mask attack

maskattack – ett sätt att lista ut lösenord genom att man utgår från ett bestämt mönster. – Maskattacker är ett sätt att förenkla uttömmande sökningar. Man utgår från att lösenordet följer ett vanligt mönster som, till exempel, namnårtal (jenny1992). Man kan då instruera sökprogrammet att testa lösenord enligt mönstret fem bokstäver fyra siffror. Det kan behövas många sådana mönster för att hitta ett lösenord, men det är ändå tidsbesparande jämfört med att pröva alla möjliga kombinationer av bokstäver, siffror och andra tecken. Om lösenordet har en oförutsägbar form fungerar metoden däremot inte. – Ordet mask (betydelse 2) syftar här på maskning.

[lösenord] [4 april 2022]

age-gating

åldersgräns på internet – krav på en del webbplatser om att besökare intygar att de är över en angiven ålder. – Detta är en tom formalitet i de flesta fall, eftersom det är besökaren själv som intygar, och alltså kan bluffa. Age‑gating används mest för att hålla webbplatsens utgivare fri från ansvar ifall underåriga besökare skulle råka se något olämpligt. – Där ålderskontroll verkligen är viktigt kan man kräva inloggning med e‑legitimation. – När det gäller köp på internet säger lagen att den som är under 18 år inte kan ingå avtal om köp. Sådana avtal är ogiltiga. Men det finns ingen tvingande regel om att säljaren måste verifiera köparens ålder. (Undantag: den som är över 16 år får sluta avtal om köp för pengar som hen själv har tjänat.) – På engelska också: age verification system.

[e-handel] [inloggning] [webbsidor] [13 mars 2022]

autentiseringsfiske

försök att komma åt inloggningsuppgifter för andra personer. – Autentiseringsfiske görs ofta med användning av förfalskade inloggningssidor till sidor eller tjänster som angriparen räknar med att offret använder. De förfalskade sidorna skickas med mejl som verkar legitima. Om offret försöker logga in på den förfalskade sidan kan angriparen registrera användarnamn och lösenord. Enklaste motmedlet är flerfaktorsautentisering eller andra system som gör att ett lösenord bara kan användas en gång. – Kallas också för lösenordsfiske. – På engelska: credential phishing. – Se också autentisering.

[inloggning] [nätfiske] [18 oktober 2021]

tidsbaserat engångslösenord

lösenord som genereras av en algoritm med den tidpunkt då beräkningen sker som en faktor. – Lösenordet blir då ett unikt engångslösenord. Det är bara giltigt en kort tid efter att det har genererats. Det krävs att båda parter har samma tid inställd och tillgång till samma program för generering av lösenord. Mottagarens program utför samma beräkning som avsändaren och jämför. Giltighetstiden för tidsbaserade engångslösenord brukar vara något mer än 30 sekunder. Vid kontrollen måste man nämligen lämna marginal för beräkningstiden och latensen, som ju kan variera. (Det är teoretiskt tänkbart att två olika tidsangivelser ger samma lösenord – se till exempel lådprincipen – men det är osannolikt.) – Internets tekniska ledningsgrupp IETF har fastställt en standard (RFC) för tidsbaserade engångslösenord, RFC 6238 (länk). – På engelska: time‑based one‑time password, TOTP.

[lösenord] [tid] [19 september 2021]

zero trust network access

(ZTNA) – nolltillit i nätverk – begränsning av tillgång till resurser i ett nätverk för användare som har loggat in. – Med ZTNA kan den som har loggat in bara se och komma åt program, tjänster och andra resurser som har valts ut på förhand av nätverksadministratören. Andra resurser är osynliga för användaren. Det är den inloggades identitet som avgör, eventuellt i kombination med andra faktorer som klockslag, veckodag och anropande nätverk. Man utgår från möjligheten att de som loggar in kan vara bedragare som på något sätt har kommit över legitima användares användarnamn och lösenord, eventuellt också möjlighet till flerfaktorsautentisering. Därför döljer man allt som den inloggade användaren inte behöver för sitt arbete. – ZTNA hanteras av en så kallad trust broker – tillitsmäklare.

[nätverk] [åtkomst] [14 september 2021]