Thursday, December 16, 2010

Hvem stoler du på?

Hvem stoler du på egentlig?
Din bedre halvdel? Dine barn? Naboen? Politiet? Banken? Kommunen? NSM?

For kort tid siden ble jeg gjort oppmerksom på en liten detalj rundt bankenes avtalevilkår for betalingskort, derav denne bloggposten. (Tusen takk til "R"!)

Tuesday, December 14, 2010

Videos and presentations now online!

Presentations as well as videos from the conference are now online. You can download the presentations as well as the video files (iPad friendly h.264 HD format) from http://ftp.ii.uib.no/pub/passwords10/ , or download them through bittorrent from http://home.online.no/~putilutt/torrents/. Just remember to seed them as well after downloading. :-)

I would really like to thank the University of Bergen, especially @haakonnilsen, for providing FTP server space to these files for us. Also a big thank you to all the presenters for allowing us to record and publish the videos online after the conference. Thank you to all participants for being there, great discussions and exchanging of ideas!

Last but not least; a personal big THANK YOU to Professor Tor Helleseth for providing me with the opportunity as well as budget, advice and everything else to help Passwords^10 come true. I really hope we'll do it again. :-D

Monday, December 13, 2010

Passwords^10 : Passware scared us all


Originally my plan was to do several blog posts based on what I heard, saw and learned at Passwords^10. That still is my plan of course, but the president of Passware, Dmitry Sumin, scared me. *A LOT*. So first things first; this blog post is highly necessary - and maybe time critical to some of us as well.

Thursday, December 02, 2010

Passwords^10 : 2 dager om passord & PIN koder

Den 8 og 9 desember arrangeres det en 2-dagers konferanse om passord og PIN koder - og bare det! Arrangør er Per Thorsheim i samarbeid med Professor Tor Helleseth ved Selmersenteret, Universitetet i Bergen, og med Nisnet som sponsor. Per Thorsheim kan kontaktes på tlf 90 999 259 eller mail:
perkrøllalfathorsheim.net.

Konferansen er gratis, og åpen for alle, også media :-) Komplett program finnes her (PDF, 104KB, ingen javascript eller flash). Flere av presentasjonene vil inneholde mye matematikk/krypto, så er den advarselen gitt.

Formålet med konferansen er å presentere og diskutere noe som de aller fleste av oss må forholde seg til i hverdagen: passord & pin koder. Facebook, nettbank, dørene på jobben, mobiltelefonen eller den PIN koden som forsvant ut av hodet akkurat i det du kom frem til kassen etter 20 minutter i julepresang køen.

Tuesday, November 30, 2010

Why Passwords^10?


I've been asked this many times: "Why would you do a 2-day conference on passwords & PIN codes?". I'm being told that passwords are lame and old-fashioned. Biometrics and 2-factor authentication are much better at providing better security. Some even refer to xkcd 538 to describe to me why password-only authentication is stupid. Allow me to explain a little...

Monday, November 29, 2010

Revisiting password meters

(Screenshot from Swedish PTS on Sunday 28, Nov 2010)

In February this year I wrote a blog post named "Never Trust Password Meters", after a tweet from @mikkohypponen at F-Secure. One of the password meter services I commented on was "testalosenord" (test your password) from the Swedish Post and Telecom Agency. I e-mailed them the same day, just to inform them about my blog post. On November 18 I received a reply.

Sunday, November 28, 2010

Nokas og Datalagringsdirektivet

(Bildet er hentet fra promoteringen av Nokas filmen)
I Dagens Næringsliv lørdag 27. desember står at at Kripos henlegger saken på piraten som la en kopi av Nokas-filmen ut på The Pirate Bay. Datasporene etterforskerne trenger for å finne piraten er slettet. Jeg hadde bestemt meg for å ikke uttale meg høyt om datalagringsdirektivet. Jeg vil fortsatt forsøke å unngå det, men dette blogginnlegget kan nok oppfattes som et innlegg i debatten.

Monday, November 15, 2010

Malware Authors: Show Me Your Passwords!

