lösenordsförnyelse

obligatorisk lösenordsförnyelse, regelbunden lösenordsförnyelse – krav att användare i ett nätverk byter ut sina lösenord med bestämda mellanrum. Det kan vara var tredje månad, en gång i halvåret, varje år eller något annat. – Flera experter anser att regelbunden lösenordsförnyselse inte höjer it‑säkerheten, utan tvärtom, främst därför att användarna tenderar att återanvända sina gamla lösenord med minsta möjliga ändring enligt mönster som mittlosenord1, mittlosenord2, mittlosenord3… Behovet av att hålla reda på många lösenord, som dessutom måste bytas ut med jämna mellanrum, gör också att användarna tenderar att använda samma, eller snarlika, lösenord till många tjänster. Det underlättar för hackare. En bättre lösning enligt it‑säkerhetsexperten Bruce Schneier (se denna länk) är att välja lösenord som inte liknar något som står i ordlistor, men som ändå går att komma ihåg. Han har tidigare också rekommenderat mycket långa lösenord, eftersom hackarna bara brukar pröva lösenord upp till en viss längd. Den svenska it‑säkerhetsexperten Anne‑Marie Eklund‑Löwinder (länk) påpekar (se denna länk) att stulna lösenord som regel används omedelbart. Att byta lösenord regelbundet är därför som att byta ut dörrlåset efter inbrottet. – På engelska: password rotation, ofta försvenskat till lösenordsrotation. Den benämningen kan skapa intrycket av att samma lösenord cirkulerar bland användarna, så därför är lösenordsförnyelse tydligare.

[lösenord] [8 oktober 2018]

Shadow Brokers

mystisk grupp hackare som i augusti 2016 påstod att den hade stulit dokument och hemliga program från den amerikanska signalspanings-organisationen NSA. En del av det stulna har publicerats på nätet, men Shadow Brokers skriver att resten kommer att säljas till högstbjudande. Eventuellt kommer filerna och programmen från organisationen The Equation Group, som är knuten till NSA. – Om Shadow Brokers på­stå­enden är sanna är det mycket genant för NSA och The Equation Group, som i en rapport från Kaspersky Group beskrevs som en av de mest sofistikerade cyberattackgruppena i världen. – Den världsomfattande attacken Wannacry i maj 2017 gjordes med användning av ett attack­program, EternalBlue, som skapats av NSA och läckts av Shadow Brokers. – Läs denna kommentar av säker­hets­experten Bruce Schneier.

[attacker] [hackare] [ändrad 16 maj 2017]

Random darknet shopper

ett konstprojekt där ett dator­program varje vecka fick bitcoin för 100 dollar för att slump­mässigt köpa något på nätet. – Pro­grammet letade alltså reda på sajter som sålde saker och valde själv vad det skulle köpa. Det hade till­gång till de mer hemliga delarna av nätet, darknet. Oftast köpte pro­grammet oskyldiga saker som jeans, men det köpte också ecstacy­tabletter och ett falskt ungerskt pass. Det aktualiserade frågan om vem som var juridiskt ansvarig för de inköpen. –– Programmets inköp beslagtogs i januari 2015 av polisen (länk). – Random darknet shopper skapades av gruppen Imedien­gruppe Bitnik (länk). Det ingick 2014 i ut­ställ­ningen ”The darknet – from memes to onionland” (länk) i Sankt Gallen i Schweiz. –– Kommentar av säker­hets­experten Bruce Schneier: länk.

Heartbleed

allvarligt fel i ett system för kryptering av webb­kommu­nika­tion, upptäckt i april 2014. Det gäller kryptering med Open SSL. – Buggen Heart­bleed gav in­kräktare möjlighet att komma åt andra an­vändares lösen­ord för webb­kommu­nika­tion, och därmed också möjlig­het att komma åt deras privata tjänster och konton. –– Heart­bleed blev känt den 7 april 2014, och en rättelse pub­li­ce­rades samma dag, men det krävs att rättelsen in­stalleras på miljon­tals ställen. Felet beskrevs som ”kata­strofalt”. Säker­hets­experten Bruce Schneier skrev att ”på en skala från 1 till 10 är detta en 11”. – Läs mer på cert.se (länk).

