Hur bra funkar lösenordshanterare om normen är att man oftast använder gästinloggning på olika publika datorer?
En lösenordshanterare bör ju vara en separat dosa man bär med sig, där aktuellt lösenord visas i en display, och då blir det inte så lätt att manuellt skriva in långa komplexa lösenord...
Sämsta säkerhet jag stött på var Televerkets interna rikstäckande datasystem i slutet på 80-talet.
Enfaktorinloggning: Bara lösenord! Unikt för nätverket och inga krav på komplexitet. Fyra siffror var en vanlig kombination. Säkerheten byggde främst på att terminalerna skulle vara fysiskt svåra att komma åt för obehöriga.
Tvåfaktorinloggning, som dessutom kräver användarnamn, är klart säkrare!
Ännu mer ökar säkerheten om "användarnamn" byts ut mot "smartcard", vilket tillämpas på min arbetsplats.
Trefaktorinloggning, som kopplas till aktiv användning av annat objekt (SMS till telefon), ger mycket mera jobb.
Jobbigaste version jag stött på var CYD-poolen i mitten av 90-talet. En datorsal för C-, Y- och D-sektionerna på LiTH. Användarna hade eget konto med lite lagringsutrymme på en server, kunde komma åt Internet och skrivare. Absolut inget som krävde hög säkerhet, så vitt jag vet.
* Påtvingat lösenordsbyte med någon månad eller två emellan.
* Lösenordet var tvunget att ha en viss komplexitet.
* Lösenordet fick inte tidigare ha använts av någon användare i systemet!
Tar man i beaktande att jag bara besökte salen ungefär en gång i kvartalet för att snabbt under en rast komma åt en skrivare så var det måttligt roande att dels behöva försöka komma ihåg det lösenord jag i affekt skapade under stress två-tre månader tidigare (vilket förstås var omöjligt) och sedan byta lösenord vid varje inloggning!
Skrivet av Hurtigbullen:
Du är mao inte kund hos Swedbank
... de gamla hederliga bankdosorna (utan koppling till dator) är säkrare, även om dom inte är lika bekväma som mobilt BankID.
Jag är kund hos Swedbank och tycker att där finns både högt och lågt.
* Den fyrsiffriga personliga koden ger inte mycket säkerhet, men den kunde (kan?) heller inte användas till mycket mer än att kontrollera saldo.
* Jag har i många år använt dosa med enkel PIN där ett åttasiffrigt tal in genererar ett annat ut för att verifiera. Har fungerat bra ända tills banken, till synes utan förvarning, inte längre accepterar den metoden.
* Nu är det primärt BankID som gäller, och där förespråkar banken (ger dig "gratis") de två svagare lösningarna med mjuka certifikat framför varianten med ID-kort och dosa (som kostar en hel del pengar för kunden).
Jag undrar hur säkert BankID med mjukt certifikat är när någon olovandes tar sej in i datorn, kopierar (det krypterade?) certifikatet och installerar keylogger för att komma åt lösenordet?
Skrivet av Hurtigbullen:
Företags IT-policy vad det gäller säkerhet kring lösenord är i min mening ofta minst sagt ogenomtänkt.
Ett tvättäkta exempel:
Det nya lösenordet levereras på ett tämligen ok sätt genom ett SMS till den registrerade firmatelefonen.
Det nya lösenordet är givetvis ... långt och svårt att komma ihåg, typ "AgSFWEdkjhf%8kmnf-:#42¤_". ...
Problemet med detta är att användare (dvs jag) inte har en jävla susning att kunna komma ihåg det! Dessutom tar det ju en kvart av högljutt mumlande och avstavande innan man lyckats skriva in det rätt. Därför bör jag ju givetvis direkt ändra det till något som jag har möjlighet att komma ihåg.
Det är nu man springer på en ren dumhet; man får inte ändra lösenord för ofta och absolut inte mer än en gång per vecka!
På min arbetsplats funkar det i alla fall lite bättre:
* Ett simpelt lösenord levereras omgående via den interna eposten (tillåter "klipp och klistra"!). Lösenordet är bara giltigt en begränsad tid, typ ett dygn.
* Vid första inloggning tvingas man byta till ett eget.
Sedan måste vi byta lösenord minst en gång var tredje månad eller så, och får inte använda ett som är för likt föregående eller har använts de senaste åren.
Skrivet av Exxovion:
Försökte registrera mig på Lastpass och tydligen så hade jag provat det en gång för länge sedan då min e-post redan var upptagen. Tyvärr finns det ingen möjlighet att återställa kontot om man inte har kvar uppgifterna. ...
Jag råkade ut för liknande med PayPal. Registrerade ett konto någon gång för länge sedan för att kunna göra en transaktion och förväntade mig inte att använda det mera. Ungefär fem år senare, då jag ville använda det igen, kunde jag inte för mitt liv komma på lösenordet. Det jag minns av ledtrådarna var att jag skrev något nonsens där också...
För att åter komma åt kontot måste jag ringa något utländskt telefonnummer och ange numret på det kontokort jag anslutit, vars giltighetstid gick ut två månader efter registreringen...