Archive for Security

Escape from Password Hell

Managing passwords has been and will continue to be a challenge that will make someone very rich.

I have used PassKeeper for quite a while and track non-important passwords within my firefox, but Passkeeper will not longer hold my large collection of passwords so I have set out to explore my options.

Mashed Life helps you keep a repository of usernames and passwords for websites, even non-Web 2.0.

Verisign’s Personal Identity Portal provides single sign-on by either OpenID supported website to populating the username and passwords fields. Unfortunately a PIP session needs to remain open.

Passpack Online Password Manager provides 1 Click Login supporting OpenID and featured in February 2008 by PC Magazine, also providing offline access.

Clipperz provides password management with offline synchronization.

Clickpass also provides password management services to a certain number of websites providing an API to be embedded into website.

I am still not comfortable with the idea of keeping my passwords online, so I will move to an open source application called KeePass synchronizing with its portable version on a USB stick.

UPDATE: Another player which I will be looking into and reviewing seems to have yet another approach to password management. Usable.com

[ad]

Screencast on Cracking WEP

Just like webcasting, podcasting and other type of castings….. screencasting is also starting to pick up as a way to share the knowledge!!!!! Here’s one on cracking WEP. WEP is a security protocol for wireless devices. More on Wikipedia… (an online FREE encyclopedia growing strong).

The Need for PKI (Business Issues)

In today’s fast-paced and expanding world of internet commerce and communications there has developed a necessity for increased security.

This has created the need for digital signatures and encryption of documents. Implementation of PKI will allow for the verification and authentication of people and documents, as well as providing avenues for secure communications over networks.

This dramatically reduces the threats of fraud and attacks against first line security defenses such as reusable passwords. With the increasing proliferation of password protected applications and the dissemination of passwords among the user community, utilization of the PKI dramatically decreases the vulnerability of computer systems to attacks and attempts at “hacking”.

The prospect of a successful attack, in an effort to thwart security measures that are currently in place is significantly reduced in a managed PKI environment To remain a leader in IT development and competitive in the marketplace, we must embrace state-of the-art-practices and technology.

E-commerce requires confidentiality of sensitive information and authentication of authorized users. A managed Public Key Infrastructure (PKI) will deliver these capabilities along with flexibility to fit with existing policies and practices.

[ad]

Gerencia de Riesgos como Estrategia de Seguridad

No es un secreto que la seguridad informática es una cuestión de alta gerencia en muchas compañías, y que los presupuestos de seguridad tecnológica están creciendo exponencialmente. En una precipitación para asegurar la compañía, tanto vendedores como clientes frecuentemente no comprenden como describir la seguridad como parte integral de cualquier negocio. Solo necesitamos conectar la seguridad tecnológica con las iniciativas de negocios al cual protege.

Cuando analizamos una típica propuesta detrás de nuevas tecnologías de seguridad, vendedores e integradores tratan de ligar la seguridad tanto con ganancias como con el concepto de confiabilidad (“trust”). Implementando una robusta seguridad aumentaran sus ganancias, estableciendo confiabilidad (“trust”) entre sus clientes, proveedores y socios; así reza el slogan. Sin embargo, esto deja una confusión en los objetivos primarios de la seguridad de redes y como las organizaciones deben medir el éxito.

Solamente la seguridad no puede aumentar las ganancias. Una falta de seguridad puede disminuir las ganancias, porque usted perderá la confianza en el mercado. Lo contrario también es cierto: Demasiada seguridad puede reducir las ganancias. Si lo propio en su sistema de seguridad es negar el acceso, creando obstáculos para los clientes, entonces el negocio sufrirá. El truco esta en proveer el balance correcto entre una buenas medidas de seguridad que permitan a las personas correctas accesar la información correcta en el momento correcto.

Lograr este balance es un gran reto dada la dinámica de los negocios digitales. Si su meta es servir cientos de miles, sino millones de clientes, entonces simplemente n no puede darse el lujo de administrar cuentas para todos esos usuarios. Eventualmente, tendrá que aceptar entes que un tercero define y asegura. Usted tampoco puede saber que software de cliente esos clientes utilizan, por lo que tendrá que aceptar cualquier cliente, incluyendo celulares y PDAs, además de los navegadores Netscape y Microsoft IE.

La seguridad de los negocios digitales no es acerca de manejar confiabilidad (“trust”), sino de gerenciar el riesgo. Cuando establecemos y mantenemos una relación con un cliente, proveedor o un socio, debemos pensar en esta relación, no en términos de confiabilidad sino en los riesgos que estamos dispuestos a aceptar. Y debemos de ver nuestros sistemas de seguridad como una forma de gerenciar riesgos.

De aquí podemos ver lo útil que es observar como los negocios gerencian el riesgo. Primero, cuantifican el riesgo, evaluando las probabilidades y consecuencia de un nocivo acontecimiento. Luego determinan responsabilidad o quien se perjudica si el incidente ocurre. El segundo paso es tomar medidas correctivas. Los negocios normalmente aminoran el riesgo, disminuyendo las probabilidades, las consecuencias o ambas. Ellos también transfieren la responsabilidad. Los negocios frecuentemente adquieren pólizas se seguro para la indemnización de su organización y de terceros.

La seguridad de redes frecuentemente solo considera la prevención en esta ecuación. Para tener éxito a largo plazo, la seguridad debe ayudar a las organizaciones a gerenciar el riesgo, permitiéndoles ceder o y gerenciar la responsabilidad mas claramente. Sistemas de autenticación permiten a una organización transferir la responsabilidad a una cuenta, y la persona (o ente) a la cual pertenece dicha cuenta.

A través de políticas que se vinculan al proceso de negocios, usted puede definir explícitamente lo que las personas pueden hacer, y cuando lo pueden hacer. Funciones de registros (logging) y auditoria, le dan la habilidad inspeccionar y probar que algo paso.

Básicamente, usted puede sustentar o negar reclamos de responsabilidad basados en un récord de las actividades.

Finalmente, una amplia gamma de instrumentos de seguros esta emergiendo para indemnizar a los negocios digitales. Estas herramientas deben trabajar como anillo al dedo, para proporcionar la gerencia de riesgos que los negocios necesitan.

Muchos de los productos de seguridad de hoy en día, no cubren estas necesidades completamente. Pero la planificación de estrategias de seguridad por parte de las organizaciones deben seguir por estas líneas. Ir mas allá del concepto de confiabilidad (“trust”) como la base de sistemas de seguridad de un negocio es la clave para el éxito a largo plazo, y la verdadera justificación para ese presupuesto de seguridad.

[ad]