Computerphile förklarar hur lösenordshanterare fungerar

Trädvy Permalänk
Medlem
Plats
Tullinge
Registrerad
Jun 2005
Skrivet av MH25:

Det här är ju ett mycket stort "nja".

Visserligen är ditt lösenord "säkert" för hackers på det sätt att ingen kan läsa det genom att hacka din dator, din nätverkstrafik och så vidare. Men samtidigt så är dina lösenord antingen relativt korta alternativt osmidiga att skriva in. Ditt system är också mycket känsligt för keyloggers och fysiska svagheter som kameror eller att någon råkar se ditt papper (delar av). Detta då du måste skriva in varje lösenord varje gång. Med en manager så visar man visserligen också sitt lösenord för en logger/kamera/person, men då är det inte en direktväg in i exempelvis paypal utan man måste först få tag på "valvet" och sedan använda lösenordet där för att sedan få lösenordet till paypal. Det är i många fall lika krångligt (eller värre) än att komma över lösenordet.

Papper och penna har absolut en funktion för säkert användande av lösenord, men det finns också nackdelar.

För övrigt vill jag i allmänhet rekommendera numberphiles andra lösenordsrelaterade videos.

får nog kika på det, ja brinner huset ned så har jag inga lösenord kvar alls. mina lösenord är nog rätt simpla, vanliga ord som vardagSrumssoffan34, inte så illa som i alla filmer där dom har dotterns namn som dessutom finns på ett kort vid skrivbordet haha.

Ryzen 1700 @ 3.9ghz, Palit GTX 1080 GR Premium

Trädvy Permalänk
Medlem
Registrerad
Apr 2013
Skrivet av Aka_The_Barf:

får nog kika på det, ja brinner huset ned så har jag inga lösenord kvar alls. mina lösenord är nog rätt simpla, vanliga ord som vardagSrumssoffan34, inte så illa som i alla filmer där dom har dotterns namn som dessutom finns på ett kort vid skrivbordet haha.

Ja, du bör nog kika på det. Dina lösenord är potentiellt osäkra, det är aldrig en bra idé att ha sammansatta ord av det slaget. Detta då de finns i ordböcker och ordböcker används av program som knäcker lösenord. Men det finns många sätt att sätta ihop ord och många tekniker för hur detta görs. Ett välkänt exempel är diceware.

Själv använder jag en password manager och det lösenordet börjar med ett relativt ovanligt men "riktigt" ord (skulle kunna vara exempelvis glasnost eller lunar eclipse eller godissnören, det skulle även kunna vara felstavat) men fortsätter med helt randomiserade ord, siffror och bokstäver. Syftet med det är att få en ovan observatör att fokusera på första ordet för att sedan missa en snabb övergång till randomisering.

Nu är det ju inte särskilt smart av mig att avslöja detta överhuvudtaget, men samtidigt så är det en teknik bland många andra och enbart en mycket liten del i mitt skydd. En variation av detta är att börja lösenordet med (delar av) användarnamnet.

Det finns många liknande tekniker som kan användas eller inte användas (vilket också är ett skydd) i kombination med ett starkt, randomiserat lösenord (eller lösenfras).

Intel Core i5 3570K @ 4.2GHz | Hyper 212 EVO | 12 GB DDR3 |GTX 1070 8GB ROG STRIX DC3 | Fractal Design Tesla R2 650W | Fractal Design Define R4 Titanium | 370 GB SSD totalt | ~2TB HDD totalt
+ Acer Predator Helios 300 GTX 1060
Båda kör MS Röj i minst 50 FPS.

Trädvy Permalänk
Medlem
Plats
Tullinge
Registrerad
Jun 2005
Skrivet av MH25:

Ja, du bör nog kika på det. Dina lösenord är potentiellt osäkra, det är aldrig en bra idé att ha sammansatta ord av det slaget. Detta då de finns i ordböcker och ordböcker används av program som knäcker lösenord. Men det finns många sätt att sätta ihop ord och många tekniker för hur detta görs. Ett välkänt exempel är diceware.

Själv använder jag en password manager och det lösenordet börjar med ett relativt ovanligt men "riktigt" ord (skulle kunna vara exempelvis glasnost eller lunar eclipse eller godissnören, det skulle även kunna vara felstavat) men fortsätter med helt randomiserade ord, siffror och bokstäver. Syftet med det är att få en ovan observatör att fokusera på första ordet för att sedan missa en snabb övergång till randomisering.

Nu är det ju inte särskilt smart av mig att avslöja detta överhuvudtaget, men samtidigt så är det en teknik bland många andra och enbart en mycket liten del i mitt skydd. En variation av detta är att börja lösenordet med (delar av) användarnamnet.

Det finns många liknande tekniker som kan användas eller inte användas (vilket också är ett skydd) i kombination med ett starkt, randomiserat lösenord (eller lösenfras).

alltid bra med tips och lite info om hur lösenords knäckare fungerar.

Ryzen 1700 @ 3.9ghz, Palit GTX 1080 GR Premium

Trädvy Permalänk
Medlem
Plats
Skåne
Registrerad
Feb 2013

Förespråkar också Bitwarden. Har kört det i typ ett år nu i en self-hostad miljö. Känns supersafe att ha det själv, plus open-source och alla andra fördelar som Bitwarden ger.

