tag:blogger.com,1999:blog-5399811056563385935.post7496484084190501111..comments2023-09-21T14:48:16.670+02:00Comments on Security By Default: No, no te van a identificar remotamente con el DNIe 3.0Yago Jesushttp://www.blogger.com/profile/16830228750771246202noreply@blogger.comBlogger74125tag:blogger.com,1999:blog-5399811056563385935.post-79139626306941812772015-01-26T16:05:54.221+01:002015-01-26T16:05:54.221+01:00Comprar un bloqueador RFID no nos ara ningun daño ...Comprar un bloqueador RFID no nos ara ningun daño y no es tan caro que la gente se alarma muy facilmente por nada.Tsui Izuminoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-42908315390669534602015-01-22T23:39:05.468+01:002015-01-22T23:39:05.468+01:00Si tu no puedes modificar ese código no hay ningun...Si tu no puedes modificar ese código no hay ninguna privacidad. Al emitir el nuevo DNI, ¿cómo sé que ese número no esta almacenado por el sistema de información correspondiente? Quizás cualquiera no pueda acceder al DNI pero dudo que a la policía le rechacen semejante anticipo.<br />Una clave es segura cuando únicamente su usuario la conoce y es cuidadoso con ella. Es algo básico en seguridad tanto informática como en cualquier ámbito. Si esta impresa en el mismo dispositivo que protege...Davidnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-60095109918204540702015-01-22T13:57:33.699+01:002015-01-22T13:57:33.699+01:00Es una muy buena pregunta que claramente he mal-re...Es una muy buena pregunta que claramente he mal-redactado yo. Cuando digo firma me refiero a la firma manuscrita, al 'garabato'Yago Jesushttp://www.securitybydefault.comnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-15963601094857692232015-01-22T09:37:35.685+01:002015-01-22T09:37:35.685+01:00Hola Yago, cuando en el articulo dices:
> Si...Hola Yago, cuando en el articulo dices: <br /><br /> > Si nos fijamos en la foto que ilustra este artículo, parece que a la <br /> > pobre Mireia no se lo han explicado bien, ya que el número que sale en <br /> > la foto (276224) es el código necesario para acceder a sus datos, su <br /> > foto y __su firma__ mediante RFID.<br /><br /><br />A que firma te refieres ahí?Alwarnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-11118343582526500552015-01-21T21:13:12.547+01:002015-01-21T21:13:12.547+01:00Toda la razón.
Seguirán imponiendo un PIN diferen...Toda la razón. <br />Seguirán imponiendo un PIN diferente para tales cosas como uso de certificados, ¿no?Neomind Javier Jiméneznoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-20963702700217166212015-01-21T19:26:31.100+01:002015-01-21T19:26:31.100+01:00No se puede leer nada sin alguno de esos dos códig...No se puede leer nada sin alguno de esos dos códigosYago Jesushttp://www.securitybydefault.comnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-4573237197848644722015-01-21T19:25:33.355+01:002015-01-21T19:25:33.355+01:00No, una cosa es la lectura por RFID que SOLO se pu...No, una cosa es la lectura por RFID que SOLO se puede acceder a los mismos datos impresos y otra la firma digital que lleva OTRO Pin y otras medidas de seguridad. Con el DNI en la mano, NO necesitas el código de acceso RFID porque tienes LOS MISMOS DATOS en la manoYago Jesushttp://www.securitybydefault.comnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-58345902725352819632015-01-21T19:11:22.050+01:002015-01-21T19:11:22.050+01:00Vaya, que si mi DNIe-3.0 cae en malas manos (robo ...Vaya, que si mi DNIe-3.0 cae en malas manos (robo de cartera o me lo olvido en cualquier sitio) en sólo 4h (o más) en su casa, por fuerza bruta, pueden suplantarme la identidad.<br />Creo que eso es un fallo de seguridad, ya que si tu vas con mi DNI a la comisaría saben que el que lo usa no soy "yo" por la foto, pero en cambio si se hace de manera remota es factible firmar documentos y realizar trámites legales (nadie comprueba la foto del que está detrás de la tecla).