mboost-dp1
unknown
Egentlig kan jeg godt forstå ideen med "Two-factor authentication" fra MS's side af.
De vil sikkert indvinde et indpass i firma'er osv da de nu ikke behøver at invistere vild i dyre sikkerheds løsninger for at brugerene kan logge sikkert ind lokalt eller via VPN.
Desuden så vil MS få en form for HW'key så de er sikker på at man ikke kan bruge longhorn uden en korekt licens - HW key generater.
Dette kræver at MS tvinger brugeren til at bruge den HW key hvilket jeg tvivler på vil være muligt at få private til.
Men jeg vil tilslutte mig Bruce Schneier og sige at det vil ikke løse problemerne med Banker og andet remote logon over internet.
Heste etc.
De vil sikkert indvinde et indpass i firma'er osv da de nu ikke behøver at invistere vild i dyre sikkerheds løsninger for at brugerene kan logge sikkert ind lokalt eller via VPN.
Desuden så vil MS få en form for HW'key så de er sikker på at man ikke kan bruge longhorn uden en korekt licens - HW key generater.
Dette kræver at MS tvinger brugeren til at bruge den HW key hvilket jeg tvivler på vil være muligt at få private til.
Men jeg vil tilslutte mig Bruce Schneier og sige at det vil ikke løse problemerne med Banker og andet remote logon over internet.
Heste etc.
Ehm microsoft dropper jo ikke direkte password protection hvis de vælger two-factor auth, de supplere den bare med et "token" / mærke som man kan have på computeren til at verificere sig med. Min bank har gjordt dette i lang tid, og jeg ved at andre banker får skiftet deres kode hvergang der bliver logget på netbanken.
Jeg syntes faktisk at det er en ganske udemærket måde at forhindre folk i at lure passwords af, og det virker formodentlig også bedre end inden vi fik disse certifikater. Men jeg tror nu ikke det går så vidt at vi bruger mobil telefonen til at lave en tilbagemelding på koden vi får, det er jo ikke alle der kan finde ud af det med at SMS, og det er stadig ikke en standard blandt den lidt ældre generation.
Men jeg syntes det er et ok tiltag fra Microsofts side at levere dette istedet for et standard password, som jo er blevet brugt siden tidernes morgen. Skal nok få et par folk op af stolene ^^
Jeg syntes faktisk at det er en ganske udemærket måde at forhindre folk i at lure passwords af, og det virker formodentlig også bedre end inden vi fik disse certifikater. Men jeg tror nu ikke det går så vidt at vi bruger mobil telefonen til at lave en tilbagemelding på koden vi får, det er jo ikke alle der kan finde ud af det med at SMS, og det er stadig ikke en standard blandt den lidt ældre generation.
Men jeg syntes det er et ok tiltag fra Microsofts side at levere dette istedet for et standard password, som jo er blevet brugt siden tidernes morgen. Skal nok få et par folk op af stolene ^^
Det er fint nok at man kan bruge det lokalt osv.
Men jeg kan bare ikke se logikken i det når man skal bruge det remote homebank etc.
Hvis de skriver en key som du så skal indtaste eller bruge på din HW dims så er det vel bare et stykke software der generater en ny key.
Dvs en "simpel" keygenerater som man i teorien kan have liggende på sin pda ?
Jeg kan vitterlig ikke forstå hvordan dette skulle være mere sikker end alm passwords.
Kan se det som en sikring af OS hvis de kræver at man har den hw key for at benytte longhorn. Og til lokal brug vil det også til dels virke sikkert. Så længe man ikke har fundet logikken i den key der skal genereres.
Selvom den skifter i den ene ende skal det jo stadig være inden for samme algoritme så man kan bruge sin hw generater til at lave en key der er korekt.
Men jeg kan bare ikke se logikken i det når man skal bruge det remote homebank etc.
Hvis de skriver en key som du så skal indtaste eller bruge på din HW dims så er det vel bare et stykke software der generater en ny key.