Schneiers lag

””Vem som helst kan uppfinna ett säkerhetssystem som hon själv inte kan knäcka.”” – Med andra ord: den som har konstruerat ett säker­hets­system är inte rätt person att avgöra hur säkert det är. –– Lagen for­mu­le­rades av den amerikanska säker­hets­experten Bruce Schneier, se här.

[it-säkerhet] [lagar] [ändrad 23 december 2017]

Foxacid

hemliga internetservrar som NSA använder för att i smyg installera infiltrations­program på an­vänd­ares datorer. Det gäller användare av nätverket Tor, som döljer vem som kommunicerar med vem. – För att installera infiltrations­programmen utnyttjar NSA en sårbarhet i webbläsaren Firefox, därav namnet Foxacid. En utförlig beskrivning finns i denna artikel av Bruce Schneier.

[avläsning] [övervakning] [ändrad 16 maj 2018]

Quantum

  1. – hemliga servrar som NSA uppges ha in­stal­lerat på inter­nets stamnät. De används för att upp­fånga viss trafik och utsätta den för man-i-mitten-attacker. Trafiken slussas vidare till andra NSA‑servrar, se Foxacid, som in­stal­lerar in­fil­tra­tions­pro­gram i an­vändarnas datorer. An­vänd­arna märker inget, utan tror att de har kommit till de webb­platser de tänkte besöka. – Läs mer i denna artikel av Bruce Schneier;
  2. – för kvantdatorer med mera, sök på kvant-.
  3. Firefox Quantum, se Firefox.

[avlyssning] [underrättelseverksamhet] [webbläsare] [övervakning] [ändrad 28 september 2017]

Schneier, Bruce

(1963) – amerikansk expert på it‑säkerhet och kryptering. – Bruce Schneier anses som en av de ledande på om­rådet. Han är känd för att framhäva att tek­niska lösningar inte är nog för att garantera säkerhet. Han har riktat hård kritik mot den amerikanska statens säker­hets­åtgärder efter terrorist­attentatet den 11 september 2001 –– han kallar dem för ””security theater””. – Bruce Schneier har skrivit standardverket Applied cryptography (1994, omarbetad upplaga 1996) samt böcker som Practical cryptography (med Niels Ferguson 2003), Secrets and lies (2000), Beyond fear (2003) och Data and Goliath (2015). Han har också utvecklat krypterings­algoritmerna Blowfish och Twofish. – Bruce Schneier är sedan början av 2014 teknisk direktör på IBM Resilient Systems (tidigare Co3 Systems) (länk). Han ingår också sedan 2013 i EFF:s styrelse (länk). Tidigare var Schneier ”säkerhets­futurolog” på BT, som 2006 köpte hans företag Counterpane. Han ger ut nyhetsbrevet Crypto‑Gram (länk), och har webb­platsen schneier.com. År 2007 fick han EFF:s Pioneer Award (se länk). – Se också Schneiers lag och Bruce Schneier facts 😉.

[bruce schneier] [it-säkerhet] [personer] [ändrad 14 maj 2017]

Chuck Norris facts

Han gav fakta ett ansikte.
Han gav fakta ett ansikte.

orimligt överdrivna påståenden om den ameri­kanska film­stjärnan och kampsportaren Chuck Norris. ””Chuck Norris gör inte arm­hävningar – han pressar ner jordklotet””, ””Chuck Norris bär solglasögon för att inte skada solen”, ”Chuck Norris doesn’’t need Twitter –– he’’s already following you”, ”anledningen till att rymden är krökt är att Chuck Norris böjde den”. – Chuck Norris facts har gett upp­hov till en genre med ””facts””, till exempel ”SOA facts” (se denna länk) – det enda som Chuck Norris inte kan döda är nämligen SOA. – Se denna blogg. –– Det finns också ”Bruce Schneier facts”, se här. –– Se chucknorrisfacts.net.

[mem] [ändrad 11 september 2018]