»

Novi standardi informacijske varnosti v bančništvu

Slo-Tech - Kot kaže, nekatere slovenske banke uvajajo nove standarde na področju informacijske varnosti. Konkretno, na področju gesel.

Geslo je osnovni in najpogosteje uporabljan zaščitni mehanizem, zato morajo biti gesla praviloma dovolj kompleksna in dovolj dolga, da zagotavljajo želeni nivo varnosti. Težava pri geslih je, da si je kompleksna gesla težko zapomniti, zato pri oblikovanju gesel trčimo ob dilemo ali si želimo večjo varnost ali pa enostavnejšo uporabo. Vsekakor je pri geslih pomembno, da morajo biti čim daljša in čim bolj kompleksna (mešanica črk in številk, po možnosti tudi mešanica velikih in malih črk ter številk in "posebnih" znakov). Prekratka gesla je namreč mogoče razbiti z metodo grobe sile (angl. brute force attack – gre za ugibanje vseh možnih kombinacij črk in številk) ali pa napada s slovarjem (angl. dictionary attack – gre za ugibanje gesel na podlagi besed iz slovarja).

Seveda pa navedeno velja zgolj za pomembna gesla. Za geslo, ki ga uporabimo za prijavo na neko...

97 komentarjev

Microsoft opušča obvezno menjanje gesel v Windows

Slo-Tech - Microsoft je naslednje v vrsti podjetij, ki so ugotovila, da obvezno menjanje gesel vsaka dva meseca (ali kaj podobnega) ni dobra varnostna praksa. Zato bodo iz novih inačic Windows 10 Version 1903 (19H1) ter Windows Server v1903 odstranili politiko poteka veljavnosti gesel. To pomeni, da gesla ne bodo več privzeto potekla, temveč bodo organizacije same vpeljale druge načine zaščite pred nepooblaščenim dostopom. To so na primer večstopenjska avtentikacija, zaznavanje napadov s poizkušanjem gesel, zaznavanje neobičajnih prijav, uvedba seznamov prepovedanih (prelahkih) gesel itd. Microsoft teh taktik ne bo vsiljeval, jih bo pa predlagal.

Zavedanje, da prisilno menjanje gesel v rednih časovnih intervalih ne prispeva k varnosti, se je okrepilo v zadnjih...

8 komentarjev

CNBC postavil orodje za preverjanje moči gesel, izvedba katastrofalna

Slo-Tech - CNBC se je na lastni koži naučil, da je pot v pekel tlakovana z dobrimi nameni, uporabniki pa, da so za svoja gesla odgovorni predvsem sami. V torek so namreč na CNBC objavili članek, ki je spodbujalo uporabo varnih gesel. Eksperiment je šel strahovito narobe.

Dobra gesla so takšna, ki si jih je enostavno zapomniti, težko uganiti, bodisi s surovo silo (torej so dovolj dolga) bodisi s poznavanjem vseh podrobnosti o uporabniki (torej s socialnim inženiringom). CNBC-jem članek se je osredotočal na prvi aspekt in je v ilustracijo uporabnikom omogočal vpis lastnega gesla, algoritem pa je potem izračunal, kako odporno je geslo na napad s surovo silo. Zraven je izrecno pisalo, da CNBC gesel nikjer ne shranjuje. Le kaj bi lahko šlo narobe, če na neko tretjo internetno stran (pa četudi...

15 komentarjev

Twitter napaden, ukradenih 250.000 gesel

vir: Twitter
Twitter - Twitter je včeraj zvečer objavil, da so bili v preteklem tednu žrtev hekerskih napadov, ki so jim odnesli "omejene osebne informacije" 250.000 uporabnikov. V tem tednu so odkrili nenavaden vzorec dostopa do njihovih storitev, za katerega se je po pregledu izkazalo, da gre za nepooblaščen dostop ozira vdor. Napad so takoj po odkritju uspeli preprečiti, a so hekerji v vmesnem času vseeno pridobili nekatere podatke.

Twitter ima 140 milijonov uporabnikov, od katerih jih je prizadetih 250.000. Napadalci so uspeli pridobiti uporabniška imena, elektronske naslove, žetone za sejo in šifrirana gesla. Zaradi tega je Twitter ponastavil gesla za vse prizadete uporabnike in jim preklical vse piškotke. Ti bodo na svoj elektronski naslov prejeli povezavo, kjer si bodo izbrali novo geslo in se ponovno prijavili. Stara gesla ne delujejo več. Kdor je...

10 komentarjev

Google bi se znebil gesel. Kaj je alternativa?

Uporaba dvostopenjske prijave v Gmailu je po objavi članka Mata Honana o izkušnji vdora poskočilo.

Wired News - Z gesli je križ. Množijo se huje kakor zajci: geslo za spletno banko, elektronsko pošto, deset različnih forumov, PIN-kode za bančno kartico, prijavo v Windows, pametni telefon in še in še. Čim več pametnih naprav nas obkroža, tem več gesel moramo poznati. Ker so preenostavna gesla idealna priložnost za krajo identitete, nas marsikod silijo v izbiro težkih gesel z različnimi pravili glede dolžine, velikosti črk, vsebovanih številk in drugih znakov. Rezultat? Sila klavrn. Recikliranje gesel je zelo pogosto, saj ima mnogo ljudi isto geslo za več različnih strani (s čimer v principu ni nič narobe, če gre zgolj za nepomembne forume), marsikdo pa si geslo nekam napiše - po možnosti na lepljivi listek ob...

