Van fénykép a belépőkártyádon?

Címkék

Van
40% (217 szavazat)
Nincs
32% (172 szavazat)
Mi az a belépőkártya?
25% (138 szavazat)
Csak a válasz érdekel
3% (17 szavazat)
Összes szavazat: 544

Hozzászólások

Van, de 7 éves kép.
Ismerek olyat is, akinek 11 éves kép van a kártyáján.

Feher kartya fekete sorszammal. Ha valaki megtalalja nem tudja, hogy hova lehet vele belepni es tippelni sem tud, hogy milyen jogosultsagokkal.

-----
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Van, de soha senki nem nezi meg, illetve olyan fos minosegu a nyomtatas, hogy ha valaki meg is nezi, semmire sem megy vele...

Van 2 belepokartyam es pluszban egy muanyag lap fenykeppel es ceglogo-val; mindez egy ~1500 magyar munkavallaloval rendelkezo nemzetkozi IT cegnel.
Eeeegen, rohejes.

Meg nincs, de lesz, es emiatt rendkivul szomoru vagyok. Mondjuk a ceges jelszo policykat elnezve, mar semmin sem csodalkozom. :P

--
|8]

Van, friss, mert most kezdtem az uj helyen, de sok ertelmet nem latom.

Nincs belépőkártyám. Ujjlenyomat van.

---
"A megoldásra kell koncentrálni nem a problémára."

Azt nem tudom.
Viszont nem hagyod el, nem felejted otthon... :)

Másrészt pedig, ha már személy szerint az én ujjlenyomatomat lopják azért, hogy ide bejussanak, az olyan szintű célirányos tevékenység, ahol már szinte mindegy milyen a beléptetés. :)
Míg egy elhagyott mágneskártyát, rajta a XYZ Rt./Kft. felirattal, azt a suhancok is brahiból tesztelik.

---
"A megoldásra kell koncentrálni nem a problémára."

Korábbi melóhelyemen volt 3 különböző belépő kártyám, 3 különböző telephelyre, egy teljesen fehér proximity card, egy szürke token, és egy proximity card névvel, cég logóval, fényképpel, de azt nem értettem hogy miért kellett külön belépő mindenhova. Elvileg a fényképes rész arra volt jó, hogy azzal igazoljuk magunkat külső cégeknél hogy tényleg mi jöttünk a hibát javítani, de soha senki se ellenőrizte, így egy idő után fel se mutattuk..
Magyar cég, >1000 fő.

Van számos belépőkártyám különféle ügyfelekhez. Van, amin van fénykép, van, amin nincs.

A saját cégemhez nem kártya alakú (szürke korong a kulcstartómon) és így fénykép sincs rajta.

Szóval
x Van
x Nincs
x Mi az a belépőkártya?

Matek erettsegid van? Mert ez a szavazas ezekkel az opciokkal az altalanos iskolas matek oran is halmazelmeletbol visszakezbol elegtelen.

"Nincs belepokartya nalunk / Otthonrol dolgozom" nem fert volna bele? ;)

Szerintem ez a "Mi az a belépőkártya?" opció, legalábbis én arra szavaztam, mert nem tudom elképzelni, hogy azt valaki ne tudná mi az a belépőkártya.
Szerintem ez csak amolyan vicces megfogalmazás.
Ha kiderül, hogy rosszul gondoltam, akkor átrakom a szavazatom az egyébre.

Van fénykép és mindenféle információ (picit személyi + jogosítvány jelleggel). Belépéskor fényképem a portás monitorán is megjelenik a különféle vizsgáim/vizsgálataimmal (pl egészségügyi) érvényességével együtt.

Csak a válasz érdekel, mert nincs fénykép a belépőkártyámon, nincs belépőkártyám, de viszont tudom, hogy mi az.

