y verificable.

También proporciona una verificación (ciertamente débil) de que los bloqueos no se han manipulado, aquí sería mejor una secuencia más arbitraria.

Por ejemplo, si establece todos sus bloqueos en 2375 cuando se va y la secuencia es diferente cuando vuelve, sabe que alguien ha estado jugando con ellos.

También debe tener en cuenta que algunos tipos de bloqueo del dial de combinación son muy triviales de seleccionar, ya que a menudo se puede sentir cuando cada dial se activa alternando rápidamente cada dial o sondeando desde el exterior. Igualmente, un bloqueo de 4 teclas solo tiene 10,000 (10 ^ 4) combinaciones posibles y, a menudo, puede ir a través de combinaciones muy rápidamente.

Recomendaría configurarlo en 0000 o en alguna otra combinación especificada (realmente no importa qué).

"Aplastar alrededor de los diales" es un poco vago, pero supongo que, según mi propio comportamiento, las personas tenderían a mover la mayoría o todos los diales a la vez, lo que crearía una fuerte correlación entre la combinación actual y el combinación de bloqueo Por ejemplo, si la combinación de bloqueo es 1234, alguien podría cambiarlo a 5678 (probablemente no exactamente, pero lo suficientemente cerca como para que un atacante pueda priorizar las combinaciones que pruebe).

Los humanos también tienen una tendencia a pensar que algunas cosas parecen más seguras cuando en realidad debilitan la seguridad. Alguien puede intentar establecer una combinación que parezca "más alejada" de la combinación de bloqueo, como cambiar 1234 a 6578 en lugar de 2142 porque 2142 está demasiado "cerca" de la combinación de bloqueo. Esto podría permitir que un atacante priorice el orden en el que intentan las combinaciones. Especificar un valor constante para configurarlo para evitar dichos problemas.

No importa.

Un bloqueo puede proporcionar tres formas de protección:

1. Evita que un atacante acceda a un recurso para que pueda ser interrumpido y detenido
2. Proporcionar evidencia de manipulación
3. Disuadir a un posible atacante para que no intente atacar

Como se discutió a lo largo de las respuestas y los comentarios, no logra hacer mucho para retrasar a un atacante. La cerradura se puede cortar fácilmente con una herramienta, como esta $ 10 por par de icono. Puede ser fácilmente seleccionado con una herramienta , como CGCampbell 's comentario señala.

La facilidad con la que se puede recoger también limita su eficacia como evidencia de manipulación. Otras respuestas señalan que puede ser fácilmente derrotada incluso sin una herramienta de selección. Así que realmente falla en eso, también.

Esto deja su único valor como el beneficio psicológico. Se comunica que los objetos de valor en el interior no están destinados a un acceso sin restricciones, lo que disuade a las personas cuyo sentido de la moral o el miedo a ser atrapado les impedirá intentarlo en absoluto.

En lo que se asienta el dial, tiene una relevancia casi nula para sus capacidades defensivas. Como resultado, necesitará otros mecanismos de defensa para lograr sus objetivos de seguridad si incluyen algo más allá de la influencia psicológica. La vigilancia (video o en persona) le brindará evidencia de manipulación de manera mucho más confiable si eso es lo que necesita; Si eso no es viable, hay otros medios para lograrlo. Se requieren otros medios de protección si su intención es protegerla de determinados atacantes.

Cero fuera. Tal vez más trabajo, pero no corre el riesgo de rotar muy poco o rotar la misma cantidad para varios diales. Sin embargo, un atacante tendría muy poco que seguir en ambos casos ... La mayoría de la gente no consideraría esto. La seguridad real del mundo real entre los dos es probablemente casi igual. Solo tendrían nada extra para continuar si lo eliminas, y es bueno crear un hábito como ese.

Hay algunas cosas que se deben tener en cuenta al responder esta pregunta.

1. Si está buscando una respuesta estadística, entonces "girando" marca un número específico de veces aleatoriamente hacia adelante y hacia atrás. (No tengo el recuento, ya que sería un cálculo que no tengo conmigo. Es como un número requerido de barajas en Las Vegas para ser considerado aleatorio).

2. Si está viendo esto desde una perspectiva de seguridad, entonces configurarlo en un número específico es la mejor respuesta (donde 0000 podría ser ese número específico). La razón por la que es una mejor respuesta se ha mencionado en otras publicaciones, pero en resumen, requiere que la persona que cierra el bloqueo "piense" para asegurarse de que se ha marcado. No proporciona información estadística en el tiempo para adivinar movimientos. Permite el "descubrimiento" periódico de la manipulación (si es que incluso para mover los números). Si el número que establece es 0000, la parte de manipulación tendrá una eficacia potencialmente menor, ya que alguien que juegue con ella probablemente recuerde volver a 0000.

Desafortunadamente, todo esto en general es un tanto discutible si la persona que intenta abrir la cerradura sabe lo que está haciendo. Estas cerraduras de combo de 4 dígitos, como la que se muestra en la foto, pueden abrirse en menos de 30 segundos por alguien que tenga experiencia con ellas. Si tienen un shim delgado, incluso más rápido ... Solo un ejemplo de video típico de cómo se hace esto (aunque con más diales expuestos) enlace o enlace . Después de haber trabajado en DefCon durante varios años, es bastante asombroso sentarse unos minutos en la aldea de cerradura y ver a los jóvenes adultos hacer estallar estas cosas rápidamente después de menos de 15 minutos de entrenamiento.

Sabiendo lo fácil que son estos elementos, y el hecho de que probablemente estés preocupado por la manipulación, el # 2 de arriba es el camino a largo plazo.