Dvs en "simpel" keygenerater som man i teorien kan have liggende på sin pda ?
Jeg kan vitterlig ikke forstå hvordan dette skulle være mere sikker end alm passwords.
Kan se det som en sikring af OS hvis de kræver at man har den hw key for at benytte longhorn. Og til lokal brug vil det også til dels virke sikkert. Så længe man ikke har fundet logikken i den key der skal genereres.
Selvom den skifter i den ene ende skal det jo stadig være inden for samme algoritme så man kan bruge sin hw generater til at lave en key der er korekt.
Mon ikke de bl.a. tænker på deres samarbejde med RSA (http://www.rsasecurity.com/node.asp?id=1173)
Hvis det er det er det jo på ingen måder en "simpel" keygen, så er det jo et system der i en årrække har bevist hvor effektivt det er.
Hvis det er det er det jo på ingen måder en "simpel" keygen, så er det jo et system der i en årrække har bevist hvor effektivt det er.
#1 IQ0:
Jeg er meget interesseret i at vide, hvordan man kan forhindre folk i at cracke longhorn? Meget meget interesseret endda.
Det kræver selvfølgelig at crackerne gider at bruge den tid det tager, men tro mig det gider de. Der er skam nok nogen der finder HW-key algorithmen, og så snyder firmaerne sig for at betale. Men jeg er meget interesseret i hvordan du mener MS kan være sikker på at folk altid betaler deres Windowslicens :)
Mvh. Arrow
Jeg er meget interesseret i at vide, hvordan man kan forhindre folk i at cracke longhorn? Meget meget interesseret endda.
Det kræver selvfølgelig at crackerne gider at bruge den tid det tager, men tro mig det gider de. Der er skam nok nogen der finder HW-key algorithmen, og så snyder firmaerne sig for at betale. Men jeg er meget interesseret i hvordan du mener MS kan være sikker på at folk altid betaler deres Windowslicens :)
Mvh. Arrow
Jeg glæder mig bare til at se hvad der sker når folk glemmer at fyre en nyt batteri i den der HW-key-ting som genererer deres key hehe
#2 ja jeg har også en "key"-fil-tingest liggende på min computer, men jeg skal da stadig også indtaste en kode for at få adgang til min netbank.
Jeg syntes ikke rigtigt at passwords er en dårlig ting, det er en sikkerhed som ikke kræver at du husker at skifte batteri i en ting som genererer en kode for dig, eller at du rent faktisk husker at tage den med. Lidt nederen hvis man bruger 1½ time på at kommer på arbejde, for så at finde ud af at du ikke kan logge ind, fordi din lille bitte keygen ligger derhjemme.
#2 ja jeg har også en "key"-fil-tingest liggende på min computer, men jeg skal da stadig også indtaste en kode for at få adgang til min netbank.
Jeg syntes ikke rigtigt at passwords er en dårlig ting, det er en sikkerhed som ikke kræver at du husker at skifte batteri i en ting som genererer en kode for dig, eller at du rent faktisk husker at tage den med. Lidt nederen hvis man bruger 1½ time på at kommer på arbejde, for så at finde ud af at du ikke kan logge ind, fordi din lille bitte keygen ligger derhjemme.
#3 IQ0
Two factor auth. bruger normalt et eller andet "seed" som bruges til at forbinde hw-token til auth-serveren. Serveren og den pågældende token skal derefter sync'es tidsmæssigt (normalt inden for 30 sek - 1 min). Herefter er det muligt for en HW-token at fremvise en key (f.eks. en ny hvert minut), som serveren derefter kan validere, da den selv kan producere den samme key inden for samme korte tidsrum. Kombinerer du denne random key med noget personligt, f.eks. din egen pin-kode på yderligere 8 tegn, så får man en drøn stærk authentikation som ikke kan gættes.
Det random number der genereres er one-way. D.v.s. selvom man sad og skrev hundredevis af dem ned, ville de intet fortælle om det seed der blev brugt til at lave dem.
