»

Apple, Google in Microsoft standardizirajo podporo vpisovanju brez gesla

FIDO Alliance - Informacijski velikani Apple, Google in Microsoft so oznanili, da na osnovi tehnologije združenja FIDO postavljajo platformo za brezgeselno vpisovanje v uporabniške račune na vseh svojih napravah in operacijskih sistemih. To bi lahko pomenilo ključen premik v prodoru tehnologij za strojno avtentikacijo brez klasičnega gesla.

Z nenehno rastjo števila nalinijskih aplikacij, ki za rabo zahtevajo uporabniški račun, znakovna gesla postajajo vse večji varnostni problem. Ker si je praktično nemogoče ročno zapomniti veliko množico različnih varnih gesel, ljudje bodisi uporabljajo preveč enostavna bodisi jih na različnih platformah reciklirajo in s tem postanejo tarče za potencialne napade z rabo baz kompromitiranih gesel (password spraying). Zato se že več kot desetletje vztrajno krepi težnja po raznoraznih alternativah, med katerimi so bili sprva priljubljeni preprostejši upravljalniki gesel, zadnje čase pa prodirajo naprednejše avtomatizirane platforme, kot sta OpenID in WebAuthn, pri...

64 komentarjev

PayPal dodaja kriptovalute

Slo-Tech - Vrednost bitcoina se je povečala za približno desetino, za kar pa je bil to pot zaslužen PayPal. Podjetje je včeraj popoldne sporočilo, da bo v svoji plačilni platformi podprlo bitcoin, s čimer bo možno s to kriptovaluto nakupovati pri več kot 26 milijonih trgovcev, ki sprejemajo PayPal kot izvajalca plačil. Za zdaj bodo bitcoin dobile ameriške stranke, kar naj bi se zgodilo v začetku prihodnjega leta, kasneje pa sledita še storitev Venmo in ostali svet.

Izvršni direktor Dan Schulman je pojasnil, da želijo s tem vzpodbuditi uporabo digitalnih žetonov po svetu in svojo mrežo pripraviti na digitalne valute, ki jih bodo v prihodnosti morda uvedle centralne banke ali podjetja. PayPal ima več kot 300 milijonov uporabnikov, ki mesečno izvedejo za približno 70 milijard dolarjev plačil. PayPal bo bitcoin podprl tako, da ga bo možno kupiti ali prodati neposredno v PayPalu, prav tako pa bo možno imeti pozitivno stanje v bitcoinih in jih uporabljati za plačevanje, ne bo pa jih možno...

4 komentarji

WebAuthn standardiziran, pot v splet brez gesel odprta

Slo-Tech - Konzorcij za svetovni splet (W3C), ki je pristojen za potrjevanje standardov, je objavil končno verzijo Web Authentication API, ki je s tem postal standard WebAuthn. Gre za tehnologijo, ki so jo leta 2015 prvi predlagali velikani Apple, Google, Microsoft, Intel in drugi, prva pa sta jo v praksi udejanjila Dropbox in Microsoft. Danes jo podpirajo vsi veliki brskalniki, tudi Chrome, Firefox in Safari.

WebAuthn je API, ki spletnim stranem omogoča izvajanje avtentikacije (preverjanje pristnosti) s komunikacijo z varnostno napravo, ki ji uporabnik dovoli dostop. To je lahko na primer varnostni ključ FIDO ali biometrika. Tako lahko sedaj uporabljamo prstne...

23 komentarjev

NEC: pozabite prstne odtise, tu je prepoznavanje oblike ušesnega kanala

Slo-Tech - Japonska multinacionalka NEC razvija nov sistem za ugotavljanje identitete uporabnika, ki temelji na unikatni obliki ušesnega kanala. V podjetju trdijo, da je metoda hitrejša, manj občutljiva in prijaznejša od branja prstnih odtisov ali slikanja šarenice.

Za uporabo potrebujemo slušalke z vgrajenim mikrofonom, ki si jih nadenemo. Med ugotavljanjem identitete slušalke oddajajo nekaj sto milisekund dolg zvočni vzorec, ki ga vgrajen mikrofon posname. Zaradi odbojev v slušnem kanalu je prejeti zvok nekoliko drugačen, kar je mogoče enolično povezati s posameznikom, so ugotovili v NEC-u. Trenutno je sistem 99-odstotno zanesljiv, do komercializacije leta 2018 pa bodo morali to zanesljivost še izboljšati.

Spomnimo, da je...

20 komentarjev

USB-ključ, ki fizično uniči računalnik

Slo-Tech - Navadili smo se že, da USB-ključev ni dobro vtikati v računalnik (in tudi ostale naprave), ker s tem tvegamo okužbo računalnik. Če logično pomislimo, pa nič ne preprečuje izdelati "USB-ključa", ki bi ob priključitvi v sistem spražil elektroniko v notranjosti s prenapetostnim sunkom. In smo ga dobili.

Pravzaprav je treba priznati, da je bilo že pred tem znano, da lahko USB-ključi računalnik nepovratno okužijo, kar ima enak rezultat - zamenjati ga je treba. Nemški parlament je staknil tak virus, videli pa smo tudi že primerke, ki okužijo firmware in se ne pustijo izbrisati. Razlika je v prikritosti, saj so ti virusi poizkusili svoj obstoj zakamuflirati, da so lahko prestrezali podatke, medtem ko ubijalski USB-ključ takoj naredi škode,...

