Здравствуйте, Privalov, Вы писали:
P>Как-то биологи подключили к мозгу крысы какую-то хрень, воздействтвавшую на центры наслаждения в её мозге. И показали кнопу или педаль, на которую надо нажимать, чтобы получать наслаждение. В итоге крыса умерла. Она ничего больше не хотела, только давить на педаль.
Это никак не приближает к пониманию механизма наслаждения/страдания. Можно подать наслаждение через привычные паттерны. Можно напрямую. Но сама система, способная наслаждаться и страдать — по прежнему черный ящик. Возможно задействованы некие квантовые эффекты, как считает Пенроуз и ко.
S>>Такие вопросы — это просто выжимка и перевод из документации — т.е. чтобы на них отвечать — интеллект даже не нужен. Просто проиндексировать документацию нужно. P>Это что-то новое. Отвечать на вопросы и не включать мозг? Впрочем, сейчас и в научные журналы такие статьи принимают.
Смотря какие отделы мозга. Мозг нужно включить даже чтобы стихотворение наизусть выучить, при этом никакой интеллектуально сложной задачи не решается.
S>>Про это у него стоит стандартная заглушка — говорит что у него сознания нет, но что такое сознание — никто не знает. P>Это искусственный интеллигент не знает. Потому что не обладает им и не может изучать. Впрочем, он ничего не может изучать.
Этого никто не знает. Когда ответ будет получен — наша цивилизация прекратит существование.
Здравствуйте, Shmj, Вы писали:
S>Это никак не приближает к пониманию механизма наслаждения/страдания.
А какое отношение вся эта писанина имеет к теме? Обсуждается Passkey, если я правильно помню.
S>Этого никто не знает. Когда ответ будет получен — наша цивилизация прекратит существование.
Да-да, когда человек узнает имя бога, наступит конец света.
Здравствуйте, Privalov, Вы писали:
P>А какое отношение вся эта писанина имеет к теме? Обсуждается Passkey, если я правильно помню.
Так а зачем вы начали обсуждать ИИ?
S>>Этого никто не знает. Когда ответ будет получен — наша цивилизация прекратит существование. P>Да-да, когда человек узнает имя бога, наступит конец света.
Возможно это два эквивалентных вопроса, если древние под именем подразумевали суть.
Здравствуйте, Shmj, Вы писали:
S>Так а зачем вы начали обсуждать ИИ?
В любом случае я придерживался контекста. Про ИИ я спросил, потому что вы слишком часто его упоминаете, постоянно на него ссылаетесь. Ширина охвата, как у того учёного кота, даже больше. Источник знаний?
Здравствуйте, Privalov, Вы писали:
P>В любом случае я придерживался контекста. Про ИИ я спросил, потому что вы слишком часто его упоминаете, постоянно на него ссылаетесь. Ширина охвата, как у того учёного кота, даже больше. Источник знаний?
ИИ вне контекста тут. А так что угодно натянуть можно.
Здравствуйте, Shmj, Вы писали:
S>ИИ вне контекста тут. А так что угодно натянуть можно.
Это всё объясянет.
Как можно что-то обсуждать, не придерживаясь контекста? Я в начале просто сказал, что ничего не слышал о предмете обсуждения. Про ИИ упомянул, как я уже писал, потому что вы с ним постоянно общаетесь, и он мог быть источником знаний информации.
Здравствуйте, Shmj, Вы писали:
S>Так тут же не зря древовидная структура. Иногда из одной темы выделяют ветку, если отклонились, но тема достойна обсуждения.
И вы этим тут же воспользовались и стали мне рассказывать разную ересь, не имеющую отношения к теме. Которую, на минуточку, вы сами и создали.
Здравствуйте, Shmj, Вы писали:
vsb>>Потому, что у него компьютер без TPM. Ещё на линуксе не работает из коробки вообще никак. Но в принципе есть софтовые реализации в bitwarden, keepassxc, должны помочь для такого случая.
S>У меня стоит keepassxc. Он разве интегрируется с браузером?
