Computerphile förklarar hur lösenordshanterare fungerar

Har precis blivit med Lastpass. Inte egentligen satt det på prov än, enda jag har märkt hittills är att jag har en extra notis i mobilen hela tiden.

Kör med Lastpass här med.
Fick dock lite hjärtsnörp tidigare i våras när jag inte hittade usb-minnet med lösenordet till Lastpass, men som tur var så kom jag på att jag hade det sparat på en gammal laptop med.

Jag började med LastPass för flera år sedan men när de blev uppköpta av LogMeIn (eller vad de nu heter) så bytte jag till KeePass. Har kört med KeePass sedan dess på Windows och när jag bytte till Linux började jag använda KeePassXC applikationen då den verkar fungera lite bättre på Linux.

@SaltyLiquorice: Kan rekommendera att testa KeePassXC på Linux, fungerar enligt min erfarenhet lite bättre.

Tack för tipset! Denna blev jag intresserad av då det är open source och dessutom stödjer två faktors auth med exempelvis Yubikey!

/z

What? Man har själv skrivit in den..?

Jag har fortfarande inte fattat, Vad sker om någon hittar din privata nyckel och har tillgång till enheterna?
Förstår inte, osäkra/dåliga ställen = Dåliga lösenord, Mer aktiva ställen = Mer säkert lösenord, Det som absolut ej får hitta ut = Sätt ett supersäkert.

Varför är en manager MER säker?

Någon speciell anledning att du rekommenderar bitwarden? Vad är det för features du gillar? Jag är keepass + nextcloud användare själv, men trevligt att se om det finns andra alternativ, framförallt när jag försöker hjälpa andra

Största anledningen är att det gör det lätt att sluta återanvända lösenord då du kan ge unika till alla inloggningar. Du vill inte att ett breach på ett ställe ger tillgång till något annat, och det kan vara komplicerat att hålla reda på dessa beroenden för att göra din "klassificering" pålitlig. Ett "oviktigt" konto kan hjälpa till att samla data för att ta sig in i mer värdefulla konton. Adress, telefonnummer och sista 4 eller första fyra siffrorna på ett kreditkort kan till exempel räcka för att ta sig in i iCloud (eller andra mycket värdefulla) konton genom att ringa kundtjänst. Mindre viktiga konton kan även utnyttjas för "spearphising" av dina viktiga konton. Det finns redan exempel på att göra dessa automatiskt, eller semiautomatiskt, och det kommer bara bli värre med utveckling inom AI.

Btw, dina formuleringar tyder på att du har 3 lösen för olika grader av viktighet. Gör dig själv en tjänst och sluta med det!

Dessutom så gillar jag personligen att ha en "logg" på var jag faktisk är registrerad, och med vilken mailadress.

Installerade det och ska testa, so far verkar det ju helt klart mycket trevligare!

kör keepass och lagrar lösenordsfilen på lokalt moln, känns mkt bättre än att låta alla lösenord ligga på nån annans moln..

Fattar inte hur ni kan använda en sån teknisk lösning, jag kan då inte lita på nåt annat än mitt huvud, vad händer om alla era enheter går sönder / brinner upp eller nåt är ni fucked då?

Jag använder Enpass som lagrar all data lokalt och syncar enheter via en krypterad fil som jag lagrar på Onedrive, skulle någon av mina enheter gå sönder så har jag flera andra som syncar mot samma fil alternativt är det bara att synca in en ny enhet på samma fil. Känns ganska bombsäkert tbh.

Skulle vara svårt att komma ihåg alla inloggningar bara i huvudet, privat har jag väl en 50 - 100 logins där jag använder några "standardlösenord" eller olika variationer av ett lösenord, men det går inte för jobb-relaterade grejjer så alla såna logins sparar jag i Enpass, är väl några dussin vid det här laget.

kan bara svara för 1Password som jag haft sen starten, numera synkas det i deras moln... innan dess kunde man ha sitt valv på tex. Dropbox

om du kan minnas 100 lösenord typ: n^h&Zb^o_Q_2u3k&KH9M24Me}3z]AH är jag väldigt imponerad
man bör ju ha ett nytt lösenord för varje inloggning

1Password kan inte dekryptera mitt valv, av flera anledningar men mitt masterlösenord lämnar aldrig datorn

ett långt säkert masterpass är ganska enkelt typ: Madza_626iJärfäLLa1997-BiZZniZZ...(japp stavfel & åäö) helt omöjligt att bruteforca med all världens superdatorer... allt över 9 tecken är meningslöst att ge sig på, men blir man av med sin secret key är det kört, eller ja man får nollställa lösenord överallt
man kan skriva ut sina uppgifter som är mail, secret key, reg-email, allt detta är meningslöst utan din masterkey, eller spara pdf:en i ett krypterat rar-arkiv tex.
poängen är att lära sig ett enda superlösen, och helt slumpade på webbsidor

Nä, då är det lagrat online, krypterat med en nyckel som enbart du kan. (Och om tjänsten går ner så är det lagrat offline. Båda måste dö, samtidigt som alla backups, för att man ska bli av med allt.)

