Privatnost i sigurnost podataka i korisnika

[tomek@vz]

Mislim da nam fali jedna tema za sve vijesti ovog tipa pa eto prvi post .

Citiraj:

Earlier this month, a threat actor going by Rose87168 claimed to have breached Oracle Cloud's federated SSO servers and exfiltrated around 6 million records, affecting over 144,000 Oracle clients. The hacker provided an internal customer list and threatened to sell the data unless clients paid to remove their data from the trove, which included single sign-on credentials, Lightweight Directory Access Protocol passwords, OAuth2 keys, tenant data, and more. Rose87168 has also solicited help from the hacking community to crack the hashed passwords in trade for some of the data.

> Techspot

[OuttaControl]

Enkriptirani passwordi, evo jos jedna sijeda.
Inace funfact svaki al bas svaki apac i vecina latamovaca koje sam intervjuirao koriste iskljucivo enkriptiranje passworda. U americi pola pola a u europi vecina hashira.

[mkey]

Jesam li u zabludi ako smatram da je hashiranje pouzdanija opcija?

[OuttaControl]

Apsolutno, enkripcija je dvosmjerna funkcija dakle naprabljena da se moze vratiti sa kljucem, hashiranje je jednosmjerna. U implementaciji se jos posoli i hashira vise puta, a pametni i lijeni koriste gotov library i onda si miran i niko nece iz breacha izvuc password.

[mkey]

Po meni jedina mana hashiranja je što se password ne može povratiti, ali uvijek se može postaviti novi.

[OuttaControl]

Ne moze uvijek ali ako spremas password moras ga hashat i to je to, strasno je sto previse programera to ne radi, i seniori i leadovi koji su se javljali na te pozicije sa 20+ godina iskustva....

[medo]

Citiraj:

Autor mkey

Po meni jedina mana hashiranja je što se password ne može povratiti, ali uvijek se može postaviti novi.

Poanta hashiranja je da nije reverzibilno. U protivnom puno toga ne bi radilo ukkjučujući i potpisivanje certova.

[mkey]

Citiraj:

Autor OuttaControl

Ne moze uvijek ali ako spremas password moras ga hashat i to je to, strasno je sto previse programera to ne radi, i seniori i leadovi koji su se javljali na te pozicije sa 20+ godina iskustva....

Mislim na postavljanje lozinke za accounte na raznim web servisima. Na kraju i tako se podrazumijeva da vlasnik accounta ima ekskluzivni pristup svom mailu.

Mislim da oni koji to ne rade ne rade zato jer je nekada davno bilo tako napravljeno i jednostavno to nitko nije promijenio jer nitko nije tako naložio. Pa onda padnu razne pentestove i promijene to zato jer im je tako naloženo

[tomek@vz]

Citiraj:

Google recently announced two major initiatives aimed at enhancing web security, with the ultimate goal of making encryption and certificate management more reliable and resilient against cybercrime. These new features are part of the Chrome Root Program, which, according to Google, demonstrates the company's commitment to strengthening online security through its Chrome browser.

Citiraj:

Google explained that MPIC enhances existing methods for validating domain legitimacy before a Certificate Authority issues a new TLS certificate. The current process, known as "domain control validation," can be exploited in various ways, potentially leading to fraudulent certificate issuance. MPIC aims to mitigate these risks by introducing additional verification perspectives.

> Techspot

[tomek@vz]

Citiraj:

A joint investigation found that at least five popular VPN apps on the App Store and Google Play have ties to Qihoo 360, a Chinese company with military links. Apple has since removed two of the apps but has not confirmed the status of the remaining three, which 9to5Mac notes have "racked up more than a million downloads." The five apps in question are Turbo VPN, VPN Proxy Master, Thunder VPN, Snap VPN, and Signal Secure VPN (not associated with the Signal messaging app). The Financial Times reports: At least five free virtual private networks (VPNs) available through the US tech groups' app stores have links to Shanghai-listed Qihoo 360, according to a new report by research group Tech Transparency Project, as well as additional findings by the Financial Times. Qihoo, formally known as 360 Security Technology, was sanctioned by the US in 2020 for alleged Chinese military links. The US Department of Defense later added Qihoo to a list of Chinese military-affiliated companies [...] In recent recruitment listings, Guangzhou Lianchuang says its apps operate in more than 220 countries and that it has 10mn daily users. It is currently hiring for a position whose responsibilities include "monitoring and analyzing platform data." The right candidate will be "well-versed in American culture," the posting says.

[spiderhr]

Je najbolje je kad negdje zatražim izgubljenu lozinku pa mi je oni vrate u mailu.

