Schetchiksg.ru

Счетчик СГ
2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Для чего нужен пароль для счетчиков

Одноразовый пароль

Однора́зовый паро́ль (англ. one time password, OTP ) — это пароль, действительный только для одного сеанса аутентификации. Действие одноразового пароля также может быть ограничено определённым промежутком времени.

Преимущество одноразового пароля по сравнению со статическим состоит в том, что пароль невозможно использовать повторно. Таким образом, злоумышленник, перехвативший данные из успешной сессии аутентификации, не может использовать скопированный пароль для получения доступа к защищаемой информационной системе. Использование одноразовых паролей само по себе не защищает от атак, основанных на активном вмешательстве в канал связи, используемый для аутентификации (например, от атак типа «человек посередине»).

Человек не в состоянии запомнить одноразовые пароли. Поэтому требуются дополнительные технологии для их корректной работы.

Содержание

  • 1 Способы создания и распространения OTP
  • 2 Реализация
    • 2.1 Математические алгоритмы
    • 2.2 Синхронизированные по времени
    • 2.3 Запрос
    • 2.4 Одноразовый пароль через SMS
    • 2.5 Одноразовый пароль на мобильном телефоне
  • 3 Сравнение технологий
  • 4 Стандартизация
  • 5 OTP в рамках банковского дела
  • 6 Связанные технологии
  • 7 См. также
  • 8 Примечания
  • 9 Ссылки

Способы создания и распространения OTP [ править | править код ]

Алгоритмы создания OTP обычно используют случайные числа. Это необходимо, потому что иначе было бы легко предсказать последующие пароли на основе знания предыдущих. Конкретные алгоритмы OTP сильно различаются в деталях. Различные подходы к созданию одноразовых паролей перечислены ниже.

  • Использующие математические алгоритмы для создания нового пароля на основе предыдущих (пароли фактически составляют цепочку, и должны быть использованы в определённом порядке).
  • Основанные на временной синхронизации между сервером и клиентом, обеспечивающей пароль (пароли действительны в течение короткого периода времени)
  • Использующие математический алгоритм, где новый пароль основан на запросе (например, случайное число, выбираемое сервером или части входящего сообщения) и/или счётчике.

Также существуют различные способы, чтобы сообщить пользователю следующий пароль. Некоторые системы используют специальные электронные токены, которые пользователь носит с собой, создающие одноразовые пароли и выводящие затем их на маленьком экране. Другие системы состоят из программ, которые пользователь запускает с мобильного телефона. Ещё другие системы генерируют одноразовые пароли на сервере и затем отправляют их пользователю, используя посторонние каналы, такие, как SMS-сообщения. Наконец, в некоторых системах одноразовые пароли напечатаны на листе бумаги или на скретч-карте, которые пользователю необходимо иметь с собой.

Реализация [ править | править код ]

Математические алгоритмы [ править | править код ]

Один подход, разработанный Лесли Лэмпортом, использует одностороннюю функцию (назовём её f). Система одноразовых паролей начинает работать от начального числа s, затем генерирует пароли

f(s), f(f(s)), f(f(f(s))), …

столько раз, сколько необходимо. Если ищется бесконечная серия паролей, новое начальное число может быть выбрано после того, как ряд для s оказывается исчерпанным. Каждый пароль распределяется в обратном порядке, начиная с f(f(…f(s))…), заканчивая f(s).

Если злоумышленнику удаётся получить одноразовый пароль, он может получить доступ только на один период времени или одно соединение, но это становится бесполезным, когда этот период закончится. Чтобы получить следующий пароль в цепочке из предыдущих, необходимо найти способ вычисления обратной функции f −1 . Так как f была выбрана односторонней, то сделать это невозможно. Если f — криптографическая хеш-функция, которая обычно используется, то, насколько известно, это будет вычислительно неосуществимая задача.

Синхронизированные по времени [ править | править код ]

Синхронизированные по времени одноразовые пароли обычно связаны с физическими аппаратными токенами (например, каждому пользователю выдаётся персональный токен, который генерирует одноразовый пароль). Внутри токена встроены точные часы, которые синхронизированы с часами на сервере. В этих OTP-системах время является важной частью алгоритма создания пароля, так как генерация нового пароля основывается на текущем времени, а не на предыдущем пароле или секретном ключе.

В последнее время стало возможным встраивать электронные компоненты, связанные с постоянными токенами-часами, такие, как от ActivIdentity, InCard, RSA, SafeNet, Vasco, VeriSign и Protectimus, в форм-фактор кредитной карты. Однако, так как толщина карты (от 0.79 мм до 0.84мм) не позволяет использовать традиционные элементы батареек, необходимо использовать специальные батарейки, основанные на полимерах, время жизни которых гораздо больше, чем у обычных мини-батареек. Кроме того, должны использоваться крайне маломощные полупроводниковые компоненты для экономии энергии во время режима ожидания и/или использования продукта. В производстве тонких устройств OTP лидируют две компании: Identita и NagraID.