<br />¿O me confundo en mi ignorancia?Neomind Javier Jiméneznoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-28310926273310390242015-01-21T13:38:11.982+01:002015-01-21T13:38:11.982+01:00La pregunta seria, para que acceder a dichos datos...La pregunta seria, para que acceder a dichos datos remotamente? aunque tenga una clave, eso se puede hackear como cualquier cosa, pero me gustaria saber cual es la finalidad del acceso remoto a una identificacion personal?Jota Parronoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-44114398067955361632015-01-19T09:24:49.188+01:002015-01-19T09:24:49.188+01:001) Totalmente falso, hay compañias dedicadas en ex...1) Totalmente falso, hay compañias dedicadas en exclusiva a esto. Que la mayoria de gente no tenga el conocimiento o las herramientas para poder investigar no las hace seguras. Es mas, en general suelen haber muchos fallos (y mas simples) en hardware.<br /><br /><br />2) Sin tomar en cuenta que la demostracion formal de un soft lo suficientemente complejo es totalmente inviable... Resulta que tu programa de 10 lineas corre en un hardware que representa miles de millones de ellas. Tus 10 lineas pueden ser muy seguras en teoria, pero depende del entorno donde se ejecuten...nonenoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-68556732444004113102015-01-19T09:16:15.629+01:002015-01-19T09:16:15.629+01:00Llegar a este tipo de conclusion sin tener en cuen...Llegar a este tipo de conclusion sin tener en cuenta el sistema en su totalidad es de un atrevimiento insultante... Una clave de 6 caracteres numerica puede ser totalmente valida, todo depende del tiempo que se necesite por intento. Ademas tienes que tener en cuenta que durante todo ese tiempo debes tener acceso en este caso a la tarjeta.nonenoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-85579103880943002212015-01-18T00:50:32.955+01:002015-01-18T00:50:32.955+01:00el número PIN actual Lleva
letras numeros signos ...el número PIN actual Lleva<br /> letras numeros signos y diferencia mayúsculas de minúsculasyo mismonoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-8090811102879705012015-01-17T16:49:39.360+01:002015-01-17T16:49:39.360+01:00¿Se sabe realmente si tendrá un número limitado de...¿Se sabe realmente si tendrá un número limitado de intentos para acceder a la información del DNI? Si fuese así, yo podría crearme un sistema que se encargase de intentar acceder muchas veces al DNI de la gente que me rodea, no conseguiría ninguna información pero obligaría a la gente a ir a comisaría y eso fastidia. Además de que inutilizaría el DNI-E.Morracensenoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-82670494316390449072015-01-17T00:12:57.164+01:002015-01-17T00:12:57.164+01:00Lee los comentarios de arriba, esto ya está más qu...Lee los comentarios de arriba, esto ya está más que debatido, aunque tengas los 40 millones de códigos, tienes que probarlos TODOS contra UNA PERSONA para sacar los datos ... es altamente inviableYago Jesushttp://www.securitybydefault.comnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-54165231977883464172015-01-17T00:12:16.547+01:002015-01-17T00:12:16.547+01:00Como ya han dicho más arriba: Si tienes la fotocop...Como ya han dicho más arriba: Si tienes la fotocopia, YA TIENES LOS DATOS que vas a poder leer por NFC ¿qué sentido tiene?Yago Jesushttp://www.securitybydefault.comnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-6568167417006368762015-01-17T00:11:48.441+01:002015-01-17T00:11:48.441+01:00No existe eso de 'recibir el código' O tie...No existe eso de 'recibir el código' O tienes el CAN o MRZ o no lees NADA que vincule a una persona ...Yago Jesushttp://www.securitybydefault.comnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-87697575451223197032015-01-17T00:09:21.029+01:002015-01-17T00:09:21.029+01:00Mediante CAN o MRZ SOLO accedes a nombre+foto+firm...Mediante CAN o MRZ SOLO accedes a nombre+foto+firma, en NINGUN CASO vas a poder firmar. Está por ver si se va a poder firmar vía NFC, y de poder hacerse, seguro que es con PIN conocido SOLO POR TIYago Jesushttp://www.securitybydefault.comnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-35028769722000350002015-01-16T17:31:52.714+01:002015-01-16T17:31:52.714+01:00Pero vamos a ver, si no hay PIN y sí un codigo par...Pero vamos a ver, si no hay PIN y sí un codigo para vincularlo a dispositivos y hacerlo accesible ( CAN ), y además sirve para más cosas ¿como se firma entonces? De hecho en el artículo menciona que al vincularlo a un dispositivo mediante el CAN, que viene expuesto en el anverso, y solo eso, ya se accede a "sus datos, su foto y su firma mediante RFID"<br /><br />Entiendo que es como el "antiguo" DNIe o certificado digital: en el momento en que lo vincules a un dispositivo ya puedes, por ejemplo, entrar en la web de la agencia tributaria y bajarte la declaracion de la renta de la persona a la que le has "chorizado" la cartera. Solo por poner un ejemplo de tantos<br /><br /><br /><br />El hecho de que no haya una verificación tipo contraseña, insisto, es un error tremendo.iGNUrantenoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-56936727171042455332015-01-16T15:52:23.336+01:002015-01-16T15:52:23.336+01:00Jejeje no se cual sera el proposito del gobiernk, ...Jejeje no se cual sera el proposito del gobiernk, la verdad, pero el decir que el numerito de 6 digitos impide a la policia identificarte en una manjfestacion.... joder, que son ellos quienes emiten el dni!! De verdad alguien duda q se vayan a quedar con una copia del numero...??Anonimonoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-16308794736624084272015-01-16T14:33:53.228+01:002015-01-16T14:33:53.228+01:00No lo veo. No es nada raro que te pidan fotocopia ...No lo veo. No es nada raro que te pidan fotocopia del DNI para multitud de sitios y trámites. Si la clave se fotocopia mil veces... no es nada segura.Arnaunoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-54234378854268868372015-01-16T13:46:24.640+01:002015-01-16T13:46:24.640+01:00Entonces con este nuevo sistema es bastante fácil ...Entonces con este nuevo sistema es bastante fácil que te clonen el DNI al pagar con tarjeta en una tienda, ¿no?<br />Lector RFID y foto. Copia hecha.J.H.P.Zeppellinnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-83175752250494000902015-01-16T08:37:13.224+01:002015-01-16T08:37:13.224+01:00Una pregunta... Si alguien ha generado las llaves ...Una pregunta... Si alguien ha generado las llaves de cada DNIe, ¿qué les impide tenerlas registradas en una BD y relacionadas con el propietario del DNI? O sea, que con un lector RFID pueden relacionar directamente el código recibido con la persona, sin PINs ni nada parecido.Dimas S.C.noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-52781063631467575362015-01-15T20:17:01.200+01:002015-01-15T20:17:01.200+01:00Hola, si el cuello de botella está en la capacidad...Hola, si el cuello de botella está en la capacidad del chip para procesar peticiones mediante RFID, ya pueden pasar 2, 3, o 4 años que el 'ancho de banda' va a ser el mismo. No obstante el tema de la fuerza bruta ya lo he dicho, en el artículo que enlazo pone eso de los viajes largos ... No dices nada nuevo. <br /><br />Respecto a lo del ataque DoS ... ¿por quien lo dices?Yago Jesushttp://www.securitybydefault.comnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-11771009509344244492015-01-15T20:10:30.969+01:002015-01-15T20:10:30.969+01:00Hola, ¿Cómo me aseguras tu que en la vacuna de la ...Hola, ¿Cómo me aseguras tu que en la vacuna de la gripe no hay <br />sustancias para el control mental?Yago Jesushttp://www.securitybydefault.comnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-15844475314625328072015-01-15T20:09:56.849+01:002015-01-15T20:09:56.849+01:00Hola, yo no aseguro nada ... yo solo te cuento el ...Hola, yo no aseguro nada ... yo solo te cuento el estándar que han seguído. ¿Cómo me aseguras tu que en la vacuna de la gripe no hay sustancias para el control mental?Yago Jesushttp://www.securitybydefault.comnoreply@blogger.com