En av de stora utmaningarna med lösenordsbaserad inloggning är behovet av att hemlighålla lösenorden. Det är framför allt en utmaning för alla webbplatser som du registrerar dig på. Webbplatserna måste spara dina lösenord utan att själva ha tillgång till dem.
Webbplatser som läcker sina lösenordsdatabaser är ett ständigt återkommande problem. Hur allvarliga dessa lösenordsläckor blir beror på hur väl webbplatserna skyddade sina användares lösenord. Det finns fortfarande webbplatser som sparar användarnas lösenord i klartext, så att angripare kan få lösenorden serverade på silverfat.
I veckans poddavsnitt pratar vi bland annat om den amerikanska vapenauktionssajten Gunauction. I slutet av förra året läckte Gunauction över en halv miljon användares lösenord i klartext. Incidenten är ett skolbokexempel på hur lösenord inte bör sparas. Vi pratar självfallet också om den rätta metoden för hur lösenord bör sparas. Då krävs det kryddor i form av salt och peppar.
Tidskoder i avsnittet
00.00 Inledning00.57 Laban testar 2FA-appar06.49 Onödig Swish-oro10.37 Mars säkerhetsuppdateringar18.20 Salt och peppar (veckans huvudämne)
Omtalat i avsnittet
- Laban Sköllermarks test av tvåfaktorsautentiseringsappar
- Förra veckans avsnitt om tvåfaktorsautentisering
- P4 Västs rapportering om Swish-attacker
- Sårbarheten i Outlook (CVE-2023-23397)
- Sårbarheten kring Mark of the Web (CVE-2023-24880)
- Have I Been Pwned?
Dessa shownotes finns också hos Bredband2 som podden produceras tillsammans med.
Hej
Vill först tacka för en fantastisk podd!
I dagens avsnitt undrar jag dock om det inte blev lite hopblandat då ni pratade om kod som körs utanför operativsystemet.
Ni pratade om att PCH på datorer med hyffsat moderna intelprocessorer kör minix.
Rätta mej om jag har fel men jag tror att ni syftade på intel AMT vilket beror på dels processorer med intel vPro dels supporterande chipset vilket erbjuder oob management vilket i sin tur behöver konfigureras. Poängen är att långt ifån alla vanliga datorer har detta utan utbudet är egentligen begränsat till affärsklassdatorer?
Tack för att du lyssnar och för din följdfråga.
Nej, det var inte Intel AMT som jag syftade på. Intel ME berör alla moderna Intel-processorer. Vi såg det exempelvis när sårbarheten CVE-2017-5705 påverkade allt från serverprocessorer i Xeon-familjen till surfplatteprocessorer från Atom-familjen.
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00086.html
Intel ME är grunden som Intel AMT körs ovanpå i affärsklassdatorer med vPro-processorer. AMT kan stängas av (eller inte aktiveras överhuvudtaget) men underliggande Intel ME kan det inte, något som har gjort att bland annat EFF har riktat skarp kritik mot Intel.
https://www.eff.org/deeplinks/2017/05/intels-management-engine-security-hazard-and-users-need-way-disable-it
Det finns dock datortillverkare, såsom nämnda System76, som har hittat en väg för att befria sina användare från Intel ME.
https://support.system76.com/articles/intel-me/
Tack för svaret och ett insiktsfullt poddavsnitt.
Har suttit hela kvällen och läst på om ME, hade faktiskt ingen aning om att det var igång nonstop på standardhårdvara. Har haft att göra med det på affärsklassdatorer och där är det uppenbart, Nu vet jag mer och lite till. Tack =)