Slo-Tech - Britanski parlament je sprejel nov zakon, ki je namenjen zaščiti boljši zaščiti potrošnikov pred hekerskimi napadi na njihove pametne elektronske naprave, kot so na primer telefoni in televizorji. Odslej bo na Otoku prepovedana prodaja naprav, ki ne bodo izpolnjevale osnovnih varnostnih pogojev. Poleg tega zakon uvaja visoke globe, ki lahko dosežejo 10 milijonov funtov ali štiri odstotke globalnega letnega prometa podjetja, če podjetja ne bodo izpolnjevala pogojev. Za vsak dan kršitve se lahko izreče še 20.000 funtov tekoče glboe.
Novi zakon se imenuje PSTI (Product Security and Telecommunications Infrastructure) in med drugim prepoveduje uporabo generičnih tovarniških gesel, ki so bila svoj čas popularna in eden večjih razlogov za preproste vdore. Preprosta gesla, denimo admin ali password, so odslej prepovedana. Naprave bodo morale imeti unikatna gesla, ki jih ne bo možno enostavno uganiti. Zakon ureja tudi nadgradnje pametnih naprav, saj se v njih sčasoma odkrijejo ranljivosti, ki jih proizvajalci zakrpajo (ali pa ne). Proizvajalci bodo morali potrošnike obvestiti, koliko časa bo izdelek prejemal varnostne posodobitve. Če to ni predvideno, bodo morali izrecno poudariti, da se izdelek ne bo posodabljal. Hkrati bodo morali vzpostaviti enotno točko za prijavo ranljivosti, hroščev in napak, kamor jih bodo lahko raziskovalci in druga zainteresirana javnost pregledno prijavili.
Z zakonom želi zakonodajalec potrošnikom dati vsaj osnovne možnosti v boju proti hekerjem, hkrati pa ponuditi večjo preglednost. Trenutno namreč varnostni aspekti in trajanje podpore pri pametnih napravah niso v ospredju, ko se potrošniki odločajo za nakup. Zakon bo poskrbel, da bodo tudi ti dejavniki pregledneje predočeni.
Tale zakon je dobra ideja. Sicer opažam, da nekateri ljudje niti ne vedo gesla od svojega WiFija. Pred nekaj časa me je klicala hčerka od mamine prijateljice. Sprašuje kakšno je geslo od WiFija. Sn ji reko, da naj obrne Hotov modem in da spodaj piše password.
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013
Tale zakon je dobra ideja. Sicer opažam, da nekateri ljudje niti ne vedo gesla od svojega WiFija. Pred nekaj časa me je klicala hčerka od mamine prijateljice. Sprašuje kakšno je geslo od WiFija. Sn ji reko, da naj obrne Hotov modem in da spodaj piše password.
Rekel bi ji, naj gumb z napisom WPS pritisne in se ne ubada z zastarelo tehnologijo gesel.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Aha, https://moj.a1.si po novem* podpira prijavo s certifikatom. Še eno geslo manj**.
* od kdaj točno, ne vem. Sicer je nekje v beseduli beseda "test", tako da še ni polno, pa izpiše, da ne more preveriti latsništva certifikata in zato pri prijavi s ceretifikatom nekater možnosti ne bodo na voljo. (hecno, pri geslu, kjer itak nič ne morejo preveriti, pa ti dajo kar polni dostop...)
** no, geslo je še vedno, kot sekundarni (po njihovo: primarni) način prijave
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
To bo veselica predvsem za vse takoimenovane industrijske ali pa medicinske naprave. Zaradi slabih dosedanjih praks bomo sedaj videvali novice obstalih proizvodnjih linij ter klinik zaradi pozabljenih ali slabo hranjenih gesel. Vedno bo na koncu nekje "ključ pod predpražnikom", samo da se ne zaklenejo ven.
Aha, https://moj.a1.si po novem* podpira prijavo s certifikatom. Še eno geslo manj**.
Ce prav pomnim, je simobil vcasih ze podpiral certifikate. Ali pa me je lastni spomin prevaral.
