People reuse passwords. This is not secure. But people do it anyway. So, can we make it more secure? Yes we can! In fact you can securely sign in with a single master password on all sites you visit. Plugins like PwdHash show how this can be implemented without requiring sites to change their login procedure in any way. In this post I will discuss a slightly different approach to implementing such a plugin, compare it to PwdHash, and discuss some of the usability issues related to these systems.

Read the rest of this entry »

Vanwege de ontdekking van de Heartbleed bug wordt iedereen aangeraden om voor al zijn accounts een nieuw wachtwoord te kiezen. De vraag is dan natuurlijk: hoe doe je dat? Hierbij een aantal tips gebaseerd op een analyse die ik eerder maakte.

Read the rest of this entry »

The Heartbleed bug in a software library (called OpenSSL) used to secure many websites allows an attacker to trick these websites to send an arbitrary memory block of 64 kilobytes back to him. In this blog post I will argue that the way this bug was disclosed has greatly increased the damage it causes.

Read the rest of this entry »

Gister ontving ik onderstaande email. Een overduidelijk geval van phishing. Maar wel een die in behoorlijk Nederlands was opgesteld, en op de Nederlandse actualiteit inspeelde. En waarbij mogelijke privacy zorgen als lokaas aan het ‘vishaakje’ werden gebruikt. Een grappig bewijs uit onverwachte hoek dat mensen zich steeds meer zorgen over hun privacy beginnen te maken (als zelfs criminelen er een business opportunity in zien).

Read the rest of this entry »

Afgelopen donderdag stond er een mooi artikel van Maurits Martijn op de Correspondent. Over hoe je simpelweg gebruikers van openbare draadloze netwerken kunt hacken. En er zo achter kunt komen welke websites ze bezoeken, met welke andere draadloze netwerken ze eerder contact hebben gezocht (en dus waar ze eerder zijn geweest), en zelfs hun wachtwoorden kunt achterhalen. Het erge is: ik weet dit eigenlijk al jaren, maar had het me de ernst daarvan nooit echt gerealiseerd. (Soms zit je zo dicht op de materie, dat je essentie ervan even niet meer ziet.) En het is eerlijk gezegd behoorlijk ernstig…

Read the rest of this entry »

After Apple released a document last month describing iOS security in detail for the first time, a lively discussion about iMessage security ensued on Hacker News. The main criticism: users so not need to (cannot even) verify the authenticity of the public keys used to encrypt the messages. Instead users need to trust Apple to give them the right keys, and not to sneak an extra key in that would allow Apple (or the NSA) to eavesdrop on your messages. But is this criticism fair?

Read the rest of this entry »

When signing in to iMessage, your phone sends the AppleID and password in the clear over a secure channel to Apple’s directory service (IDS). This shouldn’t be an issue, except that the channel is secured using TLS (which has some issues lately, especially on iOS). As a result, it is easy to mount a man-in-the-middle attack, allowing an attacker to retrieve the password.

Read the rest of this entry »