I'm baffled. And that doesn't happen too often. In February I wrote a blog post over at Elcomsofts official blog, entitled "Why you should crack your passwords". I'm long overdue for a follow-up on that post, with another angle at the same statement. Do you remember Conficker (also known as Downadup)? I guess you do. And that's the primary reason for this blog post, and me being baffled.

Sunday, November 14, 2010

Usikrede trådløse nettverk

Til alle tilbydere av trådløse nettverk i Norge, både i kommersiell og offentlig regi, samt alle andre som har åpne trådløse nettverk for egne ansatte, gjester, naboer og hvem det ellers måtte være.

Jeg håper og tror at de fleste av dere fikk med dere lanseringen av "Firesheep", et tillegg til nettleseren Firefox som ble lansert for noen uker tilbake. Media har allerede dekket dette grundig som en nyhetssak, selv om det egentlig ikke presenteres noen nyhet. Dette tillegget gjør det ekstremt enkelt å stjele tilgang til andres Facebook kontoer, samt en rekke andre kjente steder som Twitter og Amazon.com. Teknikken er altså "gammel", dette tillegget er lansert "for å få ulike tjenesteleverandører til å tenke seg om en gang til".

Monday, November 08, 2010

Passwords^10 : REGISTER NOW!


Announcement:
Passwords^11 is coming. June 7-8. CFP is here!

We are ready. You can now register for participation at Passwords^10, a 2-day conference on Passwords & PINs. Free for all, at the University in Bergen (Norway), on December 8-9. Limited seats available.


Friday, November 05, 2010

Usikkert Norgespass

Jeg har VELDIG lyst på en Samsung Galaxy Tab. I likhet med mye annen elektronikk selvfølgelig, men det kan vi ta litt nærmere jul. Ofte er det imidletid slik at man bare må gjøre noe øyeblikkelig, så også i dette tilfellet (Nei kjæresten min, jeg har ikke kjøpt denne dingsen - enda!)

Wednesday, November 03, 2010

CFP for Passwords^10 has ended

(Click for full size)
Short notification; the public CFP is now closed. Speakers have been notified, we're currently working out the details for the program. Public registration opens up on monday morning 08:00 (Norway/Oslo time). Limited seats available. Free participation including lunch. Wednesday evening we'll meet for the usual fun, including a competition with prizes to be won! (A big thank you to Elcomsoft for sponsoring us with those!)

This will be *COOL*. Passwords & PINs for 2 full days. Elcomsoft. Passware. Oracle. The freerainbowtables.com project. And more!

Hey, we'll even try to make video recordings available afterwards for those unable to attend.

More to come, stay tuned. :-)

Monday, October 18, 2010

Passwords^10

ANNOUNCEMENT & CALL FOR PAPERS : PASSWORDS^10

PASSWORDS^10 will be held at the University in Bergen (Norway), on December 8-9, 2010. The 2-day conference will be free and open for everyone to attend. Primary audience will be academics and security professionals with deep technical/crypto knowledge. Limited seats available. Passwords & PINs, nothing else.

Saturday, October 09, 2010

Can you see my password?

Yeah, that's me and my Superman mug.
I've postponed this blog post for quite some time, but I can't turn away from my own promises. I got pwnd. Or well, almost pwnd. In accordance with the rules and terms of our "competition", I hereby admit that I got (almost) pwnd by Thomas Tjøstheim, with assistance from Thomas Schancke Methlie, Hallvar Helleseth and Jan Fredrik Leversund.

Tuesday, October 05, 2010

Et sikkert statsbudsjett?


Ja, jeg følger jo med litt jeg også. På statsbudsjettet og sånn. Interessant det. Sikkert noe grumling over det til lunsjen på jobb i morgen tenker jeg. Jeg fant en liten nyhetssak som jeg ble litt nysgjerrig på hos Aftenposten. De har nemlig vært med ned på besøk i det hemmelige statsbudsjett-hvelvet. Slikt blir jeg nysgjerrig på.

