web-dev-qa-db-ja.com

4ダイヤルのコンビネーション南京錠:ゼロにするか、ロック後にダイヤルを盲目的に回転させる方が安全ですか?

this oneLock

ロックした後、ユーザーが通常行うことは2つあります。

  • すべての桁を0にリセットして、組み合わせが0000になるようにする、または
  • ダイヤルを少し磨き上げて、組み合わせが何か他のものを読み取るようにします。

両者には機能的な違いはないと強く感じていますが、ベストプラクティスを設定することをお勧めします。では、ロックにはランダムな組み合わせがあり、正しい組み合わせを入力しないと事実上解読できないと仮定すると、どちらのアプローチがより安全ですか?

156
Peter Schilling

理論的には、ゼロ調整または事前に決定されたシーケンスは、可能な限りより安全です。理論的には、誰かが文字盤をどこまで動かすかを推測します。

十分に異なる状況でロックされているときにダイヤルの状態を確認できた場合、毎回同じ方法でリセットされている可能性のある組み合わせを絞り込むことができることも考えられます。

実際には、これはおそらく少し離れており、組み合わせロックを持つものはおそらくより大きな懸念があります。たとえば、組み合わせが多すぎる人々に知られている、または1950から2018までの任意の数と適度に有名な人々の誕生年はおそらくかなり高いという事実いいでしょう。

明確に明確なガイドラインを提供し、特に実際に物理的にチェックする場合は、チェックを行う人がその組み合わせを知る必要なく、ロックが安全であることを視覚的に簡単にチェックできるため、組み合わせをゼロに設定することには運用上の利点があると述べたロックが閉まっていると問題があります。たとえば、ロックを開けるとアラームが鳴ります。確かに議論の余地はありますが、ゼロ化の追加ステップを追加すると、ルーチンが増えるため、ロックを設定し忘れる可能性が低くなると主張することもできます。

たとえば、夜の警備員がいる場合は、すべてのロックが0000に設定されていることを確認するように依頼するだけです。これは、実行が簡単で、検証も容易です。

また、ロックが改ざんされていない(確かに弱い)チェックも行われます。ここでは、より任意のシーケンスの方が適しています。

たとえば、あなたが去るときにすべてのロックを2375に設定し、戻ったときにシーケンスが異なる場合、誰かがそれらをいじっていたことがわかります。

また、一部の種類の組み合わせダイヤルロックは、各ダイヤルをすばやく切り替えたり、外側から調べたりして、各ダイヤルがかみ合うときに感じることがあるので、選択するのが非常に簡単であることにも注意してください。同様に、4ダイヤルロックには10,000(10 ^ 4)通りの組み合わせしかなく、多くの場合、体系的に組み合わせを非常に迅速に処理できます。

118
Chris Johns

私はそれを0000または他の指定された組み合わせに設定することをお勧めします(実際には何でもかまいません)。

「文字盤をいじり回す」というのは少しあいまいですが、私自身の行動からすると、人々はほとんどまたはすべての文字盤を一度に動かす傾向があり、現在の組み合わせとロックの組み合わせの間に強い相関関係が生まれると思います。たとえば、ロックの組み合わせが1234の場合、誰かがそれを5678に変更する可能性があります(おそらく正確ではありませんが、攻撃者が試行する組み合わせに優先順位を付けることができるほど十分に近くなります)。

人間はまた、いくつかのことを考える傾向がありますseem彼らが実際にセキュリティを弱めるとき、より安全です。 2142がロックの組み合わせに「近すぎる」ため、1234を2142ではなく6578に変更するなど、誰かがそれをロックの組み合わせから「遠く」にある組み合わせに設定しようとする場合があります。これにより、攻撃者は組み合わせを試みる順序に優先順位を付けることができます。このような問題を回避するために定数値を指定して設定します。

