mboost-dp1
Flickr - bongo vongo
Keeper32 (1) skrev:Det flytter da bare problemet.
Så i stedet for at der stjæles kodeord, stjæles der bare USB sticks.
Men selvfølgelig, det er noget mere omstændigt at stjæle fysiske ting linket til en person.
Men hvis man kan duplikere "koden" i USB sticken, så er man jo ligevidt.
Flytter problemet ja, men mon ikke du ser væsentligt færre østeuropæere stjæle penge fra vores bankkonti? (Den sætning kunne jeg desværre ikke skrive uden at lyde racistisk. Det var ikke meningen).
Men den med koden forstår jeg godt. Men hvordan virker det for Blizzard og deres stick? Er det ikke noget med at de har fået MARKANT færre hackede konti på battlenet og wow?
Så det virker jo nok.
Hvis man netop kan kopirer USB-enhden ryger pointen, en løsningen er (som med blizzards authenticator og div. andre tokens) at have en intern clock i enheden som skal passe med en eller anden clock på en server, så kan den ikke "direkte" kopires, og den enhed man kopirer til SKAL også have en intern clock.
Angående den fra artiklen med skærmlås, så er de da godt bagud her. Jeg har i hvert fald eksperimenteret med min bærbare og smartphone.
Var godt nok i Linux, men testede en opsætning, hvor smartphonen identificerede sig over Bluetooth, og når den bærbare så ikke kunne se telefonen længere, så låste den skærmen, og låste den så op igen, når mobilen igen kom indenfor rækkevidde.
Synes faktisk det var eminent smart, og det virkede fint. Ikke nogen underlige udfald mens mobilen var i nærheden, og skulle et godt stykke væk før den slog fra.
Var godt nok i Linux, men testede en opsætning, hvor smartphonen identificerede sig over Bluetooth, og når den bærbare så ikke kunne se telefonen længere, så låste den skærmen, og låste den så op igen, når mobilen igen kom indenfor rækkevidde.
Synes faktisk det var eminent smart, og det virkede fint. Ikke nogen underlige udfald mens mobilen var i nærheden, og skulle et godt stykke væk før den slog fra.
defqon15 (8) skrev:#7 og #6:
Der kunne man eventuelt gøre usb nøglen til at understøtte NFC, det har de fleste "nye" smartphones understøttet, så det kunne være en løsning på dette problem.
Det er jo ikke en løsning hvis det kun er nyeste smartphones og kun de fleste af dem.
En login løsning er nødt til at virke for alle.
Hvis man alligevel henter keyloggers, så er der jo ikke langt fra at en keylogger læser keyboard input til at den læser certifikat input/token input/whatever input og så udnytter nævnte input til at gøre fæle ting.
De skal skam nok finde en måde at stjæle folks ting på, selvom der er tokens, iris scanner, fingeraftryk scanner og krav om blodprøver og dna aflæsninger.
De skal skam nok finde en måde at stjæle folks ting på, selvom der er tokens, iris scanner, fingeraftryk scanner og krav om blodprøver og dna aflæsninger.
Jeg ville elske den dag, hvor jeg tabte mine nøgler, og samtidig ikke kunne ringe til nogen, fordi den RFID der sidder i nøglerne, låste min telefon op..
Eller når jeg skal gå hele vejen ind i stuen og hente mit USB-token, fordi jeg gerne ville se netflix på fjerneren, men jeg havde lige spillet wow inden jeg gik i seng, og så efterlod jeg den derinde.
Det er meget smart med tokens og alt muligt.
Problemet er bare at man så også tilføjer yderligere svagheder.
Tab af token, nedbrud, inkompatibilitet og mange andre.
Jeg så hellere at man havde like irisscannere, eller andre biometriske metoder.
Eller at folk bare nossede sig sammen og brugte tænkte sig om:
1 brug forskellige passwords til forskellige sites
2 brug lange passwords
3 Hav mindst 3 forskellige emails
4 gem ALDRIG dit kreditkort online
Og så skal udbyderne til at tage sig sammen:
1 kryp-fucking-ter alting, alting altid
2 MD5-hash er ikke krypteret
3 tillad ikke password recovery ved mailgodkendelse alene, brug SMS'r og private-spørgsmål. (Hvis en scammer både formår at stjæle min telefon, mit password og finde ud af at mit modersmærke på højre øre ligner homer simpson - så fortjener de at få mine penge)
4 få nu gennemtestet din kode inden du poster den på nettet
Det er like 7 tiltag, der vil gøre det meget mere sikkert at være bruger på nettet.
Og det kræver ikke noget nyt. Det kræver bare en indsats
Eller når jeg skal gå hele vejen ind i stuen og hente mit USB-token, fordi jeg gerne ville se netflix på fjerneren, men jeg havde lige spillet wow inden jeg gik i seng, og så efterlod jeg den derinde.
Det er meget smart med tokens og alt muligt.
Problemet er bare at man så også tilføjer yderligere svagheder.
Tab af token, nedbrud, inkompatibilitet og mange andre.
Jeg så hellere at man havde like irisscannere, eller andre biometriske metoder.
Eller at folk bare nossede sig sammen og brugte tænkte sig om:
1 brug forskellige passwords til forskellige sites
2 brug lange passwords
3 Hav mindst 3 forskellige emails
4 gem ALDRIG dit kreditkort online
Og så skal udbyderne til at tage sig sammen:
1 kryp-fucking-ter alting, alting altid
2 MD5-hash er ikke krypteret
3 tillad ikke password recovery ved mailgodkendelse alene, brug SMS'r og private-spørgsmål. (Hvis en scammer både formår at stjæle min telefon, mit password og finde ud af at mit modersmærke på højre øre ligner homer simpson - så fortjener de at få mine penge)
4 få nu gennemtestet din kode inden du poster den på nettet
Det er like 7 tiltag, der vil gøre det meget mere sikkert at være bruger på nettet.
Og det kræver ikke noget nyt. Det kræver bare en indsats
#12.. Jeg vil nu hellere have de hasher vores passwords, end krypterer dem :P
Men det er jo ligemeget, hvis dit pkt. 1 (forskellige passwords) holder. Pointen med #1 (hashing) er jo at selv hvis db'en bliver breached, så kan koderne ikke bruges på andre sites.
Det er jo ligemeget med om hackeren kan logge ind på din konto på det site han har hacket, da han jo har databasen og faktisk kan rekonstruere sitet hjemme på hans egen maskine :P
#11
De tokens / authenticators jeg har set (cryptocards) har en microprocessor der signerer ting den får tilsendt. Signaturen er så et klassisk PKI certifikat som kan bruges overalt. Fidusen ligger så i at du ikke kan kopiere den private nøgle ud af cryptocardet. Dvs, du kan ikke kopiere den, og kun bruge den så længe den er attached / unlocked på den computer du sidder ved.
En hacker skal derfor udover en keylogger også have remote control på - og så skal han være aktiv i det øjeblik at din token er tilsat.
Et yderligere tiltag kunne så være en token du fysisk skal trykke på for at signere ting, med en lille skærm der viser hvad du er ved at signere. Sådan en token vil være tæt på ubrydelig, lidt alá de tyske bankers dims.
Men det er jo ligemeget, hvis dit pkt. 1 (forskellige passwords) holder. Pointen med #1 (hashing) er jo at selv hvis db'en bliver breached, så kan koderne ikke bruges på andre sites.
Det er jo ligemeget med om hackeren kan logge ind på din konto på det site han har hacket, da han jo har databasen og faktisk kan rekonstruere sitet hjemme på hans egen maskine :P
#11
De tokens / authenticators jeg har set (cryptocards) har en microprocessor der signerer ting den får tilsendt. Signaturen er så et klassisk PKI certifikat som kan bruges overalt. Fidusen ligger så i at du ikke kan kopiere den private nøgle ud af cryptocardet. Dvs, du kan ikke kopiere den, og kun bruge den så længe den er attached / unlocked på den computer du sidder ved.
En hacker skal derfor udover en keylogger også have remote control på - og så skal han være aktiv i det øjeblik at din token er tilsat.