Monday, October 04, 2010

How NOT to send account info by mail

(Do i really have to explain this?)
So, i registered at yet another site here the other day, out of curiosity on password practices and so on. Sure, registration using https was in place. I mean, seriously, its 2010, the bad guys are everywhere it seems. Of course you do SSL encryption of account registration on your website, right? Well, the world still has surprises for us all.

Wednesday, September 29, 2010

STARTTLS support in Hotmail/Gmail

(Response from Gmail / Hotmail when issuing the starttls command for SMTP)
Google improves security in their Google Mail (Gmail) service, adding OAuth and other security features. Microsoft with their Live Hotmail service is hot on heels, announcing new security features as well. However I do have a feature request for security, still not mentioned anywhere by neither one of them.

Monday, September 27, 2010

Playing passwords with Facebook


I've written about Facebook and their password policy back in january 2010, which got a good response from Matt Weir, whom I really respect and appreciate having discussions with. Looking over my older posts, i decided to have a new look to see if anything had changed, or if I missed something the first time. Obviously I've found something more to write about. :-)

Thanks to ISACA (still room for improvement though)

(Survey received from ISACA, also showing certain SMTP details)

On tuesday March 2, 2010, I published a blog post regarding a non-secure survey from ISACA. On tuesday September 21st, I received a new survey from ISACA, as the image above shows (slightly censored by me). To me it's important to both give and receive constructive feedback, good or bad. So here's to ISACA and Gary Bannister, THANK YOU!

Monday, September 20, 2010

Hvor er du?

(Her er jeg, rimelig nøyaktig, i det jeg skriver denne bloggposten)
Et spørsmål vi stiller stadig oftere. Hvor er du (akkurat nå)?
Jeg husker da jeg var noe yngre enn jeg er i dag - altså før mobiltelefonen fantes. Ja, jeg husker faktisk den dagen det kom en mann på døren fra Televerket (han så virkelig ut som en telemontør også!), han skulle koble til telefonlinje hjemme hos oss. Fem-sifret nummer og greier. Den gang var spørsmålet Hvor skal du? Gjerne fulgt opp med Du må være hjemme til åtte! eller noe slikt. Men det var den gang - før vi ble så utrolig opptatt av å vite hvor alle er til enhver tid.

Saturday, September 04, 2010

Password lenghts as told by the media

At the end of August researchers at Georgia Tech Research Institute (GTRI) released a case study that received a lot of attention in international media. Their own header was perhaps a little tough:






It's a cool case study. It's a good thing that the insecurity of short/bad passwords gets attention in the press. Still I can't see anything here that has already been said, presented and written by others already. Not that it  matters in this case.

Tuesday, August 31, 2010

Hva får man for 4 forsider?

(Klikk for full størrelse)
 Jeg bruker Google Analytics for å få statistikk på besøk til bloggen min. Når man først har begynt å skrive, så er det jo litt interessant å se om det faktisk er noen som gidder å lese det. Jeg får stadig flere tilbakemeldinger muntlig, via mail, Facebook, Linkedin og Twitter. Det aller meste er både positivt og konstruktivt, noe jeg setter stor pris på!

Sunday, August 29, 2010

Comments on "Crack Me If You Can"


Matt Weir asked me for my opinion, or even a blog post, on the debate over the KoreLogic "Crack Me If You Can" competition at Defcon 2010. Matt said that there were discussions on how well the passwords in the competition represented a real-world corporate environment. I've been doing pentesting as part of my job for 12-13 years now, but I'm not going to say that makes any kind of expert in this area. So with that in mind, let me give you my opinions.

Friday, August 27, 2010

TNT, iPhone4, sikkerhet & kundeservice

I slutten av juli bestilte jeg en iPhone 4 fra Apple. Ikke til meg, denne var til min kjæreste selvfølgelig. Dametelefon, selv om også mange menn liker den. Jeg antar det er fordi man enten er religiøs, ikke liker å fikle med ting (slik jeg gjør), eller aksepterer likheten mellom Steve & Storebror. Selskapet bak en av verdens kanskje aller beste reklamefilmer burde kanskje se den i reprise?

