[an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] (none) [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] (none) [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive]
 
[an error occurred while processing this directive] [an error occurred while processing this directive]
Skåne Sjælland Linux User Group - http://www.sslug.dk Home   Subscribe   Mail Archive   Forum   Calendar   Search
MhonArc Date: [Date Prev] [Date Index] [Date Next]   Thread: [Date Prev] [Thread Index] [Date Next]   MhonArc
 

Re: [SIGNATUR] ComputerWorld: Alvorlig sikkerhedsbrist ved TDC-signatur



Peter Lind Damkjær wrote:
Hej Egon,

Det sker ved at TDC CSP (i MSIE) og OpenCert/Java-applet ved certifikatinstallationen gør brugeren opmærksom på at passwordkravene ikke er opfyldt.

Du har ret i at brugere efterfølgende KAN manipulere sig ud af passwordkravene (men hvorfor skulle man egentlig det, da man dels herefter ikke overholder vilkårene og dels sænker sig egen sikkerhed????).

Men TDC ønsker at sikre at brugeren ikke KOMMER TIL at vælge et password der ikke opfylder kravene. Og det ændrer ikke på at vi ØNSKER at anvende standarder således at infrastrukturen kan anvendes uafhængig af platform.


Når certifikatet exporteres fra Internet Explorer eller OpenCert, kan det sikres, at det eksporterede certifikat er beskyttet.
Men når det er importeret i Mozilla, er det Master Password der beskytter certifikatet og det er jo uafhangigt af passwordet der blev benyttet under exporten.
Så jeg kan reelt ikke se hvordan man får øget sikkerheden ved at 'gå over åen efter vand'.
Beskyttelsen ligger i 99+% af tiden på valget af Master Password.


Det bliver jo ikke mere sikkert af, at der ligger et eksporteret certifikat på computerens harddisk, der teoretisk er bedre beskyttet.

Det jeg har meget imod er, at man pålægger en masse besvær, uden at det reelt har noget indflydelse på sikkerheden.

Jeg så meget hellere at man ved bestillingen kraftigt understregede at Master Password skal overholde det stillede krav.
Nu kan uvidende forledes til at tro at sikkerheden ligger i at anvende et godt password ved export og glemme at Master Password er mindst ligeså vigtig.



Med venlig hilsen Egon Andersen


 
Home   Subscribe   Mail Archive   Index   Calendar   Search

 
 
Questions about the web-pages to <www_admin>. Last modified 2005-08-10, 20:34 CEST [an error occurred while processing this directive]
This page is maintained by [an error occurred while processing this directive]MHonArc [an error occurred while processing this directive] # [an error occurred while processing this directive] *