Мобильные телефоны и КПК также могут быть использованы для генерации синхронизированных по времени одноразовых паролей. Этот подход может быть более экономной альтернативой, так как большинство пользователей Интернета уже имеет мобильные телефоны. Кроме того, это может быть более удобно, потому что у пользователя не будет необходимости носить с собой отдельный токен, для каждого безопасного соединения, когда он или она нуждается в доступе.

Запрос [ править | править код ]

Использование одноразовых паролей с запросом требует от пользователя обеспечивать синхронизированные по времени запросы, чтобы была выполнена проверка подлинности. Это может быть сделано путём ввода значения в сам токен. Чтобы избежать появления дубликатов, обычно включается дополнительный счётчик, так что если случится получение двух одинаковых запросов, то это всё равно приведёт к появлению разных одноразовых паролей. Однако вычисления обычно не включают предыдущий одноразовый пароль, так как это приведёт к синхронизации задач. EMV начинают использовать такие системы (т. н. «Chip Authentication Program») для кредитных карт в Европе.

Одноразовый пароль через SMS [ править | править код ]

Распространённая технология, используемая для доставки одноразовых паролей — это SMS. Так как SMS — это повсеместный канал связи, который имеется во всех телефонах и используется большим количеством клиентов, SMS-сообщения имеют наибольший потенциал для всех потребителей, обладающие низкой себестоимостью.

Токены, смарт-карты и другие традиционные методы аутентификации гораздо более дороги для реализации и для использования и часто встречают сопротивление со стороны потребителей. Они также гораздо более уязвимы для атак типа «человек посередине», в которых фишеры крадут одноразовые пароли обманом или даже потому что одноразовые пароли отображаются на экране токена. Также токены могут быть потеряны и интеграция одноразовых паролей в мобильные телефоны может быть более безопасной и простой, потому что пользователям не придётся носить с собой дополнительные портативные устройства.

Читайте так же:
Brother mfc 2720 сброс счетчика тонера

В то же время одноразовые пароли через SMS могут быть менее безопасны, так как сотовые операторы становятся частью цепи доверия. В случае разрешенной функции роуминга надо доверять более чем одному мобильному оператору (в некоторых случаях, всем организациям, имеющим доступ к системе сигнализации ОКС7).

По рекомендациям NIST 2016 года, в новых системах аутентификации не следует использовать SMS из-за опасности их перехвата и перенаправления [1] [2] .

Одноразовый пароль на мобильном телефоне [ править | править код ]

По сравнению с аппаратной реализацией токена, которая требует, чтобы пользователь имел с собой устройство-токен, токен на мобильном телефоне существенно снижает затраты и предлагает беспрецедентный уровень удобства. Это решение также уменьшает материально-технические требования, так как нет необходимости выдавать отдельное устройство каждому пользователю. Мобильные токены, такие, как FiveBarGate, FireID или PROTECTIMUS SMART дополнительно поддерживают некоторое число токенов в течение одной установки приложения, позволяя пользователю аутентифицироваться на нескольких ресурсах с одного устройства. Этот вариант также предусматривает специфические приложения для разных моделей телефонов пользователя. Токены в мобильных телефонах также существенно более безопасны, чем OTP по SMS, так как SMS отправляются по сети GSM в текстовом формате с возможностью перехвата.

Сравнение технологий [ править | править код ]

С точки зрения затрат, самыми дешёвыми решениями являются распространение одноразовых паролей на бумаге, скретч-карте или генератор одноразовых паролей на мобильном телефоне. Это так, потому что эти системы исключают затраты, связанные с (пере-)выдачей электронных токенов и стоимостью SMS сообщений.

Для систем, которые опираются на электронные токены, не синхронизованные по времени системы, должны решить проблему, когда сервер и токен сбиваются с синхронизации. Это приводит к дополнительным затратам на разработку. С другой стороны, они позволяют избегать расходов на часы в электронных токенах (и коррекцию их значений с учётом временного дрейфа).

Одноразовые пароли также уязвимы для «выуживания» (фишинга). В конце 2005 года у пользователей Банка Швеции обманом выманили их одноразовые пароли [3] . Даже синхронизированные по времени пароли уязвимы для фишинга, если взломщик успевает достаточно быстро воспользоваться паролем. Это было замечено в 2006 году по атаке на пользователей Citibank в США [4] .

