Daniel Gertsen

Fejlbehæftet certifikat på CSC-server lagde NemID-bestilling brak i et halvt døgn

Well det er også muligt at overvåge om et certifikat fejler, så deeet...

16. juli 2010 kl. 15:12
Fejlbehæftet certifikat på CSC-server lagde NemID-bestilling brak i et halvt døgn

På mit arbejde har vi automatiseret overvågning af vores certifikater, og får automatisk advarsel to måneder før udløb, så vi har rigelig tid til at forny.

Det var super nemt at sætte op, og softwaren var meget billig (under $100!).

Der er ingen undskyldning for den slags på high-profile projekter som netop NemID.

16. juli 2010 kl. 14:58
Se Halting-problemet bevist: Derfor eksisterer ideel fejlretningssoftware ikke

Artiklen siger ikke rigtigt noget om hvad de gør for at omgå problematikken beskrevet i paradokset.

I det hele taget siger artiklen/videoen ikke rigtigt andet end "det man man ikke, men vi gør det alligevel"?

Mere info, tak?

28. juni 2010 kl. 08:55
Apple afslører iPhone 4 - den tyndeste smartphone nogensinde

Det giver da fuld ud mening?

Skærmen beholder samme "screen real estate" fordi der stadig kun er plads til det samme indhold som tidligere, blot i højere opløsning.

Faktisk vil jeg mene det er en god ting, og jeg er ikke engang fan af Apple, tværtimod, for jeg syntes tit vi oplever at højere opløsning = mindre skrifttyper = sværere at læse.

Og det er en kæmpe fejl i min bog.

Jeg syntes dog det er mistænkeligt at han kalder den for "den tyndeste smartphone nogensinde" uden at sige præcis hvor tyk den er, udover den vage beskrivelse "24% tyndere end iPhone 3"... Det gør det godt nok besværligt at sammenligne specifikationer, men ok, det er nok typisk Apple...

8. juni 2010 kl. 00:11
Krypteret Google-søgning skjuler pornosøgning i arbejdstiden

Man kan søge efter porno på arbejdspladsen, hva?

Det er stadig dumt... For det første kan der potentielt stadig være installeret en keylogger, i så fald er intet hemmeligt.

For det andet er det jo kun selve søgningen der bliver krypteret - hvis man klikker på nogen af resultaterne, sendes man jo til ukrypterede sider, der logges i virksomhedens logs, og dermed er intet hemmeligt længere.

Man kan heller ikke lave en Google Image-search efter porno-billeder, for at få billederne leveret direkte fra Google i krypteret tilstand, for Image-search er ikke krypteret (endnu?).

Alt i alt har dette vel egentligt kun en reel værdi for folk i fx Kina eller andre steder hvor der blokeres for søgning efter visse ord?

26. maj 2010 kl. 10:57
Ny Hotmail: Send e-mails på 10 gigabyte

Ja ok, jeg overså vist følgende afsnit i artiklen:

Derfor får brugerne også mulighed for at dele de 10 gigabyte vedhæftede filer ved at lægge dem på SkyDrive i stedet for, at modtageren skal downloade dem til sin mailklient.

Men ja, overskriften er meget misvisende. For alle har jo kunnet sende links til 10 Gb data siden dag 1 det var muligt at sende e-mails overhovedet!

Hvorfor overhovedet også en grænse på 10 Gb? Når det bare er links, er der jo ingen praktisk grænse?

21. maj 2010 kl. 09:19
Ny Hotmail: Send e-mails på 10 gigabyte

Hehe ja de 10 Gb er vist mest en gimmick. Hvis man vil bruge den feature, skal modtageren formentligt også have Hotmail, da ingen systemadministrator ved sine fulde fem ville sætte sine mailservere op til at acceptere så store vedhæftninger.

Tænk hvis nogen sendte en 10 Gb mail 20-30 gange på en dag, det ville være "lidt" irriterende for modtagerens system.

Det må være en af de der markedsførings-stunts der er målrettet på folk der ikke aner hvad størrelserne betyder i praksis, og lader sig imponere af høje tal.

