inloggningsnyckel

(passkey) – medel för inloggning utan lösenord på webbsidor och tjänster på internet. – En inloggningsnyckel kan vara biometrisk identifiering, till exempel med fingeravtryck. Alltså samma metod som man kan använda för att logga in på många persondatorer och mobiltelefoner. Det kan också göras med en materiell säkerhetsnyckel som Yubikey. – Bakgrunden är välkända problem med lösenord: användarna glömmer bort dem eller återanvänder lösenord, och uppsnappade eller gissade lösenord används för intrång. Inloggningsnycklar fungerar däremot med kontrollsvar och asymmetrisk kryptering, vilket innebär att ett det är omöjligt att komma över användbara inloggningsuppgifter genom att tjuvlyssna på kommunikationen. – Apple, Google och Microsoft kom 2022 överens om att anpassa sina respektive operativsystem för användning av inloggningsnyckel. De utgår från Fido Alliances system. – Se pressmeddelande.

[inloggning] [3 maj 2023]

mask attack

maskattack – ett sätt att lista ut lösenord genom att man utgår från ett bestämt mönster. – Maskattacker är ett sätt att förenkla uttömmande sökningar. Man utgår från att lösenordet följer ett vanligt mönster som, till exempel, namnårtal (jenny1992). Man kan då instruera sökprogrammet att testa lösenord enligt mönstret fem bokstäver fyra siffror. Det kan behövas många sådana mönster för att hitta ett lösenord, men det är ändå tidsbesparande jämfört med att pröva alla möjliga kombinationer av bokstäver, siffror och andra tecken. Om lösenordet har en oförutsägbar form fungerar metoden däremot inte. – Ordet mask (betydelse 2) syftar här på maskning.

[lösenord] [4 april 2022]

autentiseringsfiske

försök att komma åt inloggningsuppgifter för andra personer. – Autentiseringsfiske görs ofta med användning av förfalskade inloggningssidor till sidor eller tjänster som angriparen räknar med att offret använder. De förfalskade sidorna skickas med mejl som verkar legitima. Om offret försöker logga in på den förfalskade sidan kan angriparen registrera användarnamn och lösenord. Enklaste motmedlet är flerfaktorsautentisering eller andra system som gör att ett lösenord bara kan användas en gång. – Kallas också för lösenordsfiske. – På engelska: credential phishing. – Se också autentisering.

[inloggning] [nätfiske] [18 oktober 2021]

tidsbaserat engångslösenord

lösenord som genereras av en algoritm med den tidpunkt då beräkningen sker som en faktor. – Lösenordet blir då ett unikt engångslösenord. Det är bara giltigt en kort tid efter att det har genererats. Det krävs att båda parter har samma tid inställd och tillgång till samma program för generering av lösenord. Mottagarens program utför samma beräkning som avsändaren och jämför. Giltighetstiden för tidsbaserade engångslösenord brukar vara något mer än 30 sekunder. Vid kontrollen måste man nämligen lämna marginal för beräkningstiden och latensen, som ju kan variera. (Det är teoretiskt tänkbart att två olika tidsangivelser ger samma lösenord – se till exempel lådprincipen – men det är osannolikt.) – Internets tekniska ledningsgrupp IETF har fastställt en standard (RFC) för tidsbaserade engångslösenord, RFC 6238 (länk). – På engelska: time‑based one‑time password, TOTP.

[lösenord] [tid] [19 september 2021]