Хотя одноразовые пароли являются более безопасными, чем обычные пароли, использование систем OTP всё ещё уязвимо для атак типа «человек посередине». Поэтому одноразовые пароли не должны передаваться третьей стороне. Синхронизирован ли одноразовый пароль по времени, в основном, никак не влияет на степень уязвимости. Основанные на запросе одноразовые пароли тоже являются уязвимыми, хотя успешная атака требует от злоумышленника чуть более активных действий, чем для других типов OTP.

Стандартизация [ править | править код ]

Запатентовано множество технологий OTP. Это делает стандартизацию в этой области ещё более трудной, так как каждая компания пытается протолкнуть свою собственную технологию. Тем не менее, стандарты существуют, например, RFC 1760 (S/Key), RFC 2289 (OTP), RFC 4226 (HOTP) и RFC 6238 (TOTP).

OTP в рамках банковского дела [ править | править код ]

В некоторых странах одноразовые пароли используются для удалённого использования банков. В некоторых из этих систем банк посылает пользователю пронумерованный список одноразовых паролей, напечатанный на бумаге. Для каждой удалённой транзакции пользователь должен ввести соответствующий одноразовый пароль из этого списка. В Германии эти пароли обычно называют TAN-кодом (от «transaction authentication numbers»). Некоторые банки отправляют TAN-коды пользователю с помощью SMS, и в этом случае они называются mTAN-коды (от «mobile TANs»).

Связанные технологии [ править | править код ]

Чаще всего одноразовые пароли являются олицетворением двухфакторной аутентификации. Некоторые Технологии единого входа [5] системы используют одноразовые пароли. OTP технология так же используется в токенах безопасности.

См. также [ править | править код ]

  • Одноразовый блокнот
  • Time-based One-time Password Algorithm

Примечания [ править | править код ]

  1. ↑NIST Prepares to Phase Out SMS-Based Login Security Codes. Time Is Running Out For This Popular Online Security Technique (англ.) , Fortune (July 26, 2016). Дата обращения 13 августа 2016. «“Due to the risk that SMS messages may be intercepted or redirected, implementers of new systems should carefully consider alternative authenticators,” NIST».
  2. ↑DRAFT NIST Special Publication 800-63B. Digital Authentication Guideline. Authentication and Lifecycle Management // NIST, 2016 (англ.)
  3. ↑Статья в The Register
  4. ↑Washington Post Security BlogАрхивировано 10 ноября 2006 года.
  5. ↑Сильная аутентификация с помощью «единого входа» на белой бумаге(неопр.) (недоступная ссылка) . Дата обращения: 2 декабря 2009.Архивировано 20 августа 2009 года.

Ссылки [ править | править код ]

Поставщики решений одноразовых паролей:

  • VASCO
  • RSA
  • Aladdin
  • ActivIdentity
  • Identita
  • NagraID
  • Protectimus
  • TESSIS

Для чего нужен пароль для счетчиков

Личный кабинет дает вам возможность максимально быстро и удобно:

  • Контролировать начисления и задолженности по квартире и машиноместам
  • Оплачивать счета прямо на сайте любыми платежными средствами — кредитными картами, электронными деньгами, и т.д.
  • Передавать в управляющую организацию показаний счетчиков потребления воды

Все данные Вашего личного кабинета хранятся в зашифрованном виде, все сведения, передаваемые Вами, конфиденциальны и недоступны посторонним лицам.

  • О компании
  • Новости
  • Законодательство
  • Контактная информация
  • Вопрос-ответ
  • Наши объекты
  • Заявки и предложения
  • Вакансии

Нас спрашивают

Почему плата за запирающее устройство взимается с квартиры, а не с кв. метра общей площади?

Данный способ начисления предусмотрен постановлением правительства Москвы.

Читайте так же:
Как передать по https счетчики
Как я могу управлять адресами?

На странице личного кабинета Вы можете привязывать к вашему аккаунту квартиры и машиноместа в домах, чтобы видеть счета по ним, оплачивать счета пластиковой картой и передавать показания счетчиков.

Как производится уборка в подземных паркингах?

В домах, оборудованных подземными паркингами, мы производим периодическую влажную и сухую уборку следующим образом.

Вопрос-ответ

Личный кабинет

Как вводить показания счетчиков и узнать ранее введенные показания?

Показания вводятся в соответствующем поле для каждого счетчика, ранее введенные показания отображаюся в блоке над полем. Необходимо вводить только целое число кубометров — первые пять цифр черного цвета на счетчике. Начальные нули также следует вводить.

Будьте внимательны! В случае неправильного ввода показаний, Вам могут быть сделаны ошибочные начисления. Не вводите в поле случайные цифры, либо цифры красного цвета.