Alene bare det at dit password aldrig er det samme da det består af din personlige pin-kode + et random nummer er vel altid bedre end de normale passwords vi alle kender.
Det er selvfølgelig kun et stykke sw inde i hw-tokenen der beregner denne key, men det er lykkedes bland andet RSA at sikre deres SecurID tokens ganske godt. Du er faktisk først på røven, når dit seed er kendt.
Men men men... som alt andet MS, så bliver det jo nok knækket en dag, når der er en tilstrækkeligt stor målgruppe for hackerne.
Two factor auth. bruger normalt et eller andet "seed" som bruges til at forbinde hw-token til auth-serveren. Serveren og den pågældende token skal derefter sync'es tidsmæssigt (normalt inden for 30 sek - 1 min). Herefter er det muligt for en HW-token at fremvise en key (f.eks. en ny hvert minut), som serveren derefter kan validere, da den selv kan producere den samme key inden for samme korte tidsrum. Kombinerer du denne random key med noget personligt, f.eks. din egen pin-kode på yderligere 8 tegn, så får man en drøn stærk authentikation som ikke kan gættes.
Det random number der genereres er one-way. D.v.s. selvom man sad og skrev hundredevis af dem ned, ville de intet fortælle om det seed der blev brugt til at lave dem.
Alene bare det at dit password aldrig er det samme da det består af din personlige pin-kode + et random nummer er vel altid bedre end de normale passwords vi alle kender.
Det er selvfølgelig kun et stykke sw inde i hw-tokenen der beregner denne key, men det er lykkedes bland andet RSA at sikre deres SecurID tokens ganske godt. Du er faktisk først på røven, når dit seed er kendt.
Men men men... som alt andet MS, så bliver det jo nok knækket en dag, når der er en tilstrækkeligt stor målgruppe for hackerne.
#9
Mon ikke du nok skal huske at skifte det batteri. Hvor mange passwords/koder skal du huske i dag? Som et resultat af det høje antal, bruger du så usikre koder (genbruger den samme flere gange / bruger navne)?
Mon ikke det bliver lidt sikre, med denne lille dimmer?
Mon ikke du nok skal huske at skifte det batteri. Hvor mange passwords/koder skal du huske i dag? Som et resultat af det høje antal, bruger du så usikre koder (genbruger den samme flere gange / bruger navne)?
Mon ikke det bliver lidt sikre, med denne lille dimmer?
#9
Som jeg nævnte så supplere banken med et certifikat. Det vil sige at jeg stadig bruger et brugernavn og password, men også skal have et certifikat for at logge ind. Så jeg har altså ikke sagt at jeg ikke bruger password ;)
Og generelt ligger svaghederne i passwords at mange bruger et masterpassword, for der er ikke mange der opretter 20 forskellige passwords og brugernavne :) Jeg ved ihvertfald at mit masterpassword (18 characters long :P) bliver brugt ofte eller dele heraf. Så hvis den bliver opdaget, så har jeg et mindre problem ^^
Og sidst men ikke mindst den geniale; Folk giver deres passwords ud til vennerne hvis de lige hurtigt skal tjekke noget og man ikke kan være lige ved siden af... Og hvis man så bruger masterpassword på netop den side... Så kunne man få et problem :D
Som jeg nævnte så supplere banken med et certifikat. Det vil sige at jeg stadig bruger et brugernavn og password, men også skal have et certifikat for at logge ind. Så jeg har altså ikke sagt at jeg ikke bruger password ;)
Og generelt ligger svaghederne i passwords at mange bruger et masterpassword, for der er ikke mange der opretter 20 forskellige passwords og brugernavne :) Jeg ved ihvertfald at mit masterpassword (18 characters long :P) bliver brugt ofte eller dele heraf. Så hvis den bliver opdaget, så har jeg et mindre problem ^^
Og sidst men ikke mindst den geniale; Folk giver deres passwords ud til vennerne hvis de lige hurtigt skal tjekke noget og man ikke kan være lige ved siden af... Og hvis man så bruger masterpassword på netop den side... Så kunne man få et problem :D
2 faktor godkendelse, som flere danske banker f.eks. bruger, og som nævnes her, sikrer ikke mod man-in-the-middle angreb.