Para agregar un nivel adicional de seguridad, use ambas direcciones por igual para poner a cero o gírelas todas en una sola dirección para dejar la misma cantidad de huellas digitales. Las personas tienden a escoger un número una vez y lo memorizan. La ruta desde cero hasta (o cerca de) la combinación correcta podría revelarse con luz UV.

Creo que es incluso más fácil que adivinar si una combinación distinta de cero se muestra a partir de giros a ciegas o seleccionados a mano: memorizar lo que ya se ha intentado puede llevar un tiempo y un esfuerzo similares a los de pasar por el P999999. Y una vez que se lo roban, el tiempo y la combinación se vuelven irrelevantes: me concentraría en las amenazas que podrían actualizarse mientras le das la espalda, sin saber que los secretos fueron comprometidos.

En teoría, establecerlo en 0000 es superior porque no hay ninguna posibilidad de correlación con lo que había antes. En la práctica, es ligeramente superior porque tiene una forma de verificar el cumplimiento, mientras que cualquier procedimiento específico que requiera una cantidad adecuada de asignación al azar, no se puede verificar fácilmente para ver si las personas realmente están siguiendo el protocolo, en lugar de simplemente cepillarlo por casualidad su pulgar sobre todas las ruedas juntas.

Pero aún más práctico, es completamente estúpido depender de tal bloqueo para una seguridad seria. Si vale la pena este nivel de análisis, vale la pena un candado que no sea un juguete. Regla cortadores de pernos.

Más sobre la reducción a cero del resultado, que es mi enfoque recomendado. Esta es una respuesta teórica .

Suponiendo que un atacante sabe cómo restablecer el bloqueo mediante la puesta a cero, la configuración a cualquier valor fijo o la codificación de los dígitos, deben mantener el conocimiento cero de la combinación correcta y, por lo tanto, tener la misma probabilidad de hacer coincidir una combinación aleatoria.

Esto podría romperse con "mezclar alrededor" porque ningún ser humano es una fuente perfecta de fuente aleatoria. En realidad podrían ser los peores.

El mashing alrededor de los dígitos podría funcionar con un dispositivo mecánico / electrónico que gire los dígitos basándose en una fuente aleatoria verdadera o buena.

Pero normalmente los humanos aplicarían los patrones de dígitos que pueden reducir los posibles valores a buscar.

Supongamos que usted y el atacante comparten un conjunto de bloqueos de los cuales ambos conocen la combinación . Normalmente, por ejemplo, uno deslizaría los dedos "al azar" en los carretes para que apunten a un número diferente. O mueva los carretes en un orden que el cerebro quiera mantener.

Tal vez alguien se asegure de que el número resultante muestre todos los dígitos diferentes de la combinación correcta, o un número mínimo de marcas al cambiar cada dígito.

Esto dará como resultado un ataque de texto simple conocido de un número creciente de intentos (de nuevo, esta es una respuesta teórica) y le dará información adicional sobre la combinación que el El atacante no debería tener.

¿Qué significa enfatizado adicional ? Eso incluso si el atacante tiene éxito en determinar que un solo dígito es seguramente una suposición errónea de que simplemente ha eliminado los ataques de fuerza bruta necesarios en 1000. Agregue más dígitos para restringir la superficie de ataque.

La configuración en 0000 o en cualquier valor predefinido hace que las probabilidades de cada combinación sean las mismas

En un sentido práctico, realmente no importa, tratar de deshacer la mezcla de ciegos va a ser más difícil que solo mover los diales alrededor y tener una idea del bloqueo. Es bastante fácil abrir una cerradura de combinación con solo girar los diales y sentir cómo reacciona. Las cerraduras de combinación como estas solo son un poco disuasivo.

En realidad, es una muy mala idea exigir a todos que usen todos los 0, porque exigir todos los 0 es un teatro de seguridad engorroso.

  

Tengo la fuerte sensación de que no hay una diferencia funcional entre los dos, pero me alientan a establecer una mejor práctica.

La mejor práctica debe ser algo que la gente haga y siga de manera consistente, y algo para lo que su cohorte entiende la importancia. Los argumentos que surgirán cuando alguien se olvide de poner todo a 0 o no se sientan como si no fuera nada más que mezquino. Por supuesto, todos los demás miembros de su equipo saben que no hay ninguna diferencia, al menos no una diferencia que no comience con "bien técnicamente".

Cuando la administración es literalista acerca de la seguridad, se puede esperar que los empleados sean literalistas de regreso a ellos. Si la gente realmente se enojó, podría esperar encontrar el bloqueo en el terreno establecido para todos los 0 y el seguro abierto algún día, tal como lo quiere la administración.

también podría corregir otro número aleatorio 3234, por ejemplo, y devolverlo a este número después del bloqueo, por lo que es más fácil saber si se ha jugado con él, en lugar de 0000

En teoría, son igualmente (in) seguros. Si uno de ellos fuera más seguro (por ejemplo, girando a ciegas los diales), el atacante también lo sabría y establecería el bloqueo en "0000" para reducir la complejidad, y viceversa.

Una cosa a tener en cuenta, sin embargo, es que los dígitos giratorios al azar teóricamente darían tu código si es "más fácil" girar el dígito a la posición correcta (lo que debería significar que es un bloqueo muy malo, pero que yo sepa, algunos bloqueos son como ese). Por lo tanto, si desea introducir algún elemento aleatorio, puede que sea mejor que ingrese un número aleatorio, asegurándose de que no esté demasiado cerca del número correcto y estableciendo el bloqueo en ese número