Et yderligere tiltag kunne så være en token du fysisk skal trykke på for at signere ting, med en lille skærm der viser hvad du er ved at signere. Sådan en token vil være tæt på ubrydelig, lidt alá de tyske bankers dims.
LordMike (13) skrev:#12.. Jeg vil nu hellere have de hasher vores passwords, end krypterer dem :P
Men det er jo ligemeget, hvis dit pkt. 1 (forskellige passwords) holder. Pointen med #1 (hashing) er jo at selv hvis db'en bliver breached, så kan koderne ikke bruges på andre sites.
Det er jo ligemeget med om hackeren kan logge ind på din konto på det site han har hacket, da han jo har databasen og faktisk kan rekonstruere sitet hjemme på hans egen maskine :P
Du salter vel dine hashes? - og så er de kryppede ;)
Problemet med MD5 som mange mindre websider stadigvæk bruger, er at man kan bruge rainbowtables til at bryde dem. Hvilket betyder at de er ubrugelige som sikkerhed.
MD6, SHA og flere andre kryptografiske hash-teknologier er langt sikrere
chris (14) skrev:Du salter vel dine hashes? - og så er de kryppede ;)
Problemet med MD5 som mange mindre websider stadigvæk bruger, er at man kan bruge rainbowtables til at bryde dem. Hvilket betyder at de er ubrugelige som sikkerhed.
En saltet hash er en saltet hash. MD5's mangel på sikkerhed har INTET med Rainbowtables at gøre hvis hashen er saltet.
Det har derimod alt at gøre med at MD5 generelt er en Hash-algoritme med ringe sikkerhed. Den er kun 128 bit (hvilket måske lyder af meget, men en Hash-algoritme giver kun en kollisionsbeskyttelse på halvdelen af sin bitlængde, hvilket for MD5 er 64 bit, kun 8 bit over DES på 56 bit), og den har en del svagheder.
RIPEMD, SHA2, SHA3, Skein og andre hashalgoritmer er klart at anbefale over. Samtidigt skal en hash gerne itereres.
gramps (16) skrev:Jeg læste et sted at de også foreslog en fingerring, som kunne slås mod et sted på computeren, hvorved en kode ville overføres.
Fingerring? Næh, kan lige så godt gå et skridt videre og få en chip implementeret inde i kroppen og via den kan computeren genkende en :D
Mort (10) skrev:defqon15 (8) skrev:#7 og #6:
Der kunne man eventuelt gøre usb nøglen til at understøtte NFC, det har de fleste "nye" smartphones understøttet, så det kunne være en løsning på dette problem.
Det er jo ikke en løsning hvis det kun er nyeste smartphones og kun de fleste af dem.
En login løsning er nødt til at virke for alle.
Ligesom Nemid virker for alle der har installeret JAVA, så virker der her for alle, når de altså har været ude og købe en "ny" telefon
Justin (18) skrev:Ligesom Nemid virker for alle der har installeret JAVA, så virker der her for alle, når de altså har været ude og købe en "ny" telefon
Nu skal du ikke sammenligne Google med DanID. Google forsøger at lave en ny løsning som skal være fornuftig.
DanID's løsning blev kritiseret af IT folk allerede inden den var implementeret.
Valkar (3) skrev:
Flytter problemet ja, men mon ikke du ser væsentligt færre østeuropæere stjæle penge fra vores bankkonti? (Den sætning kunne jeg desværre ikke skrive uden at lyde racistisk. Det var ikke meningen).
Tja, så mangler vi bare at forhindre BANKERNE i at stjæle vores penge !
Mort (19) skrev:Nu skal du ikke sammenligne Google med DanID. Google forsøger at lave en ny løsning som skal være fornuftig.
DanID's løsning blev kritiseret af IT folk allerede inden den var implementeret.
For af undgå af det bliver historien om Hånen og Ægget, der er ingen der har NFC fordi der ikke er noget af bruge det til, og fordi der er ikke er noget af bruge det til er der ikke nogen der har det
Så syntes jeg da det er helt fint af google laver den her løsning
og når så flere og flere får NFC kunne man jo måske være så heldig af man kunne bruge dem til rejsekort, og måske også som småmånd betaling når nu alle nye dankort terminaler får understøttelse af NFC
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund