Computerphile förklarar hur lösenordshanterare fungerar

får nog kika på det, ja brinner huset ned så har jag inga lösenord kvar alls. mina lösenord är nog rätt simpla, vanliga ord som vardagSrumssoffan34, inte så illa som i alla filmer där dom har dotterns namn som dessutom finns på ett kort vid skrivbordet haha.

Ja, du bör nog kika på det. Dina lösenord är potentiellt osäkra, det är aldrig en bra idé att ha sammansatta ord av det slaget. Detta då de finns i ordböcker och ordböcker används av program som knäcker lösenord. Men det finns många sätt att sätta ihop ord och många tekniker för hur detta görs. Ett välkänt exempel är diceware.

Själv använder jag en password manager och det lösenordet börjar med ett relativt ovanligt men "riktigt" ord (skulle kunna vara exempelvis glasnost eller lunar eclipse eller godissnören, det skulle även kunna vara felstavat) men fortsätter med helt randomiserade ord, siffror och bokstäver. Syftet med det är att få en ovan observatör att fokusera på första ordet för att sedan missa en snabb övergång till randomisering.

Nu är det ju inte särskilt smart av mig att avslöja detta överhuvudtaget, men samtidigt så är det en teknik bland många andra och enbart en mycket liten del i mitt skydd. En variation av detta är att börja lösenordet med (delar av) användarnamnet.

Det finns många liknande tekniker som kan användas eller inte användas (vilket också är ett skydd) i kombination med ett starkt, randomiserat lösenord (eller lösenfras).

alltid bra med tips och lite info om hur lösenords knäckare fungerar.

Har använt 1Password över 10 år nu.

Har experimenterat med Bitwarden och Enpass och funderar på gå över till en av dem.
Men ingen lockade mig tillräckligt i nuläget.

Har svårt för Bitwardens sätt att binda en i prenumerationstjänst för att man skall få tillgång till TOTP.

Jag kör Lastpass sedan något år eller två, innan dess Keepass. Gillar väl egentligen Keepass "bättre" med självhosting och möjlighet till eget pill, men smidigheten hos Lastpass vinner över mig.

Bitwarden många pratar om verkar intressant. Får ta och spana närmare.

@iller: samma här + familjeerbjudandet är skitbra, är väl 60$/år för 5 medlemmar

Jag testar nu Bitwarden och gillar den. Körde lastpass innan och dom hade ju också 10$ priset men inte samma funktioner som BW har.

Du får inte premiumfunktionerna gratis genom att hosta själv.
Jag har provat.

Priset är inte farligt i sig.
Jag föredrar bara att betala en gång och när jag känner för det betala för uppgradering.
Många små prenumerationer hit och dit blir en massa onödiga pengar!

bitwarden har ju tyvärr inte koppling till Windows Hello (eller fprint i Linux för den delen) så att öppna hanteraren med fingeravtryck funkar inte än tyvärr. Har ju dock requestats av några stycken!
I övrigt tycker jag det är en trevlig lösning, men jag har inte så mycket att jämföra med!

så jäkla illa är det inte, men sätter du '-' eller annan symbol mellan orden så blir det _väldigt_ mycket svårare även om attackeraren känner till att du använder passfraser.

bästa är att du slumpar fram orden i passfrasen med tex. diceware-listor och tärning - men även https://www.rempe.us/diceware/#swedish hjälper och allt genereras lokalt i din browser - kan köras offline. (har ordlistor för många olika språk)

själv har jag gjort på samma sätt som https://www.passwordcard.org/en lagt upp en massa genererade passfraser i en matris (och dubbel sida) i en matris i kalkylark, skrivit ut, plastat in i kreditkortsformat och ha i plånkan. på det sättet har man alltid ett stort urval av högkvalitativa passord/passfraser att skriva in vid nya situationer och en foldback om allt elektroniskt lagring via manager av någon anledning skulle krascha - dock är det du själv som håller reda på i vilken ordning som som orden/bokstäverna plockas ut.

Mycket av diskussionen här handlar om vad som är säkert eller inte. Själv använder jag Keepass eftersom det ger mig friheten välja vart jag vill lagra min databas. Jag inbillar mig att det, om man vet vad man sysslar med, kan öka säkerheten.

En aspekt som det däremot pratas mindre om är säkerheten hos oss själva alltså om man drabbas av en olycka. Det kan vara allt från att man dör till att man blir allvarligt skadad och helt enkelt inte minst vart man har sin information lagrad och hur man ska logga in.

Det vore intressant att höra hur andra tänker kring detta. Hur säkrar man sin "hemliga" information så att den inte blir värdelös ifall något allvarlig händer. Har inte kollat så mycket på andra lösenordshanterare, men finns det stöd för delning av lösenord så att t.ex. sambon kan komma åt lösenord till mail, facebook mm. I det fallet får man anta att man litar tillräckligt mycket på sin sambo och att båda tillämpar samma säkerhetstänk. Samma sak gäller för övrigt inom organisationer.

Jag upplever det som att många företag fortfarande har dålig koll på hur man hanterar just lösenord och certifikat.

Sant, men det går bara att påverka min egen del av kedjan. Med hanterare så är det i alla fall bara ett lösen (det specifika) som blir "drabbat". Däremot är ju sådana egenskaper ordentliga varningsflaggor för att använda sig av en annan sida/tjänst.

En kompis till mig har säkrat sin databas för olyckor. Jag är stolt ägare av en halv dicewarefras, hans bror har andra halvan och pappan har ett keepassarkiv som innehåller masterlösen till hans keepassfil och något enstaka annat viktigt. Det är inte det mest eleganta, men det är i alla fall någorlunda enkelt att fixa om det händer något. 3 personer som samarbetar får väll vara en OK kompromiss mellan säkerhet och svårighet att använda.

Det finns ju teoritiska teknologiska lösningar (N av X närvarande för att låsa upp), men det är inte speciellt användavänligt

Bitwarden har det i alla fall; kallas för "Avoid ambiguous characters".

I övrigt håller jag med dig och blir mer än lite skeptisk när man är tvungen (nåja) att använda nån tjänst som har begränsningar som hör hemma 1995 i hur lösenord får se ut.

Aww sweet! Tack! Skulle man väl så klart ha antagit och kollat upp. Får försöka få det som vana framöver då. Har kört på att antingen klicka uppe på ikonen och märkte även att det fanns om man högerklickade i loginfälten med, men båda tar lite tid jämnfört med så som Safari gör på Mac med att det ploppar upp vid loginfältet. Men ctrl+shift+L vart smidigt!

Fast vissa gånger står det inte med explicit vad som tillåts, t.ex. klarar den hantera åäö? Hur är det med udda specialtecken? Jag har många gånger haft problem med att den initialt accepterar mina #"%"!} krumelurer för att sedan när jag försöker logga in failar med det och behöver göra pwd reset å byta till a-z0-9 för att vara på 'den säkra' (och därmed osäkra) sidan.
But then again är vad för tecken man använder skit samma, längden är det viktiga. Förutsatt att den som försöker knäcka just mitt lösenord inte vet att jag kanske bara använde ungefär just 'dessa' tecken och inte kör på samtliga.
Men som sagt, om det fanns någon fin standard vid loginfält som kunde meddela pwd managers hade varit ett steg mot internet 3.0 (?)

@JBerger: det med åäö eller ü för den delen kan va lite av en chansning ja

på min MacbookPro (när jag är ute & far) låses den när locket fälls ner... men det gäller fanimej att man har "inmatningsmenyn" eller flaggan uppe i hörnet

om den av nån anledning står på amerikanskt tangentbord, blir det omöjligt att logga in & man får ange sin filevault säkerhetsnyckel (som är mååånga tecken lång)

Jag har åäö i mitt admin-lösen på mac:en, så det måste vara swe-pro tangentbord...

eftersom det är Apple följer dom inte den vanliga Alt+XXXX standarden

Till att börja med kan jag inte låta bli att kommentera listan lite:

Just denna punkt skapar iaf inte problem för användaren med lösenordshanterare.
Däremot förekommer det ju även att de gått steget längre och inte tillåter vissa tecken snarare än att bara inte kräva dem. Vad gäller t.ex. specialtecken så är det ju dock inte egentligen ett så stort problem om de inte tillåts så länge inte lösenordslängden är begränsad, mest ett irritationsmoment att standardinställningarna för lösenordsgenerering inte duger.

Detta är ju ofta svårt att veta som användare. Man vill dessutom inte att lösenorden krypteras utan att de hashas iterativt (typ PBKDF2 / BCrypt / Argon2 / ...).
Det som typiskt kan avslöja en tjänst som gör fel är t.ex. om de ger dig ditt befintliga lösenord när du går igenom "glömt lösenord"-processen, då vet man att de antingen lagrat lösenorden i klartext eller krypterat istället för att hasha.
En annan sak som är illavarslande i detta avseende är om det finns en praktiskt nåbar (övre) längdbegränsning, vid hashning så blir ju hashen som lagras en fast längd oavsett lösenordets längd så det finns ingen tekniskt grundad anledning att begränsa längden så hårt (inom rimliga gränser, minnesanvändning osv blir ju ett problem om man drar det till sin spets).

Detta är ju en av huvudanledningarna till att man ska använda unika lösenord, vilket i sin tur är en av huvudanledningarna till att en lösenordshanterare är bra.

Skapar iaf inte problem för användaren av lösenordshanterare, när man byter så genererar man bara ett nytt och det är ju helt annorlunda än det gamla. Det är väl dock en bra tjänst till legacy-användaren.

Skapar iaf inte problem för den som vill byta, men det här med att tvingas byta utan någon särskild anledning är tveksamt om det ens är vettigt. Det är väl en sån där grej som fanns med i något viktigt policydokument och sedan spred sig och blev "självklart" för hela världen utan att ifrågasättas särskilt förrän de senaste åren. Nu är det ju dock en policy som är hårt ifrågasatt och verkar allt mer vara på väg ut ur både policydokument och konkreta implementationer av lösenordshantering.
(Se t.ex. https://www.bleepingcomputer.com/news/microsoft/windows-10-ve... för ett väldigt konkret exempel.)

Jag skulle säga att en lösenordshanterare hjälper dig att klara dig bättre i nästan alla dina punkter och att just det här med att använda unika lösenord per tjänst är en av de viktigaste fördelarna, särskilt med tanke på att det är väldigt olika hur bra olika tjänster skyddar lösenorden.

(Men återigen, det vore bättre om de inte använde lösenord för inloggning till att börja med. En stor del i problemet är ju att lösenord kräver att tjänsten ska hålla lösenorden hemliga, vilket är svårare att lyckas med än t.ex. en inloggningslösning där bara användaren har en hemlighet.)

Ett sätt att hantera detta med olika tangentbord med olika teckenset är att använda passfraser utan några nationella bokstäver - Visst det är fler bokstäver än motsvarande med framslumpande teckensekvens med siffror, stora/små bokstäver och symboler. Men med ord och ordsekvenser lär du dig utantill snabbare och skriver också efter lite träning rätt snabbt iom. ditt ordminne och att du inte behöver blanda stora/små bokstäver i jämförelse med sann slumpmässig teckenserie.

12 tecken passord från maskinframslumpad siffror, stora/små bokstäver och symboler har entropi runt 79 bit

6 framslumpade ord med skiljetecken mellan orden enligt diceware har ca 78.5 bitars entropi

Båda räcker för minst 3000 års attack med tusen miljarder försök i sekunden för att nå 50% sannolikhet att hitta passordet.

---

Problemet är att många passordinmatningsgränssitt är så yxigt utformade med olika regler, för korta tillåtna fält, trunkerar osynligt eller regelverk som fortfarande säger stora, små, siffror fast passfrasen är uppemot 30 tecken lång med skiljetecken inräknat.

@xxargs: åäö är sällan tillåtna som tecken, därför har man 1Password, som inte bara genererar lösen, utan kollar dels om webbsidan läckt lösen förr, samt varnar för suspekt beteende

är det så att diverse tecken ej är tillåtna, tar det 1 sekund att generera ett tillåtet lösenord
här ser man snabbt vad man kan/måste ändra:

2KgnXVpeYdeq9av8%fL@u.phPKwo#f <--- hashcatta det & kom tillbaka om 3000 år

• Inte tillåter långa lösenord:
Ja det är helt klart undermåligt och helt oacceptabelt! Agreed!

• inte kräver att lösen innehåller flera typer av tecken (A-a-special-siffror) ?
Med lösenordshanterare som genererar ens lösenord är detta inte ett problem. Så jag är OK med den delen även om det är en bra funktion.

• inte krypterar lösenorden som används? Starkt?
Lösenord ska absolut inte krypteras. Om de krypterar lösenord så måste de själva ha en nyckel för att låsa upp lösenorden och det innebär en brist eftersom att de då själva kan få fram lösenorden i klartext. Siten ska inte kunna ta fram lösenorden alls vilket bara kan uppnås om de hashar lösenorden. Skulle väl påstå att det i dagsläget är ganska ovanligt att lösenorden inte hashas. Men det är säkert så att daterade hash-algoritmer används vilket såklart är undermåligt. Med lösenordshanterare som genererar ens lösenord är detta inte ett problem heller riktigt. Men det är helt klart kass ändå. Tas ju upp i videon i nyheten också ;).

• inte kontrollerar mot tidigare använda lösenord?
Med lösenordshanterare som genererar ens lösenord är detta inte ett problem. Men det är klart en rimlig funktion för att höja lägstanivån.

• Inte tvingar till periodiskt byte?
Det här vill jag påstå är en daterad modell. Problemet med tvingat periodbyte av lösen är att folk verkar reagera med att sätta enklare lösenord istället och ökar bara en siffra till en högre. Istället för sommar2017 väljer man sommar2018. Man vill lura systemet som tvingar en till grejer. Kanske inte jättesmart - men jag känner igen det där från flera arbetsplatser.
Den här funktionen ska för övrigt plockas bort från windows i nästa update just för att det är en ganska dålig säkerhetsfunktion:
https://www.bleepingcomputer.com/news/microsoft/windows-10-ve...

Finns det någon anledning att inte använda hanteraren som redan finns inbyggd i Chrome? Den slumpar ju fram långa lösenord direkt och så synkas det direkt till mina andra enheter där jag har mitt Google konto.

Satt och kollade lite mer på detta och hittade bitwarden_rs vilken verkar vara en mer öppen variant av bitwarden. Är det någon som provat denna?

Försökte köra igång den själv igår men jag insåg att jag har en viss uppförsbacke när det gäller att köra bitwarden_rs i dockers....

 docker run -d --name bitwarden -v /bw-data/:/data/ -p 80:80 mprasil/bitwarden:latest

Inser inte nämligen rakt av vad "/bw-data/:/data/" pekar på för någon sorts sökväg.

/z