Также необходимо придерживаться нумерации счетчиков и сверять номер на счетчике с номером, в поле которого Вы вводите показания.

Как жители получают доступ к личному кабинету?

Логин и пароль для доступа в личный кабинет сообщается жителям в письмах, которые распространяются по почтовым ящикам.

Если Вы не получили письмо или утеряли его, а также если Вы не можете извлечь из ящика это письмо (например, не проживаете в данной квартире), необходимо действовать следующим образом:

  1. В разделе «Заявки и предложения» отправьте сообщение, где укажите ваш адрес, ФИО собственника квартиры, а также изложите просьбу получить логин и пароль для доступа к личному кабинету.
  2. На ваше сообщение по указанному вами адресу электронной почты придет запрос на скан паспорта собственника и, возможно, скан свидетельства о собственности на квартиру. Отправьте данные сканы в ответ на этот запрос.
  3. Вы получите логин и пароль для личного кабинета по электронной почте.

Пользователь получает доступ к личному кабинету только после указания и подтверждения своего электронного адреса. Для этого, п ри первой авторизации с помощью присланного логина и пароля, пользователь принудительно перенаправляется на страницу указания своего электронного адреса. После ввода своего адреса электронной почты пользователь нажимает кнопку «сохранить» и на его электронный адрес отправляется письмо со специальной ссылкой. Переходя по этой ссылке, пользователь подтверждает свой электронный адрес и получает доступ к личному кабинету.

Как мне убедиться в успешной оплате счета пластиковой картой? Где и когда отразится мой платеж?

Со страницы банка, где вы совершили платеж, вы будете переадресованы на страницу нашего сайта с сообщением об успешном платеже. Ваш платеж появится в разделе «платежи» после поступления средств на счет компании.

Как происходит передача показаний счетчиков?

На странице Вашего личного кабинета отображаются номера счетчиков горячей и холодной воды. В полях ввода необходимо указать целое число кубометров из показаний счетчика, (первые пять цифр черного цвета). Цифры красного цвета после запятой указывать не нужно.

Введите показания счетчиков в соответствии с их номерами и кликните по кнопке «Отправить». Произойдет перезагрузка страницы и в ячейках, стилизованных под циферблат счетчика, появятся введенные Вами показания. Это означает, что значения успешно занесены в базу данных. При каждом вводе новых показаний Вы можете контролировать показания, введенные в прошлый раз.

Обращаем Ваше внимание, что в личном кабинете отображаются покзания счетчиков, введенные вами ранее именно через личный кабинет. Показания, переданные другими способами, не отображаются в личном кабинете. Если вы ранее не пользовались личным кабинетом, то в полях ранее введенных показаний указаны нули. При этом, возможно, вы передавали показания другими способами, и они должным образом будут учтены при рассчете начислений. При вводе вами показаний рядом с полем показывается разница между предыдущими и новыми показаниями. Эта разница является справочной и не используется для рассчета начислений.
Для того, чтобы в личном кабинете отражались показания прошлого периода, всегда передавайте показания счетчиков через личный кабинет.

Убедительная просьба вводить показания до 20 числа каждого месяца. Показания, введенные после 20 числа будут учтены только при рассчете начислений за следующий месяц.

Как сообщить о проблемах в работе с личным кабинетом

Если у Вас возникли проблемы с доступом к личному кабинету, либо работе с ним, Вам всегда поможет служба поддержки нашего сайта. Вам необходимо зайти на страницу «Заявки и предложения» нашего сайта и отправить сообщение, где обязательно указать следующую информацию:

  • полный адрес помещения,
  • ФИО собственника помещения,
  • логин и пароль личного кабинета (даже если вы не можете ими воспользоваться),
  • ваш действующий адрес электронной почты,
  • подробное описание возникшей проблемы.

Если вышеуказанная информация будет отсутствавать в заявке, нам будет очень сложно помочь Вам.

После отправки заявки Вы получите ответ на электронный адрес, указанный в данной заявке.

Как я могу управлять адресами?

На странице личного кабинета Вы можете «привязать» к своему аккаунту квартиры и машиноместа, по которым Вы желаете оплачивать счета и передавать показания счетчиков воды. Изначально к вашему аккаунту «привязана» одна квартира, в почтовом ящике которой вы получили логин и пароль к личному кабинету.

Чтобы «привязать» еще одну квартиру или машиноместо, воспользуейтесь ссылкой «Управление адресами» на странице личного кабинета. Выберите нужную улицу, дом и номер квартиры или машиноместа. В поле «примечание» при необходимости сообщите информацию для сотрудников нашей компании. После отправки заявки на «привязку» сотрудник компании проверит, является ли данная квартира или машиноместо вашей собственностью и свяжется с вами для уточнения. Затем он одобряет «привязку» и данный адрес появляется в главном меню личного кабинета. На ваш электронный адрес будет отправлено уведомление об одобрении «привязки».

