Fixa lösenordshanterare på den årliga lösenordsbytardagen

Joo och antar att personen använder samma lösenord lite överallt också risken finns att allt ryker är förhållandevis stor.

Mer troligt att det är ett enkelt lösenord som också använts av andra.

Spara aldrig lösenord där dina krediter och sådant kan vara sparat.

Hände med mig när en lyckades köpa 12-månaders Xbox Live för 599 Kr.

Jo sant i alla fall när de gäller 223 träffar då jag tvivlar på att de har 223 konton vars lösenord har läckt.

Hej,

Det vet jag inte. Men den rutan har inte kommit upp tidigare när jag loggat in här.
Väldigt konstigt att den dyker upp efter jag började skriva i denna tråd enligt mig.

Jag skojade lite ^^ Kör lösenordshanterare; körde väl samma lösenord i ett halvår innan jag bytte i flera år tills jag började glömma av vissa och så körde jag reset password metoden varje gång "remember me" hade glömts bort...

Haft problem med hårdiskkrashar osv.. så nu tillsammans med OneDrive 1TB per konto (6st konton; använder två) så har jag sett till att jag kan formatera varje dag om så behövs utan att förlora viktig data då allt viktigt ligger på OneDrive (bilder inkluderade...)

Nu känner jag mig trygg med att inte förlora något viktigt i alla fall; problemet är mitt LastPass, kör förvisso 2FA och recovery till sambons mobil om jag inte loggat in på två veckor. (har jag inte suttit vid datorn på två veckor i sträck är jag med största sannolikhet död ändå)

läckan från sweclockers har varit registrerad hos havibeenpwned sedan ett antal år tillbaka så det är ingen hemlighet - förmodligen har din browser fått stöd för kollen helt nyligen och det är ett sammanträffande att det dök upp just nu.

Allt fler browser och passordsmanager anlitar havibeenpwned eller byggt upp liknande tjänster för att varna när passord kommit ut i det fria och/eller man väljer för simpla passord.

det har hänt mycket inom området bara sista året så bli inte förvånad att det börja dyka upp markeringar/varning för läckta passord för sidor man besökt och har konto på och därmed behöver göra något åt detta.

många av läckorna har funnits ute länge utan att de som har kontona vet om det och fortfarande har samma sedan flera år tillbaka

Fick uppgifter om att någon loggat in på mitt ebay konto och att jag borde ändra lösenord. Några dagar sedan fick jag uppgifter om att någon försökt logga in på mitt Spotify konto.
Efter det började jag använda KeePass, det tog ett bra tag att gå igenom alla sidor och byta lösenord.
Detta hände två år sedan. Använder även 2fa på alla sidor som stöder det via totp.

KeePass på alla mina enheter, synkat via sync.com. Kör även 2FA med andOTP.

Google password manager är rätt bra numera...

Skickades från m.sweclockers.com

Körde rätt länge att jag kunde räkna fram min lösenord baserat på kategori eller tjänst, prefix, suffix och chiffer bestående av allmänt kända ting(för att det ska gå att få tag på eller kunna utantill, T9, bokstävers placering i alfabetet eller liknande).

Samt olika säkerhetsklassningar beroende på hur känslig information som huseras eller de konsekvenser en eventuell kompromettering skulle innebära.

Numer kan jag de flesta utantill och tillämpar fraser framför datorvänligt språk(randomiserade strängar). För att det ska vara lätt att tillämpa minneslekar och få ett flöde vid inmatning. En odödlig klassiker är denna strip från xkcd:

xkcd - Password Strength

Flertalet olika mejladresser för att ytterligare minska eskalering.

Jag har länge hoppats på att något ska ersätta autentisering via användarnamn och lösenord, men det är inte en helt enkel ekvation.

Litar inte på molnbaserade lösenordshanterare. Kör hellre KeePass.

Kör med keepass som lösenordshanterare. Det jag gillar:
1. Gratis
2. Opensource
3. Appen på android har stöd för biometriskupplåsning

Det jag inte gillar:
1. Alltid ska allt kopiera och klistras in. Obefintligt med integrationer till de vanligaste programmen.
2. både Android appen och Windows programmet känns mossigt i design.

Men det är ändå relativt safe. databasen får man hålla lite koll på.

Efter jag började använda lösenordshanteraren så har jag unika lösenord på alla ställen som är genererade av min lösenordshanterare, och inget jag skulle någonsin klara av att komma ihåg själv. Så jag antar de är bättre än sitta med de system jag hade innan. Ett grundlösenord och ett tillägg på alla sidor. Exempelvis "lösenordswec" eller "lösenordaftonbladet".

Den är väldigt bra skriven/ritad, men 4 ord i passfrasen är lite klent numera, idag är det minimum 6 ord i passfrasen för arkiv och annat som kan utsättas för lång attacktid eller parallell attack med motsvarande bitcoin-riggar i datakraft. Kort sagt man behöver ha entropi på 77 - 80 Bit för att ha anständig attackmotstånd idag (runt 3000 år med 1000 miljarder tester i sekunden...) vilket motsvarar 6 slumpvalda ord ur ett ordlista av 7776 ord (ger 77.55 bit entropi). För inloggning där man blir kickad efter ett antal misslyckade försök så kan man ha färre ord, och då kanske 4 ord är lagom (51.7 bit entropi) .

Det finns i strippen ritat men inte uttalat - att man använder skiljetecken mellan orden, men det behöver inte och bör inte vara just mellanslag, och skrivs orden ihop till en enda sammanhängande textsekvens så försvagas det kraftigt.

Det andra man inte kan trycka hårt nog på - att orden väljs _sant slumpmässigt_, helst med fysisk process som tärningskast, eller datamaskinslump med god slumptalsgenerator i botten.

Hjärnan skall aldrig hitta på ordföljden då det är till stor del är förutsägbart (dvs. omedveten önskan att bilda mening som löper bra i munnen samt väldigt selektiv del av sin ordförråd att välja mellan i huvudet just då) vilket försvagar passfrasen mycket kraftigt.

Om man tittar på passordslistorna med passorden i klarspråk från läckta och crackade passordsdatabaser så är det ytterst få funna passfraser över 3 ord i längd och de som finns har gjort misstaget att använda kända citat/boktexter och/eller bygga orden i menings-form...

'correct horse battery staple' är heller inget man skall använda sig av

(hmm, undra hur många av just denna som faktiskt har använts 'skarpt' och sedan läckt ut i databas-läckor?

...... faktiskt bara 3 st unika enligt https://api.pwnedpasswords.com/range/abf7a med de 5 första värdena i SHA1-hashet som argument i slutet av adressen och man fortsätter sökningen i listan som kommer tillbaka i browsern med abf7aad6438836dbe526aa231abde2d0eef74d42 för just sha1-summan av 'correct horse battery staple', men faktiskt ingen med 'correct-horse-battery-staple' med dd606cd49bbbd06b4c2606fc2449f8fb87975786 som SHA1-hash, medans 'correcthorsebatterystaple' med sha1-hashet bfd3617727eab0e800e62a776c76381defbc4145 fanns i 120 fall.)