Posts Tagged ‘password’

“Mejlbedragarna” är inte farliga

Sunday, January 31st, 2010

Alla vi som använder internet är väl medvetna om att man kan registrera sig i vems som helsts namn på hemsidor? Data som data, det är bara att skriva på tangentbordet. Nu verkar tidningar få panik över “mejlbedragare” och identitetstjuvar.

– E-postsystemen utvecklades under 80-talet när internet var litet och vänligt. Det kommer förmodligen inte att hända att världens alla e-postservrar får en ny standard.

E-mail är ju suveränt! Jag tycker att SMTP är en helt underbar standard. Alla servrar litar på varandra, precis som de ska. Data ska inte hindras. Önskar en användare, administratör eller whatever verifiera identiteten så finns det fria implementationer i överflöd som alla följer öppna standarder. Mailsystemet som det är idag, sedan 80-talet, är en backend, inte helhet.

Mailsystemet, som grundar sig på SMTP, bryr sig inte om vad som skickas hit och dit. Precis som det ska vara. Precis som att Posten inte kräver ID för ett brev.

GPG kan verifiera identitet. TLS kan verifiera servrar och kryptera trafiken. Internet bryr sig inte om vad du gör. Det ska det heller inte.

Och vad fan. Använder man en avbruten kvist som nyckel till sin lägenhet är det väl klart att folk kommer att bryta sig in? Skaffa bra lösenord, folk.

Mejlbedrägeri är inte ett problem precis lika mycket som att utbilda den stora, grå massan i sunt förnuft inte är ett problem… Eller, now wait a minute…

Tags: , , , , , , , , ,
Posted in Uncategorized | 14 Comments »

Computer security and theories on passwording

Tuesday, July 14th, 2009

I believe in simplicity. Not only that things should be simple (though not necessarily easy, just logically basic). Things like security through obscurity and unnecessarily complicated password schemes are all bad ideas.

That said, I don’t like Jakob Nielsen’s suggestion to implement cleartext password boxes. Many others have reacted to this as well, with various reasons.

Nielsen has some good points. Very farfetched, but good nonetheless. Masked passwords make users uncertain, which causes them to choose “overly simple passwords”. Some argue that “most people type from muscle memory“. I do that too, but I argue it only complies to “most people who actually consider security hazards”. We’re more self-encouraged to choose strong passwords and generally more computer-savvy. Most actual computer users have visual or literal memories. They remember/verify the password when they see it.

Also, muscle memory doesn’t work for handheld devices. So Nielsen makes a good point, if it weren’t for shoulder surfing. Though Schneier mentions a reader comment referring to a marvellous solution for that:

A reader mentioned BlackBerry’s solution, which is to display each character briefly before masking it; that seems like an excellent compromise.

But… The problem of good passwords isn’t solved. I strongly doubt that Nielsen’s cleartext boxes will make users choose something they wouldn’t be able to type when they’re drunk. (even though it’s a good idea in the sense of Gmail’s math security)

My personal theory is – in compliance with my love for Occam’s razor – that it might not actually be a problem. Users will always choose easy passwords. So why not – and sorry for stepping on Nielsen’s usability toes – force changing of passwords once in a while? It’s a pain in the ass, I know. But then again, it probably only should  be implemented as perceived necessary depending on the service.

Another way out is if the use of OpenID became more widespread. OpenID would eliminate the problem with keeping track of which password is used where. Also I think it could be used to avoid password phishing attacks etc. if people were used to the process.

Tags: , , , , , ,
Posted in Uncategorized | 6 Comments »