31 komentarjev

Googlov Tango je telefon, ki se zaveda okolice

Google - Google je predstavil prihajajočo tehnologijo, ki jo za zdaj imenujejo še Tango. Razvija jo njihova enota ATAP (Advanced Technology and Projects) in je trenutno še v fazi prototipa, ki pa deluje izjemno prepričljivo. Tango združuje pametni telefon in računalniški vid oziroma zaznavanje trorazsežne okolice, ki je na podobna Microsoftovemu Kinectu.

Pametni telefon bo imel klasično kamero s štirimi milijoni točk, tipalo za zaznavanje globine in kamero za sledenje gibanju. Vse podatke bo tolmačil novi koprocesor Myriad 1 iz podjetja Movidius. Osnovna zamisel je izdelati pametni telefon, ki bo imel trodimenzionalni pregled na prostorom, v katerem se nahaja. Tango ni namenjen krmiljenju s kretnjami, kot to počne Kinect, ampak zaznavi razsežnosti in oblike prostora. Okolico...

68 komentarjev

PayPal bi odpravil gesla

Ars Technica - Kakorkoli obrnemo, gesla ostajajo najpogostejša možnost za ugotavljanje istovetnosti uporabnikov računalniških sistemov. Lokalno je sicer mogoče uporabljati biometrijo, recimo prepoznavanje glasu, prstnih odtisov ali šarenice, na internetu pa nam do neke mere na pomoč priskočijo certifikati, a brez gesel ne gre. In ker je storitev, za katere potrebujemo geslo, čedalje več, ljudi pa nismo čedalje pametnejši, gesla recikliramo, uporabljamo ista gesla, si jih pišemo na listke itn. Zato vsake toliko časa vznikne kakšna zamisel, kako bi z gesli opravili enkrat za vselej. Sedaj imajo tako idejo v Paypalu.

Kot pojasnjuje Paypalov vodja računalniške varnosti Michael Barrett, želijo v prihodnjih letih doseči odpravo gesel, številk PIN in...

21 komentarjev

Twitter dobiva izboljšane varnostne ukrepe

Ars Technica - Twitter bo dobil izboljšane varnostne ukrepe za prijavo, ki naj bi zmanjšali možnost zlorab, so sporočili po petkovem razkritju napada. Da bi karseda zmanjšali škodo, ki jo lahko napadalci v podobnih situacijah povzročijo, bo prijava v Twitter odslej tudi dvostopenjska. Podoben sistem že imajo Gmail, Dropbox, Microsoft ...

Kmalu po odkritju vdora so se pojavila odprta delovna mesta pri Twitterju, kjer iščejo inženirje za razvoj in implementacijo dodatnih varnostnih ukrepov. Za prijavo prek aplikacij v mobilnih napravah ali drugih spletnih straneh Twitter ta hip uporablja OAuth, medtem ko se neposredna prijava vrši prek SSL. Ti ukrepi preprečujejo napade z neposrednim prestrezanjem, niso pa uporabni proti MITM-napadom.

Zato bo sedaj Twitter dobil dvostopenjsko preverjanje...

5 komentarjev

Google bi se znebil gesel. Kaj je alternativa?

Uporaba dvostopenjske prijave v Gmailu je po objavi članka Mata Honana o izkušnji vdora poskočilo.

Wired News - Z gesli je križ. Množijo se huje kakor zajci: geslo za spletno banko, elektronsko pošto, deset različnih forumov, PIN-kode za bančno kartico, prijavo v Windows, pametni telefon in še in še. Čim več pametnih naprav nas obkroža, tem več gesel moramo poznati. Ker so preenostavna gesla idealna priložnost za krajo identitete, nas marsikod silijo v izbiro težkih gesel z različnimi pravili glede dolžine, velikosti črk, vsebovanih številk in drugih znakov. Rezultat? Sila klavrn. Recikliranje gesel je zelo pogosto, saj ima mnogo ljudi isto geslo za več različnih strani (s čimer v principu ni nič narobe, če gre zgolj za nepomembne forume), marsikdo pa si geslo nekam napiše - po možnosti na lepljivi listek ob...

46 komentarjev

Dropbox dobil dvostopenjsko avtentifikacijo

Computerworld - Dropbox je izpolnil obljubo, ki so jo dali po izgubi osebnih podatkov pretekli mesec, in uvedel dvostopenjsko avtentifikacijo. Doslej je bil dostop do računa mogoč izključno z uporabniškim imenom (elektronski naslov) in geslom, ki ju napadalci relativno lahko prestrežejo oziroma pridobijo s socialnim inženiringom ali zlonamernimi aplikacijami. Da bi to preprečili ali vsaj otežili, so uvedli preverjanje istovetnosti s SMS-kodo oziroma namenskimi programi.

Kdor bo želel uporabljati novo varnostno storitev, bo moral svojega odjemalca najprej posodobiti na verzijo vsaj 1.5.12. Potem bo na spletni strani Dropbox v svojem računu na zavihku...

18 komentarjev

Pozabite na gesla

Gambit - Takšen bi lahko bil slogan ob predstavitvi naprave Digital Persona, ki so jo pred nedavnim predstavili v ZDA.
Gre za preprost senzor, ki se priključi na USB, in s pomočjo prstnih odtisov omogoča (ali pa seveda ne) uporabo računalnika. Tako lahko pozabite na vsa zamudna vpisovanja gesel, dovolj je le, da pred delom položite prst na senzor.
Kot veste, je prstni odtis vsakega posameznika edinstven, vendar se da tudi to zaščito pretentati
Novico na najdete tukaj.

2 komentarja