Sikkerhed

DMARC nyt #2

DK-Hostmaster har taget et supergodt initiativ og arrangeret en workshop om emailsikkerhed og DMARC. Så kunne du tænke dig at forebygge phishing, istedet for at lave endeløs symptombehandling og brandslukning, så skynd dig at melde dig til hos DK-Hostmaster. DK-Hostmaster henter Tim Draegen til Danmark i dagens anledning, Tim har været i Danmark tidligere i forbindelse med Internetdagen 2013, hvor han havde et virkelig spændende indlæg om DMARC. Tim ved alt der er værd at vide om DMARC, jeg har ihvertfald aldrig kunnet stille ham et spørgsmål han ikke kunne svare på.

DMARC nyt #1

Google har skrevet lidt om email authentication (SPF/DKIM/DMARC). Der er iøvrigt også en opfordring fra Google til os allesammen om at vi sørger for vores parkerede/ubenyttede domæner ikke kan misbruges. Se eventuelt et af mine gamle indlæg om DMARC implementering på et parkeret domæne TDC er på vej med DMARC DK-Hostmaster arbejder også på en DMARC implementering SKAT, Nets, E-boks og bankerne sover stadig tornerosesøvn.

Hvad en SPF record ikke kan bruges til

Det er åbenbart en særdeles udbredt og sejlivet misforståelse at man ene og alene ved hjælp af en SPF record på et domænenavn kan forhindre phishing. Jeg har tit set den slags snak på både Computerworld.dk og Version2.dk, og endda personlig overhørt snak om emnet her for et par dage siden. Det må være tid til en forklaring og en demonstration. Lad os bruge et domænenavn de kriminelle er helt vilde med at phishe, og hvor de garanteret også har rimelig stor success, fordi vi alle i forvejen også modtager legitime emails derfra.

Bankernes emailsikkerhed

At bankerne i Danmark har en udfordring mht. Phishing er almindelig kendt, personligt modtager jeg regelmæssigt Phishing emails der skal forestille at komme fra min egen bank, men også fra banker hvor jeg slet ikke er kunde. Problemet er så udbredt at nogle af bankerne har dele af deres hjemmeside dedikeret til at advare/hjælpe kunderne i forbindelse med Phishing. Det er selvfølgelig èn måde at gribe problemet an på, lad den ubehagelig skade ske, og gå så ellers igang med at rydde op efter bedste evne.

Emailsikkerhed hos folketingspartierne

Hvordan står det egentlig til med emailsikkerheden hos vores folketingspartier ? Kan man stole på at en email der udgiver sig for at være afsendt af f.eks socialdemokraterne rent faktisk også er det ? Det korte svar er desværre : NEJ. Det lidt længere svar: Folketingspartierne gør intet effektivt for at forhindre deres maildomæner kan misbruges til udsendelse af falske emails, eneste undtagelse fra reglen er Liberal Alliance, hvis de lige fik etableret en DMARC record, ville de faktisk være rigtig godt kørende.

SPF - simpelt forklaret

Mange mennesker har hørt om SPF i forbindelse med emailsikkerhed, knap så mange mennesker er rent faktisk istand til at forklare lige præcis hvad det er man sikrer med SPF. Her kommer et forsøg på at forklare tingene så Hr og Fru Danmark også kan være med. En email ligner et brev mere end man lige umiddelbart skulle tro, den består ligesom et almindeligt brev af 2 dele, en konvolut (envelope) og selve brevet.

MobilePay fra Danske Bank

Danske Bank har netop forleden offentliggjort deres bud på mobile betalinger. Herfra skal der lyde hurraråb, højlydt klappen, samt respekt for personerne der har udtænkt og implementeret den app. Der er ganske enkelt tale om supergodt arbejde, så med lidt dygtig markedsføring, lidt afstandstagen fra Geyrgribben (også over tid) og lidt held kunne MobilePay nemt gå hen og blive standarden for mobile betalinger her i Danmark. Misforstå mig ikke, der er ikke tale om en kåring af en vinder af mobile betalinger i Danmark, der er ingen tvivl om MobilePay nok skal blive udfordret af de andre bankers fællesløsning Swipp

DomainKeys Identified Mail på Google Apps

Google har i efterhånden en del år understøttet SPF antispam systemet på deres mailsystemer generelt. DomainKeys Identified Mail (DKIM) har derimod været forbeholdt deres egne maildomæner. Det er slut nu, siden 6. januar har det været muligt at enable DKIM antispam/antiphishing systemet på alle Google Apps hostede mailløsninger. Så har du din mail hosted hos Google, og har du ikke allerede enabled DKIM, så skynd dig at gøre det nu, og gør dermed dig selv og resten af verden en tjeneste i kampen mod SPAM.

Gode kodeord

Vi ved jo egentlig allesammen godt vi bør have meget lange og meget forskellige kodeord på alle de steder hvor vi anvender brugernavn/kodeord for at få adgang. I praksis har de fleste nok kun et enkelt kodeord som anvendes til alt, i bedste fald måske et par stykker der veksles lidt imellem. Og lur mig om ikke mange af disse kodeord er alt for nemme at gætte. Med andre ord, får man afsløret bare et af ens kodeord, vil det typisk kunne anvendes til at rode rundt og lave ulykker i en stor del af ens onlineidentitet/data.

Yubikey

Jeg hørte for et stykke tid siden et Podcast der bla. drejede sig om en enorm smart lille hardwaredims som kan generere engangskodeord f.eks til brug i forbindelse med loginsystemer. Dimsen hedder en Yubikey og jeg kunne slet ikke lade være med straks at bestille 2 stk. Hardwaredimser er sjovere hvis man også har noget fornuftigt at bruge dem til, og da der desværre endnu ikke er så meget software der understøtter brugen af Yubikey så gik jeg selv i gang, og har nu fået kodet et Yubikey plugin til WordPress