192
AndrolGenhald

それはどうでもいい事です。

ロックは、3つの形式の保護を提供できます。

  1. 攻撃者がリソースにアクセスするのを遅らせて、リソースを中断および停止できるようにする
  2. 改ざんの証拠を提供する
  3. 攻撃者となる者が攻撃を仕掛けないようにする

回答とコメント全体で説明したように、攻撃者を遅らせるという点では多くのことを行うことができません。ロックは、次のようなツールで簡単に切断できます $ 10ペアのボルトカッターCGCampbellコメント が示すように、 ツールで簡単に選択できます にすることができます。

簡単に選択できるため、改ざんの証拠としての効果も制限されます。 その他の回答 ピッキングツールがなくてもかなり簡単に打ち負かされる可能性があることを指摘します。したがって、それも本当に失敗します。

これは心理的利益としての唯一の価値を残します。内部の貴重品は無制限のアクセスを目的としたものではないことを伝えており、道徳観や捕らえられる恐怖心が人々の試みを妨げるのを防ぎます。

したがって、文字盤が置かれているものは、その防御機能との関連性がほとんどありません。その結果、心理的な影響を超えるものが含まれている場合、セキュリティの目標を達成するには他の防御メカニズムが必要になります。監視(ビデオまたは直接)が必要な場合、証拠をより確実に改ざんできます。それが実行可能でない場合、それを達成する他の方法があります。意図した攻撃者から保護する場合は、他の保護手段が必要です。

34
jpmc26

それをゼロにします。作業量は増えるかもしれませんが、回転が少なすぎたり、複数のダイヤルで同じ量だけ回転したりするリスクはありません。攻撃者はどちらの場合も続行する必要はほとんどありませんが、ほとんどの人はこれを考慮しません。 2つの間の実際の実際のセキュリティはおそらくほぼ同じです。彼らはそれをゼロにするなら、続行するためにnothing余分があるでしょう、そしてそのような習慣を形成するのは良いことです。

23
AJAr

この質問に答える際に考慮すべき点がいくつかあります。

  1. 統計的な答えを探している場合、ダイヤルを「スピン」させると、ランダムに順方向および逆方向に特定の回数ダイヤルされます。 (それは私が持っていない計算になるので、私には数がありません。ランダムと見なされるためにベガスで必要なシャッフルの数のようです。)

  2. これをセキュリティの観点から見ている場合は、特定の数値に設定することをお勧めします(0000はその特定の数値である場合があります)。そのより良い答えが他の投稿で触れられた理由ですが、要約すると、ダイヤルが確実にダイヤルされるように「考える」ためにロックをロックしている人を必要とします。動きを推測するための統計情報はありません。それは改ざんの定期的な「発見」を可能にします(数字を移動させる場合でも)。設定した数が0000の場合、改ざん部分は、誰かがそれを0000に戻すことを覚えているため、効果が低くなる可能性があります。

残念ながら、ロックを開こうとする人が彼らが何をしているのかを知っている場合、これらすべては全体的にいくぶん気の毒です。写真のような4桁のコンボロックは、通常、経験のあるユーザーが30秒未満で開くことができます。彼らが薄いシムを持っている場合は、さらに速く...これがどのように行われるかを示す典型的な例のビデオ(ただし、より多くの露出したダイヤルを使用) https://www.youtube.com/watch?v=ABKsUNitXqw =または https://www.youtube.com/watch?v=jmhSSuCIdPI 。 DefConで数年間働いた経験があるので、ロックピッキングの村に数分間座って、15分未満のトレーニングで若い大人がこれらのものをすばやくポップするのを見るのは驚くべきことです。

これらがポップするのがいかに簡単か、そしておそらく改ざんを心配しているという事実を知っているので、上記の#2は長期的な方法です。

11
Marcos

セキュリティのレベルをさらに高めるには、ゼロ化に両方向を等しく使用するか、常にすべてを単一方向に回転させて、同じ量の指紋を残します。人々は一度数を選んでそれを記憶する傾向があります。 0から(またはその近くへの)正しい組み合わせのパスは、UVライトで明らかになる可能性があります。

