Next-level wachtwoorden
Troy Hunt is een regiodirecteur voor Microsoft en heeft een bijna epische post geschreven met zijn mening over hoe we eigenlijk met wachtwoorden om zouden moeten gaan. Eén van de belangrijkste punten die hij maakt is dat we op dit moment te binair zijn in hoe we checken of de juist persoon inlogt: je komt erin of je komt er niet in. Het zou slimmer zijn om daar wat grijs gebied tussen te maken. Als je er na een paar foute inlogpogingen toch in komt, dat je dan eerst via e-mail moet bevestigen voordat je belangrijke dingen kunt doen in het systeem bijvoorbeeld.
De post is echt een must-read voor iedereen die websites maakt waarop mensen wachtwoorden moeten invoeren.
Kookwekker
Wat de overheidsspyware in China betreft: via twitter ben ik een QR-code tegengekomen, die weer doorverwijst naar een URL. Via deze URL kwam ik het bestand tegen. Door dit te uploaden naar VirusTotal bleek echter dat geen enkele virusscanner de malware detecteert. Daarom heb ik het gestuurd naar 2 anti-virusbedrijven, waarvan 1 mij verteld heeft (F-Secure) dat dit een PUA betreft. De overheidsmalware is tevens geupload naar Hybrid Analyses. De links zijn: https://www.hybrid-analysis.com/sample/306ccab13ca5ba76c9213169599c549a432c97e7332b87db8ed5afb32d0d7749?environmentId=200 en voor VirusTotal: https://virustotal.com/en/file/306ccab13ca5ba76c9213169599c549a432c97e7332b87db8ed5afb32d0d7749/analysis/
Hans de Zwart
Dank voor deze extra info. We hebben ooit aan anti-virusmakers gevraagd of ze mee zouden werken met overheden als die ongemerkt spyware zouden willen installeren op mensen hun apparaten. Eigenlijk zeiden alle anti-virusmakers dat ze dan niet zouden doen. Als de overheid (bizar genoeg!) in het volle zicht bewoners gewoon dwingt om software op hun telefoon te installeren is het natuurlijk een ander verhaal.