Gå til innhold

Slik skal Google bli kvitt passordet for godt

VargAamo

Anbefalte innlegg

fenele

fenele

Skrevet
Skrevet

Ikke for å bli OS vs prop her, men OS er ikke nødvendigvis sikrere. Sett OS prosjekter med hull ingen tar ansvar for å fikse, eller der fokuset har vært å få ut bra funksjonalitet på bekostning av sikkerhet.

På prop. prosjekter har en betalte arbeidere som leter etter hull. OS har ikke den "luksusen", så selv om man teoretisk ofte har mange som kan lete etter hull er det heller få i praksis.

 

Så er det hvor flinke de betalte er til å finne hull da og hvor mye tid som legges i dette. Men begge har sine pro/cons.

Lenke til kommentar

Videoannonse

Videoannonse
Annonse
Vidarak

Vidarak

Skrevet
Skrevet

Løsningen er en brikke a'la de som er nevnt her, men det kan ikke BARE være brikken. Det er jo bare 1 faktor? Må ha 2 faktorer. Brikken/sertifiktatet burde brukes for å etablere en sikker forbindelse som er trygg mot man-in-the-middle/phishing, og så putter man inn den andre faktor i form av fingeravtrykk eller passord/pin for å legge på en sikkerhet som går mer på deg som person i forhold til noe du må ha med deg og som kan mistes.

Lenke til kommentar
Gjest Slettet-Pqy3rC

Gjest Slettet-Pqy3rC

Skrevet
Skrevet

Indeed. Pluss man får gode plugins/forks med nye funksjoner.

Jepp. Dessuten, som et relativt stort pluss, er man ikke avhengig av selskapet bak den propritære koden. En fare er at disse f.eks. blir kjøpt opp av ondsinnede eller rett og slett legger ned driften.

Ikke for å bli OS vs prop her, men OS er ikke nødvendigvis sikrere. Sett OS prosjekter med hull ingen tar ansvar for å fikse, eller der fokuset har vært å få ut bra funksjonalitet på bekostning av sikkerhet.

Her har man imidlertid muligheten til å ta ansvar sjøl.

På prop. prosjekter har en betalte arbeidere som leter etter hull. OS har ikke den "luksusen", så selv om man teoretisk ofte har mange som kan lete etter hull er det heller få i praksis.

Tja... Proprietære prosjekter er ute etter å selge. Hullfinning er en markedsmessig nødvendighet (bad publicity). Det finnes jo eksempler på selskaper som ikke tar slikt spesielt nøye inntil de blir pokka nødt.

Og finnes det først et hull er det lite du får gjort inntil de fikser det.

 

Som nevnt over, det meste her i verden har sine fordeler og ulemper, ting er sjelden perfekt.

Lenke til kommentar
ATWindsor

ATWindsor

Skrevet
Skrevet

Alle slike fysiske kontroller kan misbrukes ved hjelp av ren brutalitet/trusler, f.eks stjele brikke, hogge av finger.

 

De burde heller komme opp med en felles internett tjeneste, gjerne styrt av IANA eller noe. Der logger folk seg på og mottar en id-sekvens som er gyldig i 30 sek., denne kan så benyttes til å logge seg på andre sider.

Dessuten kunne denne også gitt fra seg personinfoen slik at butikker etc ikke nødvindigvis trenger å lagre dette annet enn for den pågående sesjonen.

 

Da reduserer man behovet for så himla mange ulike passord.

 

Når det er sagt så er ikke dagens situasjon så voldsomt problematisk heller så lenge en bruker ting som f.eks. KeePass.

 

Hva så? ingen systemer er 100% sikre, man kan true noen til å gi opp passordet med å knekke fingrene deres med din løsning også, men den reelle sikkerheten er god fordi ingen gidder å knakke fingrene på en random dude for å lese gmailen deres. Hvor mange passord har man i dag? Jeg har sikkert 100+ sites som trenger passord, noe må gjøres.

 

AtW

Lenke til kommentar
Gjest Slettet-Pqy3rC

Gjest Slettet-Pqy3rC

Skrevet
Skrevet (endret)

Hva så? ingen systemer er 100% sikre,

Helt sant. Jeg tror ikke 100% sikkerhet er mulig å oppnå heller.

Poenget var å finne en metode å forenkle dagens situasjon på, ikke nødvendigvis få ting til å bli 100% sikkert.

Hvor mange passord har man i dag? Jeg har sikkert 100+ sites som trenger passord, noe må gjøres.

Det finnes behjelpelige verktøy, f.eks., som nevnt over, KeePass.

 

Forøvrig, jeg har skrevet et blogginnlegg om KeePass for de som er ute etter info.

