Säkerhetsexpert: "Att periodiskt byta lösenord är en säkerhetsrisk"

Permalänk
Medlem
Skrivet av anon910:

har kört med samma på alla webbplatser sedan 1995 och det är ett av de vanligaste lösenorden och än idag har jag inte råkat ut för något intrång.

Skrivet av Exitus:

Har haft samma kod sedan 1998, aldrig ett intrång här eller.

Hur vet ni det?

Permalänk
Medlem

Hur bra funkar lösenordshanterare om normen är att man oftast använder gästinloggning på olika publika datorer?
En lösenordshanterare bör ju vara en separat dosa man bär med sig, där aktuellt lösenord visas i en display, och då blir det inte så lätt att manuellt skriva in långa komplexa lösenord...

Sämsta säkerhet jag stött på var Televerkets interna rikstäckande datasystem i slutet på 80-talet.
Enfaktorinloggning: Bara lösenord! Unikt för nätverket och inga krav på komplexitet. Fyra siffror var en vanlig kombination. Säkerheten byggde främst på att terminalerna skulle vara fysiskt svåra att komma åt för obehöriga.

Tvåfaktorinloggning, som dessutom kräver användarnamn, är klart säkrare!
Ännu mer ökar säkerheten om "användarnamn" byts ut mot "smartcard", vilket tillämpas på min arbetsplats.
Trefaktorinloggning, som kopplas till aktiv användning av annat objekt (SMS till telefon), ger mycket mera jobb.

Jobbigaste version jag stött på var CYD-poolen i mitten av 90-talet. En datorsal för C-, Y- och D-sektionerna på LiTH. Användarna hade eget konto med lite lagringsutrymme på en server, kunde komma åt Internet och skrivare. Absolut inget som krävde hög säkerhet, så vitt jag vet.
* Påtvingat lösenordsbyte med någon månad eller två emellan.
* Lösenordet var tvunget att ha en viss komplexitet.
* Lösenordet fick inte tidigare ha använts av någon användare i systemet!
Tar man i beaktande att jag bara besökte salen ungefär en gång i kvartalet för att snabbt under en rast komma åt en skrivare så var det måttligt roande att dels behöva försöka komma ihåg det lösenord jag i affekt skapade under stress två-tre månader tidigare (vilket förstås var omöjligt) och sedan byta lösenord vid varje inloggning!

Skrivet av Hurtigbullen:

Du är mao inte kund hos Swedbank
... de gamla hederliga bankdosorna (utan koppling till dator) är säkrare, även om dom inte är lika bekväma som mobilt BankID.

Jag är kund hos Swedbank och tycker att där finns både högt och lågt.
* Den fyrsiffriga personliga koden ger inte mycket säkerhet, men den kunde (kan?) heller inte användas till mycket mer än att kontrollera saldo.
* Jag har i många år använt dosa med enkel PIN där ett åttasiffrigt tal in genererar ett annat ut för att verifiera. Har fungerat bra ända tills banken, till synes utan förvarning, inte längre accepterar den metoden.
* Nu är det primärt BankID som gäller, och där förespråkar banken (ger dig "gratis") de två svagare lösningarna med mjuka certifikat framför varianten med ID-kort och dosa (som kostar en hel del pengar för kunden).

Jag undrar hur säkert BankID med mjukt certifikat är när någon olovandes tar sej in i datorn, kopierar (det krypterade?) certifikatet och installerar keylogger för att komma åt lösenordet?

Skrivet av Hurtigbullen:

Företags IT-policy vad det gäller säkerhet kring lösenord är i min mening ofta minst sagt ogenomtänkt.

Ett tvättäkta exempel:

  • Det nya lösenordet levereras på ett tämligen ok sätt genom ett SMS till den registrerade firmatelefonen.

  • Det nya lösenordet är givetvis ... långt och svårt att komma ihåg, typ "AgSFWEdkjhf%8kmnf-:#42¤_". ...

Problemet med detta är att användare (dvs jag) inte har en jävla susning att kunna komma ihåg det! Dessutom tar det ju en kvart av högljutt mumlande och avstavande innan man lyckats skriva in det rätt. Därför bör jag ju givetvis direkt ändra det till något som jag har möjlighet att komma ihåg.
Det är nu man springer på en ren dumhet; man får inte ändra lösenord för ofta och absolut inte mer än en gång per vecka!

På min arbetsplats funkar det i alla fall lite bättre:
* Ett simpelt lösenord levereras omgående via den interna eposten (tillåter "klipp och klistra"!). Lösenordet är bara giltigt en begränsad tid, typ ett dygn.
* Vid första inloggning tvingas man byta till ett eget.

Sedan måste vi byta lösenord minst en gång var tredje månad eller så, och får inte använda ett som är för likt föregående eller har använts de senaste åren.

Skrivet av Exxovion:

Försökte registrera mig på Lastpass och tydligen så hade jag provat det en gång för länge sedan då min e-post redan var upptagen. Tyvärr finns det ingen möjlighet att återställa kontot om man inte har kvar uppgifterna. ...

Jag råkade ut för liknande med PayPal. Registrerade ett konto någon gång för länge sedan för att kunna göra en transaktion och förväntade mig inte att använda det mera. Ungefär fem år senare, då jag ville använda det igen, kunde jag inte för mitt liv komma på lösenordet. Det jag minns av ledtrådarna var att jag skrev något nonsens där också...
För att åter komma åt kontot måste jag ringa något utländskt telefonnummer och ange numret på det kontokort jag anslutit, vars giltighetstid gick ut två månader efter registreringen...

Permalänk
Medlem
Skrivet av Djhg2000:

Senast jag kollade byggde Mobilt BankID på att du vinner ett "race condition", det vill säga att du hinner först. Om någon vet/gissar att ditt personnummer använder Mobilt BankID är det bara att skicka massor med inloggningsförsök tills de lyckas träffa i glappet mellan ditt riktiga inloggningsförsök och att din app godkänner det.

Ok, om det stämmer är det förstås inte bra, det måste jag kolla upp. Men borde det inte i så fall vara samma/liknande problem med "stationärt" BankID?

EDIT: Jag tog en arbetspolare till hjälp och testade detta (inloggningsförsök med samma personnummer mot samma sida och även annan sida), och hur vi än försökte så gick det inte. Mot samma sida så får man antingen meddelandet "Försöket avbröts" eller "Tekniskt fel" beroende på timing, och mot annan sida får man bara upp ett varningsmeddelande om bedrägeriförsök och instruktioner för vad man kan göra åt detta. Således verkar det som de har fixat problemet, men det är förstås bara ett anekdotiskt bevis - det var bara ett snabbtest så det kan givetvis ändå finnas säkerhetshål.

Skrivet av Djhg2000:

Men när vi ändå är inne på det är det väldigt få telefoner utöver Nexus/Pixel som får säkerhetsuppdateringar inom rimlig tid. Det räcker med att någon hackare av den egoistiska sorten kommer på att Mobilt BankID är ett mål värt jobbet, särskilt nu med Meltdown (som ARM har sagt drabbar Cortex-A15, -A57, -A72 och -A75) och Spectre.

Visst är det så. Det är huvudsakligen därför jag kör LineageOS, som uppdateras ofta och långt efter tillverkaren har gett upp (har en Samsung S5). Kör heller inte rootat, och är väldigt noga med vilka appar jag installerar.

Visa signatur

5950X, 3090

Permalänk
Medlem
Skrivet av improwise:

Samma problem finns med det vanliga BankID vad jag vet även om det var ett tag sen jag testade just detta. Dvs, någon matar in ditt personnummer och lurar dig sen att godkänna med ett "vanligt" BankID. Man skulle möjligtvis indirekt kunna säga att om möjligheten att själva ange personnummer, vilket infördes ihop med så kallat Mobilt BankID, togs bort så skulle problemet minska. Men om just du själv har ett Mobilt BankID eller inte lär inte göra någon skillnad så länge du blir lurad.

Senast jag använde vanliga BankID (på tiden då det fanns stöd för Linux) byggde det på ett asymmetriskt nyckelpar och "challenge-response", vilket i praktiken betyder att programmet måste se inloggningssidan på något sätt. Det är nog inte omöjligt att lura heller men det behövs något i kalibern av "spearfishing". Då är du nog körd oavsett vilken du använder för vad jag minns finns det inget kryptografiskt fingeravtryck inbyggt i vanliga BankID.

Skrivet av backfeed:

Ok, om det stämmer är det förstås inte bra, det måste jag kolla upp. Men borde det inte i så fall vara samma/liknande problem med "stationärt" BankID?

EDIT: Jag tog en arbetspolare till hjälp och testade detta (inloggningsförsök med samma personnummer mot samma sida och även annan sida), och hur vi än försökte så gick det inte. Mot samma sida så får man antingen meddelandet "Försöket avbröts" eller "Tekniskt fel" beroende på timing, och mot annan sida får man bara upp ett varningsmeddelande om bedrägeriförsök och instruktioner för vad man kan göra åt detta. Således verkar det som de har fixat problemet, men det är förstås bara ett anekdotiskt bevis - det var bara ett snabbtest så det kan givetvis ändå finnas säkerhetshål.

Låter som de har förbättrat implementationen lite då, men jag tvivlar på att de har täppt till hålet ordentligt. De har ju inte precis imponerat med sin kompetens hittills i mina ögon.

Skrivet av backfeed:

Visst är det så. Det är huvudsakligen därför jag kör LineageOS, som uppdateras ofta och långt efter tillverkaren har gett upp (har en Samsung S5). Kör heller inte rootat, och är väldigt noga med vilka appar jag installerar.

Det hjälper naturligtvis extremt mycket men det är inte en skottsäker metod. Kör du senaste dagliga eller stabila versionen?

Visa signatur

Mjölnir: Ryzen 9 3900X | X570-I | Ballistix Sport 32GB | Powercolor RX 5500XT 4GB ITX | Kolink Sattelite
Server: Ryzen 5 1400 | X470-F | Ballistix Sport 24GB | ASUS HD 7790 2GB | Sapphire RX 470 8GB ME | NZXT Switch 810

Permalänk
Medlem
Skrivet av backfeed:

Ok, om det stämmer är det förstås inte bra, det måste jag kolla upp. Men borde det inte i så fall vara samma/liknande problem med "stationärt" BankID?

EDIT: Jag tog en arbetspolare till hjälp och testade detta (inloggningsförsök med samma personnummer mot samma sida och även annan sida), och hur vi än försökte så gick det inte. Mot samma sida så får man antingen meddelandet "Försöket avbröts" eller "Tekniskt fel" beroende på timing, och mot annan sida får man bara upp ett varningsmeddelande om bedrägeriförsök och instruktioner för vad man kan göra åt detta. Således verkar det som de har fixat problemet, men det är förstås bara ett anekdotiskt bevis - det var bara ett snabbtest så det kan givetvis ändå finnas säkerhetshål.

Precis, tror att dom har ändrat detta rätt nyligen för har inte för mig att det var så tidigare. Ser rätt många ALREADY_IN_PROGRESS i loggarna numera gällande BankID (har byggt ett antal applikationen som använder BankID) som felkod.

Permalänk
Medlem
Skrivet av Djhg2000:

Senast jag använde vanliga BankID (på tiden då det fanns stöd för Linux) byggde det på ett asymmetriskt nyckelpar och "challenge-response", vilket i praktiken betyder att programmet måste se inloggningssidan på något sätt. Det är nog inte omöjligt att lura heller men det behövs något i kalibern av "spearfishing". Då är du nog körd oavsett vilken du använder för vad jag minns finns det inget kryptografiskt fingeravtryck inbyggt i vanliga BankID.

Låter som de har förbättrat implementationen lite då, men jag tvivlar på att de har täppt till hålet ordentligt. De har ju inte precis imponerat med sin kompetens hittills i mina ögon.

Det hjälper naturligtvis extremt mycket men det är inte en skottsäker metod. Kör du senaste dagliga eller stabila versionen?

Idag är det mer ovanligt att man kör direkt mot BankID som man gjorde första gången jag byggde stöd för e-legitimation utan istället går via någon partner och en molntjänst, som t.ex. via CGI som Skatteverket gör. Där kan man i sin tur antingen använda "deras sidor" för autentisering eller använda en egen som sen använder SOAP eller liknande för att sköta kommunikationen. På den tiden hade man dessutom flera utgivare (Telia, Posten, Nordea osv) men idag är det i praktiken bara BankID som gäller för publika applikationer.

Minns att jag efter intenstiv felsökning och Trial and error talade om för Nordea hur man skulle göra för att implementera deras egen autentisering i en .NET miljö vilket även medförde att en hyfsat känd Bank på F..... kunde få igång sin inloggning.

Nordea hade för övrigt lyckats med bedriften att ge ut TEST e-legitimationer där man tyvärr fått med ett riktigt personnummer på en livs levande person boendes på Värmdö. Han var inte helt glad när vi informerade honom om varför vi precis hade tagit en kreditupplysning på honom men förstod iaf att det var Nordeas fel och inte vårt

Det var lite mer vilda västern på den tiden

Permalänk
Medlem
Skrivet av nikka:

I kvällens Rapport fortsätter SVT att sprida föråldrade lösenordsrekommendationer. De säger: "enligt en ny Sifo-undersökning innebär det en stor risk att använda samma lösenord för länge". Se inslaget här: https://www.svtplay.se/video/16909090/rapport/rapport-11-feb-... (börjar 15.11). Jag har kontaktat SVT, igen.

Även om det kanske är lite lösryckt ur sitt sammanhang så är det ju inte helt galet. Däremot skulle jag säga att man kan skilja på företagslösenord och (vad jag antar utan att ha sett inslaget) privatlösenord. Det är enkelt att använda sig av en manager som keepass och lastpass där man kan ha helt slumpmässiga och långa lösenord för hög säkerhet, problemet blir när du vill logga in på Spotify-kontot hos en kompis. Så vida du inte är Rainman lär du knappast minnas att just ditt Spotify-konto hade vOMazit10LX7Lg5DpemB som lösenord.

Pga. detta så väljer också många att använda samma lösenord eller mindre variationer på det på de flesta ställen. För eller senare så kommer antagligen något av dina konton att hamna i en databas som hackas, stjäls, avkrypteras och publiceras. Om du då sitter kvar på dina gamla lösenord du alltid haft så innebär det alltså att du helt plötsligt är ytterst sårbar på många ställen.

Så ja, att byta lösenord bör man nog göra emellanåt men det är ju mest relevant om det är så att du har samma lösenord på väldigt många konton. När det gäller företag så brukar man inte så många lösenord att hålla reda på, i regel 2-3st. Det är ju ändå ofta visst snurr på personal på företagen så förhoppningsvis stängs kontot ned på dagen personen går och däremellan (efter att ha sett till att ett starkt lösenord krävs, men aldrig upphör) så borde det vara ganska säkert.

Visa signatur

..:: trickeh2k ::..
Windows 11 Pro - Ryzen 7 7800X3D - ASUS TUF B650-PLUS - Kingston FURY Beast DDR5 64GB CL36 - MSI MAG A850GL - MSI RTX 4080 VENTUS 3X OC - Acer Predator XB271HU - ASUS VG248QE - QPAD MK-85 (MX-Brown)/Logitech G PRO Wireless - Samsung 960 EVO 250GB, Samsung EVO 860 500GB, SanDisk Ultra II 480GB, Crucial MX500 1TB, Kingston KC3000 2TB - Steelseries Arctic 5 - Cooler Master Masterbox TD500 Mesh V2

Permalänk
Medlem
Skrivet av Djhg2000:

Det hjälper naturligtvis extremt mycket men det är inte en skottsäker metod. Kör du senaste dagliga eller stabila versionen?

"Dagliga", så att säga (brukar vara en ny per vecka, med variationer), men jag brukar inte uppdatera hela tiden utan går igenom changeloggen och ser om det är nåt viktigt som jag vill ha.

Och nej, ingenting är förstås 100% skottsäkert.

Visa signatur

5950X, 3090

Permalänk
Medlem
Skrivet av Olle P:

Jag är kund hos Swedbank och tycker att där finns både högt och lågt.
* Den fyrsiffriga personliga koden ger inte mycket säkerhet, men den kunde (kan?) heller inte användas till mycket mer än att kontrollera saldo.
* Jag har i många år använt dosa med enkel PIN där ett åttasiffrigt tal in genererar ett annat ut för att verifiera. Har fungerat bra ända tills banken, till synes utan förvarning, inte längre accepterar den metoden.
* Nu är det primärt BankID som gäller, och där förespråkar banken (ger dig "gratis") de två svagare lösningarna med mjuka certifikat framför varianten med ID-kort och dosa (som kostar en hel del pengar för kunden).

Jag undrar hur säkert BankID med mjukt certifikat är när någon olovandes tar sej in i datorn, kopierar (det krypterade?) certifikatet och installerar keylogger för att komma åt lösenordet?

Den fyr/femsiffriga koden kunde man använda för att skapa e-kort och därmed föra över pengar. Senast jag ringde till kundtjänst så identifierade jag mig med den koden. Rent praktiskt sett kunde jag nog ha utfört en betalning mha kundtjänst.

Vad menar du med att dom inte accepterar dosan? Jag använder fortfarande den. Är du månne företagskund? Den enkla dosan är i min mening en utmärkt lösning som både är säker och svår att utföra en brute-force attack mot (eftersom dosan inte är kopplad till en dator). Dosan som kopplas till en dator litar jag inte på alls.

BankID på fil (tror jag det är du menar) verkar Swedbank inte själva lite alltför mycket på då dom numera endast utfärdar själva "certifikatet" på tre månader i stöten (dom motiverade ändringen med trojaner var vanligt förekommande i kundernas datorer). Alla former av certifikat/lösenords lösningar där certifikatet lagras lokalt är ju sårbara för malware. Jag kan inte se att det skulle vara några större problem att kopiera certifikatet och logga lösenordet.

Mobil BankID verkar Swedbank inte själv lita fullt ut på. För att lägga upp nya betalningsmottagare så tvingas man använda "skrapkoder" som dom skickar ut. Skrapkoder litar jag inte ett skit på, så jag eldade upp dom i öppna spisen... Sen kom jag på att man kunde spärra kodkorten

Visa signatur

"I have a hammer! I can put things together! I can knock things apart! I can alter my environment at will and make an incredible din all the while! Ah, it’s great to be male!"

Permalänk
Medlem
Skrivet av Olle P:

På min arbetsplats funkar det i alla fall lite bättre:
* Ett simpelt lösenord levereras omgående via den interna eposten (tillåter "klipp och klistra"!). Lösenordet är bara giltigt en begränsad tid, typ ett dygn.
* Vid första inloggning tvingas man byta till ett eget.

Hur kommer du åt den interna e-posten om du inte kan logga in?

Visa signatur

"I have a hammer! I can put things together! I can knock things apart! I can alter my environment at will and make an incredible din all the while! Ah, it’s great to be male!"

Permalänk
Medlem
Skrivet av Hurtigbullen:

Vad menar du med att dom inte accepterar dosan? Jag använder fortfarande den.

"Logga in med dosa" har jag inte sett som alternativ i listan det senaste halvåret eller så...

Skrivet av Hurtigbullen:

BankID på fil (tror jag det är du menar) verkar Swedbank inte själva lite alltför mycket på...
Mobil BankID verkar Swedbank inte själv lita fullt ut på. ...

Jag syftar på båda alternativen gällande "mjuka certifikat".

Skrivet av Hurtigbullen:

Hur kommer du åt den interna e-posten om du inte kan logga in?

Bra fråga...
Mitt minne måste gälla ett av de (få) undersystem som inte loggas in på via AD, för jag har klart minne av att ha fått lösenord via epost men inget minne av att jag glömt lösenordet till det stora systemet.

Permalänk
Medlem

@Olle P: Om jag går till https://online.swedbank.se/app/privat/login så i drop-down listan där så har åtminstone jag alternativet "Säkerhetsdosa".

Visa signatur

"I have a hammer! I can put things together! I can knock things apart! I can alter my environment at will and make an incredible din all the while! Ah, it’s great to be male!"