[medo]

Dogodilo mi se. Ne jednom

[sinisa1989]

Ja sam dobio zahtjev za implementacijom raw passworda. Želja je kupcu prikazati password na ekranu kad dođe potpisati ugovor

[OuttaControl]

Imao sam nešto slicno, rjesio sam tako da sam ima odvojenu tablicu za tempPass, enkriptirano sa hashom emaila i unique saltom, acceptanjem termsa se pass hashira, i temp se hard deletea. Nije idealno al risk accepted

[sinisa1989]

Ovo čak nije ni bio temp pass. Glavni razlog je bio "to su kupci koji ne vole mijenjati lozinke te koriste jednu za sve servise jer ne žele pamtiti za svaki servis posebno". Moram priznati da sam ostao bez teksta. Uspio sam ih nagovoriti na 8 random slova i brojeva (ne i random znakova). Da ne pričam da je u jednom momentu uletila ideja o četveroznamenkastom PIN-u

[OuttaControl]

Bas to je najveci problem sto svi koriste isti pass za sve, hakens na jednom haknio si svagdi. A znam i za takve klijente i ovaj iz skucaja gore je imao slicnu zelju ali kad sam mu sa ozbiljnom pogledom rekao ne shvatio me je ozbiljno pa smo trazili alternative.

Svega sam se nagledao u karijeri, brojevi kreditne kartice, cvv , exp date, drzavna firma, jedno 50k kartica u pure plain textu, site imao sql injectable polja.... to je bilo prije pci dss, sad je to malo bolje, svima naporno ali bolje iako i dalje ima svega.

2 factor auth na svemu bitnom, passkey je dobra stvar ali ja volim znat svoj pass.
Razlicit pass na svemu bitnom, a na nebitnom ja jos nakon istog passa dodam domenu, dovoljno da skripte failaju a skripte su 99.999 posto pokusaja hackanja, nece se skripta pretjerano trudit pokusavat skuzit password, par matchanih passworda ce probat ako ne prolazi ide dalje.
Isto tako volim korisitit mail+nesto@gmail na gmailu tako da znam odakle breach dolazi, problem je sto dosta sajtova ne dozvoljava + u emailu.

Uglavnom se najbitnije zastiti od skripti, jer rijetko kad je osoba ko osoba meta napada, onda se cesce ide na social engineering. Sad sta ce nam ai/ml donit koji je sposoban prokuzit dodavanje domene i emaila u password, tesko je znat, ali opet mala je vjerojatnost da ce neko koristiti skupe resurse da skripta pokusa pogoditi razliku passworda ukoliko nisi highly exposed persona.

[tomek@vz]

Sve tekve p***rije proizlaze iz odluka onih koji koncept IT-a ni sigurnosti ne razumiju. Al hebiga tako je to kad zivimo u svijetu gdje vlada "Petrov princip" a korisnici ne shvacaju istu dovoljno ozbiljno

[medo]

Jednostavno rečeno, loš šef će reći: “napravi kako ti se kaže”. Dobar šef će te pitati što treba napraviti…

Za sve ostalo tu je Yubikey



Yebemu, Dave…

[Nikky]

Dave će zahebat sve živo a pogotovo zdrav razum 😎

[Pupo]

Citiraj:

Autor OuttaControl

Bas to je najveci problem sto svi koriste isti pass za sve, hakens na jednom haknio si svagdi. A znam i za takve klijente i ovaj iz skucaja gore je imao slicnu zelju ali kad sam mu sa ozbiljnom pogledom rekao ne shvatio me je ozbiljno pa smo trazili alternative.

Svega sam se nagledao u karijeri, brojevi kreditne kartice, cvv , exp date, drzavna firma, jedno 50k kartica u pure plain textu, site imao sql injectable polja.... to je bilo prije pci dss, sad je to malo bolje, svima naporno ali bolje iako i dalje ima svega.

2 factor auth na svemu bitnom, passkey je dobra stvar ali ja volim znat svoj pass.
Razlicit pass na svemu bitnom, a na nebitnom ja jos nakon istog passa dodam domenu, dovoljno da skripte failaju a skripte su 99.999 posto pokusaja hackanja, nece se skripta pretjerano trudit pokusavat skuzit password, par matchanih passworda ce probat ako ne prolazi ide dalje.
Isto tako volim korisitit mail+nesto@gmail na gmailu tako da znam odakle breach dolazi, problem je sto dosta sajtova ne dozvoljava + u emailu.

Uglavnom se najbitnije zastiti od skripti, jer rijetko kad je osoba ko osoba meta napada, onda se cesce ide na social engineering. Sad sta ce nam ai/ml donit koji je sposoban prokuzit dodavanje domene i emaila u password, tesko je znat, ali opet mala je vjerojatnost da ce neko koristiti skupe resurse da skripta pokusa pogoditi razliku passworda ukoliko nisi highly exposed persona.

Prije godinu i pol nam ukinuli passworde na poslu. Najbolja fora i odluka ikad.

[medo]

To i ja pokušavam uvesti već neko vrijeme. Mojim kolegama se to čini kao puno posla jer imamo puno internih appova (developerima pogotovo) a managementu se to čini kao ukidanje autorizacije

A svi su svjesni da je hw key puno sigurniji od passworda pogotovo onih zaljepljenih za kućište laptopa

[mkey]

Citiraj:

Autor medo

A svi su svjesni da je hw key puno sigurniji od passworda pogotovo onih zaljepljenih za kućište laptopa

Koja je u tom smislu razlika između ključa ukopčanog u laptop i password nalijepljenog na laptop?

[medo]

Ako nije biometrijski treba ti PIN za hw key kao i za smart karticu.

[mkey]

Dakle, opet naljepnica, ovaj put s pinom.

[xlr]

U korporativnon ojruzenju, sto je na kraju sigurnije, pin koji se u pravilu nikad ne mijenja (moze li se na yubikeyu uopce promjeniti bez resetiranja hw keya?) ili pass koji najcesce ima rok trajanja 3-6 mjeseci? Hm hm

[tomek@vz]

Citiraj:

Autor mkey

Dakle, opet naljepnica, ovaj put s pinom.

Nije bas tak jednostavno. Passkey je idejno barem dobar koncept - kak se bude u praksi pokazalo vidjet cemo. Pain in the ass bude jedino ako ti krepa uredaj koji sluzi kao "baza" pa kad sve to treba isponova authentificirat i prebacit na novi uredaj. Obican korisnik ce popizdit. Ubikey mozes stekat kolko hoces ali ako nemas valjan otisak prsta mos se fuckat. Vektor napada je time osjetno smanjen barem sa te strane.

[Pupo]

Citiraj:

Autor xlr

U korporativnon ojruzenju, sto je na kraju sigurnije, pin koji se u pravilu nikad ne mijenja (moze li se na yubikeyu uopce promjeniti bez resetiranja hw keya?) ili pass koji najcesce ima rok trajanja 3-6 mjeseci? Hm hm

Uvijek mozes ic na neki authenticator app. (Da, nije naj naj sigurnije, znam, al je bolje od passworda)

[xlr]

Citiraj:

Autor Pupo

Uvijek mozes ic na neki authenticator app. (Da, nije naj naj sigurnije, znam, al je bolje od passworda)

Da, nisam spomenuo, 2FA u principu smatram defaultom ako se koristi password.

I sam imam hw key s pin-om, ali sam u medjuvremenu skuzio da se pin moze promjeniti bez reseta keya. Vjerojatno se onda moze mijenjati i na yubikeyu (ja imam token2 keyeve):
https://www.token2.com/site/page/fid...do2-manage-exe

[mkey]

Citiraj:

Autor tomek@vz

Nije bas tak jednostavno. Passkey je idejno barem dobar koncept - kak se bude u praksi pokazalo vidjet cemo. Pain in the ass bude jedino ako ti krepa uredaj koji sluzi kao "baza" pa kad sve to treba isponova authentificirat i prebacit na novi uredaj. Obican korisnik ce popizdit. Ubikey mozes stekat kolko hoces ali ako nemas valjan otisak prsta mos se fuckat. Vektor napada je time osjetno smanjen barem sa te strane.

Ja govorim da, ako je problem laptop s accountom zaštićenim passwordom gdje je password nalijepljen na laptop, je isti problem kod laptopa koji koristi ključ + pin gdje je pin zabilježen na laptopu. Ključ nije rješenje problema lijepljenja lozinke na laptop. Kao što niti neki auth app, koji je podešen da samo traži potvrdu pristupa, nije garancija da neki lumen neće potvrditi, iako sam nije zatražio pristup.

[tomek@vz]

Citiraj:

Autor mkey

Ja govorim da, ako je problem laptop s accountom zaštićenim passwordom gdje je password nalijepljen na laptop, je isti problem kod laptopa koji koristi ključ + pin gdje je pin zabilježen na laptopu. Ključ nije rješenje problema lijepljenja lozinke na laptop. Kao što niti neki auth app, koji je podešen da samo traži potvrdu pristupa, nije garancija da neki lumen neće potvrditi, iako sam nije zatražio pristup.

Točno Zato i postoje ove solucije ali za po doma će to rijetki koristiti. Zato MS pokušava to progurati u Win11 što iako iritantno nije tak bedasto. Ovdje pričamo više o Enterprise svijetu gdje mnogi te loše navike od doma prenose u službeno okruženje što je jedan veliki "no-no". Većina IT-evaca je kolko tolko svjesna toga no u velikim firmama to što spominješ je ogroman problem.