Ellenben ha már így felmerült a téma... Szerintem komoly biztonsági megfontolás egyszerűen nem állhat olyan cég mögött, amelynél egy belépést biztosító eszköz (kulcs) láttán bármilyen használható információra is lehet következtetni.
Az, hogy egy kártyán fel legyen tüntetve annak a cégnek a neve, ahol az a kártya nagyobb eséllyel enged be egy zárt ajtón, mint bárhol máshol - már önmagában egy óriási biztonsági kockázat. Ide értendő annak a "nyakbaakasztója" is (hívják bárhogyan is azt a pántlikát, amivel a kártya nyakban hordható).
Dolgoztam olyan helyen, ahol a beosztottak saját irodakulcsot kaptak, bármikor bemehettek az irodába - sokan pedig céges kulcskarikára rátették a cég marketing megfontolásból gyártatott saját emblémás kulcstartóját, vagy az ilyen "nyakbaakasztóját". Egyszer megkérdeztem egy megbeszélésen a vezetőségtől, hogy "ha Marika elhagyja az utcában levő SPAR-ban az irodakulcsát, mekkora esély van arra, hogy nem találják meg a hozzá illő zárat?" - volt is pislogás és azonnali intézkedés. Ez szinte olyan, mintha az otthoni kulcskarikámra ráírnám a lakcímemet. Legalábbis egy telephelyes cég esetén mindenképpen.

Néha a metrón látok egyéneket, akik már otthon "beöltöznek" a belépőkártyájukba, szinte nincs olyan, amelyről ne lehetne látni, hogy hova tudnék vele bejutni, ha "lenyúlnám" az illetőtől...

A fénykép aztán pedig... már csak hab a tortán.

Igen. Amit ugyan valamiért szitokszóként szokás használni, pedig elég fontos védelmi vonal, hogy nem szivárogtatunk adatokat :) Baj akkor van, ha ez az egyetlen védelmi vonal. Vagy ha szerinted nem mindegy, hogy ha zsebesjózsi talál egy kártyát, akkor előzékenyen ráírják neki a címet, hogy hol lehet megpróbálkozni, vs egy darab fehér plastik, akkor nem szóltam.

Ráadásul itt nem a cím nem megadása a security by obscurity, hanem a ráírása insecurity by stupidity. :)

(szerk: ha esetleg arra utaltál, hogy nincs odaírva, odaírtam én, hogy <address> , csak kacsacsőrbe, a modern drupal meg megette, most nézem. )

A másik oldalba belegondoltál?
Az, hogy a kártyára nincs ráírva, hogy hova tartozik, fals biztonságérzetet adhat az ottdolozóknak, mint egy védelmi vonal.

Ha meg tényleg érzékeny adatokkal dolgoznak, és valaki be akar oda jutni, eg. social engineering útján, az úgyis tudni fogja hova kell menni, és mancikának fel sem fog tűnni, amikor belebotlanak a metrón, hogy kivegyék a nyakából a kártyát. Ha ügyes zsebesre bízzák a lépést, akkor még a tok is megmarad a nyakában, és csak következő reggel veszi észre Mancika, hogy hoppá, a belépője nincs a tokjában.

Na ezért nem hiszek én a security by obscurity-ben.

Bele. És egyet is értünk, semmi olyat nem mondtál, ami cáfolná bármi állításomat. Az, hogy nincs rányomtatva a cím, az egy dolog ellen ad valamennyi védelmet: a véletlen elhagyott, vagy mondjuk a táskával / kabáttal opportunistán járulékos nyereségként ellopott kártyával az egyszeri zsebes kezébe nem nyomjuk tálcán, hogy itt lehet vele bepróbálkozni egy kicsit még. Mindezt azért, hogy esetleg ne kelljen pótolni egy párszáz forintos plasztikot. (Amit extrém esetektől eltekintve 1-2 nap alatt úgyis elkezdünk pótolni, addig meg a jóhiszemű sem nagyon juttatja vissza, szóval kő kreténség)

Természetesen ez célzott támadással szemben semennyire nem véd. Nem is dolga, és nem is ringat senkit se, akinek egy csöpp esze is van ilyen hitbe. (Viszont célzott támadás esetén meg tök mindegy, hogy nincs rajta, hiszen tudják, hova akarnak bejutni, hátrébb nem vagy vele, ha nem írod rá).

