/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Firefox, digital signatur
Fra : Christian E. Lysel


Dato : 06-01-06 14:43

Hejsa

Er der nogle der ved hvad Peter Kruse og Joakim ævler om?

http://www.computerworld.dk/debat/post/1533

Og http://ing.dk/article/20060106/IT/101060040

...Peter Kruse giver heller ikke meget for sikkerheden i Firefox' eget
password.

»Der findes et lille værktøj, som kan bruges af enhver til at knække
kodeordet. Og hvis man kombinerer det med den digitale signatur, så har
man en farlig cocktail,« siger han. ...


Jeg gætter på der igen menes en keyboard sniffer.

 
 
Peter Mogensen (06-01-2006)
Kommentar
Fra : Peter Mogensen


Dato : 06-01-06 14:58

Christian E. Lysel wrote:
> Hejsa
>
> Er der nogle der ved hvad Peter Kruse og Joakim ævler om?
>
> http://www.computerworld.dk/debat/post/1533
>
> Og http://ing.dk/article/20060106/IT/101060040
>
> ...Peter Kruse giver heller ikke meget for sikkerheden i Firefox' eget
> password.
>
> »Der findes et lille værktøj, som kan bruges af enhver til at knække
> kodeordet. Og hvis man kombinerer det med den digitale signatur, så har
> man en farlig cocktail,« siger han. ...
>
>
> Jeg gætter på der igen menes en keyboard sniffer

Som jeg forstod det - også på CW-debatten - er der tale om et værktøj,
der lavet et brute-force dictionary angreb på password filen til Firefox.
Tjae...
Men hvis det bliver udråbt som et stort problem ved den digitale
signatur, så syntes jeg da godtnok TDC og VTU skulle tage sig sammen og
erkende at sikkerheden bare ikke bliver bedre den brugernes evne til at
forvalte deres nøgler og den software de anvender til det. Man har jo
vidst fra starten at en løsning hvor nøglen gemmes af software på
brugernes computere havde de her begrænsninger, så hvor bliver den
smart-card baserede løsning af?

Peter

Christian E. Lysel (06-01-2006)
Kommentar
Fra : Christian E. Lysel


Dato : 06-01-06 17:05

Peter Mogensen wrote:
> Som jeg forstod det - også på CW-debatten - er der tale om et værktøj,
> der lavet et brute-force dictionary angreb på password filen til Firefox.

Firemaster laver 10.000 kombinationer på en 2GHz Intel maskine.

Hvis du vælger et password på 10 tegn (et tegn er på 24 karaktere), vil
du bruge en 8 års tid på at gennemsøge alle kombinationer.

I virkeligheden kan et dansk keyboard lave en ca. 96 karaktere, hvilket
giver følgende køretider:

1 tegn - 1 sek
2 tegn - 1 sek
3 tegn - 1.4 sek
4 tegn - 2.3 timer
5 tegn - 9 dage
6 tegn - 2.4 år
7 tegn - 238 år
8 tegn - 22875 år

Er der nogle der kender køre tiden for Microsofts key container?

N/A (07-01-2006)
Kommentar
Fra : N/A


Dato : 07-01-06 09:18



Peter Brodersen (07-01-2006)
Kommentar
Fra : Peter Brodersen


Dato : 07-01-06 09:18

On Fri, 06 Jan 2006 16:24:34 +0100, "Christian E. Lysel"
<sunsite.dk@spindelnet.dk> wrote:

>I CW debatten er værktøjet firemaster oppe at vende.
>
>Dette program kan gætte sig til master passwordet.
>
>Men certifikater er ikke beskyttet af master passwordet!!

Den skal jeg lige have uddybet.

Problemstillingen er vel, at hvis ens bærbare bliver stjålet, så vil
et typisk installeret certifikat i IE ikke være direkte tilgængeligt,
mens et typisk installeret certifikat i Firefox (uden master password)
er tilgængeligt uden videre.