Wednesday, August 25, 2010

Statlige passordanbefalinger


Dette er en bloggpost myntet direkte på NorSIS og Nettvett (Post- og teletilsynet).

Det er ment som en direkte oppfølger av intervjuet av meg som Bergens Tidende publiserte på sine nettsider lørdag 21 august, og som ble kjørt samme dag også hos Aftenposten, Stavanger Aftenblad og Fædrelandsvennen. Retter også en takk til Hans Petter Østrem i Symantec, Thomas Evensen ved UiB og professor Audun Jøsang ved UniK, som alle uttalte seg til BT om saken.

Jeg har kritisert NorSIS og Nettvett for de passordanbefalinger de gir også tidligere, både muntlig og i tidligere bloggposter her på min blogg. Først og fremst; dere gjør mye bra også! Jeg er bare litt mer interessert i passord enn alle andre, derav min kritikk samt ønske om endringer.

Monday, August 23, 2010

FAQ section updated

Just a quick note to say that i do have a separate FAQ page on passwords, available here. Google Analytics tells me people doesn't visit that page much. If you have any questions for me and my work/interest in passwords, I'll be more than happy to answer it in the FAQ section as well as through a blog post!

Thursday, August 19, 2010

Kredittkort og hotellrom

Bildet er hentet fra denne siden, og er (C) J.R.Mora
Det er merkelig hva man av og til kommer over på Internett.

Bankklagenemndas uttalelse 2010-062 for eksempel. Jeg vil anbefale alle å lese denne - den angår deg også i aller høyeste grad.

Saken ligger som eksempelsak fra hovedsiden til Finansklagenemda, en av fire nemnder som tilsammen dekker Skade, Eierskifte, Person og Bank.

Les gjerne hele teksten i uttalelsen deres før du leser videre i dette blogginnlegget.

Monday, August 16, 2010

FINN en feil


For kort tid tilbake skulle jeg legge inn en annonse på FINN, en tjeneste som jeg også har brukt flere ganger tidligere for å selge ting jeg ikke lengre trenger. Jeg ble rimelig overrasket da jeg skulle logge meg inn med mitt brukernavn og passord, jeg fikk beskjed om at det var noe feil med enten brukernavn eller passord.

Friday, August 13, 2010

Snorsikkerhet i hverdagen

En tidlig morgen da jeg kom til jobb, oppdaget jeg at jeg hadde jeg glemt adgangskortet mitt. Det kan skje alle, og jeg er den første til å innrømme at også jeg gjør det iblant. Jeg fikk lånekort, pent og pyntelig plassert i enden av en sånn snor til å ha hengende rundt halsen. Adgangskort skal jo være synlig til enhver tid internt hos oss, i tråd med policy. Jeg fikk beskjed om at jeg kunne beholde snoren jeg fikk, og kaste den gamle. Litt nysgjerrig på årsaken til det, og vips; en bloggpost som kanskje er mest aktuell for småbarnsforeldre.

Thursday, August 05, 2010

HTC/Android tethering insecurity

Android 2.2 is here! YES!

New possibilities. New buttons. New features. New looks. Faster, higher, better, and so on. I've been looking forward to this.

One of the features I've really been waiting for is tethering, which enables me to configure my HTC Desire to act as a WLAN hotspot for other devices. In my case; for my iPod Touch 64Gb so that i can play certain games online wherever i go. Yes, important feature indeed. :-D

Saturday, July 31, 2010

Danish insecurity


I'm on vacation. In Denmark. I'm really not supposed to blog while on vacation, at least I said something like that to my wife before we left home. (Yes, I do reveal publicly that I'm not at home. It doesn't mean there's nobody there to watch it for me.)

But bad security needs attention, hence this little blog post.

Wednesday, June 30, 2010

Afterthoughts on background checks

On friday june 25, one of the larger newspapers in Norway revealed that the director of the public office authorizing health personnel for working in Norway didn't have parts of the education or grades claimed on her CV. The director left the position the same day. The wolves were out for blood.

