Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Een alternatief voor passwords

13-03-2011, 14:53 door Jan-Hein, 9 reacties
In "http://home.tiscali.nl/jhvdburg/intro-lkmap.pdf" wordt een ontwerp gepresenteerd voor een open source softwarepakket dat de huidige problemen met username-password beveiliging goedkoop en effectief oplost.
De beschrijving wordt toegelicht met proof of concept code die de ontwikkeling van de operationele code relatief eenvoudig maakt.

Kan ik van de lezers hier suggesties krijgen wie er nog meer geïnteresseerd in kunnen zijn?
Reacties (9)
13-03-2011, 18:40 door ej__
Op zoek naar hits voor je eigen website? Aan het spammen?
13-03-2011, 21:36 door xy22
ej__ heeft een goed punt, maak meteen duidelijk wiens ontwerp het is, zonder valse bescheidenheid oid.

ik kan niet zo gauw een goede inschatting maken van het project, maar je zou misschien kunnen kijken of bijvoorbeeld http://forums.devshed.com/ wat voor je is.

Niet dat t niet security-gerelateerd is, maar:
Kan ik van de lezers hier suggesties krijgen wie er nog meer geinteresseerd in kunnen zijn?
Waarin geïnteresseerd? Gaat het om toepassingen helpen uitdenken / software schrijven op basis van het document waar je naar verwijst? Of wil je zinvol commentaar / weten welke bedrijven geïnteresseerd zouden kunnen zijn?

Sorry als t onvriendelijk klinkt, maar dat is niet de bedoeling :)
13-03-2011, 21:54 door xy22
even wacht gezocht, en kwam een paar dingen tegen:

1) http://www.security.nl/artikel/14788/1/Elektronisch_stemmen_kan_ook_anders.html Vermelding van de topic-starter door de redactie van Security.nl

2) "GCIM is also known as the LidoKey project. It describes an organization that guarantees to individual people on the Internet that their chosen identities in transactions are inalienable, using a technically undisputed new infrastructure.
Besides that the transaction partners can specify detailed agreements regarding the transaction and settle the payments in a secure, convenient and safe way, linked to mutual checks during the delivery of services when desired.
This way, the Internet is expected to become perfectly usable for existing and future applications."
citaat van http://www.linkedin.com/pub/jan-hein-van-der-burg/9/831/351
14-03-2011, 03:53 door Anoniem
Het is een beetje suf om je eigen document te presenteren alsof het van een ander is. Als je in de PDF eigenschappen kijkt, dan zie je dat de auteur "Jan-Hein Burg" is ...
14-03-2011, 11:36 door Anoniem
@03:53 Anoniem
:) Je hoeft de PDF eigenschappen niet te lezen, aangezien zijn volledige naam in het document zelf staat bij "about the author"
14-03-2011, 12:13 door Jan-Hein
ik kan niet zo gauw een goede inschatting maken van het project, maar je zou misschien kunnen kijken of bijvoorbeeld http://forums.devshed.com/ wat voor je is.

Niet dat t niet security-gerelateerd is, maar:
Kan ik van de lezers hier suggesties krijgen wie er nog meer geinteresseerd in kunnen zijn?
Waarin geïnteresseerd? Gaat het om toepassingen helpen uitdenken / software schrijven op basis van het document waar je naar verwijst? Of wil je zinvol commentaar / weten welke bedrijven geïnteresseerd zouden kunnen zijn?

Sorry als t onvriendelijk klinkt, maar dat is niet de bedoeling :)[/quote]
Bedankt voor de tip; ik heb naar de site gekeken, maar vind daar geen forum dat me geschikt lijkt, en ik zou niet graag de indruk wekken dat ik probeer te spammen.
Uiteraard is elke hulp welkom (probeer ik in het document ook duidelijk aan te geven), maar de concrete vraag aan de security experts die hier mensen proberen te helpen is: waar zou je deze informatie zinvol kunnen delen, zonder dat de lezers zich gespamd voelen.
14-03-2011, 17:50 door [Account Verwijderd]
[Verwijderd]
15-03-2011, 10:39 door Jan-Hein
Door Krakatau:
http://openid.net/get-an-openid/what-is-openid/OpenID allows you to use an existing account to sign in to multiple websites, without needing to create new passwords.
Heeft jouw alternatief voordelen t.o.v. OpenID?
Voorzover je OpenId op basis van password authenticatie gebruikt zeker, want het elimineert de fundamentele problemen van passwords, zoals fishing, MITM etc.
Je kan de LidoKey MAP combineren met OpenId (SSO in het algemeen) indien gewenst; dat kan vooral handig zijn als je met een groot aantal servers wilt kunnen werken die zich als een logisch geheel moeten gedragen (bijvoorbeeld de DigiD constructie), want dan hoef je niet met elk van die servers apart een relatie te leggen.
Het bijt elkaar dus niet, maar kan elkaar goed aanvullen.
19-09-2011, 15:39 door Night
Jan-Hein

Ik heb de PdF gelezen en heb er wel serieuze twijfels bij. Er zijn een paar issues waardoor ik denk dat het idee an sich gewoon lek is.
(of ik snap het niet dat is natuurlijk in mijn geval altijd een serieuze optie)

De "trust' (waar we bij PKI zo in teleurgesteld beginnen te raken) is er bij LidoKey natuurlijk nog steeds. Ik vertrouw nu een witness ipv een CA. Of die witness gecompromitteerd is kan ik niet 100% zeker weten ook al is zijn relatie met mij nog niet verbroken. Op deze manier kan één gecompromiteerde witness andere kwaadaardige systemen onderdeel laten worden van het web van vertrouwen en zo het geheel ondermijnen.

De wijze waarop de relaties worden verbroken is wel automatisch maar het tijdstip waarop dat gebeurt wordt aan het toeval opengelaten. Eén rogue server met een gedupliceerde keyring kan in theorie voor onbeperkte tijd vertrouwd blijven door alle andere servers. Gedurende deze periode kan de gecompromitteerde server in de rol van witness server veel andere servers toelaten in het web van onderling vertrouwen.

Wie gaat dat dan ooit weer ontvlechten nadat er één foute server is ontdekt?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.