en branschorganisation för utveckling av standardiserade inloggnings‑system utan lösenord. – FIDO Alliance vill i stället att man ska kunna logga in på alla anslutna tjänster med fingeravtryck eller annan biometrisk identifiering, PIN, USB‑minne eller med en säkerhetsnyckel. Man ska alltså inte behöva ha särskilda lösenord och användarnamn för varje tjänst (jämför med e‑legitimation). Lösningen förutsätter att man har installerat ett program från FIDO Alliance, och har registrerat sitt identifikationskännetecken. Efter det ska man kunna logga in på alla tjänster som är anslutna till FIDO Alliance på samma sätt. – FIDO har utvecklat tre identifieringssystem: se UAF och U2F samt det nyare FIDO2. – Microsoft berättade i februari 2015 att version 10 av Windows ska vara anpassad till FIDO – se också Windows Hello. – FIDO uppges stå för Fast ID online eller Fast identity online. Men det är namnet på organisationens lösningar, inte på själva organisationen. Grundades 2013. – Se fidoalliance.org.
[inloggning] [organisationer] [ändrad 22 februari 2023]
- – en extra säker mobiltelefon med kryptering från det svenska företaget Sectra (länk). Det finns flera modeller. Tiger/S 7401 från 2015 är gjord för att uppfylla Natos krav på säkerhet, SECURE. – Se Sectras webbsidor (länk). – Läs också om Black, Blackphone†, CryptoPhone, GranitePhone och Solarin;
- – version 10.4 av OS X (numera macOS), släppt i april 2005. Den innehöll bland annat den interna sökmotorn Spotlight. Tiger var efterföljare till Panther och föregångare till Leopard.
[it-säkerhet] [macos] [macos-versioner] [mobiltelefoner] [ändrad 21 februari 2018]
(DNS amplification, DNS reflection) – en typ av överbelastningsattack som utnyttjar namnservrar i DNS‑systemet. Namnservern används som ovetande mellanhand i angreppet. – Angriparen skickar förfrågningar om uppslagning (att hitta den IP‑adress som motsvarar en viss webbadress, url) till en namnserver. En enkel förfrågan kan generera stora datamängder. Förfrågan är försedd med falsk avsändaradress (se spoofing), så svaren skickas till en annan server. Den servern är det egentliga målet för attacken. Genom att sätta igång ett antal sådana förfrågningar kan man bombardera en server med mycket större datamängder än vid ett direkt angrepp. En förutsättning är att namnservern som används som mellanhand är en öppen rekursiv resolver, något som bör undvikas.
[attacker] [internet] [ändrad 9 maj 2018]
tiden mellan att en sårbarhet i ett program, ett operativsystem eller en tjänst blir känd för leverantören till att den har åtgärdats. – På engelska: window of vulnerability, förkortat WoV.
[sårbarheter] [ändrad 16 maj 2018]
en trojansk häst som bedöms ha infekterat minst en till två miljoner datorer. Upptäcktes 2011. I december 2013 hävdade Microsoft, FBI och European cybercrime centre att de hade ingripit mot verksamheten. –Zeroaccess kopplar samman de infekterade datorerna i ett botnät. Botnätet utför, utan att ägarna av de infekterade datorerna vet om det, vanligtvis en eller båda av två tjänster. Antingen utför de beräkningar för att skaffa kryptovalutan bitcoin eller också deltar de i klickbedrägeri i stor skala. Zeroaccess är också känt som max++ och Sirefef.
[skadeprogram] [ändrad 31 juli 2019]
- – Samsung Knox – säkerhetssystem för operativsystemet Android, utvecklat av Samsung, delvis baserat på SE Android. – Läs mer på Samsungs webbsidor;
- – nerlagt krypterings- och säkerhetskopieringsprogram för Mac från AgileBits (se 1password.com).
– Båda namnen anspelar på Fort Knox, den omsorgsfullt skyddade plats där USA förvarar sina guldreserver.
