Kan din webmail hackes?

Benni Bennetsen skrev:
Den kan crackes, men ikke hackes :)

Benni Bennetsen skrev:
Den kan crackes, men ikke hackes :)

ebbe hansen skrev:
Som jeg opfatter det er der ikke den store forskel på sikkerheden, afhængigt af hvordan en almindelig mail tilgås.

Som artiklen er skrevet udlægges webmail som usikker, og det kunne foranledige nogle personer til udelukkende at anvende fx en pop3-adgang (typisk outlook express) fra en stationær maskine - uden at giver andet end en adfærdsbegrænsning.

Ulrik Brinck skrev:
POP3 har nu en sikkerhedsmæssig fordel frem for IMAP og webmail: Ved det typiske setup slettes mailene fra serveren, når de bliver hentet ned i f.eks. Outlook Express.

Jesper Sommer (3) skrev:
Jeg tror du skal regne med, at de stjålne mails kommer fra en konto der netop bliver tømt periodisk, men at den ikke havde været tømt i et stykke tid (fordi indehaveren selvsagt var i udlandet).

Peter Kjeldsen skrev:
Ævle bælve...

Altså, Peter.

Hvilken planet kommer du fra?

Du kritiserer og så kommer du med et bedre bud "at folk ikke logger ud". Helt ærligt.

Og så bagefter så kommer guldkornere der forøvrigt er taget ud af artiklen. Suk.

Kevin Lund skrev:
Jeg driver et website, hvor folk har et login med brugernavn og password, og er rystet over hvor dårligt folk passer på deres login.

De fleste password er: mandens navn/barnets navn, ens fødselsdato, samme password som brugernavn,for/efternavn.

Kevin Lund skrev:
Jeg driver et website, hvor folk har et login med brugernavn og password, og er rystet over hvor dårligt folk passer på deres login.

De fleste password er: mandens navn/barnets navn, ens fødselsdato, samme password som brugernavn,for/efternavn.

Så mon ikke også Rasmussen har haft samme kaliber som password.

Kevin Lund skrev:
Nu har jeg aldrig nævnt hvordan jeg opbevarer og håndterer mine brugers password, så det "angreb" i har på mig, har i intet at have det.

Jeg kan forsikre mine brugere at deres oplysninger håndteres godt og sikkert og de roligt kan være trygge ved det :)

Kevin Lund skrev:
Nu har jeg aldrig nævnt hvordan jeg opbevarer og håndterer mine brugers password, så det "angreb" i har på mig, har i intet at have det.

Jonas Koch Bentzen skrev:
Faktisk har de noget at have det i.

Hvis du krypterer adgangskoderne (hvad jeg går ud fra, du gør, når du siger, at dataene "håndteres godt"), hvorfra ved du så, at mange af dine brugere vælger familiemedlemmers navne eller lignende som adgangskode?

Hvis du virkelig vil se brugernes adgangskoder, har du selvfølgelig som programmør alle muligheder for det. Men hvorfor du har valgt at se adgangskoderne, er mig en gåde, og brugerne (hvoraf mange bruger samme brugernavn/adgangskode på flere sites) kan ikke være trygge ved et site, hvis administrator sidder og ser på deres adgangskode.

Hvis du krypterer adgangskoderne og ikke på anden måde gemmer eller ser brugernes indtastede adgangskoder, kan du ikke engang tilfældigt komme til at se adgangskoderne, når du ser nærmere på tabellen med brugerdata.

Kevin Lund skrev:
Jeg kan jo ikke vide det emd 100% sikkerhed, at det er manden eller barnets navn eller lign, men er noget man hurtigt kan gætte sig til.

Jeg har et support system, hvor brugere til tider skriver ind at de har problemer med login eller lign, og af sig selv skriver deres givne password - og på den led får jeg lidt kendskab til hvad folk egentlig bruger som password.

Jonas Koch Bentzen skrev:
Okay, den køber jeg.

