Heise - Shoulder surfing oz. zijanje pod prste, medtem ko uporabnik računalnika oz. mobilne naprave vpisuje skrajno pomembno geslo, je s prihodom touchpadov postalo samo še lažje. Večina jih je opremljena z navidezno tipkovnico, ki nima istega učinka kot fizična (hitrost tipkanja, natančnost, uporaba večih prstov, možnost tipkanja z rokavicami, ipd), zato pa ponujajo dodatna pomagala, kot so večje tipke oz. osvetlitev pravkar pritisnjene tipke. Varnostni inženirji pri tvrdki Thinkst so spisali mobilno aplikacijo, ki z video kamero snema žrtvin tablet, zazna on-screen tipkovnico in zabeleži vpisano geslo, vse avtomatsko.

Program uporablja odprtokodno knjižico OpenCV in nekaj svoje kode, ki išče značilni barvni odblisk ob stisku tipke. Več...

Slashdot - Odlično nadaljevanje današnje novice o za več razredov večji ranljivosti gesel pri napadu z močnimi grafičnimi procesorji je analiza ukradenih gesel pri napadu na Sony. Ker so več kot milijon gesel hranili v tekstovni obliki, so gesla odprta na vpogled vsakomur, ki ukrade bazo podatkov. Analiza pokaže, da so nič hudega sluteči uporabniki izbirali šibka gesla.

Analizirali so dolžino gesel, uporabljene vrste znakov (male in velike črke, številke, ločila, posebne znake), slovarskost in unikatnost. Ugotovili so, da smo ljudje še vedno leni, kar se tiče pomnjenja gesel. Velika večina (93 odstotkov) je imela od šest do deset znakov, polovica gesel pa je bilo krajših od osem znakov. Prav tako ima polovica gesel le male črke, nekaj več pa jih ima še...

Slashdot - Raziskovalci z Ameriške univerze v Bejrutu razvijajo nov sistem, ki za avtentifikacijo ne uporablja zgolj gesla, ampak tudi način njegova vnosa. Razvili so programsko opremo, ki zaznava hitrost in ritem vnosa gesla, kar se imenuje KPA (key-pattern analysis). Tako se meri premor med pritiski tipk in čas, ko je posamezna tipka pritisnjena. Na posebnih tipkovnicah pa je moč meriti še jakost pritiska na tipko.

Ko uporabnik prvikrat vnese geslo, ga mora vnesti večkrat. Program vsakokrat posname omenjene parametre in z algoritmom iz njih izračuna profil uporabnika, s katerim se nato primerja geslo bo vsakokratnem vnosu. Pri tem avtorji priznavajo, da je ponovljivost načina vnosa daljših gesel nižja, zato je treba najti ustrezen kompromis med dolžino gesla in...

ComputerWorld - Raziskovalci s Fraunhoferjevega inštituta za varno informacijsko tehnologijo so prikazali, kako lahko v šestih minutah iz zaklenjenega iPhona pridobijo osebne podatke in gesla, če imajo fizičen dostop do naprave.

V napadu najprej izvedejo programski jailbreak na telefonu, nato nanj namestijo SSH-strežnik in vanj prekopirajo skripto, ki jim zagotovi dostop do keychaina. To je Applov sistem za upravljanje s shranjenimi gesli. Ker je kriptografski ključ na napravah z operacijskim sistemom iOS neodvisen od gesla, lahko napadalec dostopi do telefona z izdelavo ključa, ne da bi moral poznati ali razbiti geslo za zaklep telefona. Ranljiva so le gesla v keychainu.

Med odkritimi gesli so bila tudi gesla za Gmail, Microsoft Exchange, LDAP,...

Google - Google je včeraj začel za vse uporabnike ponujati storitev varnejše prijave v Googlove račune, ki bo z dodatnim korakom nekoliko podaljšala prijavo in zmanjšala možnost kraje identitete. Uporabniki bodo namreč lahko nastavili, da pri prijavi po vpisu gesla na svojo mobilno napravo prejme sporočilo z enkratno kodo ali pa si enkratno kodo generirajo z aplikacijo za Android, BlackBerry ali iPhone.

Pri tem si lahko nastavijo, da tega ne bo potrebno ponoviti mesec dni, nakar jih bo Google zopet pozval k varnejši prijavi. Na ta način želi Google zmanjšati možnost kraje gesla in zlorabe računa. Omenjena storitev je za Google Apps na voljo že od septembra, sedaj pa jo je Google razširil na vse izdelke in za vse uporabnike.

Kmalu bo Google ponujal varnejšo prijavo kot naše...

Infosec.si - Gorazd Žagar je na svojem blogu Infosec.si tokrat objavil zanimiv prispevek o geslih, ki jih za različne internetne storitve izbiramo uporabniki.

Na spletu najdemo kar nekaj analiz gesel, vendar gre večinoma zgolj za gesla iz angleškega govornega področja. Gorazd Žagar pa je tokrat pripravil analizo gesel slovenskih uporabnikov. Seznam zajema skupno 55.096 gesel, pridobljenih v letih od 2001 do 2006 iz različnih virov.

Najpogostejše slovensko geslo je 123456, precej pa jih vsebuje tudi lastna imena. Vsekakor gre za zanimivo analizo, ki kaže na pogoste napake uporabnikov pri izbiri gesel, zato si jo vsekakor velja ogledati.