Henrik Schacks blog

Vi ved jo egentlig allesammen godt vi bør have meget lange og meget forskellige kodeord på alle de steder hvor vi anvender brugernavn/kodeord for at få adgang.
I praksis har de fleste nok kun et enkelt kodeord som anvendes til alt, i bedste fald måske et par stykker der veksles lidt imellem. Og lur mig om ikke mange af disse kodeord er alt for nemme at gætte.
Med andre ord, får man afsløret bare et af ens kodeord, vil det typisk kunne anvendes til at rode rundt og lave ulykker i en stor del af ens onlineidentitet/data.

Selvom man husker de mest elementære regler, som at man ikke skal skrive sit kodeord ned, at man ikke skal låne det ud til andre, osv, så er der stadig rige muligheder for at det kan gå helt galt hvis man kun har et enkelt kodeord, der findes f.eks. stadig her i 2009 firmaer som behandler ens personlige data helt tåbeligt usikkert. En af de store sikkerhedsbomber som ligger og tikker derude på nettet er det danske dating.dk, den dag det lykkes en hacker at tiltvinge sig adgang til firmaet databaser har vi en hacker med adgang til over 500000 brugeres kodeord. Ja man tror det er løgn, men dating.dk opbevarer rent faktisk alle brugeres kodeord i klartekst, og fremsender det i øvrigt hver gang de henvender sig til en via email.

Heldigvis findes der noget som ligner et rigtig fornuftigt bud på et system til administration af unikke kodeord til alle sites. Med SuperGenPass får du en smart bookmarklet, som når du har indtastet dit masterkodeord, er istand til at generere et domænespecifikt kodeord til det site du er igang med at logge ind på. Prøv det, det er helt gratis.

Jeg hørte for et stykke tid siden et Podcast der bla. drejede sig om en enorm smart lille hardwaredims som kan generere engangskodeord f.eks til brug i forbindelse med loginsystemer. Dimsen hedder en Yubikey og jeg kunne slet ikke lade være med straks at bestille 2 stk.
Hardwaredimser er sjovere hvis man også har noget fornuftigt at bruge dem til, og da der desværre endnu ikke er så meget software der understøtter brugen af Yubikey så gik jeg selv i gang, og har nu fået kodet et Yubikey plugin til Wordpress

Når man taler om backup af mobiltelefon er der nok mange der tænker på det danske firma Zyb. Zyb er/kan mange ting, seneste skud på stammen er nogle sociale netværks tiltag, den slags er sikkert meget underholdende at lege med hvis man keder sig, men jeg havde nu hellere set der var blevet kastet lidt mere energi og udviklingstid efter mobilbackup funktionaliteten, der er bestemt stadig plads til forbedringer.
Heldigvis findes der et alternativ der kan det jeg savner hos Zyb, hos Mobical finder man efter min mening verdens bedste mobilbackup.
Mobical startede tilbage i 2004, hvor jeg fik min konto, kort tid efter de gik i luften, lukkede de dog for tilgang af nye brugere, således man kun kunne oprette sig hvis man var kunde hos en af deres samarbejdspartnere. Men nu er der igen adgang for alle, så hvis ikke du allerede har en konto hos Mobical, så skynd dig at oprette en.

Et par af de unikke features ved Mobical:

• Sync med flere mobiltelefoner på samme konto, prøver man det med Zyb ender man for det meste med dubletter af alle kontakter.
• Snapshots/restore points, mægtig praktisk feature hvis man f.eks. er kommet til at smadre sine kontakter med Zyb

Danske Bank lavede her d. 5/2 om i deres Activcard loginsystem til Danske Netbank. Officielt er det nu blevet enklere at anvende, det vil jeg nøjes med at konstatere at der eksisterer forskellige meninger om. Hvad der til gengæld ikke kan diskuteres er at deres løsning ikke længere er så sikker som den var før, og det er jo lidt trist. Før var både login og samtlige transaktioner beskyttet af et Activcard genereret engangs kodeord, nu er det kun login der er Activcard beskyttet, de enkelte transaktioner beskyttes af et selvvalgt kodeord.

