»

NIST: Posebni znaki in obvezno menjanje gesel nepotrebni in prepovedani

Slo-Tech - Pravil in priporočil o izbiri varnih gesel smo slišali že nešteto, s številnimi pa živimo vsak dan, ko si izmišljujemo nova gesla za različne storitve ali nas te obveščajo, da so gesla prestara in potrebujejo zamenjavo. Trendi pa se spreminjajo, zato je Nacionalni inštitut za standarde in tehnologije (NIST) v ZDA izdal osnutek novih smernic o digitalni identiteti (SP 800-63-4), ki med gostobesedno latovščino tudi ukinja precej smernic, ki so številnim uporabnikom že zdaj zdele nepotrebne.

Nove smernice so še v fazi osnutka, ki bo v javni razpravi do 7. oktobra. Ko bodo nato sprejete, verjetno v dopolnjeni obliki, bodo obvezne za ameriške zvezne proračunske porabnike in podjetja, ki sodelujejo z zvezno vlado. Pri geslih so številna prejšnja priporočila postala obveznosti, nekaj pa je tudi novih. Med drugim morajo biti gesla dolga vsaj osem znakov, priporočeni minimum pa je 15 znakov. Priporočeni minimum za zgornjo mejo je 64 znakov, lahko pa jih seveda dovolijo še več. V nobenem...

34 komentarjev

Rdečelaske izbirajo najbolje, moški so za raznolikost, ženske za dolžino

BBC - Če berete besedilo zaradi dvoumnega naslova, kar takoj k dejstvom. Govorimo o geslih. Per Thorsheim je za svoje predavanje nabral skupaj nekaj informacij o geslih. O geslih, ki jih izbirajo uporabniki, vemo namreč že veliko. Nekaj podatkov dajo različne raziskave, veliko pa jih dobimo tudi iz analiz ukradenih gesel. Vdori v Adobe, LinkedIn in RockYou so le največji primeri, iz katerih so raziskovalci dobili ogromno podatkov.

Nekatere študije kažejo, da najboljša gesla izbirajo rdečelaske, najslabša gesla pa bradati, neurejeni moški. Ženske si raje izberejo daljša gesla, moški pa nekoliko krajša, a z več nealfanumeričnimi znaki. Sicer pa pri vseh študijah izstopa...

53 komentarjev

Vdor v Cupid Media razkril 42 milijonov nezaščitenih gesel

Krebs On Security - Na internetu se je znašla datoteka z zbranimi uporabniškimi imeni, elektronskimi naslovi, rojstni datumi in gesla, ki pripada spletni strani za internetne zmenke Cupid Media. Napad se je zgodil že januarja letos, a o njem niso obvestili medijev. Dodatno težavo povzroča dejstvo, da so bila gesla shranjena v nezaščiteni obliki (plain-text).

Datoteko z 42 milijoni vnosov so našli na istih strežnikih, kamor se hekerji priobčili tudi pridobljene podatke v napadu na Adobe. Strokovnjak za varnost Brian Krebs, ki je v začetku novembra stopil v stik s prizadeto avstralsko stranjo, da bi izvedel...

14 komentarjev

Hekerji dobili pol milijon gesel uporabnikov Yahoo! Voices

vir: ZDNet
ZDNet - Hekerska skupina z vzdevkom D33ds Company je napadla Yahoojevo storitev Yahoo! Voices in pridobila uporabniška imena in gesla več kot 450.000 uporabnikov. Svoje besede so podkrepili tudi z dejanji, in sicer so pridobljene podatke javno priobčili. V tekstovni obliki so objavljena tudi gesla, kar pomeni, da jih Yahoo ni hranil šifrirano. Napadalci so zapisali, da so Yahoo želeli le opozoriti na malomarno varnost in da ne gre za grožnjo. Ali ste med prizadetimi, lahko preverite na posebej v ta namen postavljenih straneh.