Som der skrives, så løser det nye tiltag stadig ikke de problemer der findes, men problemer som fandtes for år tilbage.
Det store problem nu er, at folk stadig bruger 'password' og 'hemmeligt' osv. som kodeord. Det vil blive forhindret.
Som der skrives, så løser det nye tiltag stadig ikke de problemer der findes, men problemer som fandtes for år tilbage.
Det store problem nu er, at folk stadig bruger 'password' og 'hemmeligt' osv. som kodeord. Det vil blive forhindret.
#13
Godt observeret... Det står netop i nyheden ret fremtræden ^^
Og mange personer bruger altså ikke password / hemmeligt som password men derimod deres fødselsdag, telefon nr., administrator og lign. Og nej, det vil ikke blive forhindret medmindre der kommer en type keygen som har været snakke om her i denne debat. I princippe kan jeg sagtens ændre mit password til f.eks. hemmeligt på netbank, men jeg skal stadigvæk bruge et certifikat. Det er netop her at det kræves at folk hacker sig ind på min computer og få fat i den. Det var jo kun et forslag fra ham (fra nyheden) for at gøre det mere umuligt at spore / cracke koden da den ville blive sendt til et andet medie. Så kræver det at personen også har adgang til din mobiltelefon (ligesom ham der leger med Paris Hiltons ;P) for at kunne klare det. Jeg siger ikke at det ikke er umuligt, blot at risikoen for at det sker er betydeligt lavere
Godt observeret... Det står netop i nyheden ret fremtræden ^^
Og mange personer bruger altså ikke password / hemmeligt som password men derimod deres fødselsdag, telefon nr., administrator og lign. Og nej, det vil ikke blive forhindret medmindre der kommer en type keygen som har været snakke om her i denne debat. I princippe kan jeg sagtens ændre mit password til f.eks. hemmeligt på netbank, men jeg skal stadigvæk bruge et certifikat. Det er netop her at det kræves at folk hacker sig ind på min computer og få fat i den. Det var jo kun et forslag fra ham (fra nyheden) for at gøre det mere umuligt at spore / cracke koden da den ville blive sendt til et andet medie. Så kræver det at personen også har adgang til din mobiltelefon (ligesom ham der leger med Paris Hiltons ;P) for at kunne klare det. Jeg siger ikke at det ikke er umuligt, blot at risikoen for at det sker er betydeligt lavere
#11:
Problemet er bare at den nuværende implementation giver et nyt problem:
Vi skal vade rundt med 14 forskellige keydimser!
Som det er nu er det seed'et der er det hemmelige - men det skal serveren også kende - så der er ikke noget med at bruge samme keydims til flere forskellige services.
Hvis man derimod laver det som en usbdims som bruger public/private keys, behøver vi kun vade rundt med en enkelt dims.
Problemet er bare at den nuværende implementation giver et nyt problem:
Vi skal vade rundt med 14 forskellige keydimser!
Som det er nu er det seed'et der er det hemmelige - men det skal serveren også kende - så der er ikke noget med at bruge samme keydims til flere forskellige services.
Hvis man derimod laver det som en usbdims som bruger public/private keys, behøver vi kun vade rundt med en enkelt dims.
Metoden er da så gammel som metusalem. Jeg har en dongle (parallelport) til Cubase VST, men den kan da købes i kopi hvis man bare ved hvor man skal søge!
Problemet med sikkerhed er ikke teknikken, men brugerne.
Man kan som bruger ikke overse at have sikre passwords - da de vil være alt for svære at huske, og mange mennesker har mange kontoer.
Hvis man endelig så samlede det hele i en database, er sårbarheden denne database.