Thursday, June 24, 2010

Sommertips til nettjunkies


 Neida. Selvfølgelig er du ikke avhengig, hvem ville påstå noe slikt? Det at du sjekker webmail (jobb og privat), svinger innom Facebook noen ganger for dagen, tweeter badetemperatur og drinkinntak, samt aksepterer noen nye Linkedin forespørsler er ikke noe avhengighetstegn. Selvfølgelig ikke. Ihvertfall ikke når du er på ferie med familien, sanden kiler mellom tærne og capsen gjør tjeneste som skygge for mobildisplayet; litt dårlig kontrast i Facebook appen skjønner du.

Thursday, June 10, 2010

Salgsverdien av kunnskap


Jeg er glad i film. Mange års deltakelse på filmfestivalen i Haugesund, samt en barndomskompis som styrer spakene på kinoen der har gjort at jeg ikke bare liker film, men er interessert i teknikken bak også. Så får jeg invitasjon fra Hi-Fi klubben i Bergen om å delta på kundearrangement onsdag 9 juni. Hør og opplev Samsungs nyeste TVer, med 3D funksjonalitet, Internett, PVR funksjoner og litt til. Kun 30 plasser, enkel servering.

Sunday, June 06, 2010

Windows: Pass the Hash angrep

April 1997: Paul Ashton sender en e-post til NTBugTraq, og passordsikkerhet i Microsoft Windows blir aldri den samme igjen.

Han beskriver en teknikk for å sende et brukernavn og tilhørende hashverdi av passordet til et annet system, for på den måten å oppnå tilgang i egenskap av en annen bruker. Det interessante her at han ikke VET passordet til den andre brukeren, han har bare fått tak i en "kryptert" utgave av det.

Denne bloggposten er oppfølger #1 til "Lengde har ingen betydning".

Thursday, June 03, 2010

Facebook & personvern - del 2

Det skal ikke være lett nei. Personvern altså. På Facebook. Ditt eget personvern. De har gjort mange endringer gjennom årene, og standardinnstillingene for nye kontoer endres slik at stadig mer informasjon blir gjort tilgjengelig for absolutt alle. Absolutt alle, dvs noen hundre millioner brukere på Facebook. Det er mange det!

Ser du noen grunn til at folk i Mongolia, Papua Ny-Guinea eller i Nord-Trøndelag skal ha noen grunn til å lese opplysninger om deg? Jeg gjør ihvertfall ikke det.

Wednesday, May 26, 2010

Facebook & personvern

Onsdag 26 mai, Facebook har annonsert nye muligheter for oppsett av personvern for sine brukere. Fint. For de som har brukt mer enn en celle og 10 sekunder til å lese litt, så bør man etterhvert vite at personvern ikke står i høysetet hos Facebook. NEI, det spiller ingen rolle hva de selv sier - dessverre.

Dagens annonsering er allerede behørig kommentert av mange av dem som jeg følger på Twitter. Stort sett sikkerhetsfolk. Stort sett negative reaksjoner. Ingen overraskelse akkurat. Med den vanlige tanken om at jeg kanskje kan bidra til å gjøre verden litt sikrere (ikke nødvendigvis bedre), så legger jeg ut skjermbilder av mitt eget personvern oppsett på Facebook. Vel og merke ETTER at jeg har justert det i tråd med dagens nye muligheter fra Facebook selvfølgelig. Vil anbefale deg å sette opp noe tilsvarende, men du bestemmer selvfølgelig selv. Jeg har kommentert enkelt hva oppsettet betyr, og hvorfor jeg har satt det slik for meg selv.

Lengde har ingen betydning

Beklager, det var for fristende å la være å bruke den overskriften.

Temaet er - selvfølgelig - passord. Denne gang av teknisk art, og med interesse for større organisasjoner. Desto større organisasjon desto viktigere, og ikke minst farligere.

Det jeg skal bruke litt tid på i en del kommende bloggposter starter her.

Jeg begynner med eventyret om Ali Baba og de 40 røverne, slik at det blir en sammenheng med billedbruken min :-) (Tegningen er forøvrig laget av Maxfield Parrish, og er også illustrasjonen av som brukes i Wikipedias artikkel om nettopp Ali Baba.)