Чтобы «отвязать» от вашего аккаунта квартиру или машиноместо, перейдите на страницу управления адресами и кликните по ссылке «отвязать» рядом с нужным адресом. «Отвязка» осуществляется немедленно.

Читайте так же:
Крышка для счетчика abb
Почему ранее введенные показания счетчиков отображаются как нулевые?

В блоке ранее введенных показаний, над полем ввода, отображаются только те показания, которые вы ранее вводили на сайте. Переданные другим способом показания не будут отображены в качестве ранее введенных.

Что делать, если мне не пришло письмо для подтверждения электронного адреса?

Проверьте, правильно ли Вы указали адрес электронной почты. Также рекомендуем проверить папку «спам» — возможно, настройки почты вызвали попадание письма в папку нежелательной почты. Если письма нет и в этой папке, а также повторное прохождение процедуры не дает результата, отправьте сообщение на странице обратной связи. С вами свяжется сотрудник технической поддержки.

Я не могу войти в личный кабинет с полученным в бумажном документе логином и паролем

Вам необходимо еще раз проверить правильность ввода логина и пароля. Возможно, вы неточно воспроизвели латинские буквы, содержащиеся в пароле. Если все попыки безуспешны, вы можете отправить заявку о проблеме с указанием необходимых данных (см. в этом же разделе вопрос и ответ о проблемах с личным кабинетом).

Я произвел платеж с карты, средства списались успешно. Как мне узнать, что оплата прошла и моя задолженность погашена?

В вашем личном кабинете имеется раздел «Платежи». Сделанный Вами платеж будет отображен там после фактического поступления денег на счет управляющей организации. Обычно это происходит через 3-5 рабочих дней.

Кроме того, сделанный Вами платеж будет учтен при формировании квитанции на следующий месяц.

Обслуживание общего имущества в доме

Почему плата за запирающее устройство взимается с квартиры, а не с кв. метра общей площади?

Cогласно постановлению правительства Москвы № 937-ПП от 12 октября 2010 года начисление за обслуживание запирающего устройства (домофона) в домах, оборудованных такими устройствами производится из расчета 64 рубля с одного абонента, то есть, квартиры.

С какой периодичностью производится уборка подъездных холлов?

В зимнее время влажная уборка производится 1 раз в два дня, в летнее время — 1 раз в неделю. Сухая уборка производится в зимнее время каждый день, в летнее — 1 раз в два дня.

Наша компания не практикует формальный подход к уборке, сводящийся к соблюдению законодательных норм вне зависимости от состояния общих помещений — мы принимаем все меры к тому, чтобы они содержались в чистоте. Поэтому реально уборка производится гораздо чаще, нежели предусмотрено законодательством. В экстренных случаях, например, при возникновении обширных загрязнений, наши сотрудники экстренно выполняют уборку.

Подземные паркинги

Как производится уборка в подземных паркингах?

Сухая уборка производится с помощью ручного инструмента, а также пылесоса. Прежде всего очищаются общие места проезда транспорта, то есть территории, не относящиеся к машиноместам и боксам собственников. Также убираются и машиноместа (боксы) в случае, если они свободы от автомобилей в момент проведения уборки.

Также в паркингах имеются автоматизированые поломоечные комплексы, с помощью которых производится мойка поверхностей паркингов. Также очищаются свободные от транспорта машиноместа. Бордюрные камни на машиноместах моются вручную два раза в год.

Я поменял автомобиль. Нужно ли переоформлять пропуск?

В подземном паркинге, оснащенном диспетчерской службой, Вам необхоидимо обратиться к диспетчерам с просьбой внести изменения в пропуск. В некоторых случаях это невозможно, и необходимо изготовить новый пропуск. Тогда Вам нужно предоставить фотографию размером 3 × 4 см.

Если в подземном паркинге Вашего дома отсутствует дежурный диспетчер, Вам необходимо обратиться к начальнику службы безопасности на Вашем участке, позвонив в единую диспетчерскую службу вашего участка. Номер телефона указан на старнице контактной информации.