示されているゼロ以外の組み合わせがブラインドスピニングかハンドピックかを推測するよりも、もっと簡単だと思います。そして、それが盗まれたら、時間と組み合わせは無関係になります。秘密が危険にさらされていることを知らずに、背を向けている間に現実化する可能性がある脅威に集中します。

6
Esa Jokinen

理論的には、これを0000に設定することは、以前のものとの相関の可能性がないため、優れています。実際には、コンプライアンスをチェックする方法があるので少し優れていますが、十分なランダム化を必要とする特定の手順では、単純にブラッシングするのではなく、実際にプロトコルに従っているかどうかを簡単にチェックできません。一緒にすべての車輪の上に彼らの親指。

しかし、さらに実用的には、このようなロックに依存して深刻なセキュリティを確保することはまったく愚かです。このレベルの分析の価値がある場合、おもちゃではないロックの価値があります。ボルトカッターが支配する。

4
user175731

結果をゼロにすることの詳細。これが私の推奨するアプローチです。これは理論の答えです。

攻撃者は、ゼロ化、固定値への設定、または数字のスクランブルによってロックをリセットする方法を知っていると仮定しても、正しい組み合わせについてゼロの知識を維持しているため、ランダムな組み合わせと一致する確率は等しいはずです。

ランダムソースの完全なソースは人間ではないため、これは「マッシングアラウンド」で破られる可能性があります。実際には最悪の場合があります。

数字の周りのマッシングは、真またはランダムなソースに基づいて数字を回転させる機械/電子デバイスで機能します。

しかし、通常、人間は数字パターンを適用するため、検索可能な値が減少する可能性があります。

あなたと攻撃者が一連のロックを共有しているとします両方とも組み合わせを知っています。通常、たとえば、リール上で指を「ランダムに」スワイプして、別の番号を指すようにします。または、脳が保持したい順序でリールを移動します。

たぶん誰かが、結果の数値が正しい組み合わせとは異なるすべての桁を表示するか、各桁を変更するときにticksの最小数を表示することを確認します。

これは既知の平文攻撃試行回数の増加をもたらし(これも理論上の答えです)、追加攻撃者が持つべきではない組み合わせに関する情報。

強調された追加はどういう意味ですか?これは、攻撃者が1桁の数字が間違いであると間違いなく判断できたとしても、必要なブルートフォース攻撃を1000だけ落としたことになります。桁をさらに追加して、攻撃対象を制限します。

0000または事前定義された値に設定すると、すべての組み合わせのオッズが同じになります

実用的な意味でそれは重要ではありません。ブラインドスクランブルを解除することは、ダイヤルを動かしてロックの感触を得ることよりも難しくなります。ダイヤルを回してどのように反応するかを感じるだけで、コンビネーションロックを開くのはかなり簡単です。このような組み合わせロックは、穏やかな抑止力にすぎません。

1
Qwertie

すべて0を要求するのは面倒なセキュリティシアターであるため、実際にはすべて0を使用するよう要求することはかなり悪い考えです。

両者には機能的な違いはないと強く感じていますが、ベストプラクティスを設定することをお勧めします。

ベストプラクティスは、人々が一貫して従うものであり、コホートが重要性を理解しているものでなければなりません。誰かがすべてを0に設定するのを忘れたとき、またはそれがささいなことに気がつかないときに続く引数。もちろん、チームの他のすべての人は、それが違いをもたらさないことを知っています。少なくとも、「技術的に」で始まらない違いはありません。

経営陣がセキュリティに関して文字主義である場合、従業員はすぐに文字主義であると期待できます。人々が本当に動揺した場合、管理職が望んでいるように、地上のロックがすべて0に設定されていて、金庫がいつか開くのを期待できるでしょう。

0
djechlin

たとえば、別の乱数3234を修正して、ロック後にこの番号に戻すこともできます。これにより、0000の代わりにで遊んだかどうかを簡単に知ることができます。

0
user175812