10 Gb limit = 100 % useless.

21. maj 2010 kl. 08:45
Jyske Bank: Vi bestemmer brugernes password

Det er godt fordi det eliminerer rigtigt dårlige passwords som fx 12345678 eller asdfasdf. Men det er skidt fordi det sætter loft over hvor komplekse passwords brugerne nu kan få.

Eftersom brugervenlighed er vigtigt for en virksomhed med mange brugere, kan jeg let forestille mig at disse genererede passwords består af små bogstaver og tal. Det gør det noget lettere at bruteforce sig igennem, når man på forhånd kan udelukke specialtegn, og formentligt også store bogstaver.

En bedre løsning mener jeg ville være at lade brugerne skifte deres passwords hvis de har lyst, men lave nogle ret strenge krav til de brugervalgte passwords, og nogle rigtigt gode checks på hvad brugerne vælger, så passwords som fx "aabbcc11" osv. kan undgås. Et krav om at et brugervalgt password skal indeholde mindst ét specialtegn mener jeg heller ikke ville være forkert. (Hvis brugeren ikke kan lide specialtegn i passwords, kan vedkomne jo bare beholde det udleverede autogenererede password...)

17. maj 2010 kl. 13:51
Ny undersøgelse: Danskerne fravælger bevidst sikre adgangskoder

Så hvad er pointen - hold kæft eller flyt?

Pointen er vel at i takt med at der kommer nye muligheder på markedet i verden, åbner det for mulige erstatninger til nuværende løsninger i DK også.

Bare fordi DanID p.t. er låst fast på denne løsning, betyder jo ikke at der ikke kan ske forandringer i fremtiden.

17. maj 2010 kl. 13:32
Ny undersøgelse: Danskerne fravælger bevidst sikre adgangskoder

Jep, one-time passwords øger sikkerheden markant. Jeg kender flere steder hvor de sender disse engangs-koder ud via SMS, til det telefonnummer der i systemet er koblet sammen med brugeren der forsøges at logge ind som. Det gør det noget sværere for uvedkomne at komme ind.

Password tokens er også gode, men min erfaring siger mig at folk glemmer deres telefon sjældnere end de glemmer deres tokens, hvorfor SMS er praktisk, omend det tager et par sekunder længere pr. login. Dér kommer SSO så ind og reder dagen, så man ikke skal logge ind så tit.

16. maj 2010 kl. 00:33
Ny undersøgelse: Danskerne fravælger bevidst sikre adgangskoder

Selv SSO løsninger kræver vel ét password, der bør skiftes engang imellem?

Eller har jeg misforstået noget?

Hvis ikke, er det jo stadig et problem hvis folk vælger et skidt password, skriver det ned, eller genbruger det igen og igen. Omend et mindre problem, men stadig et problem?

16. maj 2010 kl. 00:21
Ny undersøgelse: Danskerne fravælger bevidst sikre adgangskoder

På min arbejdsplads gør vi meget ud af at kunne bruge vores Active Directory login flest mulige steder. P.t. kan stort set alt der kræver login, klares med AD loginnet - fx login på selve pc'erne, intranettet, administrative systemet, trådløst netværk, ordbogen.com, webmail, mobiltelefoner og meget andet.

Det kræver ofte en del ekstra tid at sætte op og få til at virke, men i længden er det helt klart det værd, ikke mindst i form af medarbejdertilfredshed, men også i den forstand at når vi tvinger folk til at skifte adgangskode 4-5 gange årligt, så træder password-skiftet i kraft alle steder, hvilket naturligvis øger sikkerheden.

Det betyder også at hvis en medarbejder stopper, kan vi let og centralt blokere vedkomnes adgang, blot ved at højreklikke på brugeren i AD'et og vælge Disable.

Det er også lettere for support-afdelingen, da langt de fleste "glemt password" eller "udløbet password" eller "bruger låst ude" opgaver kan løses ét sted.

På den måde kan vi også forhindre folk i at genbruge de samme kodeord igen og igen, men det er en helt anden sag :-)

Så central styring af brugernavne/adgangskoder kan klart anbefales!

15. maj 2010 kl. 16:32
Ny undersøgelse: Danskerne fravælger bevidst sikre adgangskoder

Selvfølgelig kan man have et trash password som er nemt at huske til ligegyldige sites, men hvis man alligevel bruger en password manager til at generere unikke gode password for hvert site (ingen kan huske 100+ gode passwords), er der egentlig ikke nogen grund til det.

