V. Haugen Skrevet 10. april 2014 Rapporter Del Skrevet 10. april 2014 Gjør et sikkert valg med vår passordgenerator.Finn et nytt passord nå Lenke til kommentar
tommyb Skrevet 10. april 2014 Rapporter Del Skrevet 10. april 2014 (endret) Et fint tiltak, og så...Genereres passordet på deres server a) eller b) i javascript på klientsiden? Edit: effikan testet i innlegget under, så jeg "fader ut" de mulighetene som ikke stemmer for Teknofil-tilfellet. Prinsippene blir likevel det samme for andre passordgeneratorer. Hvis a) er tilfelle, blir dette sendt åpent over internett til min maskin over HTTP, som er verre enn å sende passordet til en Heartbeat-sårbar server [utfall 1].Hvis [utfall 1] er tilfelle, har Teknofil en kopi av mitt passord, [utfall 2] som de enten ikke lagrer [utfall 3] eller lagrer uten tillatelse. [utfall 4] Dersom [utfall 4], selv med gode hensikter, må jeg stole på at deres lagring er trygg [utfall 5] og at det ikke kommer nye sikkerhetsbrister. [utfall 6].Hvis b) er tilfelle, kan scriptet være laget slik at det skjult [utfall 7] eller åpent [utfall 8] returnerer en kopi av passordet til Teknofil, som igjen leder til [utfall 2] og eventuelt [utfall 4], [utfall 5], [utfall 6]. Eller det kan gjøre det man forventer, og ikke sende noe inn [utfall 9]. Da er det et spørsmål om hver enkelt bruker d) mangler nok kunnskap og tid til å avdekke at dette skjer [utfall 10], eller e) kan teste og med sikkerhet gå god for at det ikke skjer [utfall 11].I utfall 1, 8 gir du fra deg passordet til hvem som helst som lytter.I utfall 1, 2, 3, 4, 5, 6, 7, 8, 10 gir du fra deg passordet til Teknofil.I utfall 1, 2, 4, 6, 7, 8, 10 gir du fra deg passordet til eventuelle Teknofil-hackere.Hvilke av disse utfallene som er det endelige resultatet vet jeg ikke. Siden jeg stoler på Teknofil, antar jeg at det sannsynligvis er utfall 1+3 eller utfall 9. Men med mindre utfall 11, kan man ikke fastslå utfall 9.I utfall 1 til 10 kan man derfor ikke stole på denne passordgeneratoren.I utfall 11 trenger man ikke denne passordgeneratoren fordi man da er i stand til å lage en selv like raskt som man tester denne.Siden man må velge å stole på noen, anbefaler jeg dere å finne og bruke et program for håndtering av passord, fortrinnsvis ett mye brukt ett med åpen kildekode. Disse har som regel gode innebygde passordgeneratorer, og peer review burde gi en viss sikkerhet om at passordet ikke blir sendt tilbake til utviklerne av programmet.Hele denne rare/vanskelige/sikkert logisk feilaktige posten var bare et påskudd for å få dere til å bruke et program for håndtering av passord (f.eks. keepass) og for å ha en bevisst holdning til hva dere gjør med passordene deres. Passordene deres skal være unike og systematisk håndtert. Unntak for tjenester der det ikke gjør noe om en ondsinnet spammer+tyv+mafiaboss tar over alle tjenestene deres samtidig, da skal dere få aksept for å bruke et dårlig passord. Endret 11. april 2014 av tommyb 2 Lenke til kommentar
efikkan Skrevet 10. april 2014 Rapporter Del Skrevet 10. april 2014 snip ikke så vanskelig å finne ut, 2 min i wireshark: Dere ser tydelig at det er generert på server og sendt usikret til meg. 5 Lenke til kommentar
efikkan Skrevet 10. april 2014 Rapporter Del Skrevet 10. april 2014 Hva Teknofil gjør her er direkte urovekkende. Her har de laget en utrygg tjeneste for at folk skal generere "trygge" passord, og skor seg på frykten folk har for passord på avveie. Det er svært betenkelig når trolig ingen passord er på avveie som følge av heartbleed, men at betydelige mengder vil rammes av alle tulletjenestene som lages rundt hysteriet. 2 Lenke til kommentar
amund Skrevet 11. april 2014 Rapporter Del Skrevet 11. april 2014 Takk for gode og begrunnede tilbakemeldinger!Vi kommer til å oppdatere våre passordgenerator slik at den benytter SSL, og vi vurderer også å lage en Javascript-implementasjon som kjører på klientsiden slik at passordene ikke sendes over internett i det heletatt. Dette vil gjøre passordene tryggere, men vil fortsatt ikke gi den samme sikkerheten som det er å lage et eget passord manuelt, uten bruk av et dataprogram.Grunnleggende skepsis til alle passordgeneratorer er fornuftig og sunt - og det gjelder så vel vår egen passordgenerator som hvilken som helst annen passordgenerator som man laster ned fra nettet.Det sikreste vil uansett være å lage dine egne, skikkelige passord bestående av mange tegn, og som ikke består av kjente ord eller tallrekker. Når man ser på statistikken over de mest brukte passordene er det liten tvil om at det er lite som skal til for å øke sikkerheten mange hakk... 2 Lenke til kommentar
tommyb Skrevet 11. april 2014 Rapporter Del Skrevet 11. april 2014 Å flytte utsendingen av passordet over på SSL er vesentlig bedre enn å sende ut passord på HTTP eller epost, så det er et bra tiltak. Lenke til kommentar
Anbefalte innlegg