Har du unika lösenord på varje sida? Är de lösenorden väldigt starka, eller påminner de på något vis om varandra?
Om svaret på någon fråga ovan är nej så skulle du med största sannolikhet få bättre säkerhet med en lösenordshanterare än vad du har nu.
Blir en sida hackad och din email + ditt lösenord till den läcker ut så kan de ju använda dem till att logga in på andra tjänster där du har samma uppgifter.

Kör Safeincloud, krypterad fil på gdrive och smidig integration i android, windows m.m

Riktigt smidigt att köra tex 1Password och LastPass till Firefox just nu...

Bestämde mig faktiskt någon dag innan den här artikeln att nu var det väl dags att skaffa en password manager jag också. Efter att ha googlat runt lite så kändes bitwarden som det bästa alternativet, då det är opensource. Då finns det alltid många klipska personer som kollat igenom koden och allt är bra å inget fulfuffens (Intalar jag mig själv i varje fall).
Sedan ville jag att den skulle vara mobil så att jag kunde ladda ner det nånstans alternativt logga in på webben för att komma åt lösenorden om jag inte är vid min egen dator/mobil, vilket bitwarden också har (dvs alla tänkbara OS, plugin till alla webläsare å fungerar på alla mobiler samt en webtjänst man kan logga in på).

Än så länge tycker jag det fungerar fint, börjat få in vanan att varje gång den ploppar upp om att spara lösenordet på någon sida jag loggar in på så bytar jag det även till ett mer komplicerat så successivt blir mina olika konton säkrare.

Enda jag kanske kan sakna är att jag det vid inloggningsfält ploppar upp i närheten av fältet om jag vill använda sparat lösenord från keypass, utan måste nu klicka på sköld-ikonen uppe i höger i browsern å välja kontot.

Jag önskar också att det infördes någon form av standard att alla lösenordsformulär kunde meddela password managers vad för lösenord de accepterar för att man ska kunna generera ett så starkt lösenord som möjligt som just den sidan tillåter. Just nu är jag bekväm och kör utan krusiduller (oh noes, försök bruteforca mina 16tecken långa lösenord om ni vill!), men hade väl varit trevligt om appen själv fick reda på att den här sidan kräver minst 6 tecken, kan hantera som mest 32 tecken, åäö fungerar ej, klarar de vanliga !"#&¤(%/()& specialtecknena men inte mer avancerade varianter etc. etc., så managern själv kan välja ett så långt och komplicerat lösenord som möjligt som sidan kan hantera (och kräver). Istället för att kanske ha valt bokstäver+siffror så ploppar sidan till med att du måste ha ett specialtecken, alternativt att ens lösenord är för långt (16 verkar de än så länge vara OK med, men hade väl inte spelat mig någon roll om jag hade 32 eller 100 tecken långt lösenord, något garanterat många sidor ej klarar av att hantera) eller att det strular för man använder åäö osv som de ej klarar att hasha+salta+whatever i deras lösenordsdatabas på sidan.

Long story short, haft bitwarden i typ en vecka, tycker det fungerar najs och rekommenderar fler att skaffa det.

Jag använder själv Bitwarden nu. Tidigare använde jag LastPass.

Om du inte redan vet så kan jag tipsa att Bitwarden har kortkommando Ctrl+Shift+L autofyller inloggningsuppgifterna på sidan (jag minns dock inte om det är den kombinationen som standard eller om jag själv har valt den tangentbordskombinationen i Bitwardens inställningar någonstans). Har du flera inloggningar till en sida så är det den första som den tar (dvs den som du använde senast). Så vill du använda någon annan inloggning än den senaste använda så måste du klicka på Bitwardens ikon uppe till höger och välja den inloggning du vill använda.

Hmm jag känner mig som en dinosarie med mina papper och penna. Men rätt säkert för hackers iallafall 😉

Skickades från m.sweclockers.com

@JBerger: håller med om att det skulle stå vad & hur många tecken som accepteras direkt, men å andra sidan tar det inte många sekunder att modifiera lösengeneratorn...

flest tecken jag sett är ebay, dom accepterar 64 tecken