Citera för svar

- Stora Owncloud/Nextcloud-tråden: http://www.sweclockers.com/forum/122-server/1212245-officiell...
- Min blogg: Tech & Me https://www.techandme.se

Trädvy Permalänk
Medlem
Plats
Helsingborg
Registrerad
Aug 2002

Har använt 1Password över 10 år nu.

Har experimenterat med Bitwarden och Enpass och funderar på gå över till en av dem.
Men ingen lockade mig tillräckligt i nuläget.

Har svårt för Bitwardens sätt att binda en i prenumerationstjänst för att man skall få tillgång till TOTP.

Apple Mac mini 2012 (primär desktop)
Apple Mac mini 2012 med Ubuntu server som Plex-server
Dell Latitude 5480 med Linux dist. (när iPad inte räcker till)
PSN ID:iller Xbox live:illerG Wii U:illerG Switch:iller

Trädvy Permalänk
Bosmang 🤷
Emil Åkered
Plats
Stockholm
Registrerad
Jan 2003

Jag kör Lastpass sedan något år eller två, innan dess Keepass. Gillar väl egentligen Keepass "bättre" med självhosting och möjlighet till eget pill, men smidigheten hos Lastpass vinner över mig.

Bitwarden många pratar om verkar intressant. Får ta och spana närmare.

För övrigt anser jag att Karthago bör förstöras.
▪ Nöje #1 -> i5-8400 - Z370M-ITX/ac - GTX 1070 - 16 GB DDR4
▪ Nöje #2 -> R5 2600X - Asus B450 - GTX 1080 Ti - 16 GB DDR4
▪ Mobilt -> Surface Pro 4 - m3-6Y30 - 4 GB DDR3
▪ Konsol -> Playstation 4 Pro - Playstation Vita

Trädvy Permalänk
Medlem
Registrerad
Sep 2012

@iller: samma här + familjeerbjudandet är skitbra, är väl 60$/år för 5 medlemmar

MOBO:Asus ROG MAXIMUS XI HERO Z390 CPU:Intel Core i9 9900K alla_kärnor @5 GHz GPU:MSI GeForce RTX 2080 Ti Gaming X Trio Minne:G.Skill 32GB (4x8GB) DDR4 3600MHz CL16 Trident Z Lagring:Samsung 970 EVO Plus 500GB, Samsung 860 EVO 2TB, Samsung 860 EVO 250GB(slaskdisk) & HDD-WD Red PRO 8TB 7200rpm 256MB Vattenkyld!! 2*pumpar, 2*480rads, 8*Noctua NF-F12, 4*Noctua NF-A14

Trädvy Permalänk
Hedersmedlem
Plats
Sthlm
Registrerad
Dec 2002
Skrivet av iller:

Har svårt för Bitwardens sätt att binda en i prenumerationstjänst för att man skall få tillgång till TOTP.

Jag antar att du syftar på funktionen att kunna generera TOTP inifrån Bitwarden till dina övriga konton som använder TOTP? Att säkra upp sitt eget Bitwarden-konto med TOTP är gratis, det är bara om du vill öka säkerheten ytterligare med U2F osv som de kräver premium.

Själv är jag lite ambivalent till att lagra TOTP i Bitwarden då lite av grejen med tvåfaktorsautentisering försvinner om båda hemligheterna är tillgängliga på samma plats.

$10/år är ju dessutom en förhållandevis liten summa för att stödja ett vettigt open source-projekt som kan konkurrera med de större jättarna i samma bransch, och om du hostar det själv så har jag för mig att du dessutom får tillgång till alla premiumfunktioner gratis.

Skickades från m.sweclockers.com

Trädvy Permalänk
Medlem
Plats
Uppland
Registrerad
Jul 2003

Jag testar nu Bitwarden och gillar den. Körde lastpass innan och dom hade ju också 10$ priset men inte samma funktioner som BW har.

Server: HPE Gen8 / UNRaid 6.x.x
Nätverk: Unifi USG Pro 4 + Unifi NANO HD x 3 + 24P Switch(D-Link)
i7 6700K 32GB Win 10 Pro Nvidia 1070

Trädvy Permalänk
Medlem
Plats
Helsingborg
Registrerad
Aug 2002
Skrivet av Ballistic:

$10/år är ju dessutom en förhållandevis liten summa för att stödja ett vettigt open source-projekt som kan konkurrera med de större jättarna i samma bransch, och om du hostar det själv så har jag för mig att du dessutom får tillgång till alla premiumfunktioner gratis.

Skickades från m.sweclockers.com

Du får inte premiumfunktionerna gratis genom att hosta själv.
Jag har provat.

Priset är inte farligt i sig.
Jag föredrar bara att betala en gång och när jag känner för det betala för uppgradering.
Många små prenumerationer hit och dit blir en massa onödiga pengar!

Apple Mac mini 2012 (primär desktop)
Apple Mac mini 2012 med Ubuntu server som Plex-server
Dell Latitude 5480 med Linux dist. (när iPad inte räcker till)
PSN ID:iller Xbox live:illerG Wii U:illerG Switch:iller

Trädvy Permalänk
Hedersmedlem
Plats
Sthlm
Registrerad
Dec 2002
Skrivet av iller:

Du får inte premiumfunktionerna gratis genom att hosta själv.
Jag har provat.

