Internetanvändare fortsatt usla på lösenord

Permalänk
Medlem

@htbtoma

forumet vet det nu. och snart andra sociala media

Men om du menar allvar så bör du snabbt tänka om då det är lättare än vad man tror att kartlägga en person/familj om man gett sig tusan på detta.

Det är bättre att med tex på klicka fram en rad 6-ords sekvenser hos https://www.rempe.us/diceware/#swedish tills du hittar något hjärnan accepterar och fungerar bra att mumla i munnen och går att skriva fort efter lite träning. var inte rädd att skriva upp det tills det går smidigt utantill - här då i avseende som huvudpassfras för email och öppna passordshanterare , krypterade diskar etc. i användning som långtidspassord.

för forumsessioner, steam etc låter man passordshanterare eller browser genera och hålla reda på passorden - passord man aldrig lär sig utantill då de hanteras med program och lätta att byta vid behov.

Permalänk
Medlem
Skrivet av pv2b:

Om du vet att ditt lösenord läckt är det bara en tidsfråga tills du blir hackad. Eftersom du använder samma lösenord överallt så måste du ju också byta "överallt". Bra tillfälle att passa på att fixa en lösenordshanterare. Eller åtminstone se till att du har ett annat lösenord till mailen (inte bara kryptoplånboken).

Angående biometriska faktorer så är det absolut ett problem att de inte går att byta om de blir läckta. Biometri kan därför aldrig vara den "enda" faktorn i ett lösenordssystem, utan måste alltid kombineras med minst en annan faktor för att kunna ge någon meningsfull säkerhet. T.ex. när det handlar om en dator eller mobiltelefon så kan ett fingeravtryck vara någolunda rimligt för inloggning, eftersom det inte räcker med bara ditt fingeravtryck för att ta del av din data, utan man måste även stjäla själva datorn. D.v.s. ena faktorn är din dator (något du har), andra faktorn är ditt fingeravtryck (något du är).

Ett hypotetiskt system som skulle låta en logga in över nätet baserat på endast ett fingeravtryck skulle vara osäkert, precis som du själv är inne på.

Jag skippade lösenord på alla mina datorer och mobiler för en 2 år sedan eller så det är mycket skönare.

Permalänk
Medlem

Internet användare är ju också folk som valde Trump som president, så förväntar man nåt annat? Jag menar... se på dom som fortfarande tror att covid-19 är fake news, dom hittar du ute i butikerna, prata över skuldern på dig med kassören när du går och handlar...samma folk.

Permalänk
Medlem
Skrivet av snajk:

Tja kanske. Problemet är att man då förlitar sig på att en utvecklare har byggt en bra lösning för att generera dessa lösenord. Jag säger inte att det är svårt att bygga något sånt, bara att världen är full av mer eller mindre inkompetenta utvecklare, för att inte nämna de som bestämmer över utvecklarna, och mjukvaror med uppenbara felaktigheter.

Tjänster utformade av inkompetenta utvecklare torde rimligtvis konkurreras ut av tjänster utformade av kompetenta utvecklare.

Skrivet av snajk:

Och för många typer av konton så behöver man inte ha så mycket säkerhet. Finns det inga känsliga uppgifter, säg att man exempelvis behöver ett konto för att läsa svar på ett supportforum eller liknande, så bör man få välja ett simpelt lösenord där. Och på sådana ställen kan man förstås använda samma lösenord så slipper man hålla på med återställningar och liknande när man inte kommer ihåg. Bara man ser till att byta lösenord om tjänsten blir mer omfattande.

Finns det inga känsliga uppgifter, borde det räcka med lösenordshanteraren som finns inbakad i webbläsaren.

Skrivet av cyklonen:

Förlåt, men jag är genuint nyfiken på varför du använder ordet "passord" genomgående, när det vedertagna ordet på svenska är "lösenord".

"Passord" är det vedertagna ordet på norska. Är personen kanske från Norge?

Permalänk
Medlem
Skrivet av eXim:

Jag förstår inte, Företagen borde ta sitt ansvar och tvinga folk att använda bättre lösenord genom att kolla lösenordet så att det inte finns med i en ordlista och eller databaser av knäckta lösenord.

Folk får väl ha vilka lösen ord de vill, är ju deras huvudvärk om kontot blir hackat.
Har själv haft samma lösenord på de flesta av mina konton sen 2007 och har kvar mina konton. Sen visst har jag ett ord och några siffror men tänker inte byta på något som alltid funkat.

Permalänk
Medlem

Spelar stor bokstav någon roll för en maskin som ska knäcka lösenord?

Permalänk
Medlem
Skrivet av Zidious G:

Spelar stor bokstav någon roll för en maskin som ska knäcka lösenord?

Antag att du har oändligt många försök att gissa lösenordet. Du kanske har hackat en sida och kommit över en fil med lösenordens hashvärden.

1) Antag att lösenordet bara får innehålla bokstäverna a, b och c. Lösenordet ska vara 6 tecken långt. Då finns det 3⁶ = 729 olika möjliga lösenord.

2) Antag att lösenordet utöver bokstäverna a, b och c även får innehålla A, B och C. Lösenordet ska fortfarande vara 6 tecken långt. Då finns det (3*2)⁶ = 46656 olika lösenord.

Programmet som ska gissa vad du har för lösenord behöver alltså i genomsnitt göra 64 gånger fler gissningar. Det tar alltså 64 gånger så lång tid att gissa vad du har för lösenord.

Ju fler tecken som är tillåtna i lösenordet och ju längre lösenordet är, desto längre tid tar det för programmet att gissa vad du har för lösenord.

I praktiken försöker den som kommit åt filen med lösenord att i första hand gissa vad personen har för lösenord. Många har "123456" eller "password" som lösenord, så genom att börja med att testa lösenordsfilen mot en tabell på vanliga lösenord får man tag på en massa lösenord. Om en sida kräver både stora och små bokstäver och en siffra kanske en del väljer "Password1" och här hjälper det nog inte så mycket att man har en stor bokstav. Det här tricket har nog skurkarna redan lärt sig. För att en blandning av stora och små bokstäver ska skydda, måste man välja bokstäverna på ett smart sätt.

Permalänk
Medlem
Skrivet av htbtoma:

Har redan svarat på detta. Även om jag inte är helt anonym på internet så är min dotter definitivt det. Hon finns inte på våra sociala medier eller dyl så folk som inte känner oss vet inte om att vi har barn. Och definitivt inte vad hon heter eller när hon är född 🙂

Om någon som känner dig vill dig illa så är det exakt sådana lösenord de kommer börja med att testa. Lösenordscracking idag börjar ofta med att användaren matar in information om personen så att programmet har något att utgå från när den ska gissa. Att ta redan på viktiga årtal och framförallt födelsedatum är busenkelt.

Det är exakt helt fel strategi att välja denna typ av lösenord och kommer inte hjälpa alls den dagen någon vill försöka.

Det är dessutom inte information som du ensam känner till, det kan vara någon i din närhet som nämner denna information till andra...

Gör om gör rätt!

Permalänk
Medlem
Skrivet av Kommenterande 2:

Tjänster utformade av inkompetenta utvecklare torde rimligtvis konkurreras ut av tjänster utformade av kompetenta utvecklare.

Brukar du basera dina val av mjukvara eller tjänster på hur bra företagets utvecklare är? Det finns ett otal exempel på mjukvara som släppts med buggar som borde varit uppenbara men som inte hittats eller adresserats innan release, även från stora och väl ansedda företag. Och jag säger inte att det alltid är utvecklare med bristande kompetens utan minst lika ofta någon högre upp i hierarkin. Ofta är det ett väldigt fokus på "business value" och många (chefer) anser inte att säkerhet hör dit. Om då alla tjänster skulle generera lösenord till sina användare så hade risken förstås varit hög att några av dem genereras på dåliga eller förutsägbara sätt.

Citat:

Finns det inga känsliga uppgifter, borde det räcka med lösenordshanteraren som finns inbakad i webbläsaren.

Men varför nöja sig med en sämre och osäkrare lösning när det finns bättre som är gratis? Använder man bara Chrome till allt så funkar väl det, men då lägger man ju fler ägg i samma korg liksom, och det funkar ju inte utanför Chrome på ett enkelt sätt. En lösenordshanterare kan ju fylla i uppgifter i appar på telefonen också exempelvis. Och sådana som jag som använder ett antal olika browsers för olika syften och på olika maskiner är rätt glad att jag har en tjänst för mina lösenord som funkar till allihop.

Permalänk
Medlem
Skrivet av htbtoma:

Min dotter är så pass liten så hon florerar inte på internet med hennes personuppgifter. Mina föräldrars förnamn följt av datumet de gifte sig gav en password strenght på 15 miljarder år att knäcka så det är ju ganska lätt att skapa ett starkt lösenord.

Eller några minuter med lite sökande i någon personregister följt av en halvtimmes testande. Det är inte smart att basera sina lösenord på offentliga uppgifter. Brute-force attacker må ta miljarder år men det är som sagt inte det stora hotet idag.

Permalänk
Medlem

Tycker att med sunt förnuft plus en vettig lösenordshanterare så har man förmodligen gjort livet lite svårare för lösenordstjuvarna!

När jag inte låter min lösenordshanterare skapa lösenord så använder jag ett prefix samt ett suffix som alltid är likadant mellan dessa "fix" kommer något som bara jag känner till men som oftast anknyter till någon död släkting!

"Hints" som man ibland blir uppmanad att ha blir alltid "Titta i skrivbordslådan"

Permalänk
Medlem
Permalänk
Medlem
Skrivet av htbtoma:

Min dotter är så pass liten så hon florerar inte på internet med hennes personuppgifter. Mina föräldrars förnamn följt av datumet de gifte sig gav en password strenght på 15 miljarder år att knäcka så det är ju ganska lätt att skapa ett starkt lösenord.

Du missar poängen. Ja, för en dator tar det jättelång tid att forcera ett långt lösenord. Men en dator är inte intresserad av just ditt lösenord. Så detta scenario är rätt ointressant ur en praktisk synvinkel.

En människa däremot kan bli intresserad av ditt lösenord, och denna människa kräver inte några miljarder år för att gissa på allt relevant i din närhet, människor är jävligt smarta. Speciellt i ett land som Sverige med tillgång till en uppsjö offentliga register. Även det är otroligt dock, så inte heller helt relevant men större risk än forcerat lösenord (förutsatt att du inte använder typ 1234)

Största risken för dig är du själv. Att du delar med dig av ditt lösenord till andra (som sedan sprider det eller inte förvarar det lika säkert som du). Eller att ditt lösenord hamnar ute på nätet via en hackad tjänst du använder. Om du då gör som alla andra och har samma lösenord överallt är du körd, oavsett hur många miljarder år du tror dig sitta säkert.

Den bästa taktiken för ett praktiskt starkt skydd av dina uppgifter och konton:

1. Ha en lösenordshanterare med ett långt huvudlösenord som är enkelt för dig att komma ihåg (en ramsa som typ "Banan Yoga Lathund Alfa"), men som inte kan kopplas till dig som person.
2. Genom denna hanterare skapar du olika lösenord på varje tjänst du använder, dessa ska vara långa och totalt nonsens (t.ex. "C,r(:gkG~+K7~VQX"), så att du inte kan ge dem till någon om du ens hade velat.
3. Dela aldrig med dig av ditt huvudlösenord.

Om ditt lösenord hamnar ute på nätet i en läcka, är du fortfarande relativt säker och behöver bara byta lösenord på ett ställe.