Säkerhetsexpert: "Att periodiskt byta lösenord är en säkerhetsrisk"

Jag tror att XKCD:s seriestripp om lösenord har gjort mer för lösenordssäkerheten än någon annan enskild instruktion eller publikation!

Det finns dock en attack som vi måste ha i åtanke när vi följer XKCD:s rekommendation. Att XKCD inte lyfte denna aspekt i seriestrippen är inte så konstigt, eftersom alla aspekter inte kan få plats i några enstaka serierutor. Attacken som jag tänker på är ordlisteattacken. När vi använder ord som förekommer i ordlistor, kan den som vill knäcka vårt lösenord göra det enklare än genom att testa varje enskild teckenkombination. Vi kan samtidigt göra ordlisteattacken orimligt svårt att genomföra genom att välja ett tillräckligt långt lösenord. Det är alltså en god idé att följa XKCD-rekommendationen, så länge det totala lösenordet blir långt.

Det som jag förespråkar i artikeln, "lösenstrunt", är en variation på XKCD-rekommendationen. Genom att använda totalt nonsens (t.ex. primhoppiwestapoffopaff, läs prim-hoppi-westa-poffo-paff) får vi långa lösenord där inte varje enskilt delord förekommer i någon ordlista. Givetvis går det även att gå en kompromissväg mellan totalt lösenstrunt och XKCD-modellen.

Är lösenstruntmodellen helt säker då? Måste attackeraren testa varje enskild teckenkombination för att knäcka ett lösenstrunt? Nej. Inte ens lösenstruntmodellen är så säker. I och med att vi kan läsa upp lösenstruntet följer det våra språkliga regler för kombinationer av bokstäver. Om det finns ett system som vi kan kombinera ihop bokstäver efter när vi bygger lösenstruntet, finns det också ett system som attackeraren kan kombinera ihop bokstäver för att knäcka lösenstruntet.

En omdiskuterad funktion i lösenordshanteraren Lastpass är möjligheten att skapa lösenord (lösenstrunt) som är uttalbara. Då kombinerar Lastpass ihop en nonsenssträng som ändå blandar vokaler och konsonanter på att uttalbart vis. När Lastpass har ett system för att kombinera ihop lösenstruntet, finns det också ett system för att knäcka det.

Detta innebär dock inte att uttalbara lösenstrunt är dåliga. Så länge vi kan skapa tillräckligt långa lösenstrunt blir de fullständigt oknäckbara i praktiken. Längden är det viktiga. Den enda gången jag inte använder lösenstrunt är på undermåliga webbplatser där jag enbart kan ange exempelvis tolv tecken. Då genererar jag i stället en totalt slumpmässig teckenkombination. Annars använder jag alltid långa lösenstrunt.

Jag skulle vilja nominera din kommentar till trådens bästa kommentar. Att tvinga medarbetarna till periodiska lösenordsbyten gör mer för att den ansvarige ska känna att han/hon har gjort något för att höja säkerheten än för säkerheten i sig. Det är en policy som är systematiskt lätt att införa och i teorin är det ju ingen dålig idé. Idén blir först dålig när följdkonsekvenserna uppstår. Jag tror också att nästintill alla som läser denna tråd har gjort som du beskriver och haft en inkrementell siffra på slutet (inkl. undertecknad). Visst är det fantastiskt att vi till och med envisas med att sätta siffran på slutet?

Du satte verkligen huvudet på spiken med din avslutande mening: "forcera byte av lösenord" är i min mening bara ett tecken på att man i stället borde se över en bättre lösning.

aaaaaaaaaaaaaaaaaah! Dåså

Använder en password manager, har så mycket lösenord till allt möjligt så klarar mig inte utan en sån.
Alla lösenord är unika och framslumpade efter vissa ramar tex små/stora bokstäver siffror och en del andra tecken, och väljer längd på dessa lite efter på hur pass säkra de behöver vara, på vissa oviktiga ställen behöver de inte vara komplicerade då det gör det samma om nån skulle knäcka det.

Andra ställen är väldigt viktiga och får långa komplicerade lösenord.
Dock byter lösenord gör jag nästan bara om man blir tvingad...

