Podd #189: Salt och peppar

En av de stora utmaningarna med lösenords­baserad inloggning är behovet av att hemlighålla lösenorden. Det är framför allt en utmaning för alla webbplatser som du registrerar dig på. Webbplatserna måste spara dina lösenord utan att själva ha tillgång till dem.

Webbplatser som läcker sina lösenords­databaser är ett ständigt återkommande problem. Hur allvarliga dessa lösenordsläckor blir beror på hur väl webbplatserna skyddade sina användares lösenord. Det finns fortfarande webbplatser som sparar användarnas lösenord i klartext, så att angripare kan få lösenorden serverade på silverfat.

I veckans poddavsnitt pratar vi bland annat om den amerikanska vapenauktions­sajten Gunauction. I slutet av förra året läckte Gunauction över en halv miljon användares lösenord i klartext. Incidenten är ett skolbokexempel på hur lösenord inte bör sparas. Vi pratar självfallet också om den rätta metoden för hur lösenord bör sparas. Då krävs det kryddor i form av salt och peppar.

Tidskoder i avsnittet

  • 00.00 Inledning
  • 00.57 Laban testar 2FA-appar
  • 06.49 Onödig Swish-oro
  • 10.37 Mars säkerhetsuppdateringar
  • 18.20 Salt och peppar (veckans huvudämne)

Omtalat i avsnittet

Dessa shownotes finns också hos Bredband2 som podden produceras tillsammans med.

Detta poddavsnitt och dess tillhörande artikel är publicerade under CC BY 4.0-licens, med undantag för citat och bilder där en annan fotograf är angiven.

Kommentarer

Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.

  1. Andrej Sydorko

    Hej

    Vill först tacka för en fantastisk podd!

    I dagens avsnitt undrar jag dock om det inte blev lite hopblandat då ni pratade om kod som körs utanför operativsystemet.
    Ni pratade om att PCH på datorer med hyffsat moderna intelprocessorer kör minix.
    Rätta mej om jag har fel men jag tror att ni syftade på intel AMT vilket beror på dels processorer med intel vPro dels supporterande chipset vilket erbjuder oob management vilket i sin tur behöver konfigureras. Poängen är att långt ifån alla vanliga datorer har detta utan utbudet är egentligen begränsat till affärsklassdatorer?

    1. Karl Emil Nikka

      Tack för att du lyssnar och för din följdfråga.

      Nej, det var inte Intel AMT som jag syftade på. Intel ME berör alla moderna Intel-processorer. Vi såg det exempelvis när sårbarheten CVE-2017-5705 påverkade allt från serverprocessorer i Xeon-familjen till surfplatteprocessorer från Atom-familjen.

      https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00086.html

      Intel ME är grunden som Intel AMT körs ovanpå i affärsklassdatorer med vPro-processorer. AMT kan stängas av (eller inte aktiveras överhuvudtaget) men underliggande Intel ME kan det inte, något som har gjort att bland annat EFF har riktat skarp kritik mot Intel.

      https://www.eff.org/deeplinks/2017/05/intels-management-engine-security-hazard-and-users-need-way-disable-it

      Det finns dock datortillverkare, såsom nämnda System76, som har hittat en väg för att befria sina användare från Intel ME.

      https://support.system76.com/articles/intel-me/

      1. Andrej Sydorko

        Tack för svaret och ett insiktsfullt poddavsnitt.
        Har suttit hela kvällen och läst på om ME, hade faktiskt ingen aning om att det var igång nonstop på standardhårdvara. Har haft att göra med det på affärsklassdatorer och där är det uppenbart, Nu vet jag mer och lite till. Tack =)

Kommentar