[it-säkerhet] [nerlagt] [ändrad 26 juli 2018]
manipulation av internet-routrar i syfte att komma åt lösenord och användarnamn. – Angriparen manipulerar användarens internetrouter så att den styr användaren till en förfalskad sida (se pharming). Syftet är att lura användaren att uppge lösenord och användarnamn på den falska sidan (se nätfiske eller phishing). Den angripna routern är oftast en trådlös router för hemmabruk. – Användaren kan till exempel vilja besöka sin banks sida, men den manipulerade routern hämtar i stället en till utseendet likadan sida som angriparna har ställt i ordning. När användaren loggar in kan bedragarna avläsa hennes lösenord och användarnamn. Hur detta går till beskrivs i ett blogginlägg (från 2007) på Symantecs sajt: (arkiverat). För att skydda sig mot drive-by pharming räcker det med att ändra det förinställda lösenordet på internetroutern. (Se också drive-by.)
[it-säkerhet] [ändrad 3 mars 2020]
identitetsbluff, fejkning – användning av förfalskad avsändare vid dataintrång, sabotage, bedrägeri eller spamning. I några fall användning av en lånad identitet för lovliga ändamål;
- – spoofing – falsk avsändare av e‑post, i synnerhet spam, använd för att lura mottagaren och göra det svårare att spåra avsändaren. – Det som förfalskas i spoofing är den avsändaradress som den tekniska utrustningen läser (inte bara den avsändare som visas för mottagaren – den är lätt att ändra). I och med att den tekniska avsändaradressen är förfalskad blir det lättare att göra en förfalskad avsändaradress som är avsedd för mänskliga ögon mer trovärdig. Spoofing i denna betydelse används också i nätfiske (phishing) för att locka folk till en falsk webbsida, en bluffsida – se punkt 6 här nedanför. – Läs också om display name deception och DMARC;
- – mejl spoofing är användning av falsk avsändaradress i mejl för att lura personer att lämna ifrån sig känslig eller hemlig information (nätfiske) eller i så kallat vd-bedrägeri;
- – metod för attacker: angriparen lurar offrets it‑system att tro att tro att anropet kommer från ett annat it‑system än det faktiskt gör;
- – DNS spoofing – se DNS-förgiftning;
- – för caller ID spoofing, se falsk nummerpresentation;
- – spoof web site – förfalskad webbsida, bluffsida, fejksida, ofta i ett känt företags namn, som led i bedrägeri. En sådan sida kan vara i minsta detalj identisk med förebilden, bortsett från att sidans webbadress (URL) inte stämmer. De länkar, tjänster och funktioner som finns på en förfalskad webbsida är åtminstone till en del bedrägliga. – Se också domain spoofing och nätfiske;
- – spoof page – parodisida – imitation av en webbsida, gjord i humoristiskt eller polemiskt syfte (som en protest mot den organisation som äger originalsidan);
- – spoof – misshandlad version av en låt, till exempel de första takterna om och om igen, som lagts ut på internet för att lura piratkopierare. (Se också cuckoo egg);
- – seriös metod för att minska belastningen på ett nät genom att låta en router besvara anrop som i själva verket går till persondatorerna i nätet;
- – se GPS spoofing.
– Många företag har en spoof address med formen spoof@acme.com. Den används för att rapportera mejl som mottagaren misstänker är försök till nätfiske eller annat bedrägeri. – Jämför med abuse address. – Läs också om bogus, fraud, hoax, impostering, prank, scam och smurfing. – Ordet spoof beskriver från början en parodi.
[bluff och båg] [falsk avsändare] [identitet] [it-säkerhet] [jargong] [ändrad 15 juni 2022]
”fliknappning” – ett sätt att lura till sig lösenord genom att manipulera flikar i webbläsare. – Tabnapping är ett slags nätfiske (phishing). Tekniken går till så att angriparen omärkligt byter ut sidor som användaren har öppna på en flik i webbläsaren. Texten på själva fliken ändras inte (till exempel namnet på en bank), men själva sidan byts ut mot en förfalskad version. När användaren försöker logga in på sidan misslyckas det, men angriparen får reda på användarnamn och lösenord. Känt sedan mitten av 2010.
[it-säkerhet] [webbläsare] [ändrad 24 november 2018]
nätfiske (phishing) som riktar sig mot ett litet företag (en ”pöl”). – Se också spear phishing.
[attacker] [nätfiske] [ändrad 15 juli 2017]