Priset är inte farligt i sig.
Jag föredrar bara att betala en gång och när jag känner för det betala för uppgradering.
Många små prenumerationer hit och dit blir en massa onödiga pengar!

Jag tänkte visst på bitwarden_rs, där du enligt utsago får alla premiumfunktioner gratis. Men det är inget som jag har testat själv. Om du däremot kör på den officiella självhostade varianten så är det samma premiumlicens som för Bitwarden cloud precis som du säger.

Sen håller jag med dig om att onödiga månadskostnader är något man vill undvika i allra högsta grad. Många bäckar små, men i det här fallet känns det befogat sett till vad man får jämfört med vad konkurrenterna tar betalt.

Skickades från m.sweclockers.com

Trädvy Permalänk
Medlem
Registrerad
Feb 2016

bitwarden har ju tyvärr inte koppling till Windows Hello (eller fprint i Linux för den delen) så att öppna hanteraren med fingeravtryck funkar inte än tyvärr. Har ju dock requestats av några stycken!
I övrigt tycker jag det är en trevlig lösning, men jag har inte så mycket att jämföra med!

Trädvy Permalänk
Medlem
Registrerad
Aug 2016
Skrivet av Aka_The_Barf:

får nog kika på det, ja brinner huset ned så har jag inga lösenord kvar alls. mina lösenord är nog rätt simpla, vanliga ord som vardagSrumssoffan34, inte så illa som i alla filmer där dom har dotterns namn som dessutom finns på ett kort vid skrivbordet haha.

så jäkla illa är det inte, men sätter du '-' eller annan symbol mellan orden så blir det _väldigt_ mycket svårare även om attackeraren känner till att du använder passfraser.

bästa är att du slumpar fram orden i passfrasen med tex. diceware-listor och tärning - men även https://www.rempe.us/diceware/#swedish hjälper och allt genereras lokalt i din browser - kan köras offline. (har ordlistor för många olika språk)

själv har jag gjort på samma sätt som https://www.passwordcard.org/en lagt upp en massa genererade passfraser i en matris (och dubbel sida) i en matris i kalkylark, skrivit ut, plastat in i kreditkortsformat och ha i plånkan. på det sättet har man alltid ett stort urval av högkvalitativa passord/passfraser att skriva in vid nya situationer och en foldback om allt elektroniskt lagring via manager av någon anledning skulle krascha - dock är det du själv som håller reda på i vilken ordning som som orden/bokstäverna plockas ut.

Trädvy Permalänk
Medlem
Plats
M-Skåne
Registrerad
Aug 2009

Lösenordshanterare är kanon och jag använder en sedan många år tillbaka.

Det ger mig möjligheten att byta lösen relativt ofta på mer exponerade konton, variera lösenordslängden mellan 16 och 60 tecken, vilket jag gör, variera teckenuppsättningen. En bra funktion jag tyvärr saknar just nu är möjligheten att undvika liknande tecken vid generering av lösenord, som l - 1- i eller o-0 etcetera.

Men, det finns en annan aspekt på detta.
Har ni tänkt på hur många ställen som

  • inte tillåter långa lösenord

  • inte kräver att lösen innehåller flera typer av tecken (A-a-special-siffror) ?

  • inte krypterar lösenorden som används? Starkt?

  • inte kontrollerar mot tidigare använda lösenord?

  • Inte tvingar till periodiskt byte?

Senast häromveckan försökte jag med ett lösen på ett ställe som inte accepterade längre eller svårare lösen än 10 alfanumeriska tecken.

Så problemet är inte så mycket huruvida vi använder säkra lösenord utan att när vi väl är beredda att göra det så tillåter inte många siter / system att vi gör det.

DET är mycket allvarliga utmaningar som reducerar säkerheten radikalt, oavsett hur bra lösenordshanterare du har.

Ryzen + Nvidia. Nuff said.

Trädvy Permalänk
Medlem
Registrerad
Aug 2010

Mycket av diskussionen här handlar om vad som är säkert eller inte. Själv använder jag Keepass eftersom det ger mig friheten välja vart jag vill lagra min databas. Jag inbillar mig att det, om man vet vad man sysslar med, kan öka säkerheten.

En aspekt som det däremot pratas mindre om är säkerheten hos oss själva alltså om man drabbas av en olycka. Det kan vara allt från att man dör till att man blir allvarligt skadad och helt enkelt inte minst vart man har sin information lagrad och hur man ska logga in.

Det vore intressant att höra hur andra tänker kring detta. Hur säkrar man sin "hemliga" information så att den inte blir värdelös ifall något allvarlig händer. Har inte kollat så mycket på andra lösenordshanterare, men finns det stöd för delning av lösenord så att t.ex. sambon kan komma åt lösenord till mail, facebook mm. I det fallet får man anta att man litar tillräckligt mycket på sin sambo och att båda tillämpar samma säkerhetstänk. Samma sak gäller för övrigt inom organisationer.

Jag upplever det som att många företag fortfarande har dålig koll på hur man hanterar just lösenord och certifikat.

Trädvy Permalänk
Medlem
Plats
Lund
Registrerad
Nov 2008
Skrivet av Homdax:

Lösenordshanterare är kanon och jag använder en sedan många år tillbaka.

Det ger mig möjligheten att byta lösen relativt ofta på mer exponerade konton, variera lösenordslängden mellan 16 och 60 tecken, vilket jag gör, variera teckenuppsättningen. En bra funktion jag tyvärr saknar just nu är möjligheten att undvika liknande tecken vid generering av lösenord, som l - 1- i eller o-0 etcetera.

Men, det finns en annan aspekt på detta.
Har ni tänkt på hur många ställen som

  • inte tillåter långa lösenord

  • inte kräver att lösen innehåller flera typer av tecken (A-a-special-siffror) ?

  • inte krypterar lösenorden som används? Starkt?

  • inte kontrollerar mot tidigare använda lösenord?

  • Inte tvingar till periodiskt byte?

Senast häromveckan försökte jag med ett lösen på ett ställe som inte accepterade längre eller svårare lösen än 10 alfanumeriska tecken.

Så problemet är inte så mycket huruvida vi använder säkra lösenord utan att när vi väl är beredda att göra det så tillåter inte många siter / system att vi gör det.

DET är mycket allvarliga utmaningar som reducerar säkerheten radikalt, oavsett hur bra lösenordshanterare du har.

Sant, men det går bara att påverka min egen del av kedjan. Med hanterare så är det i alla fall bara ett lösen (det specifika) som blir "drabbat". Däremot är ju sådana egenskaper ordentliga varningsflaggor för att använda sig av en annan sida/tjänst.

Skrivet av CrazyDriver:

Mycket av diskussionen här handlar om vad som är säkert eller inte. Själv använder jag Keepass eftersom det ger mig friheten välja vart jag vill lagra min databas. Jag inbillar mig att det, om man vet vad man sysslar med, kan öka säkerheten.

En aspekt som det däremot pratas mindre om är säkerheten hos oss själva alltså om man drabbas av en olycka. Det kan vara allt från att man dör till att man blir allvarligt skadad och helt enkelt inte minst vart man har sin information lagrad och hur man ska logga in.

Det vore intressant att höra hur andra tänker kring detta. Hur säkrar man sin "hemliga" information så att den inte blir värdelös ifall något allvarlig händer. Har inte kollat så mycket på andra lösenordshanterare, men finns det stöd för delning av lösenord så att t.ex. sambon kan komma åt lösenord till mail, facebook mm. I det fallet får man anta att man litar tillräckligt mycket på sin sambo och att båda tillämpar samma säkerhetstänk. Samma sak gäller för övrigt inom organisationer.

Jag upplever det som att många företag fortfarande har dålig koll på hur man hanterar just lösenord och certifikat.

En kompis till mig har säkrat sin databas för olyckor. Jag är stolt ägare av en halv dicewarefras, hans bror har andra halvan och pappan har ett keepassarkiv som innehåller masterlösen till hans keepassfil och något enstaka annat viktigt. Det är inte det mest eleganta, men det är i alla fall någorlunda enkelt att fixa om det händer något. 3 personer som samarbetar får väll vara en OK kompromiss mellan säkerhet och svårighet att använda.

Det finns ju teoritiska teknologiska lösningar (N av X närvarande för att låsa upp), men det är inte speciellt användavänligt

Trädvy Permalänk
Medlem
Registrerad
Feb 2016
Skrivet av Homdax:

En bra funktion jag tyvärr saknar just nu är möjligheten att undvika liknande tecken vid generering av lösenord, som l - 1- i eller o-0 etcetera.

Bitwarden har det i alla fall; kallas för "Avoid ambiguous characters".

I övrigt håller jag med dig och blir mer än lite skeptisk när man är tvungen (nåja) att använda nån tjänst som har begränsningar som hör hemma 1995 i hur lösenord får se ut.

Trädvy Permalänk
Medlem
Registrerad
Aug 2016
Skrivet av Homdax:

Inte tvingar till periodiskt byte?

Om just detta finns det åsikter - inklusive av säkerhetsfolk på MS, som menar att det finns ingen anledning att tvinga folk att byta lösenord om lösenordet faktiskt är bra (och nu går sådant att testa mot tex. https://haveibeenpwned.com med en liten bit av användarens SHA1-hashade passord och den vägen kolla att lösenordet inte flyter runt sedan tidigare eller att dessa är vanligt använda, utan att avslöja för mycket av passordet utåt sett)

Är det påtvingad byte för ofta, regler som att det alltid skall innehålla stora och små bokstäver, siffror och symboler i passordet och till på köpet begränsad inmatningsfält till säg max 20 tkn så att passfraser inte går att använda, så obstruerar folk snart med att köra med enkla passord som ändå uppfyller kraven men ändå lätta att gissa ut... och man får precis motsatt verkan av vad som var avsikten med nämnda 'hårda' regler för att det skall bli säkert...

Trädvy Permalänk
Medlem
Registrerad
Mar 2009
Skrivet av Skyflyer:

Jag använder själv Bitwarden nu. Tidigare använde jag LastPass.

Om du inte redan vet så kan jag tipsa att Bitwarden har kortkommando Ctrl+Shift+L autofyller inloggningsuppgifterna på sidan (jag minns dock inte om det är den kombinationen som standard eller om jag själv har valt den tangentbordskombinationen i Bitwardens inställningar någonstans). Har du flera inloggningar till en sida så är det den första som den tar (dvs den som du använde senast). Så vill du använda någon annan inloggning än den senaste använda så måste du klicka på Bitwardens ikon uppe till höger och välja den inloggning du vill använda.

