Man burde starte forfra med Internet 2 hvor al form for svindel ikke er muligt...

Hvor er jeg dog træt af alle dem der forsøger at lokke og stjæle og udnytte. Gid man kunne leve i en verden hvor man ikke havde lyst til at udnytte andre mennesker.

Er dog relativ heldig at bo på en lille ø i en lille bygd hvor alle kender hinanden, og hvor man ikke behøver låse døren til hverken hus eller bil. Men den slags steder bliver færre og færre.

Jeg ka' nogle ting...

Hvor der er mennesker er der uenighed... var der engang en tjener med et blåt øje der fortalte mig. :)

Ja, det er møgirriterende med alle de scams der kører rundt; e-mails, websites, sociale tjenester - selv på gågaden.

Med venlig hilsen
Jakob Dam | Administrator

Spørgsmålet er om der skal et paradigmeskifte til omkring hvordan man udfører authentication på nettet.

Når man tænker over det er det jo ikke holdbart at man skal huske på X antal forskellige brugernavne og kodeord som ideelt set skal skiftet hver 3 mdr. 

Det må kunne udvikles en helt anden type authentication som kan benyttes af alle og som er knyttet specifikt til personen.

Det er på grænsen til, at hvis man følger et link fra Facebook og derefter indtaster sine Facebook login informationer.... Så er man sgu selv ude om det.

#3 Sikker identifikation = Meget meget svært at snyde - og meget meget svært at gemme sig.

Det er rigtig fedt hvis man skal købe noget, - men ikke så fedt når man tænker på at NSA holder styr på hvad du laver.

Jeg tænker også at der er lande rundt om i verden der gerne vil vide hvem der kritiserer regeringen. Jeg mener ikke de skal have lov at vide det!

P.s. se min signatur

Only the paranoid will survive!

Der er som sådan ikke noget nyt i nyheden. Det er blot en anden form for phishing. Kreativ, men ikke noget nyt.

Det må kunne udvikles en helt anden type authentication som kan benyttes af alle og som er knyttet specifikt til personen.

En mulighed er at flytte hele processen ud fra de enkelte websites, og over i browseren. Her er hvordan det kunne fungere (meget simplificeret):

1. Første gang en bruger besøger et website, der tilbyder login, spørger browseren om brugeren vil generere en sikkerhedstoken for websitet
2. Forudsat at brugeren accepterer, efterspørges et ønsket brugernavn
3. Baseret på denne sikkerhedstoken generes en privat og en offentlig nøgle af browseren
4. Websitet får tilsendt den offentlige nøgle sammen med brugernavnet, og gemmer begge krypteret i en database
5. Browseren gemmer den private nøgle sammen med oplysninger om websitet så den kan genkende det senere, og gemmer også det angivne brugernavn
6. Næste gang brugeren besøger det samme website, sender browseren en forespørgsel til websitet, hvori kun brugernavnet er inkluderet
7. Websitetsvarer tilbage med den gemte nøgle for det pågældende brugernavn
8. Browseren matcher den modtagne nøgle mod den private gemt i browseren
9. Matcher de to nøgler, informerer browseren websitet om at logge brugeren ind

Det hele sker via HTTPS.

Det giver nogle fordele

• På intet tidspunkt, undtagen ved oprettelse, bliver brugeren bedt om at indtaste brugernavn
• Brugeren skal ikke huske på brugernavne og kodeord
• Nøglerne er aldrig ens for samme website
• Nøglerne kan nulstilles efter brugerens ønske, men kun fra browseren selv

Det giver også nogle ulemper

• Anvender brugeren flere forskellige browsere vil det generere ét nøglesæt per browser
• Websitet skal gemme én eller flere browser-specifikke nøgler per brugernavn
• Logger man ind fra flere forskellige enheder, skal brugernavne og private nøgler synkroniseres mellem de pågældende enheder

Det er samme princip som bliver taget i brug af næsten alle API løsninger. Blot er det ikke server-til-server, men browser-til-server. Det stiller højere krav til browsernes sikkerhed, men eliminerer på samme tidspunkt også alle muligheder for phishing da brugeren er taget ud af billedet.