Veckans fråga: Hur håller du ordning på dina inloggningsuppgifter?

snarare omöjligt

https://protonmail.com/blog/wp-content/uploads/2019/03/passwords_blog_protonmail.png

slänger du in svenska fraser eller ord som inte finns i i vanliga ordlistor så är det praktiskt taget omöjligt

Den där kommer ofta upp och det var ganska bra råd när den var ny, 2014, men idag är den föråldrad. Sen missade många den viktiga detaljen att orden ska vara framslumpade, inte ord man råkar komma att tänka på eller något sådant, och utan den slumpmässigheten var det en dålig metod redan 2014.

Rent logiskt känns det förstås bra. Fyra slumpade ord ur en vokabulär av många tusen låter ju svårt att knäcka, men orden folk väljer är ett ganska litet subset av ett helt språk.

Så ska man föra över detta till idag så bör man ha fler ord, fyra räcker inte på långa vägar (redan innan serien kom upp så hade rekommendationen ändrats till fem ord, men det var ändå 2014), och de bör vara slumpmässigt valda (på riktigt slumpmässigt) ur ett stort urval gärna på flera språk. Man bör också använda mellanslag mellan orden för att öka variationen.

Se exempelvis denna artikel från 2019 där han lyckades knäcka en genererad passfras med fyra ord på sex dagar. Idag hade det förstås gått ännu snabbare.

Det här är lite en fråga vad man litar på.

Kan man lita på att lösenordshanteraren verkligen är säker och pålitlig, vad händer om man på ett eller annat sätt skulle tappa tillgången till den?

Även 2-faktor har ju också sina svagheter, vad händer om man tappar enheten och de andra återställningskontoma också har 2fa?

Finns en del fallgropar kring det med lösenordshanteringen och inget är helt felfritt.

Använder själv en kombination av minnet, några system för hur lösenorden sätts, digitala anteckningar (som är delvis förvrängda och inte ren klartext) mest för att hålla koll på kontonamnen och ungefär vilket lösenordssystem som används.

Utmaningen ligger då främst i att lyckas ha olika lösenord för olika konton, inte minst sådana som har någon slags koppling till varann. T ex vill du ju absolut inte ha samma lösenord till mailen som till något konto där mailen är registrerad el används som kontonamn. Det är ju så en del har fått många konton kapade i ett svep.

Har i en del fall haft lösenord som jag inte själv skulle kunna säga, då jag inte visste exakt vilka tecken det var men visste hur jag skulle skriva dem.

Provade för övrigt någon gång hur det gick att komma ihåg en slumpgenererad sekvens med 32 tecken, inkl specialtecken/siffror/gemener+versaler m m. Tog inte så länge innan jag kunde komma ihåg den exakt.
Men det är ju inget man vill ha som lösenord då redan 8 tecken är svårt nog att knäcka, de flesta system har ju även skydd som slår till vid ett antal felaktiga försök.

Bytte från lastpass till bitwarden för något år sedan. Var väldigt enkelt att importera från Lastpass till Bitwarden dessutom så tog inte många sekunder innan allt var klart, tycker den är hur smidig som helst.

Slumpade strängar, aldrig ord, men inte heller sådana enkla logiska byten.

Sen kan man ju fråga sig hur säkra lösenorden måste vara?
Slumpgenererade med specialtecken är nog svåra nog att knäcka. Dessutom har som sagt de flesta system skydd mot upprepade försök till inloggningar.
Skulle någon aktör spara uppgifterna på ett osäkert sätt, som uppdagats ibland, kommer de ev ändå åt lösenordet i sin helhet oavsett hur det är. Har man sen icke-logiska (dvs inte typ a=@) mönster för byte och inlägg av tecken bör det ju vara säkert nog.