Pont mit a tűzfal. Nem engedünk teret script kiddieknek azzal, hogy letiltogatunk mindenféle nem használt szolgáltatást, áttesszük az ssht másik portra, eldugjuk az OS/service fingerprintingre hasznos infókat ha tudjuk. Ez security by obscurity. Ettől még természetesen ha lukas a szolgáltatás, az ellen nem véd, meg ha valaki célzottan akar támadni, az ellen se (bár a dolgát nehezítheti). Ettől függetlenül bizonyos riskeket csökkent, néhány támadási vektort eliminál. Aztán lehet mérlegelni, hogy milyen benefit megy vele a levesbe (pl kétségtelenül sok szemetet kiszűr, ha tiltjuk a pinget, cserébe adminisztrációnál állandóan szopni fogunk), és eldöntjük, hogy megéri-e. A cím ráírása a kártyára szerintem gyakorlatilag semmilyen benefittel nem jár, cserébe mézesmadzagot tart egy tök reális támadási vektorhoz.

Röviden: ha valami csak azért secure, mert obscure, az baj. Az, hogy a védelem része az is, hogy nem szivárogtatunk adatot, az nem baj, sőt, és szűklátókörűség leírni, hogy az nem jó security.

Úgy látom mégsem értünk teljesen egyet.

Neked lehet, hogy evidens, hogy érted annak is a jelentőségét, ha rá van írva a kártyára, hogy hol használható, meg annak is ha nem.
Számomra is.
Bárkinek, aki foglalkozik security-vel.

De nem mindenki fog security-vel foglalkozni.
Jó helyen cégkultúra része az is, hogy ha a security awareness jegyében a kollégáknak felvilágosító előadások vannak tartva, és tudják, hogy ha észreveszik, hogy eltűnt a kártyájuk, azonnal letiltassák azt.

Amúgy... Belegondolva: Mostani helyemen van név, vonalkód és fénykép a kártyán + rfid.
A cégnév nincs rajta. DE
kb. mindenki tudja, hogy ha ilyen kártyát lát, akkor az itt dolgozik.
Mindenki alatt, kb. tényleg random mindenki értendő. ha kb. 2-5 utcányi távolságra bemegyek egy boltba, ahol a nálunk dolgozóknak discount van, akkor felismerik a kártyát, cégnév nélkül is.
Egyik kolléga mesélt olyan sztorit is, hogy próbálták egyszer valamelyik US reptéren szopatni mindenféle baromságra hivatkozva (pl. hogy miért van dzsekiben, mikor meleg van, azt leszarták, hogy már ca. 12-18 órája volt úton, ahonnan elindult ott kib. hideg volt, stb.) és abba is próbáltak belekötni, hogy melóügyben jár ott. Többek között az egyik indoklása az volt a muksónak, hogy a cégneve nem volt rajta a belépőkártyáján. Gyönyörű volt még hallgatni is, ahogy a kolléga elmesélte a saját reakcióját, hogy hogy fordította innen vissza a szitut, ahogyan kb. a dolgozói létszámból, meg abból, hogy kb. átlagosan milyen sűrűn jár munkaügyben egy-egy kolléga a Seattle-i hq-ba, levezette, hogy átlagosan naponta ezerszámra fordul meg kolléga csak azon az egy kib. reptéren, akinek ugyanilyen céges kártyája van, és ha nem ismeri fel, akkor kb. nem dolgozhat a reptéren fél óránál régebb óta :D

Na akkor boncolgassuk még kicsit :)

Ha jól értem az az állítás, hogy ez security by obscurity, és az by design káros, mert hamis biztonságérzete lesz tőle a dolgozónak. (Ezért ha jól értem, szerinted jobb, ha rajta van)

Tegyük fel, hogy ez valóban így van, és a kollégákban kialakul ez a hamis biztonságérzet (bár imho túlértékeled az embereket, ilyen szintig nem gondolnak bele, ha néha elmondják nekik, hogy ha elhagytad szólj, akkor lesz 10-ből kettő, aki telefonál, nem reggel szól, hogy elhagytam, adj egy tempet légyszi).

Miben fog megnyilvánulni ez? Kb kettőt tudok elképzelni: 1) Többeknek fog a nyakában lógni a metrón, ezzel könnyebb célpontot nyújtva 2) esetleg kevésbé fognak szólni időben hogy elhagyták.

1) ha célzott támadás van, akkor kb mindegy, mert tudják mire való, ha meg opportunista lenyúlás, az ellen egyébként véd.
2) ez valóban lehet kicsit kellemetlen, de én azt gondolom, hogy ennek jóval kisebb az esélye, mint hogy a "talált" kártyával a zsebes gyors odamegy kicsit körülnézni.