Den eneste måde man kan sikre sit system på er ved at have et fornuftigt udgangspunkt - et hamrende sikkert styresystem. Desværre er sikkerhed omvendt proportionalt med kompleksivitet.
Man er ved at opdage at sikkerhed er et vigtigt element i et styresystem og den eneste løsning er at bygge det på en kompleks måde, men så vil mange af de smarte features forsvinde. Det vil samtidigt kræve at man fik en ingenøruddannelse for at kunne administrere det.
Desværre er usikkerhedsfaktoren brugeren. det er en brugerkonti der giver adgang til filer. og desværre er der mange "brugere" på en MS computer, som vi aldrig har bedt om at være der (f.eks. messenger)
Et sikkert system kræver brugere der overholder nogle simple regler
1 Lav et password der er unikt og ikke har nogen forbindelse med dig (tegn, symboler og tal - mindst 12 cifre)
2. Brug ikke andre systemer til kritiske ting end et du ved du kan stole på
3. Sæt dig ind i sikkerhed på PC'ere
4. Overvej hvad du bruger din PC'er til
5. brug din fornuft
mindes en et sikkerhedshul i en linuxkerne (der blev rettet døgnet efter det var fundet) hvor det var en fejl der gav adgang til root kontoen (der skulle dog være adgang til en privat konto først) her var der en der replicerede " brugere er roden til alt ondt" ak ja - det er menneskeligt at fejle og computerbrugere har det nærmest som en hobby! :-)
PS minder det der tegn for longhorn ikke en del om GNU'en?????????????
Problemet med sikkerhed er ikke teknikken, men brugerne.
Man kan som bruger ikke overse at have sikre passwords - da de vil være alt for svære at huske, og mange mennesker har mange kontoer.
Hvis man endelig så samlede det hele i en database, er sårbarheden denne database.
Den eneste måde man kan sikre sit system på er ved at have et fornuftigt udgangspunkt - et hamrende sikkert styresystem. Desværre er sikkerhed omvendt proportionalt med kompleksivitet.
Man er ved at opdage at sikkerhed er et vigtigt element i et styresystem og den eneste løsning er at bygge det på en kompleks måde, men så vil mange af de smarte features forsvinde. Det vil samtidigt kræve at man fik en ingenøruddannelse for at kunne administrere det.
Desværre er usikkerhedsfaktoren brugeren. det er en brugerkonti der giver adgang til filer. og desværre er der mange "brugere" på en MS computer, som vi aldrig har bedt om at være der (f.eks. messenger)
Et sikkert system kræver brugere der overholder nogle simple regler
1 Lav et password der er unikt og ikke har nogen forbindelse med dig (tegn, symboler og tal - mindst 12 cifre)
2. Brug ikke andre systemer til kritiske ting end et du ved du kan stole på
3. Sæt dig ind i sikkerhed på PC'ere
4. Overvej hvad du bruger din PC'er til
5. brug din fornuft
mindes en et sikkerhedshul i en linuxkerne (der blev rettet døgnet efter det var fundet) hvor det var en fejl der gav adgang til root kontoen (der skulle dog være adgang til en privat konto først) her var der en der replicerede " brugere er roden til alt ondt" ak ja - det er menneskeligt at fejle og computerbrugere har det nærmest som en hobby! :-)
PS minder det der tegn for longhorn ikke en del om GNU'en?????????????
#11
Uvidenhed og inkompetence er en større trussel, mod samfundet, end pædofili og terrorisme.
Det er vist ikke helt rigtig, der er da garanteret masser af ting du er uviden og ukompetent omkring, men det gør dig vel ikke automatisk til en trussel mod samfundet vel?
Det er først et problem, når man er uviden om ens uvidenhed ;-)
Uvidenhed og inkompetence er en større trussel, mod samfundet, end pædofili og terrorisme.
Det er vist ikke helt rigtig, der er da garanteret masser af ting du er uviden og ukompetent omkring, men det gør dig vel ikke automatisk til en trussel mod samfundet vel?