© ООО «МУЛЬТИСИСТЕМА СЕРВИС»,
2008—2021

Сайт создан и поддерживается
Студией «Лимо»

  • О компании
  • Новости
  • Законодательство
  • Контактная информация
  • Вопрос-ответ
  • Наши объекты
  • Заявки и предложения
  • Вакансии
Юридический адрес:

105568, г. Москва, ул. Чечулина, д.11 корп. 2, помещение 1, комната 3

Фактический адрес:

125252, г. Москва, Ходынский бульвар, д. 11

LiveInternet.ru: как хранятся пароли пользователей

Создавая сайт, вебмастер первым делом спешит узнать, сколько же посетителей заинтересуются его творением и, если это не домашняя страничка, всеми силами пытается продвинуть свой сайт. Для этого простого счетчика посещений уже не хватает, и он начинает пользоваться общедоступными платными и бесплатными сервисами, предоставляющими такую информацию.

Гугл и Яндекс со своими инструментами для вебмастеров и метриками, конечно, хороши, но кто пройдёт мимо такого уютного и аккуратного счетчика посетителей, как LiveInternet.ru? Наверное у многие доверяли считать своих посетителей этому сервису, но не многие знали, как на самом деле они обращаются с нашими паролями.

Ежедневно появляются и исчезают тысячи доменов, но удалённые домены не всегда плохие… Просто их иногда забывают продлить или не хотят поддерживать дальше. Однажды я нашёл в сети хорошее доменное имя, которое вскоре будет удалено, но траффик с поисковых систем ещё есть. Один из моих проектов имел ту же специфику, и я не преминул воспользоваться таким шансом, получить пару десятков целевых посетителей.

Успешно получив права на домен я сразу создал титульную страничку и хотел разместить на ней счетчик, чтобы проверить, действительно ли на этот домен заходят. Вот тут сервис LiveInternet.ru сказал мне, что счетчик-то уже существует и я могу восстановить пароль следующими способами:

  1. по адресу, указанному в описании сайта в рейтинге LiveInternet;
  2. по любому адресу имя@вашюдомен, указанному на главной странице сайта;
  3. по любому адресу, указанному в файле live-****.txt;
  4. по адресу владельца домена: адрес из whois.

Первый пункт был не для меня, т.к. я не знал, на какой мейл был зарегистрирован счетчик. Второй и третий пункты требовали что-то сделать, а вот четвертый был для меня самым легким. Я отправил запрос на восстановление пароля через мейл, взятый из whois.

Читайте так же:
Счетчик мокроходный вкм росич

На дворе 21 век, и я ожидал получить письмо со ссылкой на восстановление или сброс пароля. Ну или хотя бы временный пароль или специальную ссылку, которые я мог использовать, чтобы сменить пароль на свой, но я получил письмо следующего содержания:

Успехов! — тут должна быть ироничная улыбка и причин для этого не мало!

Во-первых, письмо было отправлено на мой почтовый ящик и на ящик, указанный при регистрации счетчика (в данном случае он еще и отличался от доменного имени).
Во-вторых, мне прислали не новый, а старый пароль, указанный предыдущим владельцем.

Таким образом, я узнал комбинацию мейл/пароль, придуманную бывшим хозяином счетчика. Допустим большинство из нас пользуется разными паролями на новых ресурсах, но если копнуть поглубже, то, признайтесь, и у вас есть такой пароль, который вы используете на форумах, регистрация на которых вам не так важна… да и лень запускать программку генерации паролей. А счетчик… Ну пусть все счетчики будут с одним сложным паролем?

Хорошо, скажете вы, проблема не выдумана и ей можно воспользоваться при условии регистрации домена, оставленного нужным вам человеком. Но что будет, если базу паролей каким-то образом выкрадут с этого сервиса, то опасность грозит не только тем, кто теряет интерес к своим доменам, а всем тем, кто пользуется их счетчиками!

Сброс пароля Экранного времени в iOS

Пароль Экранного времени позволяет установить дополнительный барьер, который поможет предотвратить попытки неавторизованного сброса кода блокировки экрана или пароля шифрования резервных копий iTunes. Долгое время удаление пароля Экранного времени было невозможно без ввода исходного пароля или сброса устройства. Однако разработчики Apple изменили способ работы этого слоя защиты, и теперь пароль Экранного времени можно сбросить точно так же, как и многие другие пароли в iOS.

Значение паролей Экранного времени в мобильной криминалистике

Основная функция Экранного времени — отчёты и ограничения на использование устройства. Пароль Экранного времени потребуется ввести для сброса кода блокировки экрана или пароля шифрования резервных копий iTunes через функцию Reset All Settings. Для чего может понадобиться сбросить эти виды паролей? Код блокировки может помешать установке джейлбрейка checkra1n и доступу к данным через эксплойт checkm8 на устройствах поколения iPhone 8, iPhone 8 Plus и iPhone X, работающих под управлением iOS 14. Об этом можно прочесть в наших статьях:

В некоторых случаях код блокировки невозможно удалить из-за настроек Apple Pay или сторонних программ. В этом случае можно воспользоваться функцией iOS «Reset All Settings». Если на устройстве установлен пароль Экранного времени, то воспользоваться функцией не удастся. Подробности — в статье Удаление кода блокировки с iPhone: подводные камни и проблемы | Блог Элкомсофт.

Еще одна причина, которая может потребовать сброса пароля Экранного времени — это возможность сбросить пароль резервной копии iTunes. Если пароль Экранного времени установлен, доступ к команде «Сбросить все настройки» (Reset All Settings, которая используется для удаления пароля блокировки экрана) блокируется до тех пор, пока не будет предоставлен правильный пароль экранного времени. Мы описали проблему в разделе Антикриминалистика: защита резервных копий iPhone | Блог Элкомсофт.

Сброс пароля Экранного времени

Итак, что можно сделать, если вам нужно получить доступ к команде «Сбросить все настройки», но пароль Screen Time не позволяет этого сделать? Существует несколько решений, но работают они не всегда:

Есть ещё один вариант, который мы упустили в приведенных выше статьях потому, что он появился в iOS позже. Новая опция появилась в iOS 13.4, выпущенной в марте 2020 года. Начиная с iOS 13.4, вы можете сбросить пароль Screen Time через iCloud: Если вы забыли код-пароль для функции «Экранное время» — Служба поддержки Apple.

Как это работает? Лучше, чем ожидалось.

После установки пароля Screen Time (который не является обязательным) вы можете дополнительно настроить параметр восстановления через iCloud (также опционально).

Почему же функция работает «лучше, чем ожидалось»? Мы ожидали, что функция сброса пароля будет работать согласно описанию — то есть, нужно разрешить использование Apple ID для сброса пароля Экранного времени. Однако в реальности оказалось, что этот шаг можно пропустить и обойтись без ввода учетных данных iCloud, при этом процедура сброса пароля Экранного времени по-прежнему работает. Это легко проверить, включив пароль для экранного времени и пропустив запрос.

Откроем настройки Экранного времени и попробуем изменить пароль, переведя устройство в режим полета. Нажмём «Забыли пароль?», и… счетчик неверных попыток увеличится:

Интересно; ничего особенного мы не сделали.

Попробуем подключить устройство к интернет и повторим попытку:

Вводим Apple ID и пароль пользователя, и пароль Экранного времени будет сброшен независимо от того, была ли включена опция восстановления доступа. Это означает, что токен восстановления данного пароля в каком-то виде сохраняется в iCloud всегда, независимо от желания пользователя. Мы наблюдали такое поведение и раньше; Apple сохраняет в iCloud гораздо больше данных, чем можно себе представить.

В заключение отмечу, что возможность сброса пароля Экранного времени, предоставленная непосредственно Apple — это удобно и полезно для экспертов-криминалистов. Функция действительно работает. Для её использования нужно ввести учетные данные пользователя (пароль от Apple ID). На этапе анализа это может оказаться проблемой: даже пароль от Apple ID пользователя известен, подключение устройства к интернет — всегда рискованная операция.

cnc-club.ru

Статьи, обзоры, цены на станки и комплектующие.

Читайте так же:
Счетчик се 301 модификации

Счётчик э/э с контролем качества и халява

  • Отправить тему по email
  • Версия для печати

Счётчик э/э с контролем качества и халява

Сообщение cnc3426 » 09 мар 2018, 16:21

Re: Счётчик э/э с контролем качества и халява

Сообщение Serg » 09 мар 2018, 17:30

Неправильно слышал.
Есть счётчики, которые поддерживают дистанционный обмен данными с какой-либо системой сбора данных. Такая система может опрашивать счётчики и получать от них такие параметры как напряжение, ток, значение счётчиков и т.п. И уже на основе этих данных расчитывать стоимость потреблённой энергии. Параметры и тарифы для этих расчётов и перерасчётов регулируется местным энергосбытом.
Например счётчики, которые ставят в Москве (Меркурий-200) умеют выдавать такие параметры:
V:226.3 A:3.14 VA:710.58 W:648 cosF:0.91 P1:648 P2:0 P3:0 P4:0 T:36708.82 T1:10473.6 T2:12682.47 T3:13552.75 T4:0.0 Tn:3
но они их никуда не передают т.к. нет соединения с системой сбора данных.

Сами счётчики не делают никаких перерасчётов, они вообще не знают такого понятия как деньги, только вольты, амперы, ватты. А поставщики должны подавать только качественную электроэнергию (ГОСТы есть). Если потребитель считает, что электроэнергия не соотв. его договору с энергосбытом, то он может решить этот вопрос в юридическом поле.
Кстати, по ГОСТ не 230В, а 220В.

Re: Счётчик э/э с контролем качества и халява

Сообщение Сергей Саныч » 09 мар 2018, 18:05

Re: Счётчик э/э с контролем качества и халява

Сообщение cnc3426 » 09 мар 2018, 20:36

Re: Счётчик э/э с контролем качества и халява

Сообщение Serg » 10 мар 2018, 05:51

Этот модуль — платка с флешкой, устанавливаемая в специальный разъём на плате Меркурий-234, это просто логгер величин, которые умеет мерить счётчик. Для перерасчёта нужно чтобы Энергосбыт захотел «слить» с модуля эти данные, захотел проверить их и захотел сделать перерасчёт не в свою пользу.
Сам счётчик эти данные никак не отображает и потребителю они не доступны. Чтобы самостоятельно слить эти данные нужно подключиться к соотв. интерфейсу счётчика, который находится под опромбированной крышкой, и знать пароль для доступа к этим данным. Такие пароли от счётчиков Энергосбыт хранит как зеницу ока, ибо с их помощью можно менять расписание действия тарифов и коэф. трансформации.

У Мосэнерго и Мособлэнерго пароли для всех счётчиков уникальные и недоступны даже сотрудникам. При перенастройке счётчика приходит спецчел с ноутом, подключается к счётчику, вводит серийный номер счётчка, а прога уже общается со счётчиком используя пароль.

Re: Счётчик э/э с контролем качества и халява

Сообщение Сергей Саныч » 10 мар 2018, 09:26

Re: Счётчик э/э с контролем качества и халява

Сообщение raddd » 10 мар 2018, 10:27

Re: Счётчик э/э с контролем качества и халява

Сообщение raddd » 10 мар 2018, 10:32

Re: Счётчик э/э с контролем качества и халява

Сообщение cnc3426 » 10 мар 2018, 11:36

Re: Счётчик э/э с контролем качества и халява

Сообщение Serg » 10 мар 2018, 17:23

В Меркуриях 3 уровня доступа:
без пароля — доступны такие данные как напряжение, ток, мощность, счётчики, активный тариф,
с паролем для энергосбыта — можно менять коэф. трансформации, расписание тарифов, блокировку потребителя, у купленного в магазине счётчика этот пароль не установлен, его устанавливает энергосбыт, когда принимает ваш счётчик в эксплуатацию.
с заводским паролем — можно менять практически все настройки, работает только при установке специального джампера на плате, для этого надо разобрать оплмбированный корпус. Этот пароль знает только производитель.

Для контроля качества никто не мешает после «официального» счётчика поставить свой с полным доступом, но его информацию можно будет использовать для удовлетворения собственного любопытсва, но не для пересчёта/суда.

Re: Счётчик э/э с контролем качества и халява

Сообщение shura28 » 10 мар 2018, 18:42

У Меркурия пароль первого уровня — 111111, второго — 222222, третьего — лучше знать
Перед пломбирование счетчика сетями (акт допуска/осмотра/инструментальной проверки прибора учета) можно вывести кабель с разъема (там обычно или CAN или RS-485) который находится по крышечкой. Сетевой организации объяснить, что нужно для считывания профиля мощности, планирую перейти на 4-6 ЦК и т.д. и т.п.
Что касается качества э/э, то официальный способ борьбы с плохим напряжением: написать в сбытовую организацию письмо-претензию на качество э/э. В таком случае неплохо бы сослаться на какие-то объективные данные (измерения и пр.), чтобы как-то объяснить свое обращение. Если наблюдаются длительные отклонения, то можно и фото счетчика с пофазными значениями приложить. В таком случае сбытовая организация обязана принять меры по проверке и устранению отклонений. Для этого они, в свою очередь, пишут в сетевую организацию, к которой подключена ваша линия. В свою очередь сетевая организация должна поставить в точке присоединения прибор измерения качества сети (ставится что-то дней на 10). По факту проведения измерений они должны отписаться и в случае наличия отклонений от ГОСТ пообещать принять меры по их устранению.
Ну и второй способ — иметь такой прибор у себя Но здесь другая проблема — стоит от 100 т.р. (по крайней мере такие цены были когда интересовался этой темой) и его нужно поверять.

А вот про платку в Меркурий — интересная информация. Сможет ли счетчик с такой платкой «ловить» броски, провалы напряжения порядка миллисекунд или он все же оперирует более усредненными значениями ?

Re: Счётчик э/э с контролем качества и халява

Сообщение cnc3426 » 10 мар 2018, 22:14

голоса
Рейтинг статьи
Ссылка на основную публикацию