Beveiliging Outlook.com verder aangescherpt
Om gegevens van gebruikers beter tegen onrechtmatige surveillance door inlichtingendiensten te beschermen heeft Microsoft verschillende maatregelen genomen die de beveiliging van Outlook.com en OneDrive aanscherpen. De maatregelen volgen op onthullingen van klokkenluider Edward Snowden.
"We zitten midden in het proces om de encryptie op onze netwerken en diensten te versterken. Ons doel is om de data die tussen onze Microsoft-diensten gaan nog beter te beschermen. Dit proces zorgt ervoor dat overheden de toepasselijke juridische processen gebruiken, en geen technisch bruut geweld, als ze toegang tot die data willen", zegt Matt Thomlinson, vicepresident Trustworthy Computing Security bij Microsoft.
Als onderdeel van de eerder aangekondigde maatregelen zijn er nu nieuwe stappen genomen. Zo gebruikt Outlook.com nu voor zowel uitgaande als inkomende e-mail Transport Layer Security (TLS). TLS versleutelt alleen de berichten 'in transit'. Het is geen end-to-end encryptie zoals PGP.
Toch helpt TLS bij het beschermen van e-mailverkeer tegen bijvoorbeeld overheidsdiensten of aanvallers die willen afluisteren. Verder is nu voor Outlook.com ook Perfect Forward Secrecy (PFS) ingeschakeld. Bij PFS wordt voor elke sessie met een gebruiker een aparte sleutel gegenereerd en na het aflopen van de sessie verwijderd. In het geval aanvallers de encryptiesleutel van het SSL-certificaat compromitteren hebben ze nog geen toegang tot de eerder opgeslagen sessies van gebruikers. Ook Microsofts opslagdienst One Drive gebruikt nu PFS.
Dat kan toch al?
http://windows.microsoft.com/en-us/windows/two-step-verification-faq
Ik heb op mijn Windows Phone de Authenticator app; dat is wat je vraagt?
In de USA betaal je ook voor inkomende gesprekken en SMS. Dat betekent dat je met de juiste deal geld kunt verdienen met het versturen van SMS.
Peter
2-factor heeft niet zo veel zin als het verkeer verder onbeveiligd is en dus is uit te lezen. 2-factor is alleen maar een extra bescherming tegen brut force/ongeautoriseerde inlog pogingen.
Maar veel systemen loggen elke login, en dus is het te traceren. Echter het mail verkeer afluisteren als deze het microsoft netwerk verlaten heeft, is veel lastiger te detecteren. En zal veel eerder gebruikt worden als aanvals hoek dan de login.
Ik gebruik al jaren TLS en nu met PGP encryptie. Laat ze maar mee proberen te lezen. Zonder mijn wachtwoorden, kunnen ze niets.
TheYOSH
https://www.ssllabs.com/s...yze.html?d=login.live.com
https://www.ssllabs.com/s...e.com&s=65.55.157.146
https://www.ssllabs.com/s...yze.html?d=login.live.com
https://www.ssllabs.com/s...e.com&s=65.55.157.146
Goed gezien.
Ondertussen TLS, 4 known, 2 down, 2 to go.
https://www.eff.org/deeplinks/2014/04/why-web-needs-perfect-forward-secrecy
Mijn 2 centen
https://www.eff.org/deeplinks/2014/04/why-web-needs-perfect-forward-secrecy
Mijn 2 centen
http://www.heise.de/security/artikel/Forward-Secrecy-testen-und-einrichten-1932806.html
Ik gebruik al jaren TLS en nu met PGP encryptie. Laat ze maar mee proberen te lezen. Zonder mijn wachtwoorden, kunnen ze niets.
TheYOSH
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