Dog er det under alle omstændigheder en dårlig ide, at brugerne giver dig deres adgangskode. Du har jo adgang til alle deres data, og behøver den derfor ikke. Men hvis du ikke direkte har bedt dem om deres adgangskode, er det mere dem end dig, der er uforsigtige.

Jonas Koch Bentzen skrev:
Kan du gætte, hvilke almindelige navne, der gemmer sig bag de her krypterede strenge? :)

194d0e546256a68cd16233038190aaef
639ac90f5387f7edf423ba10fe215358

Mikkel Christensen skrev:
Man kan tydeligt se at største delen af jer ingen professionel erfaring har med forbrugere, stort set ALLE stører communities på internettet gemmer passwords i klar-tekst. Det gøres fordi brugere generelt er dumme, og ja sådan er det desvære. Det bruges for det meste til at kunne sende folk en mail der siger "Dit password er 'xxx'", og ja det er en dum ide set ud fra et rent sikkerhedsmæssigt perspektiv, men nu er det ikke statshemmeligheder vi opbevarer.

Folk som har forstand på sikkerhed(som de fleste af jer giver udtryk for at have) ved at man ikke bør benytte samme passwords flere steder, eller ihvertfald at man bør graduere sine passwords.

Jeg har f.eks. et very-low-level password som jeg bruger til alle ubetydelige sider på nettet som beder mig om et password, jeg er egentlig ret kold hvis det bliver nakket.

Så har jeg så passwords som falder i antal anvendelsessteder og som stiger i kompleksitet afh. hvor vigtige data de beskytter.

Det betyder f.eks. at hvis du som admin på "verdenssmukkestemodel.dk" scorer "charlottes" password får du højst adgang til hendes Arto og Netdate account men ikke adgang til hendes Netbank.

Sikkerhedsfejlene der misbruges af de IT Kriminelle er i 99% af tilfældende menneskelige og dem kan vi ikke løse med kryptering og restriktioner, men udelukkende med education af vore brugere.

Desuden...hvis du gemmer passwords krypteret og din server bliver ownet, drejer det sig om at tilføje 2-3 linier kode til login-scriptet på siden, læne sig tilbage og vente på at folk logger ind og ud et par uger og så kan du ellers høste dine passwords på præcis samme måde som hvis de ikke var krypterede.

Og så lige en disclaimer....Jeg har arbejdet professionelt med IT Sikkerhed siden 1999, jeg har både arbejdet med militære systemer, store virksomhedsnetværk, banker, online communities og des lige ... aka jeg ved godt hvad jeg snakker om ;)

Benni Bennetsen skrev:
Skræmmende hvordan du har fåets de opgaver..

Benni Bennetsen skrev:
Skræmmende hvordan du har fåets de opgaver..

Mikkel Christensen skrev:
Drop det der og tag stilling til hvad jeg skriver istedet eller lad helt være med at skrive. Jeres syn på sikkerhed er gammeldags, defekt og tager ikke stilling til de sidste 20 års udvikling indenfor sikkerhedsbranchen.

Benni Bennetsen skrev:
Gjorde jeg og skrev konklusionen.. Og tror det er dig, der bør overveje om du er på rette vej med dine sikkerhedsovervejelser.. At drage den konklusion at brugere er dumme og at vi intet kan gøre ved det er ikke vejen frem..

Michael Poulsen skrev:
Jeg har i 5 år arbejdet med nogle af Europas mest sikre netværk (militær og politi), og jeg bakker op om Mikkel. Jeg kender ham ikke, men i bund og grund har han ret. Han formidler blot den reelle og korrekte angivelse af virkeligheden.

Ja, her hvor jeg arbejder nu er alle sikkerhedsuddannede. De ved godt hvad de kan og må (og specielt IKKE må), men på de fleste Internet sites er kodeordene bekymrende ringe. Jeg kan blot henvise til dette års liste over de 10 mest brugte passwords... Det siger alt!

Jeg anvender også selv en blanding af kodeord på nettet, netop for hvis mit kodeord bliver gættet, så er det ikke hele min verden der kan styrte sammen.