Hvis man bruger en password manager er der ingen grund til at genbruge passwords nogensinde, nej.

Jeg er bare ikke så vild med at ét brugernavn/password giver adgang til ALT. Det lyder i mine ører usikkert.

Det er rigtigt at man ikke behøver frygte at nogen får fat i passwordet til et forum/site/something et sted, da skaden er ret begrænset og man kan have meget komplekse passwords. Men password managers bytter én usikkerhed ud med en anden, nemlig single-point-of-failure. Og så meget stoler jeg bare ikke på nogen software-leverandør. Og en Open Source password manager er helt udelukket for mig, da en hacker så ville have adgang til kildekoden, hvilket i mine øjne øger risikoen for at en evt. sårbarhed opdages og udnyttes.

14. maj 2010 kl. 17:37
Ny undersøgelse: Danskerne fravælger bevidst sikre adgangskoder

Mener du seriøst at alle bør finde et unikt password der opfylder dette kriterium for samtlige mere eller mindre ligegyldige fora man måtte oprette en konto på?

Jeg mener i hvert fald ikke det er nødvendigt. Jeg kan ikke se noget galt i at have ét godt password, der genbruges på flere sider. Jeg har et jeg kalder for mit "trash-password" som jeg bruger på ligegyldige sites. Det er lige så komplekst som dem jeg bruger til vigtige ting, men jeg mener ikke det er nødvendigt med ét til hvert ligegyldige forum jeg kommer forbi, da passwordet er sikkert nok til at det hverken bliver gættet eller bruteforced. Eneste måde en hacker får fat i det, er ved at angribe selve sitet og få adgang til passwordet direkte i databasen (hvis de er dumme nok til at opbevare det som andet end en hash-værdi, hvilket mange desværre er). Jeg ved godt at hvis nogen så skulle få fat i passwordet, har de potentielt adgang til min konto på mange forskellige fora... fred være med det, for det første skal de lige finde de fora jeg har brugt det samme password på, for det andet skal de lige gætte hvilket brugernavn jeg har brugt de andre steder, for det er jo ikke altid det samme overalt...

14. maj 2010 kl. 15:54
Ny undersøgelse: Danskerne fravælger bevidst sikre adgangskoder

Hvad er det ethvert fornuftigt menneske gør? Spørger ind til om der bruges både simple og komplekse passwords alt efter formålet? Eller bruger konens fornavn som password?

For jeg kan ikke se noget fornuftigt i at bruge noget så simpelt som et navn som password?

  • heller ikke selvom det kun er til et mere eller mindre ligegyldigt forum.
14. maj 2010 kl. 15:13
Ny undersøgelse: Danskerne fravælger bevidst sikre adgangskoder

"Brug dit eller din kones cprnummer" NEJ NEJ NEJ! Brug ALDRIG ALDRIG nogensinde nogens CPR-nummer som kodeord.

Et eksempel på hvor galt det kan gå, er min tidligere kollega der havde brugt sit CPR-nummer som kode på sit WEP-"beskyttede" trådløse netværk. Han havde også en strid med sin nabo vedr. et træ i skellet. Pludselig begyndte der dog at ske underlige ting, hans telefon blev flyttet til et andet selskab, han blev tilmeldt vejhjælp, han blev tilmeldt dvd-abbonnementer og andre af den slags ting.

Det viste sig at være fordi naboen havde fået sin søn til at bryde koden på hans trådløse netværk, og derved havde han fået CPR-nummeret i klartekst. (når man kender vedkomnes fødselsdato cirka, er det ikke svært at gætte at der er tale om et CPR-nummer) Da han blev spurgt hvorfor han brugte CPR-nummeret, var svaret, at Access Pointet bad om et 10-cifret tal som ingen kendte og som han kunne huske fremover... en relativt god beskrivelse af et CPR-nummer...

Et CPR-nummer i de forkerte hænder kan altså gøre stor skade, ikke mindst hvis det er kombineret med andre persondata som eksempelvis telefonnumre, adresse og nummerplade på bilen.