Ud over at have fået en kedelig sikkerhedsnedgradering af min netbankløsning, så var det bestemt også en interessant opgave at få løsningen til at virke med Firefox. Efter at have prøvet uden held med Firefox på Windows XP, Kubuntu Linux og OSX (Leopard), prøvede jeg at ringe til Danske Banks kundeservice, lad os bare konstatere at der ikke er meget hjælp at hente hvis man har bevæget sig væk fra Internet Explorer
Til slut gik jeg i gang med at eksperimentere med at disable mine Firefox extensions en efter en, og det viste sig at Danske Netbank har det rigtigt skidt med at man har Adblock Plus aktiv samtidig med man prøver at logge ind. Løsningen er at whiteliste netbank.danskebank.dk i Adblock Plus.

Jeg er faldet over et smart produkt. Det går i alt sin enkelthed ud på at man sender sin Internet trafik en tur over Sverige gennem en krypteret forbindelse, på denne måde kommer man rent teknisk til at fremstå som svensker mht. alt hvad man foretager sig på nettet.

Og hvorfor er det så smart kunne man spørge sig selv ?

• Du undgår/omgår logningsbekendtgørelsen, det eneste din ISP kan logge er at du kommunikerer med en svensk ipadresse.
• Du får et par svenske navneservere tildelt, så du slipper også, på en nem måde, for Antipiratgruppens tiltag der skal besværliggøre adgang til diverse udenlandske musiksites.
• Du kan have din P2P trafik i fred, Antipiratgruppen kan ikke uden videre få udleveret informationer om hvem du er fra en svensk ISP.

Læs mere på Relakks.com

Microsoft har udnævnt sig selv til en slags politibetjent på Internettet. Det drejer sig ganske vist kun om beskeder sendt gennem deres Messenger tjeneste, men det påvirker nu alligevel en del mennesker da der her er tale om den mest populære instant messenger tjeneste i verden.
Det er vist nok meningen Microsoft med deres censurtiltag vil være med til at forhindre udbredelse af virus og lignende, f.eks ved at forhindre brugerne i at sende links til farlige websites til hinanden.
Desværre har Microsoft valgt den nemme og dårlige løsning til deres censurmaskineri, i stedet for at vedligeholde en liste over farlige steder på nettet har de i valgt at blackliste en række ord som resulterer i at en besked indeholdende et af disse ord ikke kan sendes gennem deres tjeneste. Eksempler på forbudte ord er :

 .pif
download.php
staff.php
.scr
.info
gallery.php
pics.php
ListAllTopics.php

Så glem alt om at sende et link til en spændende historie på http://www.information.dk/ til en ven gennem MSN Messenger.
Måske er det på tide at udskifte MSN Messenger med et andet og bedre produkt, Google Talk kunne være et bud, ingen dårligt programmerede censurfunktioner og i øvrigt heller ingen reklamer.

Mere om Microsoft censur:

http://www.msgstuff.com/news/post/321/
http://trac.adiumx.com/wiki/MSNCensorship

Phishing er noget man hører om med jævne mellemrum, og her på det sidste er det blevet oftere og oftere. Jeg tænker specielt på phishing hvor det går ud over banker og deres kunder. De fleste har vist efterhånden indset det er et problem, der er bare ikke rigtig nogen der gør noget virkelig effektivt for at løse det.

• De fleste banker begrænser sig til at oplyse om at der er et problem og at man skal passe på.
• Finansrådet har indgået en antiphishing-aftale med et sikkerhedsfirma, så nu kan de da sige de har gjort et eller andet, effektiviteten af tiltaget vil jeg gerne have lov at stille spørgsmålstegn ved, hvis et tiltag som det de skitserer i deres pressemeddelelse skal virke, skal man være endnu hurtigere end de kriminelle er, så den maksimale effekt må være noget i stil med at begrænse skadens omfang.
• Sikkerhedskyndige udtaler sig om hvordan man lærer at identificere en phishing-email og dermed undgår at blive lokket i en fælde, ikke nogen nem opgave, og iøvrigt kræver det også at man til stadighed opdaterer sin viden på området.

Der findes et alternativ som er simplere, billigere og langt mere effektivt. Gør som resten af verden gør, har du en email du gerne vil gøre det muligt for modtageren at bekræfte ægtheden af, så forsyn den med en digital signatur der bekræfter din identitet.
Hvis bankerne begyndte at signe deres email kommunikation så slipper vi brugere for at lære om de 10000 måder en falsk email kan genkendes på, men kan i stedet nøjes med at lære at genkende en ægte email fra banken.
Bankerne kunne passende anvende OCES signatur til at signe deres email med, så slipper modtagerne for at skulle forholde sig til en eller anden fremmed eksotisk certifikat udsteder, de fleste danskere har nok hørt om og stoler på TDC.