Sunday, May 09, 2010

Hvorfor vil alle være venn med meg?

Venn. Kontakt. "Follower".

Jeg får stadig flere venner, kontakter og followers. Jeg vet ikke hvem alle er. Mange har jeg aldri møtt fysisk, ei heller hatt noen form for konversasjon med dem overhodet. Hvorfor vil de være venn med meg?

 Jeg har opplevd misbruk av opplysninger og uttalelser jeg selv har lagt ut på ulike forum siden før Internett ble allment tilgjengelig i Norge. Jeg har opplevd at familie, venner, venners venner, kontakter, kolleger og andre har blitt utsatt for sjikane, mobbing, sjalusi, tyveri, informasjonslekkasjer, politianmeldelser, trusler og mye annet på bakgrunn av ting de har skrevet på ulike forum på Internett. Antallet saker øker, omfanget av dem likeså.

Friday, May 07, 2010

Where ITIL does not apply...

I've had numerous discussions with quality management fanatics over the years. They do a great job! Only one problem; you can't have policies, standards and procedures for everything. If something unforseen happens, you can either a) create a new range of documents and execute them, or b) you can take action based on common sense, experience and pure reflexes. Guess once which side I'm at. (Click image for full size)

Tuesday, May 04, 2010

Sci-Fi experiences at Finse!

I've attended the NISNet winter school 25-30 of April, 2010 (program, pdf) at Finse1222. Here's my report & rants.

 


Yep, that's where they shot parts of Star Wars : The Empire Strikes Back in 1979. :-)

WOW!

Not only did I listen to a range of really interesting presentations from recognized researchers within security, but I was also allowed to do an evening presentation on my favorite topic; passwords.

Monday, May 03, 2010

I rettferdighetens navn


Som en uavhengig referansegruppe i regi av Den Norske Dataforeningen, observerer vi en aktiv diskusjon rundt stemmegiving over Internett og E-valg 2011-prosjektet. Kritikken viser at det er til dels manglende kunnskap om sikkerhet i elektroniske løsninger, og en blind tro på at dagens papirvalg er sikkert.

Wednesday, April 21, 2010

Lessons learned on BCP

"No, we said we wanted CASH, not ASH!". And that's just one of the many jokes now circulating the Internet and media everywhere about Iceland. #ashcloud already exists on Twitter, and today I got my lesson as well. Well deserved probably. Let me explain.

Tuesday, April 06, 2010

Farvel, herr Direktør.

Georg Apenes går av som direktør i Datatilsynet 9. april.

Med bare 38 år i folkeregisteret velger jeg å føye meg til listen over personer som sier at en epoke nå tar slutt. Jeg har sett listen over potensielle arvtakere til din stilling, og er spent på hvem som til slutt får jobben. Jeg tillater meg å si at det å overta din plass i samfunnsdebatten absolutt kan sammenlignes med å skulle hoppe etter Wirkola eller tale etter Kåre Willoch. 

Sunday, March 28, 2010

Reply from ISACA

On March 26 I received a reply from the ISACA media relations department, informing me that they will be making some changes to future surveys. Changes will include a few of the aspects addressed by my blog post, including the use of SSL and additional information in the body of the survey.

Their response is highly appreciated of course, and I look forward to future surveys from ISACA. Thanks Deb!

Wednesday, March 24, 2010

Knock, knock... Who's there, statistically?

Utstein Abbey 4Per, the owner of this blog has fled the country for a few days, so I am seizing the opportunity to not have my little musings drowned in his figurative firehose of blog posts.

About six months ago, I reinstalled one of my Gentoo Linux servers and I left the SSH port open to the world. I did this deliberately, as I tend to access my servers from many different sites, not always knowing in advance what my source address will be. Usually, I'll install logrotate and a few other packages to keep things tidy, but for some reason this was neglected.

The other day, while doing some routine maintenance on the server, I discovered that the system log file /var/log/messages had grown to a whopping 12GB. What on earth was going on here?