Det er først et problem, når man er uviden om ens uvidenhed ;-)
#17
Jeg er bevist om mine begrænsninger.
Signaturen er et resultat af den måde landet bliver styret på...
Jeg er bevist om mine begrænsninger.
Signaturen er et resultat af den måde landet bliver styret på...
[OT]
#16
"mindes en et sikkerhedshul i en linuxkerne (der blev rettet døgnet efter det var fundet) hvor det var en fejl der gav adgang til root kontoen (der skulle dog være adgang til en privat konto først) her var der en der replicerede " brugere er roden til alt ondt" ak ja - det er menneskeligt at fejle og computerbrugere har det nærmest som en hobby! :-)"
Dem er der masser af, nogen af dem er dog ret hypotetiske. Det der altid har undret mig er hvorfor den slags fejl får så høj threat level, har set linux baserede lokale rettigheds eskalerende bugs, som var rent hypotetiske races, som ingen havde fundet exploits til, og alligevel giver sikkerhedsfirmaerne den 'kritisk'. Sikkerhedsbranchen er fyldt med inkompentente mennesker, der tror de kan vurdere sikkerheden bare ved at læse bug rapportens overskrift.
#16
"mindes en et sikkerhedshul i en linuxkerne (der blev rettet døgnet efter det var fundet) hvor det var en fejl der gav adgang til root kontoen (der skulle dog være adgang til en privat konto først) her var der en der replicerede " brugere er roden til alt ondt" ak ja - det er menneskeligt at fejle og computerbrugere har det nærmest som en hobby! :-)"
Dem er der masser af, nogen af dem er dog ret hypotetiske. Det der altid har undret mig er hvorfor den slags fejl får så høj threat level, har set linux baserede lokale rettigheds eskalerende bugs, som var rent hypotetiske races, som ingen havde fundet exploits til, og alligevel giver sikkerhedsfirmaerne den 'kritisk'. Sikkerhedsbranchen er fyldt med inkompentente mennesker, der tror de kan vurdere sikkerheden bare ved at læse bug rapportens overskrift.
#20
Ja, med mig som blodtørstig diktator.
Har du overvejet hvor mange totalt tåbelige love der bliver vedtaget, og hvor mange totalt tåbelige projekter der bliver smidt mia. ud på, uden at befolkningen bliver spurgt. Det er ikke kun politikkernes land. Det er også dit og mit land, og vi har vel lov til at have et eller andet, at skulle have sagt i vort eget land?
Og hvis nogen er i tvivl om, hvorfor min signatur er hvad den her, så se her (Indlæg #110).
Ja, med mig som blodtørstig diktator.
Har du overvejet hvor mange totalt tåbelige love der bliver vedtaget, og hvor mange totalt tåbelige projekter der bliver smidt mia. ud på, uden at befolkningen bliver spurgt. Det er ikke kun politikkernes land. Det er også dit og mit land, og vi har vel lov til at have et eller andet, at skulle have sagt i vort eget land?
Og hvis nogen er i tvivl om, hvorfor min signatur er hvad den her, så se her (Indlæg #110).
#21: Det er i højere grad embedsmandsvældet du er imod (vil jeg tro, har signatur slået fra så..).
Det faktum at et ministerie som f.eks. justitsministeriet har en masse embedsmænd som ikke er interesseret i retssikkerhed og undervisningsministeriet modarbejder den siddende regering og EU strukturen som i princippet er 90% embedsstyret (kommissærerne er udpegede af politikere og må derfor betragtes som embedsmænd og ikke politikere).
Det faktum at et ministerie som f.eks. justitsministeriet har en masse embedsmænd som ikke er interesseret i retssikkerhed og undervisningsministeriet modarbejder den siddende regering og EU strukturen som i princippet er 90% embedsstyret (kommissærerne er udpegede af politikere og må derfor betragtes som embedsmænd og ikke politikere).
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund