Forum Övrigt Nyhetskommentarer Tråd Inlägg

Internetanvändare fortsatt usla på lösenord

1 2 3 4
Skriv svar
Permalänk
Avstängd
Skrivet av Hujeta:

Nej för helvete. Värsta som finns är ju när nån oviktig hemsida (forum, blogg osv) tvingar en att ha 16 tecken långt lösenord med specialtecken och hela fadderullan. Låt användaren bestämma själv och är man då så dum att man har samma lösenord överallt eller sätter ett enkelt lösenord där känslig data finns så gäller Darwins lag. Förstår inte varför sunt förnuft ska förpassas till företag.

Gå till inlägget

Vi borde inte ha lagar heller. Sunt förnuft borde ju räcka för att folk ska vara vettiga!

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Nbwu:

Litar inte på de där lösenordshanterarna...
Känns som jag lämnar iväg mina nycklar till någon jag inte känner - inte bra!
Så jag kör en enkel algoritm baserat på kontakter i telefon, fungerar så länge ingen får för sig att bli borttagen ur telefon.

Gå till inlägget

Då kan du hosta bitwarden själv. Då lämnar du inte it dina lösenord till någon annan än dig själv.

Visa signatur

Custom 60% Tangentbord
Egentillverkad spiralkabel
Julpynt för tgb nördar

Redigera
Citera flera Citera
Permalänk
Medlem

KeePass + dubbelkrypterad fjärrlagring, för smidig åtkomst från olika enheter. Har fungerat extremt bra i många långa år nu.

Använder även det mycket trevliga Authenticator-alternativet andOTP för 2FA mot särskilt viktiga tjänster.

Visa signatur

5950X, 3090

Redigera
Citera flera Citera
Permalänk
Medlem

Är det bra lösen så tål det att läckas om de är hashade på bra sätt hos siten - då blir man kvar bland dom 2% av alla lösenorden i läckaget som attackeraren ger upp på även efter väldigt lång attacktid.

De som skördar passord-kontonamn och email-par ur läckta listor jagar bara de lågt hängande frukterna (dvs. knäcks inom sekunder, på sin höjd minuter och det räcker ofta för 60-70% av de läckta passorden för att sedan skicka utpressningsbreven) - dom passord/passfraser som kräver dagar och veckor i attack är passord/passfraser som förmodligen inte kommer att knäckas någonsin.

Misstänker man att sin bra passord har kommit ut så får man besöka https://haveibeenpwned.com/ då och då.

Alternativt kör man i en linuxconsol script liknande

IFS= read -rsp 'Password: ' password
echo
hash=$(printf %s "$password" | openssl sha1 | tr abcdef ABCDEF)
hash=${hash##* }
prefix=${hash:0:5}
suffix=${hash:5}
if
  curl -s "https://api.pwnedpasswords.com/range/$prefix" |
    grep "^$suffix" > /dev/null
then
  echo "Password breached."
  exit 1
else
  echo "Password not found in breached database."
  exit 0
fi

(bytte script då den från HiBP själva hade en massa problem beroende på versioner av de olika anropade program)

för att kolla sitt hemliga passord mot de kända läckagen där passorden har knäckts till klarspråk

Scriptet ovan gör en sha1-hash av passordet - skickar in de 5 första hexadecimala värdet sha1-hashet till HiBP:s API för denna typ av fråga - får tillbaka en lista med sha1-summor av kända passord som startar med samma 5 värden - scriptet letar i listan som returnerats och se om resterande sha1-värde av sitt passord också finns i listan - finns den inte så är passordet fortfarande skyddad, finns den där så har man använt samma passord som någon annan på jorden också använde och har läckt till klarspråk eller så har den egna använda passordet läckt ut och crackats fram från läckta databaser med antingen passord i klarspråk (börja vara sällsynt att man är så klantig) eller hashvärden av passord som man sedan försöker prova fram vilket ord som genererade summan i bitcoin-liknande riggar.

Vill man ha 8-teckens passord så kommer det vara knepigt att ta sig igenom filtret då alla dumma, idiotiska och enkla passord redan finns där.

Passfraser genererad med maskinslump och tex. dicewares ordlistor kommer att passera ovanstående test tämligen enkelt då det är väldigt få knäckta passord som har mer än 3 ord såvida det inte är kända citat och meningar av kända personer/litteratur eller bibeln och annan religiös text.

jag gilla lapp i plånboken efter en situation med korrupt databas i en passordshanterare
och då använder jag https://www.passwordcard.org/en för slumpmässiga passord

och

https://www.rempe.us/diceware/#swedish för passfraser som också matas i en matris i excel på samma sätt som passwordcard - skriver ut och plastar in i kredikortsformat

givetvis används passordshanterare men passorden/passfraserna plockas alltid från lapparna - då de finns kvar när det digitala har skitit sig.

Senast redigerat
Redigera
Citera flera Citera
Permalänk
Medlem

Min dotters förnamn med stor bokstav, födelsedatum sen ett ! På slutet. Enkelt att komma ihåg och säkert då det både är väldigt långt och varierande 😊

Visa signatur

▪ R5-5600x - Aurous x570 elite - 32 GB DDR4 - MSI RTX 3060ti OC
▪ Nintendo Switch - iPhone XR

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Meathim:

Vi borde inte ha lagar heller. Sunt förnuft borde ju räcka för att folk ska vara vettiga!

Gå till inlägget

Alla vet att vi inte lever i en sån perfekt värld, även om man kan drömma om det. Vi lämnar det upp till hyresvärd/ bostadsförening att förse lås till ytterdörren men lämnar det åt hyresgästen att använda det, varför är det annorlunda med ett lösenord?

Visa signatur

A Man with One Watch Knows What Time It Is; a Man with Two Watches Is Never Quite Sure

Ghost S1 arctic white | B450 | RX6600XT | 3700X | NH-9Lx65 | 16Gb | WD 1Tb | Seagate 5Tb

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av htbtoma:

Min dotters förnamn med stor bokstav, födelsedatum sen ett ! På slutet. Enkelt att komma ihåg och säkert då det både är väldigt långt och varierande 😊

Gå till inlägget

För en slumpmässig attack är det bra men är du målet är det väldigt väldigt dåligt.

Visa signatur

Lurkar - läser mycket skriver lite. Vill du få min uppmärksamhet är det citat eller pm som gäller.
Jag anser att AIO-kylare har en plats i världen men det är INTE i fullstora ATX-system.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av htbtoma:

Min dotters förnamn med stor bokstav, födelsedatum sen ett ! På slutet. Enkelt att komma ihåg och säkert då det både är väldigt långt och varierande 😊

Gå till inlägget

Varför beskriver du ditt lösenord på ett publikt forum? 🙃

Redigera
Citera flera Citera
Permalänk
Medlem

fän ede så jävla traukit när man int får sin data på plats

Visa signatur

Stationär: ASUS X470 Strix-F / Ryzen 5800X / 16GB 3600MHz Corsair Venegance LP / PNY 4070 Ti / Samsung 830 128GB / WD Green 3TB / Cooler Master V700 / Fractal Design Define S2

Redigera
Citera flera Citera
Permalänk
Avstängd
Skrivet av Hujeta:

Alla vet att vi inte lever i en sån perfekt värld, även om man kan drömma om det. Vi lämnar det upp till hyresvärd/ bostadsförening att förse lås till ytterdörren men lämnar det åt hyresgästen att använda det, varför är det annorlunda med ett lösenord?

Gå till inlägget

Det finns system för att hanteranycklar och se till att en nyckel inte går till flera lås.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av htbtoma:

Min dotters förnamn med stor bokstav, födelsedatum sen ett ! På slutet. Enkelt att komma ihåg och säkert då det både är väldigt långt och varierande 😊

Gå till inlägget

Tipsar dig om ett bättre lösenord:

Inte din dotters förnamn, inte hennes födelsedatum

och så ett utropstecken

Visa signatur

Allan, please add signature

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av htbtoma:

Min dotters förnamn med stor bokstav, födelsedatum sen ett ! På slutet. Enkelt att komma ihåg och säkert då det både är väldigt långt och varierande 😊

Gå till inlägget

Ser ut som handen i handsken för många företags (idiotiska) password-rules 😊.

Men allvarligt tom. MS har i sina rekommendationer gått ifrån detta och även rek. att man skall byta passord stup i kvarten då det bara ger lägre till rent usel passord-kvalitet - det finns ingen anledning att byta ett bra passord så länge den inte är komprometterad.

Redigera
Citera flera Citera
Permalänk
Hedersmedlem

Från mig som jobbar med bl.a. såna här frågor om dagarna i min roll som systemadministratör så kommer här lite säkerhetstips som (jag i alla fall tycker) är bra. Detta är alltså i prioritetsordning, utifrån superviktigt till viktigt men inte lika viktigt.

Se till att din e-post är säker! De flesta sajter gör det möjligt att återställa ditt lösenord och komma in i nästan vilket konto som helst genom att skicka en återställningslänk till din mail. Om din mail blir hackad är det game over för dig. I detta ingår att se till att din telefon och dator har ett säkert skärmlås.

Använd unika lösenord på varje tjänst. Det är vanligt förekommande att tjänster blir hackade, och att en hackare kan ta del av ditt lösenord till siten som hackades. Då är det bra om du inte använder samma lösenord på andra tjänster! För då kan hackare prova samma användarnamn och lösenord på en annan tjänst som du hade på en tjänst som blev hackad.

Aktivera tvåfaktorsinloggning om/när det erbjuds. Tvåfaktorsinloggning gör att någon som stjäl ditt lösenord inte kan använda det för att logga in, utan att även hitta något sätt att kringgå tvåfaktorsinloggningen. Se även till att du har laddat ner och sparat reservkoder eller har något annat sätt att komma in i kontot igen tvåfaktorslösningen inte fungerar.

Använd bra, starka, svårknäckta, ogissbara lösenord. Men detta är faktiskt mindre viktigt än punkterna ovan. Har du tvåfaktorsinloggning så är det inte lika farligt att ha ett dåligt lösenord. Samma om du inte använder samma lösenord på en "viktig" site.

Rent praktiskt så har jag två grejer som jag kan rekommendera för att uppnå denna policy:

Skaffa en lösenordshanterare. En lösenordshanterare gör det barnsligt enkelt att hålla koll på hundratals olika slumpmässiga lösenord till alla möjliga siter. Den kan generera unika, slumpmässiga lösenord med ett par klick, och du behöver aldrig mer komma ihåg något lösenord när du loggar in på siter. Det fylls i av sig själv, helt enkelt. Personligen använder jag LastPass, med ett starkt lösenord som jag behöver komma ihåg utantill, kombinerat med tvåfaktorsinloggning. Lösenorden lagras på ett säkert sätt i molnet, på ett sätt som gör det omöjligt för ens LastPass själva att dekryptera dina lösenord om du glömmer ditt huvudlösenord. För den som inte litar på molntjänster, så är KeePass ett bra alternativ. Där lagras lösenorden istället i en krypterad fil direkt på din dator. (Glöm inte backuper på denna!)

Skaffa Authy. Authy är en 2FA-klient med stöd för TOTP (samma som t.ex. Google Authenticator använder) som funkar med många tjänster på nätet. Med Authy kan du samla alla dina tvåfaktorinloggningar i en app, och dessutom synka dem mellan olika enheter. Det gör att jag t.ex. kan plocka upp Authy i min PC så att jag inte behöver gräva efter min mobil bara för att logga in någonstans. Dessutom så behöver jag inte göra återställning av alla tjänster med 2FA om min telefon skulle gå sönder. Det är så klart en risk att dina 2FA-koder kan bli stulna med något som Authy, eftersom det lagras i molnet, men jag bedömer att nyttan överstiger risken för mig.

Till sist ett par bonusgrejer du INTE ska göra:

Kräv inte regelbundna lösenordsbyten. Forskning (och egen erfarenhet) har visat att användare som blir tvungna att regelbundet byta lösenord väljer dåliga lösenord av standarden Sommar2020! och liknande. Det är svårt och jobbigt att hitta på lösenord, och folk orkar helt enkelt inte.

Var inte rädd att skriva ner dina lösenord på papper. Om du inte kan/vill använda en lösenordhanterare så är en anteckningsbok på papper med lösenord en helt godtagbar lösning, om du litar på att den inte blir stulen, eller på att de i din omgivning inte använder boken för att snoka i dina tjänster. Det är mycket bättre än att t.ex. lagra lösenord i en okrypterad textfil på datorn.

Visa signatur

Akta dig för XY-Problemet, sätt alltid dina frågor i ett sammanhang!

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av pv2b:

Från mig som jobbar med bl.a. såna här frågor om dagarna i min roll som systemadministratör så kommer här lite säkerhetstips som (jag i alla fall tycker) är bra. Detta är alltså i prioritetsordning, utifrån superviktigt till viktigt men inte lika viktigt.

Se till att din e-post är säker! De flesta sajter gör det möjligt att återställa ditt lösenord och komma in i nästan vilket konto som helst genom att skicka en återställningslänk till din mail. Om din mail blir hackad är det game over för dig. I detta ingår att se till att din telefon och dator har ett säkert skärmlås.

Använd unika lösenord på varje tjänst. Det är vanligt förekommande att tjänster blir hackade, och att en hackare kan ta del av ditt lösenord till siten som hackades. Då är det bra om du inte använder samma lösenord på andra tjänster! För då kan hackare prova samma användarnamn och lösenord på en annan tjänst som du hade på en tjänst som blev hackad.

Aktivera tvåfaktorsinloggning om/när det erbjuds. Tvåfaktorsinloggning gör att någon som stjäl ditt lösenord inte kan använda det för att logga in, utan att även hitta något sätt att kringgå tvåfaktorsinloggningen. Se även till att du har laddat ner och sparat reservkoder eller har något annat sätt att komma in i kontot igen tvåfaktorslösningen inte fungerar.

Använd bra, starka, svårknäckta, ogissbara lösenord. Men detta är faktiskt mindre viktigt än punkterna ovan. Har du tvåfaktorsinloggning så är det inte lika farligt att ha ett dåligt lösenord. Samma om du inte använder samma lösenord på en "viktig" site.

Rent praktiskt så har jag två grejer som jag kan rekommendera för att uppnå denna policy:

Skaffa en lösenordshanterare. En lösenordshanterare gör det barnsligt enkelt att hålla koll på hundratals olika slumpmässiga lösenord till alla möjliga siter. Den kan generera unika, slumpmässiga lösenord med ett par klick, och du behöver aldrig mer komma ihåg något lösenord när du loggar in på siter. Det fylls i av sig själv, helt enkelt. Personligen använder jag LastPass, med ett starkt lösenord som jag behöver komma ihåg utantill, kombinerat med tvåfaktorsinloggning. Lösenorden lagras på ett säkert sätt i molnet, på ett sätt som gör det omöjligt för ens LastPass själva att dekryptera dina lösenord om du glömmer ditt huvudlösenord. För den som inte litar på molntjänster, så är KeePass ett bra alternativ. Där lagras lösenorden istället i en krypterad fil direkt på din dator. (Glöm inte backuper på denna!)

Skaffa Authy. Authy är en 2FA-klient med stöd för TOTP (samma som t.ex. Google Authenticator använder) som funkar med många tjänster på nätet. Med Authy kan du samla alla dina tvåfaktorinloggningar i en app, och dessutom synka dem mellan olika enheter. Det gör att jag t.ex. kan plocka upp Authy i min PC så att jag inte behöver gräva efter min mobil bara för att logga in någonstans. Dessutom så behöver jag inte göra återställning av alla tjänster med 2FA om min telefon skulle gå sönder. Det är så klart en risk att dina 2FA-koder kan bli stulna med något som Authy, eftersom det lagras i molnet, men jag bedömer att nyttan överstiger risken för mig.

Till sist ett par bonusgrejer du INTE ska göra:

Kräv inte regelbundna lösenordsbyten. Forskning (och egen erfarenhet) har visat att användare som blir tvungna att regelbundet byta lösenord väljer dåliga lösenord av standarden Sommar2020! och liknande. Det är svårt och jobbigt att hitta på lösenord, och folk orkar helt enkelt inte.

Var inte rädd att skriva ner dina lösenord på papper. Om du inte kan/vill använda en lösenordhanterare så är en anteckningsbok på papper med lösenord en helt godtagbar lösning, om du litar på att den inte blir stulen, eller på att de i din omgivning inte använder boken för att snoka i dina tjänster. Det är mycket bättre än att t.ex. lagra lösenord i en okrypterad textfil på datorn.

Gå till inlägget

Mycket bra skrivet! Sammanfattar det mesta i ett svep!

Ett sätt att säkra upp lösenordhanterare är att ha extra ord som man lägger till från huvudet. T.ex Lösenordshanteraren skriver sdj7sdksd8sd i formuläret och sedan lägger du till någon fras efter som bara du kommer ihåg. Det strular ju till det när man ska lägga in lösenorden i hanteraren, men ger en mer säkerhet. För de flesta skulle det inte behövas, men man kan ju säkra upp de mest kritiska sidorna. (Läste om det häromdagen på nätet, men kommer inte ihåg var)

Jag hade Google Authenticator men bytte till MS Authenticator istället för den har backup till molnet. (och det fungerar) Med Google Authenticator blir du utelåst om din telefon går sönder. Ska nog kika på Authy också.

Visa signatur

7600X,Tomahawk B650,NH-U12A,32GB,RX6700,Black SN850 1TB,860Evo 1TB,RM850x, 27GL850,Torrent Compact

Redigera
Citera flera Citera
Permalänk
Inaktiv

Mitt lösenord har redan läckt ut från jättemånga olika sajter. De verkar bli hackade hela tiden. Så jag fortsätter använda samma lösenord ändå det funkar bra så länge annars blir det bara att man glömmer. Viktiga lösenord typ crypto wallet eller nåt sånt är såklart annorlunda.

Tänk alla som går runt och tror att bio lösenord är säkra. När det väl läckt ut går det aldrig att byta hahahah

Redigera
Citera flera Citera
Permalänk
Medlem

Hade länge ett kasst lösenord på Sweclockers.

Men vad gör det? Det är väl inget att vara ledsen över att någon annan tagit sig in på. Mejlen är en helt annan sak dock.

Redigera
Citera flera Citera
Permalänk
Medlem

Tvåfaktorsautenticering är tyvärr ett rätt brutalt hinder i vardagen, och inget jag skulle stå ut med mer än för extremt känsliga saker, som bankuppgifter, men där är det ändå Bank-ID/Mobilt Bank-ID, så det är en helt annan sak just där.

Lösenordshanterare är inte heller nåt särskilt smidigt, eftersom man har "glömt" 100 procent av sina lösenord den dagen tjänster fallerar.

Jag lever ensam så att ha lösenorden i hemmet är hög säkerhet för mig. Jag har också mycket långa och slumpade lösenord (små och stora bokstäver, siffror, specialtecken, 15-25 tecken långa), så styrkemässigt är de nog ungefär som de som genereras av lösenordshanterare.

Sen autoinloggning på alla ställen som tillåter det. I praktiken behöver jag alltså nästan aldrig skriva in några lösenord för hand.

Visa signatur

Moderkort: Gigabyte X570 Aorus Master | CPU: AMD Ryzen R9 5900X | CPU-kylare: Noctua NH-D15 chromax.black | RAM: Corsair Vengeance LPX 64 GB (4x16) DDR4-3600 CL18 | GPU: Gigabyte RTX 4080 Eagle OC | SSD: 2 x Samsung 970 EVO Plus 1 TB NVMe + Kingston A400 480 GB + Samsung QVO860 1 TB | PSU: EVGA SuperNOVA G2 1000 W Gold | Chassi: Lian Li O11 Dynamic XL | Skärm: BenQ PD3200U @ 3840x2160 + ASUS ROG Strix XG32VQ @ 2560x1440 | Tangentbord: Corsair K68 RGB Cherry MX Red | Mus: Logitech MX Master 2S

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Meathim:

Det finns system för att hanteranycklar och se till att en nyckel inte går till flera lås.

Gå till inlägget

Ja? Men det bör regleras av den som använder nyckeln och inte den som förser låset.

Visa signatur

A Man with One Watch Knows What Time It Is; a Man with Two Watches Is Never Quite Sure

Ghost S1 arctic white | B450 | RX6600XT | 3700X | NH-9Lx65 | 16Gb | WD 1Tb | Seagate 5Tb

Redigera
Citera flera Citera
Permalänk
Avstängd
Skrivet av eXim:

Jag förstår inte, Företagen borde ta sitt ansvar och tvinga folk att använda bättre lösenord genom att kolla lösenordet så att det inte finns med i en ordlista och eller databaser av knäckta lösenord.

Gå till inlägget

Ännu bättre skulle det vara om användaren inte själv tilläts välja ett lösenord utan finge ett lösenord tilldelat.

Skrivet av enial:

På mitt jobb får jag ofta in laptops för reparation, som har en fin fasttejpad post-it lapp på insidan med användarnamn/lösenord till alla tänkbara system

Gå till inlägget

Jag undrar om inte post-it-lappar med säkra lösenord är säkrare än dåliga lösenord som folk har i huvudet. Det är nog större risk att någon knäcker ett lösenord utifrån än att någon bryter sig in och stjäl post-it-lappen. Man ska dock komma ihåg att plocka bort den innan man lämnar in datorn på reparation.

Ett annat problem är att vissa tjänster har ett dåligt system för att få tillbaka lösenordet om man förlorat det. En metod är den med säkerhetsfrågor. Man får välja en fråga (t.ex. "Vad är mammas flicknamn?") som ofta är lätt att få fram (ring Skatteverket så ger de svaret). Har man blivit av med lösenordet får man helt enkelt besvara säkerhetsfrågan. Vad många inte inser är svagheten i detta, d.v.s. att man lätt kan få kontot hackat om man anger mammas flicknamn som svar. Jag brukar använda "head /dev/urandom | sha1sum" för att välja svar på säkerhetsfrågan så att jag får ett långt slumpmässigt hexadecimalt tal som förhoppningsvis är tillräckligt säkert. Jag tycker att dessa säkerhetsfrågor var vanligare förr i tiden, men ibland stöter man fortfarande på dem.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av pv2b:

Var inte rädd att skriva ner dina lösenord på papper. Om du inte kan/vill använda en lösenordhanterare så är en anteckningsbok på papper med lösenord en helt godtagbar lösning, om du litar på att den inte blir stulen, eller på att de i din omgivning inte använder boken för att snoka i dina tjänster. Det är mycket bättre än att t.ex. lagra lösenord i en okrypterad textfil på datorn.

Gå till inlägget

Just detta är nog en liten självpåtagen tabu-grej hos många under alla åren där man gjort kopplingen 'hemlig = får inte skrivas ned' trots att det sällan står något om förbud i just att skriva sina lösenord - och resultatet blev att folk valde simplare passord i rädsla för att glömma och säkerhetsmässigt blev helt kontraproduktivt...

Det är helt OK att skriva ned - under förutsättning att lappen är inlåst eller förvaras där man har sina andra viktiga små lappar - dvs. där man har sina kontanter och kreditkort och därmed alltid har en viss koll på dem och saknas ganska fort om det tappas (och därmed kan anses som komprometterad), och när man inte längre behöver titta på lappen för att man nu kan utantill - ja då förstör man denna eller förvaras i låst utrymme hemma.

Det skall inte läggas in/fotas i sin helhet i någon telefon/dator då det elektroniskt kan kopieras senare obemärkt och dessutom åker upp i molntjänster hos Google/Apple i förvisso välmenande backupändamål - för då för då vet man inte längre var och hur många kopior man har och i vems händer och i det läget är att anses som komprometterat...

Redigera
Citera flera Citera
Permalänk
Avstängd
Skrivet av Hujeta:

Ja? Men det bör regleras av den som använder nyckeln och inte den som förser låset.

Gå till inlägget

Det är låstillverkaren som ser till att de är unika. Jag antar att det regler och grejer runt det också. Samma med billås och larm. Låser min nyckel upp grannens volvo har vi inte oss själva att skylla.

Alltså haltar liknelsen. Det är bevisat om och om igen att människor alltid väljer den lätta vägen. Det finns en anledning till att BankID finns, hade det varit fri lösenordssättning för banker t ex hade de flesta konton haft dåliga lösenord där också.

Redigera
Citera flera Citera
Permalänk
Avstängd
Skrivet av Kommenterande 2:

Ännu bättre skulle det vara om användaren inte själv tilläts välja ett lösenord utan finge ett lösenord tilldelat.

Gå till inlägget

Tja kanske. Problemet är att man då förlitar sig på att en utvecklare har byggt en bra lösning för att generera dessa lösenord. Jag säger inte att det är svårt att bygga något sånt, bara att världen är full av mer eller mindre inkompetenta utvecklare, för att inte nämna de som bestämmer över utvecklarna, och mjukvaror med uppenbara felaktigheter.

Och för många typer av konton så behöver man inte ha så mycket säkerhet. Finns det inga känsliga uppgifter, säg att man exempelvis behöver ett konto för att läsa svar på ett supportforum eller liknande, så bör man få välja ett simpelt lösenord där. Och på sådana ställen kan man förstås använda samma lösenord så slipper man hålla på med återställningar och liknande när man inte kommer ihåg. Bara man ser till att byta lösenord om tjänsten blir mer omfattande.

Citat:

Jag undrar om inte post-it-lappar med säkra lösenord är säkrare än dåliga lösenord som folk har i huvudet. Det är nog större risk att någon knäcker ett lösenord utifrån än att någon bryter sig in och stjäl post-it-lappen. Man ska dock komma ihåg att plocka bort den innan man lämnar in datorn på reparation.

Det beror ju på. En post-it är inte säker eller osäker utan det beror på vart man förvarar den och så. Jag har flera gånger sett folk skoja med någon kollegas dator (typ upp-och-nervänt skrivbord eller arabiskt tangentbord) tack vare lösenordet under tangentbordet eller liknande. Det är ju inte svårt att tänka sig att en missnöjd anställd, eller uppsagd, som vill sabotera lite för företaget eller sno med sig en kundlista eller liknande använder en kollegas dator.

Innan jag hade lösenordshanterare, efter jag pluggat IT-säkerhet, så var jag lite paranoid och hade mina lösenord på en liten laminerad lapp i plånboken och gömda i en publik bild på nätet (med steganografi), men inte med lösenorden riktigt i klartext utan jag hade ju ett mönster som jag ändrade dem efter som var lätt att komma ihåg. Typ att det tredje tecknet skulle vara "plus ett" och det sista "minus tre" eller liknande. Så om mitt lösenord var "abc123" så stod det på lappen "abd120". Det stoppar nog inte någon som verkligen vill åt mina grejer som hittar lappen och har lite tid, men det stoppar "skojare" och liknande.

Citat:

Ett annat problem är att vissa tjänster har ett dåligt system för att få tillbaka lösenordet om man förlorat det. En metod är den med säkerhetsfrågor. Man får välja en fråga (t.ex. "Vad är mammas flicknamn?") som ofta är lätt att få fram (ring Skatteverket så ger de svaret). Har man blivit av med lösenordet får man helt enkelt besvara säkerhetsfrågan. Vad många inte inser är svagheten i detta, d.v.s. att man lätt kan få kontot hackat om man anger mammas flicknamn som svar. Jag brukar använda "head /dev/urandom | sha1sum" för att välja svar på säkerhetsfrågan så att jag får ett långt slumpmässigt hexadecimalt tal som förhoppningsvis är tillräckligt säkert. Jag tycker att dessa säkerhetsfrågor var vanligare förr i tiden, men ibland stöter man fortfarande på dem.

Ja säkerhetsfrågor är katastrof. Tvingas man ha sådana, vilket fortfarande förekommer, så bör man välja att inte svara på frågan på riktigt liksom. Det gäller bara att hålla koll på svaren som man brukar ge på sådana frågor. Men det bästa är förstås att inte alls svara på frågan utan betrakta dem som lösenord i sig självt och låta en lösenordshanterare generera svaren på de frågorna också.

Skrivet av xxargs:

Just detta är nog en liten självpåtagen tabu-grej hos många under alla åren där man gjort kopplingen 'hemlig = får inte skrivas ned' trots att det sällan står något om förbud i just att skriva sina lösenord - och resultatet blev att folk valde simplare passord i rädsla för att glömma och säkerhetsmässigt blev helt kontraproduktivt...

Det är helt OK att skriva ned - under förutsättning att lappen är inlåst eller förvaras där man har sina andra viktiga små lappar - dvs. där man har sina kontanter och kreditkort och därmed alltid har en viss koll på dem och saknas ganska fort om det tappas (och därmed kan anses som komprometterad), och när man inte längre behöver titta på lappen för att man nu kan utantill - ja då förstör man denna eller förvaras i låst utrymme hemma.

Gå till inlägget

Så om man tappar plånboken eller den blir stulen så har de inte bara ens bankkort och legitimation utan också alla ens lösenord? Jag vet inte om det är så bra. Men om man försvårar det en aning så är det inte lika illa förstås. Men det är ändå ganska mycket jobb och mycket att tänkta på bara för att inte använda en lösenordshanterare liksom.

Citat:

Det skall inte läggas in/fotas i sin helhet i någon telefon/dator då det elektroniskt kan kopieras senare obemärkt och dessutom åker upp i molntjänster hos Google/Apple i förvisso välmenande backupändamål - för då för då vet man inte längre var och hur många kopior man har och i vems händer och i det läget är att anses som komprometterat...

Vill man krångla till allt lite extra för att slippa lösenordshanterare så rekommenderar jag att gömma sakerna lite bättre, exempelvis genom steganografi, kanske via denna tjänst: https://stylesuxx.github.io/steganography/

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av snajk:

Så om man tappar plånboken eller den blir stulen så har de inte bara ens bankkort och legitimation utan också alla ens lösenord? Jag vet inte om det är så bra.

Gå till inlägget

Om en plånbok är tappad/stulen så vet man att det är komprometterat och det gäller även ID/körkort och kreditkort och forcerar till åtgärd.

men samtidigt passord på kort - kanske i en matris av många ogiltiga, indikerar inget om _var_ de används, lika lite som en omärkt nyckel i en nyckelknippa - det är kunskap hos bäraren om var och när som gör det användbart.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av xxargs:

passord

Gå till inlägget

Förlåt, men jag är genuint nyfiken på varför du använder ordet "passord" genomgående, när det vedertagna ordet på svenska är "lösenord".

Visa signatur

Moderkort: Gigabyte X570 Aorus Master | CPU: AMD Ryzen R9 5900X | CPU-kylare: Noctua NH-D15 chromax.black | RAM: Corsair Vengeance LPX 64 GB (4x16) DDR4-3600 CL18 | GPU: Gigabyte RTX 4080 Eagle OC | SSD: 2 x Samsung 970 EVO Plus 1 TB NVMe + Kingston A400 480 GB + Samsung QVO860 1 TB | PSU: EVGA SuperNOVA G2 1000 W Gold | Chassi: Lian Li O11 Dynamic XL | Skärm: BenQ PD3200U @ 3840x2160 + ASUS ROG Strix XG32VQ @ 2560x1440 | Tangentbord: Corsair K68 RGB Cherry MX Red | Mus: Logitech MX Master 2S

Redigera
Citera flera Citera
Permalänk
Avstängd
Skrivet av xxargs:

Om en plånbok är tappad/stulen så vet man att det är komprometterat och det gäller även ID/körkort och kreditkort och forcerar till åtgärd.

Gå till inlägget

Jovisst. Men det blir ju rätt jobbigt om det är det enda stället man har dessa lösenord. ID-kort kan man spärra men det gäller förstås att vara snabb, bankkort också förstås och där får man ju tillbaka eventuella pengar som har hunnit försvinna, och dessutom brukar det ju vara tvång på ytterligare säkerhetslösningar som bankid eller kod för större köp. Men om någon exempelvis kommer åt ditt konto på Elgiganten och köper en massa grejer på ens sparade kort så får man inte tillbaka ett skit för man har varit oaktsam.

Citat:

men samtidigt passord på kort - kanske i en matris av många ogiltiga, indikerar inget om _var_ de används, lika lite som en omärkt nyckel i en nyckelknippa - det är kunskap hos bäraren om var och när som gör det användbart.

Jo jag har sett en massa kreativa lösningar, och de höjer förstås säkerheten en hel del, men jag tycker fortfarande det är bra mycket enklare och säkrare att bara använda en lösenordshanterare.

Har en aktör som är ute efter dina saker dina lösenord även om de är dolda i en matris eller något omskrivna så kommer den att lista ut dem förr eller senare. Sen kanske det inte är en så stor risk för många förstås, det krävs ju att någon verkligen vill ha just dina saker och fysiskt kan vara på plats och så.

Men exempelvis mitt företag är ju konstant utsatt för industrispionageförsök, det hittas usb-minnen av liknande modell som vi har med vår logga på och sånt runt vårt kontor med jämna mellanrum med trojaner på och så, och det händer då och då att man får phishing-meddelanden från någon chefs linkedin. Så för mina jobbsaker så försöker jag hålla en hög säkerhetsnivå, även om IT-avdelningen motarbetar mig med exempelvis ständiga krav på lösenordsbyte och kontraproduktiva nedlåsningar av jobbtelefonen.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av jetblack:

Tipsar dig om ett bättre lösenord:

Inte din dotters förnamn, inte hennes födelsedatum

och så ett utropstecken

Gå till inlägget

Min dotter är så pass liten så hon florerar inte på internet med hennes personuppgifter. Mina föräldrars förnamn följt av datumet de gifte sig gav en password strenght på 15 miljarder år att knäcka så det är ju ganska lätt att skapa ett starkt lösenord.

Visa signatur

▪ R5-5600x - Aurous x570 elite - 32 GB DDR4 - MSI RTX 3060ti OC
▪ Nintendo Switch - iPhone XR

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Johan_S:

Varför beskriver du ditt lösenord på ett publikt forum? 🙃

Gå till inlägget

Har redan svarat på detta. Även om jag inte är helt anonym på internet så är min dotter definitivt det. Hon finns inte på våra sociala medier eller dyl så folk som inte känner oss vet inte om att vi har barn. Och definitivt inte vad hon heter eller när hon är född 🙂

Visa signatur

▪ R5-5600x - Aurous x570 elite - 32 GB DDR4 - MSI RTX 3060ti OC
▪ Nintendo Switch - iPhone XR

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av htbtoma:

Har redan svarat på detta. Även om jag inte är helt anonym på internet så är min dotter definitivt det. Hon finns inte på våra sociala medier eller dyl så folk som inte känner oss vet inte om att vi har barn. Och definitivt inte vad hon heter eller när hon är född 🙂

Gå till inlägget

Så snokar jag reda på vem du är så behöver jag ringa folkbokföringen så har jag allt jag behöver för att knäcka ditt lösenord. Det är på sin höjd ett par timmars jobb.

Visa signatur

Lurkar - läser mycket skriver lite. Vill du få min uppmärksamhet är det citat eller pm som gäller.
Jag anser att AIO-kylare har en plats i världen men det är INTE i fullstora ATX-system.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Meathim:

Det är låstillverkaren som ser till att de är unika. Jag antar att det regler och grejer runt det också. Samma med billås och larm. Låser min nyckel upp grannens volvo har vi inte oss själva att skylla.

Alltså haltar liknelsen. Det är bevisat om och om igen att människor alltid väljer den lätta vägen. Det finns en anledning till att BankID finns, hade det varit fri lösenordssättning för banker t ex hade de flesta konton haft dåliga lösenord där också.

Gå till inlägget

Visst haltar liknelsen litegranna, och i vissa instanser som exempelvis banker så självklart ligger det i deras intresse också att starka lösenord/ verifieringsmetoder används eftersom det kostar dem pengar om kontot blir hackat och för att inte tala om "reputational damage". Det jag ursprungligen motsade mig mot var att det alltid skulle vara företagens ansvar att se till att användarna har ett säkert lösenord oavsett hur oviktig information som finns i tjänsten. Helt ok att låta individen använda ett enkelt lösenord på twitter men då får man också stå sitt kast om någon kommer in och trollar, 100 gånger bättre än att twitter tvingar alla att använda starka lösenord/ 2FA exempelvis. Sen om man är politiker eller av andra anledningar behöver måna om sitt offentliga ansikte får de själva välja att använda bättre metoder.

Visa signatur

A Man with One Watch Knows What Time It Is; a Man with Two Watches Is Never Quite Sure

Ghost S1 arctic white | B450 | RX6600XT | 3700X | NH-9Lx65 | 16Gb | WD 1Tb | Seagate 5Tb

Redigera
Citera flera Citera
Permalänk
Hedersmedlem
Skrivet av anon56869:

Mitt lösenord har redan läckt ut från jättemånga olika sajter. De verkar bli hackade hela tiden. Så jag fortsätter använda samma lösenord ändå det funkar bra så länge annars blir det bara att man glömmer. Viktiga lösenord typ crypto wallet eller nåt sånt är såklart annorlunda.

Tänk alla som går runt och tror att bio lösenord är säkra. När det väl läckt ut går det aldrig att byta hahahah

Gå till inlägget

Om du vet att ditt lösenord läckt är det bara en tidsfråga tills du blir hackad. Eftersom du använder samma lösenord överallt så måste du ju också byta "överallt". Bra tillfälle att passa på att fixa en lösenordshanterare. Eller åtminstone se till att du har ett annat lösenord till mailen (inte bara kryptoplånboken).

Angående biometriska faktorer så är det absolut ett problem att de inte går att byta om de blir läckta. Biometri kan därför aldrig vara den "enda" faktorn i ett lösenordssystem, utan måste alltid kombineras med minst en annan faktor för att kunna ge någon meningsfull säkerhet. T.ex. när det handlar om en dator eller mobiltelefon så kan ett fingeravtryck vara någolunda rimligt för inloggning, eftersom det inte räcker med bara ditt fingeravtryck för att ta del av din data, utan man måste även stjäla själva datorn. D.v.s. ena faktorn är din dator (något du har), andra faktorn är ditt fingeravtryck (något du är).

Ett hypotetiskt system som skulle låta en logga in över nätet baserat på endast ett fingeravtryck skulle vara osäkert, precis som du själv är inne på.

Visa signatur

Akta dig för XY-Problemet, sätt alltid dina frågor i ett sammanhang!

Redigera
Citera flera Citera
1 2 3 4
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara