"Ultra Violet" schrieb:Lustigerweise gehen immer alle hier davon aus, das da steht bzw. eine Anfrage direkt sichtbar kommt "Bitte injizieren Sie den Passkey!". Das passiert einfach nicht, da die Leute (Spiders, White Heads und anderes SysOps) sich einfach automatisch mit ihrem Passkey einloggen, d.h. wenn eine zusätzliche physische Abfrage stattfindet erkennt der Hacker das erst, wenn es praktisch zu späte ist.
Das ist eine der typischen "Ha Ha" Darstellung, die einfach einseitig ist. Du nimmst quasi an, dass auf Seiten der Sicherheit alles perfekt läuft und der Hacker quasi per definition keine Chance hat. Bei dieser Annahme aber kann man das Spielen gleich lassen, weil dann Shadowruns unmöglich werden, es gibt IMMER einen Trick, der, wenn man annimmt, dass er 100%ig funktioniert, den Run unmöglich macht. Aber in der Praxis sieht es nunmal anders aus, eben weil z.B. der hunderste Mitarbeiter krakelte"Bäh! Mein Login geht nicht, das System ist kaputt, ich beschwere mich bei deinem Boss!" beinhaltet die Login-Meldung nun: "Bitte vergessen sie nicht ihren XK-234 Passkey in ihr zertifiziertes Lesegerät einzuführen, bevor sie mit dem Login fortfahren".
Anders gesagt: Laß den Unsinn damit, dass du definierst, dass ein System 100% funktioniert. Dafür sind die Hacking-Skills eben da, um da Lücken zu suchen und zu finden. Wenn der Hacker vom System erkannt wurde, kann man das ja problemlos damit erklären, dass der Passkey fehlte - wenn er unerkannt blieb, hat er die Notwendigkeit für einen solchen Key halt an gewissen Anzeichen erkannt und ausgehebelt, weil er zufällig wußte, dass die übliche Software zur Überprüfung eines XK-234 Passkeys (Renraku Powerkey, aktuell in Version 3.3) einen Buffer Overflow produziert, wenn man als Key einen Schlüssel mit Länge 123 schickt.
Ich bin ja durchaus dafür, das Hacken interessant zu machen - z.B. bin ich großer Fan davon, auch außerhalb der Matrix erstmal Informationsbeschaffung zu betreiben, bevor man hackt - aber andererseits sollte es kein System geben, was einfach per Definition 100% funktioniert. Ansonsten könnte man ja auch Selbstschußanlagen einführen, die per Definition tot schießen. In manchen extremen Fällen mag ein super-sonder-speziell-Zugang sinnvoll sein, aber in den meisten anderen Fällen führt sowas nur dazu, dass deine Benutzer mehr Sicherheitslücken produzieren, weil sie versuchen, die Umständlichkeit des Systems zu umgehen.
"Ultra Violet" schrieb:Klar kann man diese Abfrage theoretisch erkennen und dann auch spoofen oder hacken zumindest auf der Codesseite, dafür braucht man nur einen gewissen Zugriff. Und hier liegt bei den meisten auch der Denkfehler. Der Zugriff auf dieses physische System wird wahrscheinlich nicht im gleichen System hängen, d.h. ein komplett eigener Node/Netz, und das muss dann auch erst einmal erkannt, erreicht und gehackt werden. Und da hier eigentlich keiner Zutritt braucht, kann die Sicherheit hier bis zum Anschlag hochgefahren werden.
Ganz offen: Keine Ahnung, was du damit aussagen willst. Welches physische System?