Fake om folk och deras lösenord

Möjligt att det är regisserade intervjuer men det är nog ofta rätt dåligt ställt i verkligheten när det kommer till lite "social engineering".

För egen del blir det långt slumpgenererat lösenord för varje tjänst + lösenordshanterare. (Annars blir det, åtminstone för min del, lätt att man börjar återanvända lösenord och det är ju riktigt kass.)

+ 2-factor när det erbjuds.

Jag kör typ en random mening med lite siffror inkastat.

Återanvänder du lösenord då eller har du något system för att göra detta unikt för varje tjänst?

Jag har försökt det där men klarade det inte i längden. Jag gav upp och har nu närmare 200 helt olika lösenord sparade i min lösenordshanterare.

Jag har ett grundord, sen ett tjänstspecifikt ord, en siffra, ett tecken, och blandat stora och små bokstäver.
På så sätt kan jag hålla koll på kanske 10 talet lösenord och snabbt går det att skriva in

Jag kör på en död gammal katts smeknam(påhittat av ett barn på tio år) ihop med olika årtal som har betydelse för mig. Verkar vara en vanlig taktik för att hitta på lösenord.

Använder Lastpass och unika lösenord med 20+ tecken förutsatt att sidorna stödjer det. Använder runt 50 unika inlogg per dag (totalt troligen mer än 300, kanske närmare 500) och det hade varit väldigt jobbigt med så många olika lösenord utan Lastpass. Tidigare skrev jag ner alla, men att bläddra genom 10 A4 för att hitta ett lösenord var jobbigt, så lösenordshanterare är en välsignelse.

Mina lösenord är rätt komiska, de är dels tvistade gamla mail-lösenord från tiden jag hade Algonet och Telenordia, jag minns dem än idag och tvistar runt dem som en tok, blandar dem med traktormärken och modellnr plus delar av gamla telefonnummer som är nedlagda sedan ca 20 år tillbaka ^^
Gissa om folk får fnatt när de skall logga in på nåt här hemma och frågar "vad sa du nu igen...äh, för helvete, skicka ett sms, det här funkar inte!"

Underligt nog får jag aldrig förslag från sajter att mina lösenord är för dåliga^^

Tyvärr är det fortfarande rätt vanligt att man hittar Post-it med lösenord på skärmar samt under tagentbord och musmattor

Tills siten blir hackad och man måste byta lösenord för att det ska bli säkert igen. Då måste man frångå modellen om så bara med ett tecken och då blir det ett test för minnet igen ;).
Men det är en av de bästa modellerna ändå, agreed.
Själv har jag lösenordshanterare för jag byter lösenord för mina tjänster då och då men gör det sällan för alla samtidigt.

Har inga nedskrivna lösenord, kör med system med dvs grundord och sedan mutationer av dem en del datum och lite annat.

Men för att vara helt ärlig, kraven på lösenord hos många sidor som kräver siffror, skräptecken etc är överdrivet. Under förutsättning att man tänker till lite.

Har dem i huvudet, använder en algoritm likt en som @SysGhost beskriver.

Dvs. Referensord+standardord+nummer.
t.ex referensordet är ett ord associerat med sidan lösenordet finns på, för Sweclockers hade jag kanske använt 'Swec' eller 'Nördar'. Ett standardord är det ord som är samma för alla sidor, kan vara vad som helst, jag tar gärna något med åäö för det gäls som ickestandard symboler. Det numret kan vara ett numret som du associerat med sidan, datumet du skaffade medlemskap, en gammal väns telefonnummer som du minns än eller något annat, det ger bara ytterligare en nivå av säkerhet, det kan vara standard eller slumpat från sida till sida.

Jag begriper inte hur alla ni som kör lösenordshanterare klarar av det. Har ni bara en dator? Ingen mobil? Surfplatta? Använder ni aldrig någon dator eller annan enhet som inte tillhör er?

Själv har jag olika på alla sajter, alla över 20 tecken. Förutom förstås på jävla Microsoft och PayPal, som har en begränsning på 16 respektive 18 tecken om jag minns rätt. Varför just mina två absolut viktigaste lösenord är begränsade på detta sätt övergår mitt förstånd, så kan någon förklara varför dessa företag, som förvaltar miljoner människors pengar och liv, struntar i säkerhet på detta sätt?

Inte ett dugg förvånad, konto hantering är säkerhet är inget som gemene man arbetar med.
Jobbar som IT-Konsult och även där kan säkerhetstänket vara riktigt bristande, kollegor som använder samma konton, lösenord som är sparat i notepad eller på lappar.

Minns en kompis som berättade att han satt på skolan och pratade med sina polare om det där med lösenord.
Så kommer någon trevlig ung dam från samma klass och säger "Mitt lösen ord är hej123, det är så dumt att ingen någonsin kommer gissa det!".... jupp.

Jo då.
Det går att lösa på flera sätt.
Har du keepass exempelvis så har du även en app i telefonen för detta. Lägg bara filen i dropbox. Och detta går givetvis med instick i webläsaren att komma åt på alla datorer också.
Och ja, det är säkert. Jag kan berätta för alla på jorden var min keepassfil är helt öppet. Svårighetsgraden på lösenordet är så pass komplext att det inte går att komma in utan att ha lösenordet.

De flesta lösenordshanterare har ju möjlighet att dela din lösenordsdatabas antingen i form av en lokal fil som du kan lägga i valfri molntjänst (Dropbox, GDrive, OneDrive), eller helt enkelt låta tjänsten vara webbaserad till att börja med (LastPass). Själv kör jag med LastPass Premium och har webbläsartillägget installerat på alla mina datorer + appen installerad på mobilen. I annat fall kan man alltid logga in och komma åt sina lösenord från deras webbsida (med tvåfaktorsautentisering såklart). Och i absolut värsta fall har jag memoriserat mina lösenord till det allra viktigaste (mail i första hand, men även ett par andra) så att jag åtminstone kan återställa alla andra lösenord.

Jag vet att det finns en hyfsad andel som inte litar på en webbaserad lösenordshanterare såsom LastPass, men om man vill ha tillgång till sina lösenord överallt måste man ju ändå hitta något sätt att dela databasen mellan alla sina enheter. Då litar bra mycket mer på LastPass än Dropbox/GDrive/OneDrive. Men med tanke på krypteringen som dessa tjänster använder tror jag faktiskt inte det är någon större risk att dina lösenord kommer på villovägar vilken av dessa metoder man än använder, i slutändan handlar mycket om personlig preferens

Jag har flera datorer, 2 mobiler och 1 surfplatta. Alla enheter stödjer Lastpass som app eller tillägg i weblässaren så där är det inget problem. På vissa hemsidor som inte är så viktiga har jag ett lösenord i huvudet, andra har autogenerade via Lastpass

Problemet är att vanligtvis är det bara om man får virus eller om siten blir hackad (Så att mängder av lösenord läcks) som någon får tag i lösenordet. Då spelar inte längden på lösenordet någon roll utan det viktigare att ha unika lösenord.

(Men självklart ska man ha starka lösenord ändå)

KeePass med ordentligt kryptad databasfil som jag synkar mellan alla relevanta enheter (stationärt, bärbart och mobilt - KeePass finns ju till en hel drös plattformar). Använder unika slumpmässiga lösenord för varje konto, med så många tecken som möjligt. Säkraste och smidigaste lösningen hittills, för min del.

Vi snackar inte om lösenord i stil med "blåbärspaj76".

Jag byter mönstret i mitt system varje år...*host* nästan... *harkel.
Man behöver ju inte följa just det mönstret i mitt exempel.
Ytterligare exempel:
(Födelseår - (antal tecken i domänen x 10) ) + specialordmönster + 2 slumpvalda tecken. + (årtal + mitt födelseår)
Specialordmönstret kan vara en korsning tär man varvar bokstäver från ett par tre olika ord av samma längd:
Två ord av samma längd och det tredje ordet är de x antal första tecknen i domännamnet. I detta exempel 4 tecken:

test
----
1111

star
----
2222

swec
----
3333

Blir då följande:

t s s e t w s a e t r c
- - - - - - - - - - - -
1 2 3 1 2 3 1 2 3 1 2 3

Exempel baserat på mönstret ovan:

• Sweclockers: 1830tssetwsaetrc#$3995

• Facebook: 1860tsfetasactre#$3995

• Google: 1880tsgetosaotrg#$3995

Betydligt knepigare för en oinvigd att lista ut vad mönstret består av, även om denne får tag på flera lösenord att jämföra med varandra.
Men tillräckligt enkelt för mig att memorera. Inte lösenorden, men mönstret som används. Kan krävas lite tankekraft första gångerna när man bytt system, men efter ett tag så memorerar man ändå delar av lösenordet.
Och angående specialordmönstret: Där använder skriver man bara varje ord var för sig, men i kombination med piltangenterna så att orden sammanvävs automatiskt när man skriver dem.

T.ex:
Första ordet i ren form:
test
Väv in andra ordet med hjälp av bokstav + pil höger:
tsetsatr
Väv in tredje ordet med hjälp av bokstav + pil höger 2ggr.
tssetwsaetrc

Voilá!

Dock inte omöjligt för någon att lista ut det om de bara ser till att fundera ordentligt på det. Men det är i alla fall inte glasklart vid första anblick.
Det är bara ens egen fantasi som sätter gränsen på hur komplicerat man vill ha det. Vem säger att det måste vara ord med enbart gemener? Ett av orden kan också vara en grupp specialtecken också. Istället för "star", kan man ha: "%$¥*"
Exempel: teST + %$¥* + sWeC = t%se$WS¥eT*C.
De tre separata grupperna är lätta att memorera, men svårt för oinvigda att lista ut när de bara ser de sammanvävda kombinationerna.
...och längre ord än 4 tecken... fungerar också.

3 stycken 12 tecken långa grupper: (Första ordet l33tifierad)
k0rp1lomb01o + !"#¤%&/()=!" + sweclockers. = k!s0"wr#ep¤c1%ll&oo/cm(kb)e0=r1!so".
Bara den kombinationen utan ytterligare tillägg är redan starkt nog, och lätt att komma ihåg.
Enligt https://howsecureismypassword.net/ tar det en "desktop-dator" bara 429 novemdecillion år, då det ger 54 quinquavigintillion kombinationer.
Den andra teckengruppen är bara sifferraden på tangentbordet i rak följd med skift intryckt: 123456789012 = !"#¤%&/()=!"
(Tidsuppskattningarna från howsecureismypassword får tas med en grävskopa salt men ger ändå en liten fingervisning )

Tillägg:
Personligen är lite emot att använda lösenordsdatabaser. Oavsett hur stark kryptering de än använder.
Kan jämföras lite med att låsa in alla sina unika nycklar i ett kassaskåp, och sedan bara ha en nyckel till kassaskåpet.
...och givetvis väljer man ett säkert lösenord även där, som kräver att det antecknas... (Hänga nyckeln bredvid kassaskåpet.)
Visst kan man använda mitt system för databasen, men hur som så är alla lösenorden utbytta mot ett enda lösenord.
Man kan också dubblera säkerheten genom att köra med nyckelfiler + lösenord. Skulle endera komma på villovägar, så blir det lite svårare ör utomstående att ta sig in.

Det en hacker inte kan fixa med "brute force", tar denne med "social engineering".

Jag kan erkänna att jag kommit över andras Keepass databaser och tillhörande lösenord med hjälp av lite "social engineering".