Yahoo je potrdil, da se je vdor zgodil, a poizkušajo škodo prikazati kot minimalno. V izjavi za javnost so zapisali, da datoteka z ukradenimi podatki izvira s starega sistema Yahoo! Contributor Network, ki ga je Yahoo dobil s prevzemom Associated Content. Trdijo, da je med...

16 komentarjev

Kraja gesel s čepenjem za hrbtom

Heise - Shoulder surfing oz. zijanje pod prste, medtem ko uporabnik računalnika oz. mobilne naprave vpisuje skrajno pomembno geslo, je s prihodom touchpadov postalo samo še lažje. Večina jih je opremljena z navidezno tipkovnico, ki nima istega učinka kot fizična (hitrost tipkanja, natančnost, uporaba večih prstov, možnost tipkanja z rokavicami, ipd), zato pa ponujajo dodatna pomagala, kot so večje tipke oz. osvetlitev pravkar pritisnjene tipke. Varnostni inženirji pri tvrdki Thinkst so spisali mobilno aplikacijo, ki z video kamero snema žrtvin tablet, zazna on-screen tipkovnico in zabeleži vpisano geslo, vse avtomatsko.

Program uporablja odprtokodno knjižico OpenCV in nekaj svoje kode, ki išče značilni barvni odblisk ob stisku tipke. Več...

7 komentarjev

Že dvajseti napad na Sony letos

CNet - Sezona napadov na Sony je še vedno odprta in v polnem teku, saj smo bili ta vikend priče jubilejnemu 20. napadu na Sonyjevi strani ali njegove podružnice v zadnjih dveh mesecih. To pot sta libanonski heker z vzdevkom Idahc in njegov francoski kolega Auth3ntiq napadla strani Sony Pictures France in bojda odtujila 177.172 elektronskih naslovov uporabnikov.

Od tega sta jih 70 objavila na znani strani Pastebin.com. Tam sta tudi zapisala, da je bil vektor napada preprosto SQL-vrivanje, kar je ena izmed najbolj osnovnih tehnik, zaščita pred njo pa spada v začetne tečaje programiranja. Kljub temu je to pogosto način napada, tudi nekateri predhodni letošnji napadi na Sonyjeve strani so ga uporabili. Celotno preglednico napadov na Sony, ki so se začeli konec aprila...

3 komentarji

Analiza Sonyjevih gesel

Slashdot - Odlično nadaljevanje današnje novice o za več razredov večji ranljivosti gesel pri napadu z močnimi grafičnimi procesorji je analiza ukradenih gesel pri napadu na Sony. Ker so več kot milijon gesel hranili v tekstovni obliki, so gesla odprta na vpogled vsakomur, ki ukrade bazo podatkov. Analiza pokaže, da so nič hudega sluteči uporabniki izbirali šibka gesla.

Analizirali so dolžino gesel, uporabljene vrste znakov (male in velike črke, številke, ločila, posebne znake), slovarskost in unikatnost. Ugotovili so, da smo ljudje še vedno leni, kar se tiče pomnjenja gesel. Velika večina (93 odstotkov) je imela od šest do deset znakov, polovica gesel pa je bilo krajših od osem znakov. Prav tako ima polovica gesel le male črke, nekaj več pa jih ima še...

21 komentarjev

Analiza pobeglih gesel: še vedno nič novega

The Wall Street Journal - Vsakokrat, ko ukradejo kakšno veliko bazo podatkov, se prej ali slej na internetu pojavijo analize gesel. Katero geslo je najpogostejše, kakšne napake delajo uporabniki pri izboru gesel, koliko so ta predvidljiva in podobno, so klasični izsledki. Žalostno je, da ostajajo več ali manj enaki. In če bi pomislili, da so uporabniki Gawkerja nekolikanj tehnološko bolje osveščeni, bi se grdo zmotili. Njihova gesla so prav tako predvidljiva kot drugod.

The Wall Street Journal je objavil analizo 188.279 gesel, ki so jih uspeli dešifrirati in analizirati. Vodilno je še vedno geslo 123456, ki se pojavi več kot 3000-krat. Sledijo password, 12345678, lifehack, qwerty, abc123, 111111 in monkey. Nekaj izbranih gesel je tipičnih za stran, v tem primeru...