46 komentarjev

Hotmail gesla kar po domače rezal na 16 znakov

Ars Technica - Z gesli je križ. Njihovo hranjenje v tekstovni obliki je najhujša napaka, ki jo lahko spletna stran zagreši (v sosednji novici poglejte, kako se je to maščevalo IEEE-ju), a še zdaleč ne edina. Microsoft je priznal oziroma je bil zasačen, da je njihova storitev Hotmail zadnjih nekaj let uporabnike zavajala, kako varna so njihova gesla.

Za dostop do Hotmaila je bilo treba izbrati geslo, ki na videz ni bilo omejeno v dolžino. Večina uporabnikov seveda pozna ustaljeno formulo, da k varnosti gesla prispevata njegova nepredvidljivost oziroma unikatnost ter dolžina. S pametno izbiro...

80 komentarjev

Naslednik Hotmaila je Outlook.com

Microsoft - Microsoft je predstavil naslednika popularne storitve Hotmail.com, ki je bil eden izmed prvih brezplačnih elektronskih predalov in še danes skupaj z Googlom in Yahoojem ostaja v skupini velikih treh. Imenuje se Outlook.com.

Čeprav združuje funkcionalnosti Hotmaila in Exchangea, bo namenjen domačim uporabnikom, medtem ko bo za poslovne ostal čistokrvni Outlook. Prva novost, ki jo pri registraciji v Outlook.com opazimo, je spremenjen videz. Ta je že prilagojen Windows 8, in sicer se sklada z uporabniškim vmesnikom Metro. Rokovanje s sporočili je lažje, saj enostavno gledamo predoglede pripetih slik in videoposnetkov, odznačujemo spam in dostopamo do spletnih aplikacij Office, saj je poskrbljeno za integracijo s spletnimi Wordom, Excelom,...

51 komentarjev

Objavljenih osem milijonov elektronskih naslov in gesel s strani Gamigo

Forbes - Pet mesecev po februarskem napadu na nemško stran Gamigo so na splet priromali uplenjeni podatki. Neznan napadalec z vzdevkom 8in4ry_Munch3r je konec februarja uspešno kompromitiral strežnike tega nemškega založnika masivno-večigralsko spletnih iger domišljijskih vlog (MMORPG), zaradi česar so v začetku marca svojim strankam poslali obvestilo, naj zamenjajo svoja gesla na njihovi strani in drugod, če so slučajno uporabljali ista. Zgodba je počasi potihnila, saj se nekaj mesecev ni zgodilo nič niti ni kazalo, da bi bili zbrani podatki zlorabljeni.

V začetku julija pa so hekerji pokazali sadove svojega dela, piše Forbes. Na forumu InsidePro so objavili pol gigabajta težko zbirko več kot...

4 komentarji

140 tisoč KPN-jevih naročnikov ohranilo isto privzeto geslo

activepolitic.com - O tegonah uporabe gesel smo že precej pisali. Uporabniki so pač leni in izbirajo zelo slaba gesla, ki jih potem še reciklirajo na celi vrsti spletnih storitev, tako da je z padcem ene pornografske strani oz. poslovnega socialnega omrežja velikokrat ogrožena kar celotna uporabnikova spletna identiteta. Napadalcem ob tem pomaga tudi malomarnost ponudnikov storitev, ki gesla pogosto hranijo kar v cleartext obliki ali pa uporabijo neprimerno zgoščevalno funkcijo (glej linkedin).

Še en problem je, da se uporabnikom resnično ne ljubi spreminjati gesel. Nizozemski ponudnik dostopa do interneta KPN je tako pred kratkim ugotovil, da je kar 140.000 njihovih naročnikov po prijavi na DSL internet ohranilo privzeto geslo, in sicer "welkom01". To geslo je varovalo servisne strani, preko katerih so bili potem dostopni tudi kontaktni in plačilni podatki naročnika, vključno s številko bančnega računa in kreditnih kartic. Uporabniška imena so bila še bolj predvidljiva - kombinacije poštne številke...

18 komentarjev

Hotmail z novimi metodami za varovanje elektronskih predalov

Ars Technica - Po vsakem vdoru v računalniške sisteme, kadar se nato izvaja analiza odtujenih gesel, je rezultat vedno enak - ogromen delež uporabnikov nima varnih gesel. Tisoči in tisoči menijo, da so gesla 123456, password, qwertz in podobna varna. To je voda na mlin napadalcem, ki jim sploh ni treba vdreti v bazo podatkov, ampak se enostavno prijavijo kot uporabnik in preizkusijo nekaj najpogostejših gesel. Hotmail je obupal nad opozarjanjem uporabnikov, zato bodo najbolj pogosta nevarna gesla preprosto prepovedali.

Po novem tako ne bo več mogoče registrirati uporabniškega računa z...

22 komentarjev

Analiza pobeglih gesel: še vedno nič novega

The Wall Street Journal - Vsakokrat, ko ukradejo kakšno veliko bazo podatkov, se prej ali slej na internetu pojavijo analize gesel. Katero geslo je najpogostejše, kakšne napake delajo uporabniki pri izboru gesel, koliko so ta predvidljiva in podobno, so klasični izsledki. Žalostno je, da ostajajo več ali manj enaki. In če bi pomislili, da so uporabniki Gawkerja nekolikanj tehnološko bolje osveščeni, bi se grdo zmotili. Njihova gesla so prav tako predvidljiva kot drugod.

The Wall Street Journal je objavil analizo 188.279 gesel, ki so jih uspeli dešifrirati in analizirati. Vodilno je še vedno geslo 123456, ki se pojavi več kot 3000-krat. Sledijo password, 12345678, lifehack, qwerty, abc123, 111111 in monkey. Nekaj izbranih gesel je tipičnih za stran, v tem primeru...

17 komentarjev