På arbejde bruger vi naturligvis smartcard-certifikater med meget sikre passphrases samt en masse andre sikkerhedstiltag, men det er jo ligesom lidt overkill til at sikre CW Debat sektionen, sin sekundære mail konto som man mest får spam på, osv...

Enig - Michael Rasmussen skulle formentlig have haft et mere sikkert kodeord til sin webmail... Men han tænker formentlig (som de fleste andre normale brugere) at det er bedre med et simpelt kodeord man kan huske, end et kompliceret man glemmer hver måned.

Så giv lige Mikkel lidt plads - der er noget om det han siger.

Kevin Lund skrev:
Som jeg har skrevet én gang, så har jeg intet sted skrevet at jeg ikke opbevarer password ukrypteret, og korrekt, har heller ikke skrevet jeg opbevarer dem krypterede.

Så at komme ind og sige hvordan og hvorledes, det kan man simpelthen ikke, når man ikke aner en skid om hvordan jeg laver mine systemer.

Man skulle måske i stedet spørge om HVORDAN jeg gør, fremfor at komme med alle jeres forhastede konklutioner.

Og jo, jeg krypterer skam alle password "efter bogen". Så den kritik i vender mod mig, er fuldstændig egenfortolket og forhastede konklutioner!!

Jesper Sommer (3) skrev:
Jeg er kun delvist enig. Du har ret i at det er den pæneste løsning (anvender den selv) men selv en 2vejs kryptring er bedre end ingenting. Omkring 99% af alle hackere/crackere er stort set på script-kiddie stadiet, og vil ikke tage sig tid til at forsøge at analysere om krypterede passwords er af den ene eller den anden slags (hvilket man jo ikke ved når man blot ser en volapyk streng). De vil i stedet se sig om efter næste hjemmeside de kan stjæle brugerlisten fra.

- Jesper

Jesper Sommer (3) skrev:
Kevin, vi angriber ikke dig personligt. Reaktionen fra os kommer, fordi du i dit oprindelige indlæg gav udtryk for, at du havde adgang til dine brugeres brugernavn og password på samme tid.

Du har ikke gjort noget for at ændre det indtryk, og har heller ikke givet et bud på hvordan du egentlig kender både brugernavn og passwords for dine brugere hvis ikke det er via din brugertabel.

Det er godt at du har implementeret sikker kode - ros for det - men giv nu lige folk ret i, at dit første indlæg gav belæg for at tro noget andet ...

- Jesper

Thomas Petersen skrev:
Jo, men tovejskryptering, altså den slags hvor man med en anden (eller samme) nøgle kan dekryptere skal man blot gætte nøglen, og det er der også programmer til. Ved envejskryptering benyttes en algoritme som skal simuleres (hvis den ikke er offentlig) og det kan være meget svært for selv øvede.

Jesper Sommer (3) skrev:
Nu er det værd at tage med, at Gmail sikekrhedsfejlen ikke afslørede brugernes mails, men udelukkende deres liste af kontaktpersoner (som pga. en fejl kunne gøres tilgængelig for ondsindede websteder hvis man besøgte dem IMENS man var logget ind i Gmail).

Jeg betragter generelt begge webmail systemer som pænt sikre, og du kan være forvisset om at ledelse og ansatte begge steder tager sikkerhed ret alvorligt. Hvis de for alvor bliver kompromitteret mister de hele deres forretning på det, så du kan forvente de bruger RET mange ressourcer på at få sikkerheden i orden.



- Jesper

Maciej Szeliga skrev:
Nu vil jeg ikke kalde nogen af dem for sikre da begge kun bruger SSL til indlogning... derefter kører data ukrypteret og kan opsnappes af enhver med en sniffer.

Maciej Szeliga skrev:
Nu vil jeg ikke kalde nogen af dem for sikre da begge kun bruger SSL til indlogning... derefter kører data ukrypteret og kan opsnappes af enhver med en sniffer.