Endret av Slettet-Pqy3rC
Lenke til kommentar
๖ۣۜBØΣП

๖ۣۜBØΣП

Skrevet
Skrevet

Skeptisk til løsninger der man er avhengig av å ha med en fysisk gjenstand. Sikkert ja, praktisk, ikke spesielt.Vi brukte RSA's løsning en periode, og det er plagsomt å glemme/miste brikken, eller at man får behov for tilgang når det ikke var planlagt. For vår det var det jobbrelatert, tenk når det blir personlig. Her må man ha med denne tingen uansett hvor man skal.Hva om man mister den. At den ikke krever noen form for ekstra autentisering er jo problematisk. Den beskytter for eksterne trusler over webben, men ikke onsite-trusler og faren for å miste dongelen.

 

Ja tenk om man glemte penger når man gikk ut å handlet. Alt blir en vane etter hvert. Det er ikke mange som glemmer igjen lommeboken sin på supermarked når de handler...

 

Ser synspunktene dine, men synes dette er et positivt forslag som gjør hverdagen tryggere. :)

Lenke til kommentar
Drunkenvalley

Drunkenvalley

Skrevet
Skrevet (endret)

Hele poenget med 2-faktor autentisering er jo for å gjøre det vanskeligere for en angriper å bryte seg inn på kontoen din. Hvis noen stjeler brikken din må de fortsatt få tak i passordet ditt, og visa-versa.

 

Jeg har en YubiKey NEO, og er strålende fornøyd. Funker fint med telefonen også ved hjelp av NFC. Anbefales :)

 

Joda, nøkkelen er fin. Jeg tenker derimot på om du mister den, eller andre opptrer som deg på telefon og påstår du har mistet den. Eller generelt ellers misbruker det åpenbare sikkerhetshullet.

 

F.eks kan en keylogger som allerede har plukket opp passordet ditt når du legger til nøkkelen enkelt bruke passordet til å be om å forandre hvilken nøkkel som brukes, ettersom slik jeg forstår artikkelen er det bare det som trengs for å forandre nøkkelen.

 

Mao, det er mange svakheter det jeg ser innvolvert i evnen til å fjerne eller andre aktiv nøkkel som kan brukes med kontoen.

Endret av Drunkenvalley
Lenke til kommentar
ancient_scars

ancient_scars

Skrevet
Skrevet

Ikke for å bli OS vs prop her, men OS er ikke nødvendigvis sikrere. Sett OS prosjekter med hull ingen tar ansvar for å fikse, eller der fokuset har vært å få ut bra funksjonalitet på bekostning av sikkerhet.

På prop. prosjekter har en betalte arbeidere som leter etter hull. OS har ikke den "luksusen", så selv om man teoretisk ofte har mange som kan lete etter hull er det heller få i praksis.

 

Et OS er noe du installerer i bunnen på harddisken din for å bruke en PC. Open source, derimot...

 

Når du kommer med slike påstander er det fint med et par eksempler. Jeg tviler ikke på at du har rett, det finnes tusenvis av open source prosjekter, men jeg har ikke sett noen som er mer usikre enn proprietære løsninger enda.

 

Når det kommer til KeePass er det vel lite sannsynlig at hull ikke tettes etter at de har blitt oppdaget. Hele poenget med programmet er å oppbevare passord på en sikker måte.

  • Liker 1
Lenke til kommentar
efikkan

efikkan

Skrevet
Skrevet

Opptrykk av svada-artikler er totalt uinteressant. En journalist bør undersøke sakens kjerne og stille viktige kritiske spørsmål. Dette krever at vedkommende har god innsikt i fagfeltet.

 

Grosse og Upadhay tror at folk flest ikke vil trenge sterke passord, så snart slik teknologi blir utbredt på nok nettsider.
For at det skal være sikkert så må det være noe av tilstrekkelig entropi som må huskes eller gjenkjennes, enten det er i form av passord, koder eller mønstre. En fysisk token eller nøkkel vil alltid være gjenstand for misbruk, med mindre den igjen er beskyttet med en tilstrekkelig god kode, så da må du uansett huske et passord.

 

...eller KeePass

(passord fila kan overføres til enhetene via andre tjenester om ønskelig)

Eller KeePassX som er langt bedre støtter på flere plattformer og ikke er avhengig av .NET/Mono.

 

Løsningen er en brikke a'la de som er nevnt her, men det kan ikke BARE være brikken. Det er jo bare 1 faktor? Må ha 2 faktorer. Brikken/sertifiktatet burde brukes for å etablere en sikker forbindelse som er trygg mot man-in-the-middle/phishing, og så putter man inn den andre faktor i form av fingeravtrykk eller passord/pin for å legge på en sikkerhet som går mer på deg som person i forhold til noe du må ha med deg og som kan mistes.

Ja her er det snakk om å bytte ut passord med noe som strengt tatt er mer usikkert. Men viktigst av alt, hva skjer når du mister tokenen? (se lenger ned)

 

Hva så? ingen systemer er 100% sikre, man kan true noen til å gi opp passordet med å knekke fingrene deres med din løsning også, men den reelle sikkerheten er god fordi ingen gidder å knakke fingrene på en random dude for å lese gmailen deres. Hvor mange passord har man i dag? Jeg har sikkert 100+ sites som trenger passord, noe må gjøres.