Sedan mobilt bankID är ju det bästa sedan färdigskivat bröd, men ogillar bankid på fil som hör till forntiden och är ett omständligt primitivt system, lycka till om man tex vill köpa en SL biljett med bankid på fil

Använder inte molnbaserad lösenordshanterare...och använder aldrig biometriska tekniker som ansikte, fingeravtryck eller liknade.
Roliga med senaste iphones ansikteingenkänning var ju att det var så lättknäckt.. som att köra med sommar2018 fast ännu enklare...

Det är lättare sagt än gjort dock och funkar bara i Sverige samt att man då genast får PUL (och snart GDPR) att bråka med. Så nej, ingen bra ide

Kan du posta ett foto så man får se hur det ser ut?

Förutom bankerna då

Båda är BankID så du är själv en av dom som fortfarande använder BankID då

Testa t.ex. att dra igång en inloggning på med Mobilt BankID på Skatteverket och sen en på något annat ställe, t.ex. Avanza, innan du autentiserar dig så ser du vad som händer. Man kör med egna tokens för att vara säker på att det är ens egen inloggning man kollar också (eller iaf borde göra).

Som?

(Alla större företag mörkar för övrigt säkerhetsbrister oavsett BankID, även om det blivit svårare och svårare numera)

Vet av egen erfarenhet att det ofta är typ revisorer och liknande som anser sig vara experter även på IT som i praktiken står bakom många av dessa regler som tillämpas. Så är det iaf i finansvärlden där man är mer rädd för att få FI på sig än att bli hackade, och blir man det senare vill man gärna kunna hänvisa till att man gjorde som man blev tillsagd.

Så sätt men man skiljer på versionen som finns till datorer och till mobiltelefoner och versionen för datorer anser jag inte riktigt vara så speciellt meningsfull.

Man kan ju alltid använda dosa för att logga in på internetbanken och BankID för att legitimera andra saker som betalning via Swish osv om man nu är såpass paranoid.

Det är dock samma infrastruktur i botten, lite som att låsa upp bilen med nyckeln eller dosan. Dessutom är Mobilt BankID ett marknadsföringsberepp, vad det egentligen handlar om är om BankID:t finns på samma enhet som där man vill autentisera sig eller på en annan. Du kan lika väl köra webbläsaren på telefonen och autentisera dig via ditt BankID på datorn (även om det nog i praktiken är rätt sällan så sker).

Att banken friskriver sig från ansvar borde vara en varningsflagga i sig, men den ändringen var ju inte så vettig heller.

Av säkerhetsskäl har jag inte Mobilt BankID så det är klurigt för mig att testa. Denna artikel visar dock att det är fullt möjligt att logga in med annans Mobilt BankID genom att vinna ovan nämnda "race condition" med enkel "social engineering".

Fast som sagt är det inte telefonens säkerhet som är problemet, det är hur säkerhetsmodellen i Mobilt BankID bygger på timing.

Försökte registrera mig på Lastpass och tydligen så hade jag provat det en gång för länge sedan då min e-post redan var upptagen. Tyvärr finns det ingen möjlighet att återställa kontot om man inte har kvar uppgifterna. Och jag vill inte skapa någon ny e-post för att bara kunna registrera mig där på nytt. :/

Så ett tips: Skriv för tusan ned uppgifterna vid registreringen så slipper ni detta. xD

Passphrase skulle jag snarare översätta till lösenfras. Det som skiljer mellan det jag kallar lösenstrunt och, det mer etablerade, lösenfras är att lösenstrunt ska innehålla minst ett ord som inte finns i ordlistor. På så sätt skyddas lösenordet bättre mot ordlisteattacken som jag pratade om i en tidigare kommentar.

I kvällens Rapport fortsätter SVT att sprida föråldrade lösenordsrekommendationer. De säger: "enligt en ny Sifo-undersökning innebär det en stor risk att använda samma lösenord för länge". Se inslaget här: https://www.svtplay.se/video/16909090/rapport/rapport-11-feb-... (börjar 15.11). Jag har kontaktat SVT, igen.

Samma problem finns med det vanliga BankID vad jag vet även om det var ett tag sen jag testade just detta. Dvs, någon matar in ditt personnummer och lurar dig sen att godkänna med ett "vanligt" BankID. Man skulle möjligtvis indirekt kunna säga att om möjligheten att själva ange personnummer, vilket infördes ihop med så kallat Mobilt BankID, togs bort så skulle problemet minska. Men om just du själv har ett Mobilt BankID eller inte lär inte göra någon skillnad så länge du blir lurad.