Men hvordan gemmer Firefox sin installation af den digitale signatur?
Uden master password er det vel direkte tilgængeligt, men hvad med
master password?

--
- Peter Brodersen
Find dig selv: http://map.ter.dk/

Peter Brodersen (07-01-2006)
Kommentar
Fra : Peter Brodersen


Dato : 07-01-06 09:47

On Sat, 07 Jan 2006 09:17:34 +0100, Peter Brodersen
<usenet2006@ter.dk> wrote:

>Men hvordan gemmer Firefox sin installation af den digitale signatur?
>Uden master password er det vel direkte tilgængeligt, men hvad med
>master password?

Lidt googling og et kig på ing.dk-debatforummet hjalp på det. Firefox
krypterer certifikater, password-filer, m.m. med en key (den selv
genererer) lagt i key3.db.

Selve key3.db er så krypteret med Master Passwordet. Har man ikke
angivet noget, er ens Master Password blot en tom streng.

--
- Peter Brodersen
Find dig selv: http://map.ter.dk/

Christian E. Lysel (08-01-2006)
Kommentar
Fra : Christian E. Lysel


Dato : 08-01-06 12:20

Peter Brodersen wrote:
> Den skal jeg lige have uddybet.

Indlægget blev hurtigt "cancel".

Esben Bach (07-01-2006)
Kommentar
Fra : Esben Bach


Dato : 07-01-06 12:44

Peter Mogensen wrote:
> Christian E. Lysel wrote:
>
>>Hejsa
>>
>>Er der nogle der ved hvad Peter Kruse og Joakim ævler om?
>>
>>http://www.computerworld.dk/debat/post/1533
>>
>>Og http://ing.dk/article/20060106/IT/101060040
>>
>> ...Peter Kruse giver heller ikke meget for sikkerheden i Firefox' eget
>>password.
>>
>>»Der findes et lille værktøj, som kan bruges af enhver til at knække
>>kodeordet. Og hvis man kombinerer det med den digitale signatur, så har
>>man en farlig cocktail,« siger han. ...
>>
>>
>>Jeg gætter på der igen menes en keyboard sniffer
>
>
> Som jeg forstod det - også på CW-debatten - er der tale om et værktøj,
> der lavet et brute-force dictionary angreb på password filen til Firefox.
> Tjae...
> Men hvis det bliver udråbt som et stort problem ved den digitale
> signatur, så syntes jeg da godtnok TDC og VTU skulle tage sig sammen og
> erkende at sikkerheden bare ikke bliver bedre den brugernes evne til at
> forvalte deres nøgler og den software de anvender til det. Man har jo
> vidst fra starten at en løsning hvor nøglen gemmes af software på
> brugernes computere havde de her begrænsninger, så hvor bliver den
> smart-card baserede løsning af?
>
> Peter
Ifølge artiklen i den trykte udgave af Ingeniøren undskylder TDC sig med
at browsere som Mozilla varianterne, Opera og Safari ikke har en
standardiseret måde at tale med certifikaterne. Er det bare mig eller er
det en vandet undskyldning?
Det må man da have vidst inden man "implementerede" denne løsning.

Som jeg har forstået det så er certifikatet jo bare en identifikations
key, uden noget egentligt indlejret software, så rent teoretisk kan
enhver vel "bare" skrive deres egen browser som tilgår certifikatet uden
brug af master passwordet (altså lade være med at overholde en evt.
protokol standard)?

Hvis ikke det er tilfældet og der er noget indlejret software i
certifikatet så burde det software jo sørge for at passwordet indtastet
ved hver eneste adgang, der findes jo flere måder at gøre det på evt med
timestamps på sidste gang passwordet blev indtastet osv.

Antaget at det første er tilfældet så bør TDC og VTU nok finde ud af
skifte det ud...evt med smart-cards som det er blevet foreslået.

Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408924
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste