<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Den fre 16 sep. 2022 kl 21:42 skrev Ralf Senderek <<a href="mailto:crypto@senderek.ie">crypto@senderek.ie</a>>:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>
<br>
In order to design the best electronic password safe, IMHO privilege<br>
separation is an essential ingredient, although not the only one.<br>
<br>
Of course there is an attack surface on such a thing as the latest<br>
report of Linux malware<br>
<br>
<a href="https://arstechnica.com/information-technology/2022/09/new-linux-malware-combines-unusual-stealth-with-a-full-suite-of-capabilities/" rel="noreferrer" target="_blank">https://arstechnica.com/information-technology/2022/09/new-linux-malware-combines-unusual-stealth-with-a-full-suite-of-capabilities/</a><br>
<br>
shows. Such code that starts as a few bytes executed in memory with no<br>
trace in the filesystem, gains its full destructive force when a<br>
privilege separation vulnerability is exploited. We'll see more of<br>
this in future. But this does not mean we must give up on the attempt<br>
to secure passwords on the electronic device.<br>
<br>
It might as well mean that we need to add an external device to the<br>
mix to ensure that manual actions on such a device is necessary to<br>
enable the use of stored passwords. So I'd like to ask people on<br>
the list who might have experience of using external security devices<br>
(like for example the yubikey, or similar) to share their experience<br>
in order to integrate this into the best electronic password safe<br>
solution.<br>
<br>
    --ralf<br></blockquote><div><br></div><div>In the last several years in Sweden, the most common solution for electronic authentication to banks and goverments, BankID, has been using an app which shows you details about what you're authenticating (if you're logging in or approving a transaction, which organization you're authenticating to, who the recipient of a transaction is, the sum, etc).</div><div><br></div><div>Some banks have also started switching to security tokens with a built in camera for when you want to log in without a smartphone app;</div><div><br></div><div><a href="https://www.swedbank.se/privat/digitala-tjanster/sakerhetsdosor.html">https://www.swedbank.se/privat/digitala-tjanster/sakerhetsdosor.html</a><br></div><div><br></div><div>The top device scans a Qr code and shows you what you're approving. The message is encrypted so the browser don't know what it says, and the device has to generate an appropriate one-time response code for you to enter.</div></div></div>