Sunday, March 21, 2010

Write down your password!


Do you have many passwords? How many of them are you able to remember?  Do you have the same password across different systems and services? Do you use the same password at work as you do at home - and on Facebook? Write them down - and security will be improved.

Thursday, March 18, 2010

Skriv ned passordet ditt!

Har du mange passord? Klarer du ikke å huske alle? Har du samme passord på tvers av ulike løsninger? Bruker du samme passord på jobb som du gjør hjemme - og på Facebook? SKRIV DEM NED - og sikkerheten blir bedre.

Wednesday, March 10, 2010

Rait-prais-tails-dått-com?

Til dere som jobber med rådgivning rundt sosiale medier, her er en liten sak dere kan ha interesse av. Dere er jo opptatt av å skape dialog og på den måten bygge kundelojalitet, eller økonomisk sikkerhet for butikken som man også kan kalle det. :-)

Tuesday, March 09, 2010

...and another one from ASIS


ASIS is definitely not a small organization in the global security landscape. As a member, I receive lots of useful information through my membership, and I'm studying for their CPP certification. And now they want to conduct a small survey. Right.

Tuesday, March 02, 2010

A non-secure survey from ISACA...

 




I'm disappointed. As a member of ISACA, I do expect them to be a role model for their members, in terms of security. "Do as we say, not as we do" a colleague once told me, before leaving the organisation we both worked for once upon a time. For years I have told family, friends, colleagues and others to follow some simple pieces of advice for securing their online activity. One advice is to always ensure that a website uses https (ssl) before you log in or answer questions that might do damage to you or others in any way. I expect ISACA to do the same thing.

Friday, February 26, 2010

Sikkerhet i spørreundersøkelser


25. Oktober 2007 hadde jeg et innlegg i Aftenposten med tittelen "Er anonyme undersøkelser anonyme?". Dagen etter ga de meg støtte til mine synspunkter på lederplass. Takk til dem for det. Trygve Hegnar kom også på banen med en kommentar, men jeg er fortsatt usikker på om han forstår konsekvensene av det han uttalte der.

Nå er det kanskje på tide å avsløre at mitt innlegg i stor grad var basert på en kundeundersøkelse jeg mottok fra Bergens Tidende, men som også ble benyttet av Aftenposten i sin tid. Interessant da med en leder fra Aftenposten som "slaktet" det opplegget deres eget morselskap benyttet mot sine kunder. Jaja. Om ikke annet så bekrefter det et prinsipielt viktig skille mellom den redaksjonelle og den salgs/markedsmessige siden hos Aftenposten, og det er vel positivt? :-)

Det er på høy tid å gi en liten oppfølger til det innlegget.

Monday, February 22, 2010

Never trust password meters

On February 20th, Mikko Hypponen of F-Secure tweeted this message (click for full size):
 

He linked directly to this jpg file, while the graphic belongs to this article at CXO Europe. I usually find his tweets to be very interesting, as well as blog posts from the F-Secure team as well, so don't get me wrong here. Being a little obsessed with passwords after researching them for approximately 9 years, I had to take a look at this article. (Most articles on password strength and passwords in general are full of assumptions, a blend of information from various resources, and a bit of personal opinion from the author at the time of writing. At least that is what I think of them.)

The CXO article had tested a bunch of passwords against the password strength meter of Google Mail, which you can find when creating a new account (or changing your existing one). The graphic from CXO summarizes the strength of the passwords. Looking at that for <5 seconds was enough for me, i had to release this blog post which I've been thinking about for quite some time.

Friday, February 19, 2010

Contributing to the official Elcomsoft blog

Just a quick note to inform you that i am now a contributor to the official blog from Elcomsoft:



My very first posting there is entitled "Why you should crack your passwords". Questions and comments are always welcome!

Thursday, February 18, 2010

The one-frame explanation on how to defeat biometrics

Well, seems like at least one person thought my "cartoons" were kind of funny... hm. Well, here's one more, in order to simplify some seemingly advanced technologies. Click the image for full size.