»

NIST: Posebni znaki in obvezno menjanje gesel nepotrebni in prepovedani

Slo-Tech - Pravil in priporočil o izbiri varnih gesel smo slišali že nešteto, s številnimi pa živimo vsak dan, ko si izmišljujemo nova gesla za različne storitve ali nas te obveščajo, da so gesla prestara in potrebujejo zamenjavo. Trendi pa se spreminjajo, zato je Nacionalni inštitut za standarde in tehnologije (NIST) v ZDA izdal osnutek novih smernic o digitalni identiteti (SP 800-63-4), ki med gostobesedno latovščino tudi ukinja precej smernic, ki so številnim uporabnikom že zdaj zdele nepotrebne.

Nove smernice so še v fazi osnutka, ki bo v javni razpravi do 7. oktobra. Ko bodo nato sprejete, verjetno v dopolnjeni obliki, bodo obvezne za ameriške zvezne proračunske porabnike in podjetja, ki sodelujejo z zvezno vlado. Pri geslih so številna prejšnja priporočila postala obveznosti, nekaj pa je tudi novih. Med drugim morajo biti gesla dolga vsaj osem znakov, priporočeni minimum pa je 15 znakov. Priporočeni minimum za zgornjo mejo je 64 znakov, lahko pa jih seveda dovolijo še več. V nobenem...

34 komentarjev

Windows 10 tudi v Evropi želi, da uporabljamo spletni račun

Slo-Tech - Lani smo pisali, da želi Microsoft v ameriški verziji Windows 10 Home uporabnike na vse načine prisiliti, da bi si ustvarili spletni račun z elektronskim naslovom. Že pri namestitvi je to edina možnost, ki se ji lahko izognemo le tako, da onesposobimo dostop do interneta. Praksa ni več omejena le na ameriško verzijo, temveč je prispela tudi v Evropo. Nemška inačica Windows 10 Home ima isto nevšečnost.

Ameriška inačica je to omejitev dobila v verziji 1909, nemška pa pri nadgradnji z 18363.418 na 18363.592. Microsoft sicer v navodilih napiše, da kdor tega ne želi, lahko namestitev dokonča in potem odstrani račun, ki ga je vnesel pri namestitvi. Obstoji pa še druga možnost, ki jo poznamo že nekaj časa. Če fizično izključimo povezavo z internetom, ponovno dobimo možnost lokalne namestitve. Kdor tega ne more narediti, lahko pritisne Shift + F10 in v konzolo vpiše control netconnections, kar odpre okno za mrežne nastavitve, in tam ročno onemogoči mrežno kartico. Tretja možnost je geslo...

78 komentarjev

Microsoft opušča obvezno menjanje gesel v Windows

Slo-Tech - Microsoft je naslednje v vrsti podjetij, ki so ugotovila, da obvezno menjanje gesel vsaka dva meseca (ali kaj podobnega) ni dobra varnostna praksa. Zato bodo iz novih inačic Windows 10 Version 1903 (19H1) ter Windows Server v1903 odstranili politiko poteka veljavnosti gesel. To pomeni, da gesla ne bodo več privzeto potekla, temveč bodo organizacije same vpeljale druge načine zaščite pred nepooblaščenim dostopom. To so na primer večstopenjska avtentikacija, zaznavanje napadov s poizkušanjem gesel, zaznavanje neobičajnih prijav, uvedba seznamov prepovedanih (prelahkih) gesel itd. Microsoft teh taktik ne bo vsiljeval, jih bo pa predlagal.

Zavedanje, da prisilno menjanje gesel v rednih časovnih intervalih ne prispeva k varnosti, se je okrepilo v zadnjih...

8 komentarjev

Drugi največji vdor letos odnesel podatke 412 milijonov ljudi

ZDNet - Seznam velikih vdorov in kraj osebnih podatkov se nadaljuje z incidentom na FriendFinder Networks, v katerega so vstopili neznani hekerji in odnesli osebne podatke več kot 412 milijonov ljudi. Gre za omrežje, ki združuje več strani, med katerimi so z adulfriendfinder.com odtujili podatke 340 milijonov uporabnikov. Poleg tega so prizadete še strani cams.com s 63 milijoni žrtev, penthouse.com s sedmimi milijoni, stripshow.com s poldrugim milijonom in icams.com z okroglim milijonom.

Kot kaže, se je napad zgodil oktobra, torej smo zanj izvedeli bistveno hitreje kot na primer za Yahoojevega. Ta je prizadel še nekoliko več ljudi, a ga je podjetje dve leti prikrivalo. V FriendFinder Networks so napadalci prišli z zlorabo...

4 komentarji

Samsung Galaxy S5 neodporen na star trik odlitka prstnih odtisov

The Register - Tudi Samsungov najnovejši pametni telefon Galaxy S5 je povsem neodporen na napad z odlitkom prstnega odtisa, s katerim so v nemškem CCC lani uspeli zlomiti Applovo zaščito TouchID. Ne le da se Samsung ni naučil ničesar, preskočili so tudi nekaj varnostnih praks, ki jih konkurenca vendarle uporablja.

Problem biometričnih podatkov je, da predstavljajo kompromis med praktičnostjo varnostjo. Medtem ko pri vsakdanjih aktivnostih svojega gesla ne delite naokoli, svoje prstne odtise nenadzorovano puščate po svetu. In medtem ko se pri zasliševanju lahko vsaj nekaj časa izgovarjate, da se gesla ne spomnite, prstnih odtisov ne morete skriti ali pozabiti.

Applov TouchID so lani uspeli zlomiti v manj kot 48 urah po izidu, zato bi pričakovali, da...

10 komentarjev

Hotmail gesla kar po domače rezal na 16 znakov

Ars Technica - Z gesli je križ. Njihovo hranjenje v tekstovni obliki je najhujša napaka, ki jo lahko spletna stran zagreši (v sosednji novici poglejte, kako se je to maščevalo IEEE-ju), a še zdaleč ne edina. Microsoft je priznal oziroma je bil zasačen, da je njihova storitev Hotmail zadnjih nekaj let uporabnike zavajala, kako varna so njihova gesla.

Za dostop do Hotmaila je bilo treba izbrati geslo, ki na videz ni bilo omejeno v dolžino. Večina uporabnikov seveda pozna ustaljeno formulo, da k varnosti gesla prispevata njegova nepredvidljivost oziroma unikatnost ter dolžina. S pametno izbiro...

80 komentarjev

Dropbox priznal izgubo e-poštnih naslovov, zanimive implikacije

Slo-Tech - Dva tedna nazaj smo pisali o potencialni kraji baze e-poštnih naslovov nekaterih, predvsem evropskih Dropbox uporabnikov, ki so potem na svoje račune nenadoma začeli dobivati spam. Incident bi najbrž šel mimo neopažen, če med prizadetimi uporabniki ne bi bilo številnih, ki so za Dropbox uporabljali specifični email naslov oz. alias, tako da takšen naslov v roke spammerjev ni mogel priti drugače kot z vpletanjem omenjenega ponudnika. No, Dropbox je obljubil, da bo raziskal, in zgleda so. Njihov odgovor ponuja zanimivo lekcijo iz varnosti gesel ter diskovja na spletu.

Kot pišejo na svojem blogu, se je vse skupaj začelo s krajo uporabniških podatkov na neki tretji strani (ne piše kateri), nakar so tamkajšnji...

14 komentarjev

Preprodaja gesel za dostop do znanstvenih revij

Slo-Tech - Če bi vas kdo vprašal, kako dobro varujete svoje geslo za prijavo v COBISS in koliko mislite, da je vredno, bi se vam zdelo vprašanje nenavadno? Geslo za prijavo v knjižnični sistem ni vredno malo, še posebej če ste vpisani na katero izmed univerz, ker omogoča oddaljeni dostop do vrste znanstvenih revij, ki jih univerze naročujejo. Naročnine ali posamezni članki so sila dragi (posamezen članek stane do 40 dolarjev), zato univerze za svoje študente in zaposlene kupijo skupinske naročnine na najpomembnejše revije.

V Sloveniji sicer nimamo naročenih vseh, kot je to slučaj na boljših ameriških univerzah (konkretno, na kampusu v Princetonu je brskanje po člankih prav prijetno, saj se odpre prav vse brez nadležnega plačljivega zidu), a imamo zavidljive zbirke. V tujini pa imajo sedaj problem s preprodajo teh gesel, saj podjetni Kitajci na svoji dražbeni platformi Taobao (deluje podobno kot Ebay) že lep čas za prgišče dolarjev ali centov ponujajo veljavna gesla in navodila, kako se...

51 komentarjev