17 komentarjev

Večina gesel ni varnih

RockYou celo ni dovoljeval posebnih znakov

vir: HotHardware
HotHardware - Varnostno podjetje Imperva je podrobneje analiziralo bazo 32 milijonov gesel, ki so postala javna zaradi varnostne luknje na strani RockYou.com in prišli do nadvse zanimivih ugotovitev. Večina gesel je daleč od varnih in zanje pravzaprav ni potrebno razbijanje, saj je dokaj visoka verjetnost za pravilen rezultat že ugibanje. Deset najpogosteje uporabljanih gesel v bazi je (številka v oklepaju pove število uporabe):
  • 123456 (290,731)
  • 12345 (79,078)
  • 123456789 (76,790)
  • Password (61,958)
  • iloveyou (51,622)
  • princess (35,231)
  • rockyou (22,588)
  • 1234567 (21,726)
  • 12345678 (20,553)
  • abc123 (17,542)
Skoraj tretjina gesel je tako dolgih le 6 ali celo manj znakov, skoraj dve tretjini jih vsebuje zaporedje številk oz. črk (npr. qwerty, 20. najpogostejše geslo z dobrimi 13.000...

46 komentarjev

Na Wikileaks objavljen dešifriran dokument ameriške vojske

Schneier.com - Kot poročajo na Wikileaks, so na spletni strani Pentagon Central Command (spletna stran je že ugasnjena) odkrili šifriran dokument v MS Word formatu z naslovom NATO in Afghanistan: Master Narrative.

Kot rečeno je dokument (bil) šifrian, vendar pa so vojaški operativci izbrali rahlo neustrezno geslo in ekipa Wikileaks je geslo razbila. Geslo je (bilo) progress. Dokument sicer ni označen s stopnjo zaupnosti, očitno pa le ni bil namenjen javnosti.

S pomočjo istega gesla so nato pri Wikileaks uspeli dešifrirati še tri najdene dokumente.

Bodo ameriški vojaki naslednjič izbrali daljše geslo?

23 komentarjev

Analiza ukradenih gesel: nič novega

Slashdot - Ta teden so neznanci vdrli na stran phpBB.com in svoj napad natančno popisali. S pedagoškega vidika je opis poučen, s psihološkega pa je zanimivejša analiza gesel uporabnikov, ki so jih odtujili. Še enkrat več se je izkazalo, da uporabniki kaj pretirano inovativni niso, saj je najpogostejše geslo 123456, ki mu sledijo password, phpbb, qwerty, 12345 in 12345678. Podatki še kažejo, da je 16 odstotkov gesel enakih kot je ime uporabniku, 14 odstotkov predstavljajo vzorci na tipkovnici (denimo 1234, asdf ipd.), štiri odstotke gesel je variacij na temo password (passw0rd, password1 ipd.), pet odstotkov je pobranih iz popkulture (pokemon, blink182 ipd.). Tretjina gesel vsebuje šest znakov, samo poldrugi odstotek ljudi pa uporablja geslo z vsaj desetimi znaki.

27 komentarjev

Lažja pot do težko memorabilnih gesel

ZDNet - Zanimiv članek na ZDNetu. Znano nam je, da so za krekerje težko uganljiva gesla - za nas prav tako težko zapomnljiva :D. V gesla naj bi uporabnik dodajal nesmiselno zaporedje številk, malih ter velikih črk ter ločil, tako da naj bi popolno geslo izgledalo nekako takole: eJ4)b"aSAqg/3ag. No, Microsoftovci sedaj dodelujejo nov princip lažjega pomnenja gesel. Uporabnik na zaslonu vidi, recimo, veliko zastav. Zapomni si zaporedje klikanja, program pa nato vsaki zastavi priredi poljuben znak. Tako je geslo za krekerje dosti težje uganljivo, a hkrati dosti bolje vidno za vse, ki vam radi špegajo za rame. Se bo nova tehnologija prijela?

4 komentarji