 

AtW

Løsningen er en passord-safe, som KeePassX. Du trenger to sikre passord som privatbruker, det ene til din primære e-post-konto, og det andre til passordsafen. Det ene må ikke under noen omstendigheter gi det andre.

 

Det fine med en passord-safe er at det blir enklere å ha gode passordrutiner, siden du kan lett bytte enkeltpassord uten å huske de, og du kan bytte passordet på selve safen med jevne mellomrom. En slik safe kan du fint synkronisere med både PCer, VPS og telefoner.

 

-----

 

Folk er veldig opptatt av tofaktorautentisering om dagen, og tror at ting blir sikkert straks det er to faktorer. Flere faktorer må kun være et supplement, og ikke en erstatning av et sikkert passord. Sikkerhetsbarrièrer skal være individuelt trygge, slik at om én barrière brister, så skal du fremdeles være trygg. Dette er et av de viktigste og mest grunnleggende prinsippene i sikkerhet. Koder over SMS kan lett avleses eller endres. Token-apps slik som Blizzard har kan lett forutsees og kopieres.

 

Med tofaktorautentisering er det to viktige ting vi må huske på:

- Hva er rutinene for om brukeren mister den éne faktoren? Dette har blitt en av de viktigste angrepstaktikken for målrettede angrep den siste tiden. Det er ikke uvanlig at brukeren bruker den andre faktoren, telefonnummer, personnummer eller et "hemmelig" spørsmål for å komme rundt dette.

- Er enheten i seg selv trygg? Security by obscurity is not security! For at dette skal være trygt nok må enheten ha en privat nøkkel som brukes til signering i klasse med GPG, og motparten(bank, e-post, tjeneste osv) må ikke ha den private nøkkelen tilgjengelig. Ligger privatnøkkelen på en telefon kan den lett kopieres. Det er viktig at privatnøkkelen er tilstrekkelig sikret, så det er ingen vei utenom passord. Løsninger som Yubikey, Digipass og BankID får alle strykkarakter på dette punktet.

 

Jeg logget inn på Hotmail her forleden, og fikk beskjed om at de innførte nye passordrutiner. Gjennom denne prosessen ble jeg aldri spurt om mitt eksisterende passord, og måtte kun oppgi et telefonnummer og mitt nye ønskede passord. Skremmende nok hadde jeg ingen telefonnummer registrert på kontoen og jeg fikk likevel aktivert kontoen. Hadde jeg hatt en telefon uten oppført eier kunne jeg dermed ha stjålet hvilken som helst andre sin hotmail-konto som ikke allrede var reaktivert.

 

Jeg vet også om en norsk bank som kan sende ut nye BankID-tokens til adresser som ikke står i folkeregisteret bare de får oppgitt opplysninger som personnummer, telefonnummer osv.

 

Det er skremmende at såpass kritiske institusjoner og tjenester ikke forstår sikkerhet.

  • Liker 1
Lenke til kommentar
Gjest Slettet-Pqy3rC

Gjest Slettet-Pqy3rC

Skrevet
Skrevet (endret)

Eller KeePassX som er langt bedre støtter på flere plattformer og ikke er avhengig av .NET/Mono.

Utfordringen (og forsåvidt også fordelen på et vis) med den (sist jeg sjekket) er at den ikke støtter plugins. Dette betyr jo at den ikke kan gi deg direkte støtte i browsere (eller andre programmer). Hvilket jo forsåvidt øker sikkerheten, men reduserer samtidig brukervennligheten betraktelig.

 

Eller har jeg misforstått noe ?

 

Med KeePass er det ikke et problem å unngå "remember me"-funksjonalitet på nettsteder samtidig som browseren selv er blottet for passord. Dette grunnet en browser plugin som "snakker med" KeePass. Noe sånt må være mer tungvindt med KeePassX... eller ?

Endret av Slettet-Pqy3rC
Lenke til kommentar
ancient_scars

ancient_scars

Skrevet
Skrevet (endret)

Utfordringen (og forsåvidt også fordelen på et vis) med den (sist jeg sjekket) er at den ikke støtter plugins. Dette betyr jo at den ikke kan gi deg direkte støtte i browsere (eller andre programmer). Hvilket jo forsåvidt øker sikkerheten, men reduserer samtidig brukervennligheten betraktelig.

 

Eller har jeg misforstått noe ?

 

Med KeePass er det ikke et problem å unngå "remember me"-funksjonalitet på nettsteder samtidig som browseren selv er blottet for passord. Dette grunnet en browser plugin som "snakker med" KeePass. Noe sånt må være mer tungvindt med KeePassX... eller ?

 

Keepass KeePassX har en autotype funskjon der du kan alt+tab til KeePass og så be programmet fylle inn og aktivere login. Jeg foretrekker sikkerhet fremfor en browser plugin.

Endret av ancient_scars
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...