Здравствуйте, Shmj, Вы писали:
S>Слышали ли вы про Passkey S>
S>Passkey — это новая технология аутентификации, предназначенная для замены традиционных паролей более безопасными и удобными методами. Она основана на стандартах FIDO2 и WebAuthn, которые используют криптографические ключи для подтверждения личности пользователя без необходимости вводить пароль.
А что нового? Обычный публичный и приватный ключи.
S>https://en.wikipedia.org/wiki/WebAuthn S>https://www.w3.org/TR/webauthn-2/ S>Попробовать можно тут: https://webauthn.io/ S>Используете ли вы это?
Не знаю.
S>Слышали ли?
Да.
S>Нравится ли?
Я не понял, что мешает хакеру при наличии доступа к системе пользователя нагенерить себе signed assertions? Незнание PIN? В чём сложность подобрать PIN? Ограниченное число попыток? Значит хакеру очень просто заблокировать любой доступ пользователю?
Здравствуйте, B0FEE664, Вы писали:
BFE>А что нового? Обычный публичный и приватный ключи.
Стандарт. Наличие стандарта позволяет разрозненным системам разговаривать на одном языке и понимать друг-друга.
По сути в программировании все зиждется на стандартах и протоколах — это, по сути, умение находить общий язык.
S>>Нравится ли? BFE>Я не понял, что мешает хакеру при наличии доступа к системе пользователя нагенерить себе signed assertions? Незнание PIN? В чём сложность подобрать PIN? Ограниченное число попыток? Значит хакеру очень просто заблокировать любой доступ пользователю?
Нужно ввести этот вопрос в GPT — но мне лень. Какая-то защита может быть предусмотрена — как то каждая подпись имеет срок жизни, защита диалога подтверждения — как то нельзя с помощью API OS нажать на кнопку в этом диалоговом окне и т.д.
Я вот что скажу. Если рассуждать фундаментально, абстрагируясь от мелочей, то технологии беспарольной аутентификации (а если брать шире — то все технологии, уводящие секрет из мозга в какой-либо другой орган или предмет) — херня на постном масле. По следующим причинам:
1. Можно единомоментно лишиться телефона, ноутбука и аппаратного токена. И всё, плакал твой доступ.
2. В случае аутентификации отпечатком пальца: можно точно так же лишиться пальца, и всё, ты не только лишился доступа, но его одновременно приобрел твой враг.
3. Отпечаток пальца, радужка, голос еще и несменяемые. Враг сделает качественный скан/слепок/запись, и опаньки, ты не можешь эти врожденные факторы сменить. А пароль запросто.
4. В случае аутентрификации по SMS: достаточно лишь одного коррумпированного сотрудника опсоса, чтобы всё заверте...
Здравствуйте, zx zpectrum, Вы писали:
ZZ>4. В случае аутентрификации по SMS: достаточно лишь одного коррумпированного сотрудника опсоса, чтобы всё заверте...
Ну в текущей реализации — что Google что Apple что MS — как бы выступают доверительным сервисом, который хранит бекапы ваших закрытых ключей. Т.е. если вы даже теряете все девайсы — все-таки остается способ восстановить из бекапа на новый девайс.
По сути эти 3 монстра — Google, Apple и MS — владельцы ОС — и так знают или могут знать скрытно все ваши пароли — вы им по-любому 100% доверяете безусловно. Так что проблемы нет. Исключение касается тех кто юзает линукс как основную систему, но таких людей мало.
А вот что будет если вы захотите уйти жить в тайгу лет на десять без Starlink и потом вернетесь — тут да, скорее всего вашу учетную запись удалят и придется начинать цифровую жизнь с нуля.
Здравствуйте, B0FEE664, Вы писали:
BFE>Я не понял, что мешает хакеру при наличии доступа к системе пользователя нагенерить себе signed assertions? Незнание PIN? В чём сложность подобрать PIN? Ограниченное число попыток? Значит хакеру очень просто заблокировать любой доступ пользователю?
Здравствуйте, Константин Б., Вы писали:
BFE>>Я не понял, что мешает хакеру при наличии доступа к системе пользователя нагенерить себе signed assertions? Незнание PIN? В чём сложность подобрать PIN? Ограниченное число попыток? Значит хакеру очень просто заблокировать любой доступ пользователю?
КБ>Тоже что помешает хакеру поставить свой пароль.
А этому ничего не мешает: в любой достаточно большой конторе подходишь к залоченному компьютеру коллеги, три-четыре раза набираешь произвольный пароль при попытке входа и всё: работа коллеги заблокирована на ближайшие полчаса минимум (в зависимости от настроек безопасности).
Здравствуйте, B0FEE664, Вы писали:
BFE>А этому ничего не мешает: в любой достаточно большой конторе подходишь к залоченному компьютеру коллеги, три-четыре раза набираешь произвольный пароль при попытке входа и всё: работа коллеги заблокирована на ближайшие полчаса минимум (в зависимости от настроек безопасности).
Но при этом пароль вы не поменяли — просто заблокировали работу.
С паролем нужно ограничивать кол-во попыток, т.к. кожаные максимум 12 символов могут запомнить.
А вот с ключом можно не ограничивать, т.к. легко можно создать ключ, для перебора которого потребуется сжечь всю Вселенную — и даже 1% комбинаций не переберешь.
Здравствуйте, Shmj, Вы писали:
S>С паролем нужно ограничивать кол-во попыток, т.к. кожаные максимум 12 символов могут запомнить. S>А вот с ключом можно не ограничивать, т.к. легко можно создать ключ, для перебора которого потребуется сжечь всю Вселенную — и даже 1% комбинаций не переберешь.
Так это если взламывать ключ, а я про пин-код говорю. Он-то всего 4 цифры, а значит должна быть задержка или количество попыток.
Здравствуйте, B0FEE664, Вы писали:
BFE>Так это если взламывать ключ, а я про пин-код говорю. Он-то всего 4 цифры, а значит должна быть задержка или количество попыток.
PIN-код можно вводить на защищенном рабочем столе, которы блокирует API операционной системы — чтобы ни хуков на клавиатуру ни доступа к тексту окна — не было, т.е. исключить эти API в данном режиме. Что для обычного пароля сделать не представляется возможным.
Но это защита от вредоносного ПО.
Что же касается защиты от физической атаки, когда атакующий находится с тобой в одной комнате и имеет доступ к компьютеру — то PIN-код даже хуже пароля, т.к. обычно его делают более коротким. Как я понял, сейчас идут по пути безопасной физической среды и опасной интернет-среды, т.е. считается что в твою комнату могут проникнуть только безопасные люди, а вот Интернет по умолчанию опасен.
В том то и фишка — все-равно все в конечном итоге держится на доверии. Доверие как минимум производителям ОС. Доверие коллегам. Ну можно камеру в офисе поставить и потом по попке нахлопать хулигана, который вводит неправильные PIN-коды и блокирует компьютеры.
Здравствуйте, zx zpectrum, Вы писали:
ZZ>Я вот что скажу. Если рассуждать фундаментально, абстрагируясь от мелочей, то технологии беспарольной аутентификации (а если брать шире — то все технологии, уводящие секрет из мозга в какой-либо другой орган или предмет) — херня на постном масле. По следующим причинам:
ZZ>2. В случае аутентификации отпечатком пальца: можно точно так же лишиться пальца, и всё, ты не только лишился доступа, но его одновременно приобрел твой враг. ZZ>3. Отпечаток пальца, радужка, голос еще и несменяемые. Враг сделает качественный скан/слепок/запись, и опаньки, ты не можешь эти врожденные факторы сменить. А пароль запросто. ZZ>4. В случае аутентрификации по SMS: достаточно лишь одного коррумпированного сотрудника опсоса, чтобы всё заверте...
Т.е. по твоему биометрия и sms-аутентификация пока еще не достаточно рапространены?
Ну ладно коррумпированые опсосы — вроде такие случаи действительно бывали. А отрезаные пальцы то где?
