---

Hejsa

Er der nogle der ved hvad Peter Kruse og Joakim ævler om?

http://www.computerworld.dk/debat/post/1533

Og http://ing.dk/article/20060106/IT/101060040

...Peter Kruse giver heller ikke meget for sikkerheden i Firefox' eget
password.

»Der findes et lille værktøj, som kan bruges af enhver til at knække
kodeordet. Og hvis man kombinerer det med den digitale signatur, så har
man en farlig cocktail,« siger han. ...


Jeg gætter på der igen menes en keyboard sniffer.

---

Christian E. Lysel wrote:
> Hejsa
>
> Er der nogle der ved hvad Peter Kruse og Joakim ævler om?
>
> http://www.computerworld.dk/debat/post/1533
>
> Og http://ing.dk/article/20060106/IT/101060040
>
> ...Peter Kruse giver heller ikke meget for sikkerheden i Firefox' eget
> password.
>
> »Der findes et lille værktøj, som kan bruges af enhver til at knække
> kodeordet. Og hvis man kombinerer det med den digitale signatur, så har
> man en farlig cocktail,« siger han. ...
>
>
> Jeg gætter på der igen menes en keyboard sniffer

Som jeg forstod det - også på CW-debatten - er der tale om et værktøj,
der lavet et brute-force dictionary angreb på password filen til Firefox.
Tjae...
Men hvis det bliver udråbt som et stort problem ved den digitale
signatur, så syntes jeg da godtnok TDC og VTU skulle tage sig sammen og
erkende at sikkerheden bare ikke bliver bedre den brugernes evne til at
forvalte deres nøgler og den software de anvender til det. Man har jo
vidst fra starten at en løsning hvor nøglen gemmes af software på
brugernes computere havde de her begrænsninger, så hvor bliver den
smart-card baserede løsning af?

Peter

---

Peter Mogensen wrote:
> Som jeg forstod det - også på CW-debatten - er der tale om et værktøj,
> der lavet et brute-force dictionary angreb på password filen til Firefox.

Firemaster laver 10.000 kombinationer på en 2GHz Intel maskine.

Hvis du vælger et password på 10 tegn (et tegn er på 24 karaktere), vil
du bruge en 8 års tid på at gennemsøge alle kombinationer.

I virkeligheden kan et dansk keyboard lave en ca. 96 karaktere, hvilket
giver følgende køretider:

1 tegn - 1 sek
2 tegn - 1 sek
3 tegn - 1.4 sek
4 tegn - 2.3 timer
5 tegn - 9 dage
6 tegn - 2.4 år
7 tegn - 238 år
8 tegn - 22875 år

Er der nogle der kender køre tiden for Microsofts key container?

---

---

On Fri, 06 Jan 2006 16:24:34 +0100, "Christian E. Lysel"
<sunsite.dk@spindelnet.dk> wrote:

>I CW debatten er værktøjet firemaster oppe at vende.
>
>Dette program kan gætte sig til master passwordet.
>
>Men certifikater er ikke beskyttet af master passwordet!!

Den skal jeg lige have uddybet.

Problemstillingen er vel, at hvis ens bærbare bliver stjålet, så vil
et typisk installeret certifikat i IE ikke være direkte tilgængeligt,
mens et typisk installeret certifikat i Firefox (uden master password)
er tilgængeligt uden videre.

Men hvordan gemmer Firefox sin installation af den digitale signatur?
Uden master password er det vel direkte tilgængeligt, men hvad med
master password?

--
- Peter Brodersen
Find dig selv: http://map.ter.dk/

---

On Sat, 07 Jan 2006 09:17:34 +0100, Peter Brodersen
<usenet2006@ter.dk> wrote:

>Men hvordan gemmer Firefox sin installation af den digitale signatur?
>Uden master password er det vel direkte tilgængeligt, men hvad med
>master password?

Lidt googling og et kig på ing.dk-debatforummet hjalp på det. Firefox
krypterer certifikater, password-filer, m.m. med en key (den selv
genererer) lagt i key3.db.

Selve key3.db er så krypteret med Master Passwordet. Har man ikke
angivet noget, er ens Master Password blot en tom streng.

--
- Peter Brodersen
Find dig selv: http://map.ter.dk/

---

Peter Brodersen wrote:
> Den skal jeg lige have uddybet.

Indlægget blev hurtigt "cancel".

---

Peter Mogensen wrote:
> Christian E. Lysel wrote:
>
>>Hejsa
>>
>>Er der nogle der ved hvad Peter Kruse og Joakim ævler om?
>>
>>http://www.computerworld.dk/debat/post/1533
>>
>>Og http://ing.dk/article/20060106/IT/101060040
>>
>> ...Peter Kruse giver heller ikke meget for sikkerheden i Firefox' eget
>>password.
>>
>>»Der findes et lille værktøj, som kan bruges af enhver til at knække
>>kodeordet. Og hvis man kombinerer det med den digitale signatur, så har
>>man en farlig cocktail,« siger han. ...
>>
>>
>>Jeg gætter på der igen menes en keyboard sniffer
>
>
> Som jeg forstod det - også på CW-debatten - er der tale om et værktøj,
> der lavet et brute-force dictionary angreb på password filen til Firefox.
> Tjae...
> Men hvis det bliver udråbt som et stort problem ved den digitale
> signatur, så syntes jeg da godtnok TDC og VTU skulle tage sig sammen og
> erkende at sikkerheden bare ikke bliver bedre den brugernes evne til at
> forvalte deres nøgler og den software de anvender til det. Man har jo
> vidst fra starten at en løsning hvor nøglen gemmes af software på
> brugernes computere havde de her begrænsninger, så hvor bliver den
> smart-card baserede løsning af?
>
> Peter
Ifølge artiklen i den trykte udgave af Ingeniøren undskylder TDC sig med
at browsere som Mozilla varianterne, Opera og Safari ikke har en
standardiseret måde at tale med certifikaterne. Er det bare mig eller er
det en vandet undskyldning?
Det må man da have vidst inden man "implementerede" denne løsning.

Som jeg har forstået det så er certifikatet jo bare en identifikations
key, uden noget egentligt indlejret software, så rent teoretisk kan
enhver vel "bare" skrive deres egen browser som tilgår certifikatet uden
brug af master passwordet (altså lade være med at overholde en evt.
protokol standard)?

Hvis ikke det er tilfældet og der er noget indlejret software i
certifikatet så burde det software jo sørge for at passwordet indtastet
ved hver eneste adgang, der findes jo flere måder at gøre det på evt med
timestamps på sidste gang passwordet blev indtastet osv.

Antaget at det første er tilfældet så bør TDC og VTU nok finde ud af
skifte det ud...evt med smart-cards som det er blevet foreslået.