engångslösenord

lösenord som används bara en gång. – Engångslösenord används när man loggar in på webbaserade tjänster med krav på hög säkerhet, till exempel bankers webbsidor. Eftersom lösenordet kan användas bara en gång är det oanvändbart för utomstå­ende som uppfångar det. – Problemet är hur användaren ska veta vilket lösenord hon ska använda när det ändras från gång till gång. En lösning är att engångslösenord räknas fram av en speciell dosa som användaren har och som är unik – den har ett lagrat värde som bara finns i just den dosan och hos den tjänst som har lämnat ut dosan. Webbsidan för inloggning visar ett slumpmässigt valt tal för användaren, som matar in det i dosan. Dosan utför sedan en matematisk operation på talet och visar resultatet, som användaren matar in på webbsidan. Webbtjänsten har tillgång till samma matematiska funktion och samma lagrade värde som dosan har och kan därför kontrollera att engångslösenordet är korrekt. – Det finns också metoder där avsändare och mottagare räknar ut lösenordet oberoende av varandra, till exempel med utgångspunkt från klockslaget – se tidsbaserade engångslösenord. – Det finns också engångslösenord där avsändare och mottagare har varsitt exemplar av en lista med lösenord (engångskrypto). Lösenorden används en efter en, och blir oanvändbara efter användning. Detta anses vara en osäker metod. – Engångslösenord används oftast tillsammans med ett stående lösenord eller andra former av autentisering. Det räknas då som flerfaktorsautentisering eller tvåfaktorsautenti­se­ring. – På engelska: one‑time password, förkortat OTP. Kallas också för one-time code, OTC – men ett lösenord är ingen kod, utan en nyckel. – Läs också om engångskrypto (one‑time pad, på svenska också blankettchiffer).

[lösenord] [ändrad 19 september 2021]

luftgap

i it-säkerhet: total fysisk separation mellan datorer eller datorsystem. Används för att skydda servrar med värdefull information mot dataintrång och sabotage. Det kan till exempel vara servrar med backuper. –Separationen måste omfatta sammankoppling både med kabel och med trådlös kommunikation. För att möjliggöra dataöverföring måste någon därför vara på plats och koppla in en kabel eller installera ett trådlöst nätverkskort. Det får inte gå att göra det på distans. – Det finns dock metoder för att avläsa information från datorer, trots luftgap. Det går till exempel att uppfånga och analysera elektromagnetiska impulser från bildskärmar och tangentbord. – På engelska: air gap eller airgap. – The air gap myth – [den föråldrade] föreställningen att industrins driftsystem (operational technology) är skyddade mot attacker eftersom de är separerade från företagens vanliga it‑system. – Se också Airhopper.

[it-säkerhet] [nätverk] [ändrad 4 oktober 2019]

biljett

om federerad in­logg­ning: meddelande från en tjänst (A) till en annan (B) om att en användare är korrekt inloggad på (A). Användaren blir då insläppt på den andra tjänsten (B) utan att behöva ange lösen­ord. Med­delandet skickas av (A) på begäran av den andra tjänsten (B) när användaren vill logga in där, och har angett sitt användarnamn. Poängen med att använda en biljett i stället för att helt enkelt skicka över an­vändarens lösen­ord är att lösen­ordet då inte kan uppsnappas på vägen. Biljetten för­ändras för varje gång. – På engelska: ticket.

[inloggning] [ändrad 11 oktober 2018]

Deaddrop

  1. – ett program för säker filöverföring, utvecklad av det svenska före­taget Romab (länk) (länken brukar fungera, trots eventuell överstrykning) och marknadsförd av Sysctl (länk). Filerna överförs i krypterad form. Mottagaren måste ta emot både ett mejl och ett SMS för att kunna ta emot och dekryptera filen;
  2. – tidigare namn på SecureDrop (securedrop.org), ett liknande program som har ut­veck­lats i USA för att hjälpa journalister att skydda sina källor.

– Se också dead drop och blind drop.

[datakommunikation] [kryptering] [personlig integritet] [ändrad 26 april 2019]

AS2

(Applicability statement 2) – en standard för säker dataöverföring, baserad på webbprotokollet HTTP. AS2 är en nyare version av AS1. AS1 överförde data mellan företag som e‑post, medan AS2 överför data som om det var webbsidor, vilket går snabbare. AS2 innehåller också säkerhetsåtgärder som kryptering och elektroniska signaturer. I stället för HTTP används ofta den säkrare varianten HTTPS. Standarden AS2 har fastställts av internets tekniska lednings­grupp IETF.– Se RFC 4130: länk.

[förkortningar på A] [it-säkerhet] [rfc] [webben] [ändrad 16 mars 2020]

Magnitude

  1. – ett program för attack mot it‑system. – Magnitude är ett exploit kit: det innehåller färdiga program som utnyttjar sårbarheter i program och filer. Programmet har spritts öppet, men de flesta webbsajter tog under 2014 bort annonser för Magnitude. Magnitude var tidigare känt som Popads. – En artikel om Magnitudes ”affärsmodell” finns i Computer Sweden (länk);
  2. – allmän betydelse: storleksordning; order of magnitude: faktor 10, alltså tio gånger större eller mindre än något annat.

[attacker] [matematik] [språktips] [ändrad 22 oktober 2017]

Integritetsskyddsmyndigheten

(IMY) – den svenska myndighet som övervakar användningen av personuppgifter i datorer och i andra samman­hang. – IMY är samma myndighet som under namnet Datainspektionen grundades 1973. Namnbyte från Datainspektionen till Integritetsskyddsmyndigheten skedde vid årsskiftet 20202021. – Förutom hanteringen av personuppgifter (se Dataskydds­för­ord­ningen) har IMY också tillsyn över kreditupplysning och inkassoverksamhet. – Regeringen bestämde tidigare att dåvarande Datainspektionen under 2018 skulle byta namn till Integritetsskyddsmyndigheten, men i maj 2018 protesterade DI:s chef Lena Lindgren Schelin (se pressmeddelande), och föreslog i stället namnet Dataskyddsmyndigheten. I september 2020 föreslog regeringen i budgetpropositionen att namnbyte till Integritetsskyddsmyndigheten skulle ske vid årsskiftet 2020–2021, vilket riksdagen godkände. – Se imy.se. – IDG:s artiklar om Datainspektionen / Integritetsskyddsmyndigheten: länk.

– In English: Integritetsskyddsmyndigheten, IMY, in English Swedish Authority for Privacy Protection, formerly Datainspektionen (The Swedish data protection authority), is a government agency responsible for protecting the right to privacy. It also supervises credit information and collection agencies. It changed names on January 1, 2021.  Read more in English on this link. – For more summaries in English, please click on this link.

[dataskydd] [namnbyte] [personuppgifter] [svenska myndigheter] [ändrad 20 december 2022]

broadcast storm

kedje­reaktion av med­de­landen och svar på med­de­landen i snabbt växande antal i ett nätverk. – En broadcast storm kan leda till att nät­verket slutar fungera, så kallad härdsmälta. Orsaken kan vara tekniskt fel eller sabot­age:

  • – Det tekniska felet kan vara att två switchar i det lokala nätet är sammankopp­lade. Om den ena switchen gör en rund­sänd­ning (samma med­de­lande skickas till alla i nätet) går med­de­landet också till den andra switchen, som också sänder ut medde­landet till alla in­klu­sive den första switchen, som i sin tur…
  • – Om felet beror på sabo­tage är det ofta ett led i en överbelastningsattack riktad mot tredje part. Alla datorer i ett lokalt nät (A) får ett medde­lande med falsk avsändar­adress, som går till det till­tänkta offret (B). De skickar då svarsmeddelanden till den upp­givna adressen, sam­tid­igt som de skickar meddelandet vidare till var­andra. Re­sul­tatet blir att offrets it‑system bombarderas med svarsmedde­landen och eventuellt slutar att fungera. (Syftet är alltså inte att attackera det första nätverket (A), utan att attackera B, men även A, som är ofrivillig förmedlare av angreppet, kan slås ut.)

– Det paket som orsakar en broad­cast storm kallas ibland för tjernobylpaket.

[attacker] [fel] [nätverk] [ändrad 2 maj 2018]