Så nej, brug aldrig nogensinde ever under nogen omstændigheder et CPR-nummer som adgangskode, for hvis det bliver kompromiteret kan det være dobbelt ulykke.

14. maj 2010 kl. 12:56
Ny undersøgelse: Danskerne fravælger bevidst sikre adgangskoder

Jeg kender mange der har sikre kodeord ud fra huskeremser, og det fungerer godt.

Eksempler: Kode: mhh4boeSs Remse: min hund har fire ben og en stor snude Kode: nheo180cH Remse: naboens hæk er over 180 cm høj

Det kan anbefales, da man på den måde let får kodeord med både tal og store bogstaver i, og kodeordene står formentligt ikke i ordbøgerne.

14. maj 2010 kl. 12:47
Mystisk fejl i dansk Windows 7 giver skøre priser

Hvad med at tjekke de to nøgler, og hvis de ikke matcher som forventet, så spørg brugeren og gem svaret som en indstilling? (Eller tag en beslutning for brugeren, og håb på at ingen brokker sig?)

Når de nu har identificeret hvor problemet er, burde det ikke være noget problem at kode sig ud af det...

At de to værdier ikke matcher er ikke nødvendigvis en fejl fra Microsofts side, måske har brugerne bare konfigureret indstillingerne på en uventet måde?

12. maj 2010 kl. 12:22
Dansk sikkerhedsspecialist i frontalangreb mod Androids unlock-mekanisme

Ikke korrekt. Det er IKKE en SenseUI/HTC feature, men en Android feature.

I så fald har Android enten ladet sig inspirere af HTC, eller HTC har vidst hvad Android ville komme med meget tidligt, og kopieret det - hvordan kan den ellers være på en HTC Touch Diamond fra 2008 Q3, der kører Windows Mobile 6?

Så er det jo godt at der er en option der hedder "Brug synligt mønster" som kan slås fra.

Smart, dén detalje havde jeg overset. Det gør den en smule mere sikker.

10. maj 2010 kl. 11:33
Dansk sikkerhedsspecialist i frontalangreb mod Androids unlock-mekanisme

Jeg ved 100% at den findes på både Magic, Tatoo, Hero, Legend og Desire. Formentligt mange flere.

Denne feature er en del af "pakken" fra HTC, og findes også på telefoner der ikke kører Android som styresystem, eksempelvis Touch Diamond, Touch HD og Touch HD2.

Så under alle omstændigheder bør al reference mod Android fjernes fra artiklen, det er simpelthen ikke berettiget at svine Android til for dette. Hvis nogen skal svines til, er det HTC, men jeg mener ikke nogen skal høre noget ondt for dette...

For mig er denne "kode" en måde at få pilfingre til at holde sig væk, og ikke rode rundt i mine SMS'er, billeder og lignende, hvis jeg skulle vende ryggen til et øjeblik. Samtidig en måde at sikre jeg ikke ringer op til nogen fra lommen, hvilket dog ikke har været et problem, eftersom skærmen kun reagerer på fingre, og ikke eksempelvis nøgler. (Med undtagelse af Tatoo, der reagerer på tryk, og ikke bare berøring.)

Der er så vidt jeg ved ingen der hævder at den er specielt sikker eller svær at bryde, men den er dog mere sikker end alle andre skærmlåse jeg har set til dato. Specielt hvis folk har alkohol i blodet, kan den være svær at bryde hvis man ikke kender mønstret.

Den største sårbarhed ved dette mønster er efter min mening, at den er ret let at aflure, eftersom mønstret er tydeligt synligt mens det tegnes. Det ville være smartere hvis der ikke kom nogen streg når man tegnede, men ok, så ville det måske være sværere at se om man havde ramt en prik korrekt.

Jeg forstår ikke hvorfor nogen skulle have lyst til at kritisere dette overhovedet, det skulle da lige være for at profilere sig som såkaldt "sikkerhedsspecialist". Det eneste der kræves for at kalde det, er åbenbart at man kan indse det åbenlyse?

Man kan sige hvad man vil, men denne lås er betydeligt mere sikker end eksempelvis iPods løsning, eller alt andet jeg har set til Nokia, Sony Ericsson, Samsung...

10. maj 2010 kl. 10:52