Szóval én továbbra sem gondolom, hogy az, hogy vannak obscurity elemek egy biztonsági rendszerben, az feltétlen baj.

Ezt nem értem: szerinted egy ujjlenyomat/íriszdiagnosztika/lábszagellenőrzés PLUSZ mágneskártyás PLUSZ PIN-kódos rendszer ugyanolyan biztonságos, mint ha csak egy szimpla mágneskártya van VAGY az ujjlenyomat/... ? Vagy nem értem a felvetésed.

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Sok helyen ugye nincs szükség hatalmas biztonságra.

Az utolsó három ügyfelemnél a kártya biometrikus azonosítással (humán arcfelismeréssel) volt kombinálva :-)

A háromból az egyik egy sok embert foglalkoztató kereskedő cég. Adatok (szerintem) nem túl értékesek, esetleg le nem láncolt laptopot, asztalon hagyott pénztárcát, kocsikulcsot lehetne ellopni.
A biztonsági őrök, az első hetemen többször megállítottak, hiába volt kártyám. Meg kellett mondani a nevem, hová megyek, ők meg megnézték a listában.
Később csak odabólintottak, a kártyával átmentem a kapun.
Volt, hogy a kártya otthon maradt. Az őrnek köszöntem, vázoltam a helyzetet, azt mondta: rendben, akkor most telefonálunk valakinek (főnök, főnök főnöke, esetleg valami csoportvezető vagy magasabb beosztású kolléga), aki idejön, személyesen kezeskedik, hogy én még bejöhetek, aztán akkor adnak a mai napra érvényes temp kártyát.

Második cég, kis iroda. Kap az ember egy fobot a lifthez. A liftből kiszálláskor a recepcici jól megnéz magának. Ő mindenkit ismer név szerint. Ha futár vagy vendég jön, azt a portás felengedi (telefonos engedélykérés után), és aztán a recepción leül, és megvárja az emberét. Ha a fob otthon maradt, a portás (felismer) felenged.

Harmadik hely egy bank. Sok ezer alkalmazottal. A belépőkártyán fénykép van, az épületbe belépés után a biztonsági őrnek fel kell mutatni a fényképet, ő meg összehasonlítja az ember fizimiskájával.
Ha ezen átjutottál, akkor a kártyával be tudsz jutni, de nem akárhova. Vannak ajtók, amik kinyílnak, vannak emeletek, ahová a lift odavisz. Más helyekre meg nem jutsz be.

Az ellopott kártya/fob ezeken a helyeken nem lenne elég - esetleg a második helyen, munkaidőn kívül. Bár nem tudom, hogy éjszaka hogy mennek ott a dolgok.

De persze sok olyan helyen is jártam, ahol egy kártyával bemehettem szinte bárhová és senkit sem érdekelt, hogy találtam-e a kártyát vagy tényleg az enyém.

Én láttam már olyat, hogy bár elvileg van biometrikus :) azonosítás, valahogy mégiscsak sikerült felsattyogni a zsebesnek a lifttel. Igaz, ő kártya nélkül is megoldotta, hogy átnyomakodjon a forgó beléptetőkapun, meg megfogták (mondjuk pont azért, mert az egyik életképesebb programozónak feltűnt, hogy a forgóajtót feszegető faszi lehet nem alkalmazott).

Természetesen a kártya önmagában nem elég, a cím lehagyása nem garancia, ettől még én továbbra is tartom, hogy a ráírása halál minimális benefitért cserébe egy nagyon is valós támadási vektort nyit meg.

Van, de nem látszik, mert a token flash drive részén van jpg-ben. :D

Belépőkártyán nincs fénykép, de van külön fényképes azonosítókártyánk. Nemrég lecserélték az autók gps rendszerét azóta nem a belépővel indítjuk a renszert, hanem egy külön i-Wire gombocskával ;).
A belépőkártya elvileg a pc-nkbe is azonosító lenne (nem kellene user/pass, bármelyik géphez ülsz felhúzza a te imaged), de 7-8 év alatt nem sikerült összehangolni a rendszereinket, hogy alkalmas legyen :S

Csak az volt rajta, hogy "vendég". Nem nagyon olvasható már.