IP-adres en besturingssysteem als authenticatie middel
Security experts prediken het al jaren en ook Microsoft kondigde het dit jaar groots aan: Het wachtwoord is dood. "Single-factor authenticatie", wachtwoord en gebruikersnaam, wordt echter nog door miljoenen websites en internetgebruikers gebruikt. Geavanceerdere methodes zoals twee-weg authenticatie zijn dan ook hard nodig. Uit recent onderzoek blijkt dat de meeste internetgebruikers niet precies weten wat phishing is. Het is dan ook niet verwonderlijk dat phishing aanvallen nog altijd succesvol zijn in het achterhalen van gebruikersnamen en wachtwoorden. Daarom hebben online banking en andere e-commerce applicaties en websites behoefte aan een oplossing zoals die door creditcard maatschappijen wordt gebruikt.
Via de technologie, die nog geen naam heeft, wordt gekeken naar het IP-adres, besturingssysteem en hoe laat een gebruiker meestal zijn online rekeningen bekijkt. Aan de hand van deze gegevens wordt een soort digitale vingerafdruk gemaakt, die ook de "geolocatie" van de computer bevat. Aan de hand van het normale gedrag van de gebruiker kunnen verdachte omstandigheden direct worden aangepakt. Wordt een account van een Amerikaanse internetter bijvoorbeeld in Letland gebruikt, dan vraagt het systeem om extra authenticatie.
Het is nog steeds geen waterdichte oplossing, maar het kan een hoop ellende voorkomen, zo laat dit artikel weten.
IP kan worden gespoofd en het broadcasten van het type besturingsysteem
kan naar wens worden aangepast.
De kans dat iemand die onschuldig is neemt met 100% toe.
Wederom een onzinnige discussie van MS.
als extra beveiliging moet worden ingezet? Daarnaast, dit is wel een goed
id voor het gros van de gebruikers
de reactie "Wederom een onzinnige discussie van MS." slaat natuurlijk
nergens op en heeft geen enkele meerwaarde
netwerkje achter je NAT router, heeft deze extra
"beveiliging" geen enkel nut meer. Geef mij maar een goed
password. En ja Microsoft, ik schrijf mijn passwords op, in
een sterk versleuteld bestand.
volgens verwachting neergesabeld. Ik vind het een goed
initiatief om een verbeterde vorm van authenticatie te
bedenken, zonder de gebruiker op te zadelen met ingewikkelde
procedures en/ of apparatuur. Bottom line is dat het
Internet steeds meer gebruikt wordt voor diensten die
vooralsnog via "veiligere" wegen werden aangeboden. Een
gebruikersnaam en wachtwoord combinatie is simpelweg niet
sterk genoeg voor de toekomst.
Gewoon weer een manier om extra geld te genereren, met een
goede wachtwoord policy kom je een heel eind....
service providers (PSP) gebruikt om de kans te verminderen
dat er misbruik wordt gemaakt van bepaalde gegevens.
Op zich is dat dus niet eens zo slecht, want je kunt heel
wat dingen door goede scrubbing voorkomen.
Als voorbeeld:
Een soldaat uit Amerika is gestationeerd in Duitsland, maar
gebruikt wel zijn credit-card voor aankopen. Zou dit dan
fraude zijn? Nee, maar je ziet wel dat er iets is. Je
contacteerd de soldaat via e-mail (of andere bekende
communicatiewegen) en vraagt of het klopt.
Als een bepaald account 3x achter elkaar door een IP wordt
geraadpleegt vanuit een andere tijdzone dan normaalgesproken
(tijdzone afvangen via de browser), dan weet je dat er iets
mis is. Je blokkeerd het account, checkt met de klant of die
niet toevallig op vakantie is o.i.d.
Criminelen willen sowieso al geen contact met een site waar
ze frauderen, laat staan een bank die ze plunderen.
Mensen die onschuldig zijn, willen wel ervoor zorgen dat ze
kunnen doen wat ze willen en kunnen dat ook aantonen
waarschijnlijk dat ze recht hebben op toegang vanuit een
ander land.
Scrubbing kan heel uitgebreid, dat bewijst de techniek
achter sommige PSP's al. BTW, de debitcard Maestro gaat eerdaags aan populairiteit toenemen in Europa. Dit omdat enkele PSP hier al gebruik van willen gaan maken.
- Unomi -
Zoals alle nieuwe security ideeën wordt deze ook geheel
volgens verwachting neergesabeld. Ik vind het een goed
initiatief om een verbeterde vorm van authenticatie te
bedenken, zonder de gebruiker op te zadelen met ingewikkelde
procedures en/ of apparatuur. Bottom line is dat het
Internet steeds meer gebruikt wordt voor diensten die
vooralsnog via "veiligere" wegen werden aangeboden. Een
gebruikersnaam en wachtwoord combinatie is simpelweg niet
sterk genoeg voor de toekomst.
Nee nee nee, de bottom line is dat er 2 soorten
authenticatie gebruikt worden: een zwakke met
juiste IP, van OSabc en op tijdXYZ en een sterkere,
voor verkeerde IP,OS en tijd. (dat is bij ' scrubbing'
niet het geval)
Als hacker zou ik voor de eerste optie kiezen :-)
SF
betrouwbaarheidsniveau X kosten X gemak. Ik kan een 1-factor als
naam/wachtwoord op vele manieren aanvullen om de betrouwbaarheid
iets te verhogen met beperkte stijging van kosten en daling
gebruiksgemak (t.o.v. overstappen op 2-factor): aanvullende shared
secrets, terugkoppeling op het e-mailadres, een tweede wachtwoord, etc.
zijn allemaal mogelijk maar............... het gaat om de afweging.
En over online banking: het geld gaat bij misbruik van jouw rekening
zonder toestemming naar een andere rekening. Als de "naar"-rekening
een afwijkend patroon laat zien zouden er ook rode lampen bij de bank
kunnen gaan branden en kunnen ze bijv. eerst een e-mail sturen voordat
het bedrag wordt overgemaakt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.