Je podpiral, ja. Ampak ni delalo kot je treba. Ko sem dobil nov certifikat mi ga ni uspelo zamenjat s starim s katerim sem se prijavljal na takratni Si.mobil. Potem se mi ni dalo s tem ukvarjat, pa sem uporabljal samo geslo.
Sredi spečih in nepazljivih je modrec buden in pazljiv -
po poti gre kot hiter konj, ki je prehitel šibko kljuse.
To bo veselica predvsem za vse takoimenovane industrijske ali pa medicinske naprave. Zaradi slabih dosedanjih praks bomo sedaj videvali novice obstalih proizvodnjih linij ter klinik zaradi pozabljenih ali slabo hranjenih gesel. Vedno bo na koncu nekje "ključ pod predpražnikom", samo da se ne zaklenejo ven.
V glavnem bollocks je to, človek si ne more zapomniti toliko gesel.
Kako pa je lahko za bančno kartico 4 mesni PIN dovolj, a tam pa ne bodo komplicirali? Za fakin smart TV pa bo potrebno imeti "strong" geslo...
Saj uporabnik si bo še vedno lahko nastavil lažje geslo, če bo hotel. Le default gesla ne bojo smela biti preprosta, ampak bojo morala biti zapisana nekje na napravi/nastavljiva ob prvi prijavi* ...
* pri napravah, kjer je vsaj ena prijava obvezna, da zadeva sploh dela.
Aha, https://moj.a1.si po novem* podpira prijavo s certifikatom. Še eno geslo manj**.
Ce prav pomnim, je simobil vcasih ze podpiral certifikate. Ali pa me je lastni spomin prevaral.
Je podpiral, ja. Ampak ni delalo kot je treba. Ko sem dobil nov certifikat mi ga ni uspelo zamenjat s starim s katerim sem se prijavljal na takratni Si.mobil. Potem se mi ni dalo s tem ukvarjat, pa sem uporabljal samo geslo.
Imeli so, samo niso posodobili ko je prišel SIGEN-CA G2 in ostali. In posledično skoraj noben nov certifikat ni delal. Zdaj pa so začeli sigen g2 podpirati.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Danes je tehnologija tako daleč, da bi lahko imel povsod logiranje s NFC kartico, ključkom, ipd. in certifikatom. Poleg tega lahko naprave spraviš v ločena omrežja, ločena z varnostno opremo.
Ampak nobenemu, ampak res nobenemu, se ne ljubi ukvarjati z kreiranjem uporabnikov, group in rol. Ali varnostnimi pravili na mreži. No to zadnje malo lažje...
Tehnologija je tam, ampak mora nekdo spisati pravila.
Poznam več primerov, tako v Sloveniji kot tujini, kjer je to bil zadnji korak pred produkcijo, s celo štalo na koncu... Nekaj kar bi moralo biti definirano na začetku in potem nadgrajeno, ko se pojavijo potrebe.
Je pa tudi res, da uporabniki radi letajo okoli kot kure, in se jim je pod častjo prijavljati na razne naprave, ker pač imajo radi dostop do vsega...
"Life is hard; it's even harder when you're stupid."
To bo veselica predvsem za vse takoimenovane industrijske ali pa medicinske naprave. Zaradi slabih dosedanjih praks bomo sedaj videvali novice obstalih proizvodnjih linij ter klinik zaradi pozabljenih ali slabo hranjenih gesel. Vedno bo na koncu nekje "ključ pod predpražnikom", samo da se ne zaklenejo ven.
V glavnem bollocks je to, človek si ne more zapomniti toliko gesel.
Kako pa je lahko za bančno kartico 4 mesni PIN dovolj, a tam pa ne bodo komplicirali? Za fakin smart TV pa bo potrebno imeti "strong" geslo...
Saj uporabnik si bo še vedno lahko nastavil lažje geslo, če bo hotel. Le default gesla ne bojo smela biti preprosta, ampak bojo morala biti zapisana nekje na napravi/nastavljiva ob prvi prijavi* ...
* pri napravah, kjer je vsaj ena prijava obvezna, da zadeva sploh dela.
A ne bo tako, da bo tudi uporabnik potem moral vpisati svoje "strong" geslo? ali bo lahko dal 12345678 ?
To me spomni na kabelske modeme, pri katerih nisi mogel sam spremeniti wifi gesla. Privzeto je bilo v stilu xhJkhTBmkjkij_kdshj.32hnf. Sem moral k sosedi pomagat, ker je trdila, da ji wifi ne dala. V resnici niti s sto in več poizkusi ni mogla vpisati pravilnega gesla.
To me spomni na kabelske modeme, pri katerih nisi mogel sam spremeniti wifi gesla. Privzeto je bilo v stilu xhJkhTBmkjkij_kdshj.32hnf. Sem moral k sosedi pomagat, ker je trdila, da ji wifi ne dala. V resnici niti s sto in več poizkusi ni mogla vpisati pravilnega gesla.
Z WPS bi bil en pritisk na gumb. Aja, to deluje in je preprosto. Absolutno proti!
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
V glavnem bollocks je to, človek si ne more zapomniti toliko gesel.
Kako pa je lahko za bančno kartico 4 mesni PIN dovolj, a tam pa ne bodo komplicirali? Za fakin smart TV pa bo potrebno imeti "strong" geslo...
Smart card (bančna, SIM) se po x neuspešnih poskusih zaklene. Zato je lahko PIN dolg samo 4 znake in je to varnostno sprejemljivo.
Nadalje... user si lahko vedno nastavi svoje geslo, ki ga "reciklira" od drugod.
Ni pa tako težko narediti sistema, ko moraš med inštalacijo nastaviti geslo (ob prvi uporabi te vpraša za spremembo gesla).
Jaz sem pred kratkim delal eno varnostno analizo... in so bila seveda uporabljena privzeta gesla. Mogoče se nekaterih niti ni dalo spreminjati, tega niti nisem preverjal, ampak dejstvo je, da so bila privzeta.
V pol ure sem prišel do tega, da sem jim lahko onemogočil alarm za vrata, spremenil PIN za vstop v stavbo, onemogočil telefonijo,...
Če bi sistem ob prvi uporabi od uporabnika zahteval, da se geslo spremeni, to ne bi bilo mogoče. Da ne govorim, da za mnogo teh sistemov ni bilo niti updatov več na voljo in so bili highly exploitable.
V glavnem bollocks je to, človek si ne more zapomniti toliko gesel.
Kako pa je lahko za bančno kartico 4 mesni PIN dovolj, a tam pa ne bodo komplicirali? Za fakin smart TV pa bo potrebno imeti "strong" geslo...
Samo nekaj bom napisal: Lastpass in Keepass. Jaz brez tega ne bi preživel... V glavi imam samo 1 izredno močno geslo. Če pozabim ali se mi kaj zgodi, ga imam vtolčenega v kovinsko ploščico in spravljeno na varnem mestu.
PIN od bančne je lahko tako kratek, ker: - moraš imeti fizično kartico v roki + vedeti PIN - se po x-napačnih vnosih zaklene
pa tega SWja mislite da se ne da hacknit, oz kako veste da je 100% safe?
Praktično nemogoče, razen če ti namestijo keylogerja na PC. Pa še temu se da načeloma izognit z 2-faktorsko identifikacijo, pri Lastpass vpišeš zgenerirano kodo s telefona, pri Keepass imaš dodatni Keyfile npr. na USB ključku, ki ga vtakneš samo pri prijavi.
Je malce zamudno, ampak potem si nagrajen s tem, da imaš lahko prav pri vsaki spletni štacuni, googlu, socialnih omrežjih povsem drugačno, random geslo dolžine magari 70 znakov. V mojem Lastpassu je mislim da že preko 100 vnosov, vsako geslo drugačno. Dejansko se pri vsaki spletni štacuni registriram s svojim spam emailom in zgeneriram novo geslo, oboje se avtomatsko shrani v Lastpass.
Dejansko se pri vsaki spletni štacuni registriram s svojim spam emailom
Tips and tricks:
Jaz tudi za email uporabim vsakic drugega ( truncate8(base64(salt + hash domene kamor se registriram))@mojadomena.com ).
Razlog je, da na tak nacin lahko ugotovim, komu so ukradli ali je prodal email naslove spammerjem in jim potencialno hebem mater.
Drug izredno koristen nacin uporabe je, da ko zacnes dobivat spam, na email serverju account elegantno ukines. Ali dodas nanj poljubno reject sporocilo ("hebem ti mater").
energetik, pomeni to je prvi SW ki je 100% safe? Kako pa potem počivalškovega ajfona odklepajo v nemčiji? Saj te nima telefon slabše zaščite, kot nek SW?
energetik, pomeni to je prvi SW ki je 100% safe? Kako pa potem počivalškovega ajfona odklepajo v nemčiji? Saj te nima telefon slabše zaščite, kot nek SW?
Kaj je to počivalškov ajfon?
Če se ne motim, se Keepass kriptiranega fajla z gesli praktično ne da zlomit. Ponavadi se napadalci raje gredo social engineering ali pa kakšne keyloggerje, bi rekel.
To me spomni na kabelske modeme, pri katerih nisi mogel sam spremeniti wifi gesla. Privzeto je bilo v stilu xhJkhTBmkjkij_kdshj.32hnf. Sem moral k sosedi pomagat, ker je trdila, da ji wifi ne dala. V resnici niti s sto in več poizkusi ni mogla vpisati pravilnega gesla.
Z WPS bi bil en pritisk na gumb. Aja, to deluje in je preprosto. Absolutno proti!
1000x bolj varno in preprosto. https://qifi.org/ WPS je za na smetišče zgodovine za vse, razen zate.
Tole še zdaleč ni varno, če se nahaja v prostoru, kjer imajo dostop tudi tretje osebe. In nekateri imajo desktope/laptope, ni vsak lolek na telefonu.
Tretje osebe imajo guest network. In na laptopih/desktopih se uporablja ethernet oz. docking station + laptop + ethernet. Wifi uporabljajo v biznis namene samo neumni.
Fantek, ko boš imel argumente, se javi. Tačas pa se kar igraj v pesku. (letom navkljub)
Ko pa boš imel v roki moderno napravo, lepo vklopi WiFi scan in se čudi, koliko omrežij ima WPS. Ne glede koliko tu na forumu bentiš. Ker, ne boš verjel, uporabnikom je čisto vseeno, kaj se en starfotr na nekem forumu benti.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Glej vsi, ki dajo kaj nase in na varnost, izklopijo vsaj 3 zadeve (omenjene zgoraj), pa četudi gre za opremo za 20 eur, 200 eur ali 20000 eur.
Unfortunately, WPS is horribly insecure and can be used as a means for attackers to gain access to your network. This is why we disable WPS.
In upoštevajo dobre varnost ne prakse. Kot je tudi takojšnja sprememba privzetega gesla. Oziroma v tem primeru iz novice bo privzeto geslo naključno za vse naprave, kar je edino prav.
Ni pa tako težko narediti sistema, ko moraš med inštalacijo nastaviti geslo (ob prvi uporabi te vpraša za spremembo gesla).
Pri napravah, ki delujejo brez konfiguracije je težje. Recimo router priklopiš v omrežje in ponavadi dela. Brez da bi se vpisal v administracijski GUI. Zato imajo novejši routerju unikatno default geslo napisano na routerjih.
Če pa naprava rabi neko osnovno konfiguracijo, potem pa seveda lahko še vpraša za geslo.
Kar se tiče password managerjev, bi pa omenil še Bitwarden. Lahko celo self-hosted. Meni je super. Poleg gesel lahko shraniš tudi kreditne kartice, kopije dokumentov, secret note. Res fina zadeva.