Aww sweet! Tack! Skulle man väl så klart ha antagit och kollat upp. Får försöka få det som vana framöver då. Har kört på att antingen klicka uppe på ikonen och märkte även att det fanns om man högerklickade i loginfälten med, men båda tar lite tid jämnfört med så som Safari gör på Mac med att det ploppar upp vid loginfältet. Men ctrl+shift+L vart smidigt!

Skrivet av Factorial112:

@JBerger: håller med om att det skulle stå vad & hur många tecken som accepteras direkt, men å andra sidan tar det inte många sekunder att modifiera lösengeneratorn...

flest tecken jag sett är ebay, dom accepterar 64 tecken

Fast vissa gånger står det inte med explicit vad som tillåts, t.ex. klarar den hantera åäö? Hur är det med udda specialtecken? Jag har många gånger haft problem med att den initialt accepterar mina #"%"!} krumelurer för att sedan när jag försöker logga in failar med det och behöver göra pwd reset å byta till a-z0-9 för att vara på 'den säkra' (och därmed osäkra) sidan.
But then again är vad för tecken man använder skit samma, längden är det viktiga. Förutsatt att den som försöker knäcka just mitt lösenord inte vet att jag kanske bara använde ungefär just 'dessa' tecken och inte kör på samtliga.
Men som sagt, om det fanns någon fin standard vid loginfält som kunde meddela pwd managers hade varit ett steg mot internet 3.0 (?)

Trädvy Permalänk
Medlem
Registrerad
Sep 2012

@JBerger: det med åäö eller ü för den delen kan va lite av en chansning ja

på min MacbookPro (när jag är ute & far) låses den när locket fälls ner... men det gäller fanimej att man har "inmatningsmenyn" eller flaggan uppe i hörnet

om den av nån anledning står på amerikanskt tangentbord, blir det omöjligt att logga in & man får ange sin filevault säkerhetsnyckel (som är mååånga tecken lång)

Jag har åäö i mitt admin-lösen på mac:en, så det måste vara swe-pro tangentbord...

eftersom det är Apple följer dom inte den vanliga Alt+XXXX standarden

MOBO:Asus ROG MAXIMUS XI HERO Z390 CPU:Intel Core i9 9900K alla_kärnor @5 GHz GPU:MSI GeForce RTX 2080 Ti Gaming X Trio Minne:G.Skill 32GB (4x8GB) DDR4 3600MHz CL16 Trident Z Lagring:Samsung 970 EVO Plus 500GB, Samsung 860 EVO 2TB, Samsung 860 EVO 250GB(slaskdisk) & HDD-WD Red PRO 8TB 7200rpm 256MB Vattenkyld!! 2*pumpar, 2*480rads, 8*Noctua NF-F12, 4*Noctua NF-A14

Trädvy Permalänk
Medlem
Registrerad
Apr 2002
Skrivet av Homdax:

Lösenordshanterare är kanon och jag använder en sedan många år tillbaka.

Det ger mig möjligheten att byta lösen relativt ofta på mer exponerade konton, variera lösenordslängden mellan 16 och 60 tecken, vilket jag gör, variera teckenuppsättningen. En bra funktion jag tyvärr saknar just nu är möjligheten att undvika liknande tecken vid generering av lösenord, som l - 1- i eller o-0 etcetera.

Men, det finns en annan aspekt på detta.
Har ni tänkt på hur många ställen som

  • inte tillåter långa lösenord

  • inte kräver att lösen innehåller flera typer av tecken (A-a-special-siffror) ?

  • inte krypterar lösenorden som används? Starkt?

  • inte kontrollerar mot tidigare använda lösenord?

  • Inte tvingar till periodiskt byte?

Senast häromveckan försökte jag med ett lösen på ett ställe som inte accepterade längre eller svårare lösen än 10 alfanumeriska tecken.

Så problemet är inte så mycket huruvida vi använder säkra lösenord utan att när vi väl är beredda att göra det så tillåter inte många siter / system att vi gör det.

DET är mycket allvarliga utmaningar som reducerar säkerheten radikalt, oavsett hur bra lösenordshanterare du har.

Till att börja med kan jag inte låta bli att kommentera listan lite:

Citat:

inte kräver att lösen innehåller flera typer av tecken (A-a-special-siffror) ?

Just denna punkt skapar iaf inte problem för användaren med lösenordshanterare.
Däremot förekommer det ju även att de gått steget längre och inte tillåter vissa tecken snarare än att bara inte kräva dem. Vad gäller t.ex. specialtecken så är det ju dock inte egentligen ett så stort problem om de inte tillåts så länge inte lösenordslängden är begränsad, mest ett irritationsmoment att standardinställningarna för lösenordsgenerering inte duger.

Citat:

inte krypterar lösenorden som används? Starkt?

Detta är ju ofta svårt att veta som användare. Man vill dessutom inte att lösenorden krypteras utan att de hashas iterativt (typ PBKDF2 / BCrypt / Argon2 / ...).
Det som typiskt kan avslöja en tjänst som gör fel är t.ex. om de ger dig ditt befintliga lösenord när du går igenom "glömt lösenord"-processen, då vet man att de antingen lagrat lösenorden i klartext eller krypterat istället för att hasha.
En annan sak som är illavarslande i detta avseende är om det finns en praktiskt nåbar (övre) längdbegränsning, vid hashning så blir ju hashen som lagras en fast längd oavsett lösenordets längd så det finns ingen tekniskt grundad anledning att begränsa längden så hårt (inom rimliga gränser, minnesanvändning osv blir ju ett problem om man drar det till sin spets).

Detta är ju en av huvudanledningarna till att man ska använda unika lösenord, vilket i sin tur är en av huvudanledningarna till att en lösenordshanterare är bra.

Citat:

inte kontrollerar mot tidigare använda lösenord?

Skapar iaf inte problem för användaren av lösenordshanterare, när man byter så genererar man bara ett nytt och det är ju helt annorlunda än det gamla. Det är väl dock en bra tjänst till legacy-användaren.

Citat:

Inte tvingar till periodiskt byte?

Skapar iaf inte problem för den som vill byta, men det här med att tvingas byta utan någon särskild anledning är tveksamt om det ens är vettigt. Det är väl en sån där grej som fanns med i något viktigt policydokument och sedan spred sig och blev "självklart" för hela världen utan att ifrågasättas särskilt förrän de senaste åren. Nu är det ju dock en policy som är hårt ifrågasatt och verkar allt mer vara på väg ut ur både policydokument och konkreta implementationer av lösenordshantering.
(Se t.ex. https://www.bleepingcomputer.com/news/microsoft/windows-10-ve... för ett väldigt konkret exempel.)

Jag skulle säga att en lösenordshanterare hjälper dig att klara dig bättre i nästan alla dina punkter och att just det här med att använda unika lösenord per tjänst är en av de viktigaste fördelarna, särskilt med tanke på att det är väldigt olika hur bra olika tjänster skyddar lösenorden.

(Men återigen, det vore bättre om de inte använde lösenord för inloggning till att börja med. En stor del i problemet är ju att lösenord kräver att tjänsten ska hålla lösenorden hemliga, vilket är svårare att lyckas med än t.ex. en inloggningslösning där bara användaren har en hemlighet.)

Intel i7 6850k || Asus X99-A II || Evga GTX 1080Ti || Kingston HyperX Fury 2666 64GB || Samsung 950 Pro 512GB || XB270HU 1440p IPS G-Sync

Trädvy Permalänk
Medlem
Registrerad
Aug 2016

Ett sätt att hantera detta med olika tangentbord med olika teckenset är att använda passfraser utan några nationella bokstäver - Visst det är fler bokstäver än motsvarande med framslumpande teckensekvens med siffror, stora/små bokstäver och symboler. Men med ord och ordsekvenser lär du dig utantill snabbare och skriver också efter lite träning rätt snabbt iom. ditt ordminne och att du inte behöver blanda stora/små bokstäver i jämförelse med sann slumpmässig teckenserie.

12 tecken passord från maskinframslumpad siffror, stora/små bokstäver och symboler har entropi runt 79 bit

6 framslumpade ord med skiljetecken mellan orden enligt diceware har ca 78.5 bitars entropi

Båda räcker för minst 3000 års attack med tusen miljarder försök i sekunden för att nå 50% sannolikhet att hitta passordet.

---

Problemet är att många passordinmatningsgränssitt är så yxigt utformade med olika regler, för korta tillåtna fält, trunkerar osynligt eller regelverk som fortfarande säger stora, små, siffror fast passfrasen är uppemot 30 tecken lång med skiljetecken inräknat.

Trädvy Permalänk
Medlem
Registrerad
Sep 2012

@xxargs: åäö är sällan tillåtna som tecken, därför har man 1Password, som inte bara genererar lösen, utan kollar dels om webbsidan läckt lösen förr, samt varnar för suspekt beteende

är det så att diverse tecken ej är tillåtna, tar det 1 sekund att generera ett tillåtet lösenord
här ser man snabbt vad man kan/måste ändra:

2KgnXVpeYdeq9av8%fL@u.phPKwo#f <--- hashcatta det & kom tillbaka om 3000 år

MOBO:Asus ROG MAXIMUS XI HERO Z390 CPU:Intel Core i9 9900K alla_kärnor @5 GHz GPU:MSI GeForce RTX 2080 Ti Gaming X Trio Minne:G.Skill 32GB (4x8GB) DDR4 3600MHz CL16 Trident Z Lagring:Samsung 970 EVO Plus 500GB, Samsung 860 EVO 2TB, Samsung 860 EVO 250GB(slaskdisk) & HDD-WD Red PRO 8TB 7200rpm 256MB Vattenkyld!! 2*pumpar, 2*480rads, 8*Noctua NF-F12, 4*Noctua NF-A14

Trädvy Permalänk
Medlem
Plats
M-Skåne
Registrerad
Aug 2009

@evil penguin:
Jupp du har helt rätt i alla dina synpunkter på min kravlista, se det som en bör lista, men det allmänna problemet med system som accepterar och hanterar för svaga lösenord, samt sparar dem på mindre säkra sätt, kvarstår. Du har också helt rätt vad gäller nyttan av periodiskt byte, antingen behövs det inte, eller så kräver systemet det, eller så kan du sätta din lösenordshanterare på att trigga ett byte själv.

Ryzen + Nvidia. Nuff said.

Trädvy Permalänk
Hedersmedlem
Plats
Malmö
Registrerad
Apr 2007
Skrivet av Homdax:

Lösenordshanterare är kanon och jag använder en sedan många år tillbaka.

Det ger mig möjligheten att byta lösen relativt ofta på mer exponerade konton, variera lösenordslängden mellan 16 och 60 tecken, vilket jag gör, variera teckenuppsättningen. En bra funktion jag tyvärr saknar just nu är möjligheten att undvika liknande tecken vid generering av lösenord, som l - 1- i eller o-0 etcetera.

Men, det finns en annan aspekt på detta.
Har ni tänkt på hur många ställen som

  • inte tillåter långa lösenord

  • inte kräver att lösen innehåller flera typer av tecken (A-a-special-siffror) ?

  • inte krypterar lösenorden som används? Starkt?

  • inte kontrollerar mot tidigare använda lösenord?

  • Inte tvingar till periodiskt byte?

Senast häromveckan försökte jag med ett lösen på ett ställe som inte accepterade längre eller svårare lösen än 10 alfanumeriska tecken.

Så problemet är inte så mycket huruvida vi använder säkra lösenord utan att när vi väl är beredda att göra det så tillåter inte många siter / system att vi gör det.

DET är mycket allvarliga utmaningar som reducerar säkerheten radikalt, oavsett hur bra lösenordshanterare du har.

• Inte tillåter långa lösenord:
Ja det är helt klart undermåligt och helt oacceptabelt! Agreed!

• inte kräver att lösen innehåller flera typer av tecken (A-a-special-siffror) ?
Med lösenordshanterare som genererar ens lösenord är detta inte ett problem. Så jag är OK med den delen även om det är en bra funktion.

• inte krypterar lösenorden som används? Starkt?
Lösenord ska absolut inte krypteras. Om de krypterar lösenord så måste de själva ha en nyckel för att låsa upp lösenorden och det innebär en brist eftersom att de då själva kan få fram lösenorden i klartext. Siten ska inte kunna ta fram lösenorden alls vilket bara kan uppnås om de hashar lösenorden. Skulle väl påstå att det i dagsläget är ganska ovanligt att lösenorden inte hashas. Men det är säkert så att daterade hash-algoritmer används vilket såklart är undermåligt. Med lösenordshanterare som genererar ens lösenord är detta inte ett problem heller riktigt. Men det är helt klart kass ändå. Tas ju upp i videon i nyheten också ;).

• inte kontrollerar mot tidigare använda lösenord?
Med lösenordshanterare som genererar ens lösenord är detta inte ett problem. Men det är klart en rimlig funktion för att höja lägstanivån.

• Inte tvingar till periodiskt byte?
Det här vill jag påstå är en daterad modell. Problemet med tvingat periodbyte av lösen är att folk verkar reagera med att sätta enklare lösenord istället och ökar bara en siffra till en högre. Istället för sommar2017 väljer man sommar2018. Man vill lura systemet som tvingar en till grejer. Kanske inte jättesmart - men jag känner igen det där från flera arbetsplatser.
Den här funktionen ska för övrigt plockas bort från windows i nästa update just för att det är en ganska dålig säkerhetsfunktion:
https://www.bleepingcomputer.com/news/microsoft/windows-10-ve...

🖥 → Ryzen 5 2600@4,1ghz • Gainward RTX 2070 • 16GB DDR4 • MSI B450I Gaming Plus AC (mITX)
💻 → SurfacePro 3 [i5 • 4GB ddr3 • keybaord + pen]
🖱 → Corsair m65 white / ⌨ → pok3r nordic white
📱 → Oneplus6
🎧 → Sennheiser momentum wireless & Logitech g930

Trädvy Permalänk
Medlem
Plats
Bollebygd
Registrerad
Dec 2003

Finns det någon anledning att inte använda hanteraren som redan finns inbyggd i Chrome? Den slumpar ju fram långa lösenord direkt och så synkas det direkt till mina andra enheter där jag har mitt Google konto.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jan 2006
Skrivet av reque64:

+1 på Bitwarden. Har en uppsatt hemma i Docker med ssl + yubikey.

Jag föredrar att ha lösenord på egen server istället för på någon annans. </foliehatt>

Satt och kollade lite mer på detta och hittade bitwarden_rs vilken verkar vara en mer öppen variant av bitwarden. Är det någon som provat denna?

Försökte köra igång den själv igår men jag insåg att jag har en viss uppförsbacke när det gäller att köra bitwarden_rs i dockers....

docker run -d --name bitwarden -v /bw-data/:/data/ -p 80:80 mprasil/bitwarden:latest

Inser inte nämligen rakt av vad "/bw-data/:/data/" pekar på för någon sorts sökväg.

/z

C2D E6300 @ 3.2HGz 1.2V | Thermalright 120 Extr. | Gainward 8800 GT Golden Sample |Samsung 2x500Gb | Corsair VX 550V | Antec P182 [img]http://valid.x86-secret.com/cache/banner/421648.png[/img]

Trädvy Permalänk
Medlem
Registrerad
Nov 2016
Skrivet av zonar:

Satt och kollade lite mer på detta och hittade bitwarden_rs vilken verkar vara en mer öppen variant av bitwarden. Är det någon som provat denna?

Försökte köra igång den själv igår men jag insåg att jag har en viss uppförsbacke när det gäller att köra bitwarden_rs i dockers....

docker run -d --name bitwarden -v /bw-data/:/data/ -p 80:80 mprasil/bitwarden:latest

Inser inte nämligen rakt av vad "/bw-data/:/data/" pekar på för någon sorts sökväg.

/z

Jag kör bitwarden_rs.

Jag hör dig! Jag har själv tagit mig igenom samma uppförsbacke senaste halvåret. Jag tog det dock för långt och kör nu hypervisor-kluster, en drös vms med docker swarm och persistent storage med gluster FS. på 3 servrar, full HA. Har även SSL och DNS via Cloudflare så min externa IP är dold. SSL via en docker-container "Nginx" som linuxserver.io har gjort om. Den heter "linuxserver/letsencrypt".

De här "X:X" parametrarna är en mappning ifrån SERVER:CONTAINER.
Så exempel: 81:80 = 81 är den externa porten ut ifrån servern. 80 blir den interna porten i containern.

samma sak med sökväg. "sökväg på server där filerna faktiskt ligger:sökväg i container, denna ska du inte röra"
exempel: "/mnt/path/to/bitwarden/data/:/data/"

Du ska alltså bara ändra den vänstra delen i parametern. Den högra låter du alltid vara orörd.

SSL vill du gärna få på plats annars funkar det dock inte lika bra. Bitwarden inaktiverar vissa funktioner om du inte har SSL igång. Och sedan vill du ha det av andra uppenbara skäl.

Jag har ett gediget labb och har dokumenterat varenda kommando jag har kört i en egen wiki. Om du vill ha mer hjälp och tips så dra gärna iväg ett PM. Jag tycker bara att det är roligt att hjälpa.

Några bra länkar för bitwarden:

https://blog.linuxserver.io/2019/01/15/self-hosting-bitwarden...

https://blog.linuxserver.io/2017/11/28/how-to-setup-a-reverse...

https://github.com/linuxserver/docker-letsencrypt

Rigg: Ncase M1 | ASUS z370i-gaming | delid 8700k@4.8 w NH-D9L | 32GB G.Skill TridentZ CL14 3200 | Samsung 960 EVO 500GB M.2 | EVGA GTX 1080 FTW Hybrid | Corsair SF600 | ASUS PG348Q
Gästrigg: FD Define C | ASUS z170 pro gaming | delid 6700k@4.5 w NH-D15 | 16GB Corsair Dominator Platinum 3000 | 180GB Intel SSD | 2x Radeon R9 290 Crossfire | EVGA SuperNova 850 G2

Trädvy Permalänk
Medlem
Registrerad
Nov 2016
Skrivet av Svantesson666:

Finns det någon anledning att inte använda hanteraren som redan finns inbyggd i Chrome? Den slumpar ju fram långa lösenord direkt och så synkas det direkt till mina andra enheter där jag har mitt Google konto.

Jag var på en säkerhetsdragning med Paula Januszkiewicz (en av världens främsta pen-testers) för något år sen med hennes två kollegor och där kom frågan upp. Nämner du ens att du har dina lösenord i Chrome så bankar de huvudet i väggen. Det räcker med att autentisera dig med din Windows-användare så kan du få ut alla lösenord ur Chrome i rå-text. Så råka lämna datorn olåst en gång räcker för att alla dina lösenord ska läckas. Eller få in en remote-hacker på din klient så är du körd.

Kolla in https://www.nirsoft.net/utils/chromepass.html

Rigg: Ncase M1 | ASUS z370i-gaming | delid 8700k@4.8 w NH-D9L | 32GB G.Skill TridentZ CL14 3200 | Samsung 960 EVO 500GB M.2 | EVGA GTX 1080 FTW Hybrid | Corsair SF600 | ASUS PG348Q
Gästrigg: FD Define C | ASUS z170 pro gaming | delid 6700k@4.5 w NH-D15 | 16GB Corsair Dominator Platinum 3000 | 180GB Intel SSD | 2x Radeon R9 290 Crossfire | EVGA SuperNova 850 G2

Trädvy Permalänk
Medlem
Plats
M-Skåne
Registrerad
Aug 2009
Skrivet av reque64:

Jag var på en säkerhetsdragning med Paula Januszkiewicz (en av världens främsta pen-testers) för något år sen med hennes två kollegor och där kom frågan upp. Nämner du ens att du har dina lösenord i Chrome så bankar de huvudet i väggen. Det räcker med att autentisera dig med din Windows-användare så kan du få ut alla lösenord ur Chrome i rå-text. Så råka lämna datorn olåst en gång räcker för att alla dina lösenord ska läckas. Eller få in en remote-hacker på din klient så är du körd.

Kolla in https://www.nirsoft.net/utils/chromepass.html

OK, men om man nu har en chrome profil med lite bilder, länkar, favoriter (INGA LÖSENORD ELLER KONTO INFO!) som man delar över 3-4 olika burkar, samt givetvis sin android lur, vad vore ett bättre sätt att göra det på? Seriöst, trodde faktiskt att skyddet var lite bättre. (fast har ju lösen / pin till alla enheter ändå).

För vi har ju detta: https://support.google.com/accounts/answer/46526?hl=en

Ryzen + Nvidia. Nuff said.