En fråga om lösenord

Citera flera Citera

2023-03-03 16:24

pompado

Avstängd

Registrerad: Jan 2015

●

Har Enpass och två stegs men ändå nyfiken

Mvh

Citera flera Citera

2023-03-03 16:28

Sh4d0wfi3nd

Medlem ★

Plats: Växjö
Registrerad: Jan 2012

●

Det nya inom IT-säkerhet är ju att ha ett riktigt bra lösenord (16-20 tecken+) med MFA/2FA som du sedan inte måste byta då du ändå har mfa. Unikt för varje grej såklart. Får du meddelande att någon försökt logga in så byter du då lösenord.

Personligen kör jag MFA på allt jag kan och sedan kör jag unika lösenord med hjälp av Bitwarden (eller valfri lösenordhanterare).

Visa signatur

I7 12700K, Asus RTX 3080 TI, Alienware AW3423DW och annat smått o gott.

Citera flera Citera (3)

2023-03-04 10:21

Pitr-

Medlem ★

Plats: Östersund
Registrerad: Feb 2003

●

Skrivet av Sh4d0wfi3nd:

Det nya inom IT-säkerhet är ju att ha ett riktigt bra lösenord (16-20 tecken+) med MFA/2FA som du sedan inte måste byta då du ändå har mfa. Unikt för varje grej såklart. Får du meddelande att någon försökt logga in så byter du då lösenord.

Personligen kör jag MFA på allt jag kan och sedan kör jag unika lösenord med hjälp av Bitwarden (eller valfri lösenordhanterare).

Du är alldeles rätt ute. Eftersom vi människor är lata i vår natur, och nu även Microsoft har kommit till den insikten, så har man insett att det rent säkerhetsmässigt är bättre att inte forcera på användarna lösenordsbyten stup i kvarten. Detta i kombination med att förbjuda "Sommar2023" och liknande lösenord samt forcera på 2-faktor tar oss ett rätt stort kliv i rätt riktning vad gäller att säkra upp både IT-miljö både personligt och i arbete.

I väntan på att det mesta ska vara helt "Passwordless" FIDO2/WebAuthn så har själv valt att köra Bitwarden för unika lösenord samt att jag även sparar MFA/OTP där. Då kanske många av er ropar ut direkt att detta är fullständigt säkerhetsmässigt idiotiskt vilket det hade varit om jag nu inte hade säkrat upp Bitwarden med Yubikey 2FA. Så jag är rätt nöjd med detta, mina kollegor blir smått avundsjuka när de ser hur lätt det är för mig att logga in säkert vis, ctrl+shift+l och därefter ctrl+v och jag är inloggad.

Visa signatur

Also found as @piteball@mastodon.rockhost.se
XCP-ng Node - Dell PowerEdge R720xd, Xeon E5-2690, 272GB, 3TB SSD, Nvidia Tesla P4
XCP-ng Node - Dell PowerEdge R720xd, Xeon E5-2697v2, 256GB, 2TB SSD
Xpenology Storage - SuperMicro X10SLL-F/SC825TQ, Xeon E3-1231 v3, 16GB, 90TB HDD
Xpenology Backup - Dell PowerEdge R230, Xeon E3-1220v6, 16GB, 12TB HDD

Citera flera Citera

2023-03-04 10:58

Sh4d0wfi3nd

Medlem ★

Plats: Växjö
Registrerad: Jan 2012

●

Skrivet av Pitr-:

Du är alldeles rätt ute. Eftersom vi människor är lata i vår natur, och nu även Microsoft har kommit till den insikten, så har man insett att det rent säkerhetsmässigt är bättre att inte forcera på användarna lösenordsbyten stup i kvarten. Detta i kombination med att förbjuda "Sommar2023" och liknande lösenord samt forcera på 2-faktor tar oss ett rätt stort kliv i rätt riktning vad gäller att säkra upp både IT-miljö både personligt och i arbete.

I väntan på att det mesta ska vara helt "Passwordless" FIDO2/WebAuthn så har själv valt att köra Bitwarden för unika lösenord samt att jag även sparar MFA/OTP där. Då kanske många av er ropar ut direkt att detta är fullständigt säkerhetsmässigt idiotiskt vilket det hade varit om jag nu inte hade säkrat upp Bitwarden med Yubikey 2FA. Så jag är rätt nöjd med detta, mina kollegor blir smått avundsjuka när de ser hur lätt det är för mig att logga in säkert vis, ctrl+shift+l och därefter ctrl+v och jag är inloggad.

Japp, på jobbet kör jag dock keepass. Vi får inte ha bitwarden där. Mycket tråkigt. Kör också yubikey (en på nyckelknippa och en hemma).

Visa signatur

I7 12700K, Asus RTX 3080 TI, Alienware AW3423DW och annat smått o gott.

Citera flera Citera

2023-03-04 11:07

Mullvaden83

Medlem ★

Plats: Uppsala
Registrerad: Jun 2009

●

Skrivet av Sh4d0wfi3nd:

Vi får inte ha bitwarden där. Mycket tråkigt.

Varför inte?

Visa signatur

ASUS X570-F, AMD Ryzen 9 3900x, 16Gb RAM, Gigabyte 2070Super auros

Citera flera Citera

2023-03-04 11:11

Allexz

Sötast ★

Plats: Trelleborg
Registrerad: Dec 2004

●

Skrivet av pompado:

Hej är det nödvändigt att använda tvåstegs indentifiering om man har memoriserat en lång komplex ramsa som bara finns tillgänglig i huvudet.

Tänker sidan har https och har ingen keylogger på datorn.

Mvh

Om man ser det från din sida sett så är det ganska säkert då lösenordet finns i ditt huvud.

Den stora risken är:
Du förutsätter att sidan du loggar in på är lika seriös som du är.
Det händer gång på gång att företag blir hackade och lägger allt från användarnamn till lösenord i klartext.

Tyvärr så är det ganska vanligt att IT-säkerhet kommer sist. Det är bara en kostnad.

Skrivet av Mullvaden83:

Varför inte?

https://imgur.com/sxldiIg

Gissar på att det är samma sak som på vårt jobb...

"Ja ehh... FOSS är ju... ehh.. fint å häftigt öhh.... men vem som helst kan ju stoppa in virus i koden och köra det i vår miljö.. näehh..."

*facepalm*

Visa signatur

Citera flera Citera (2)

2023-03-04 11:18

Mullvaden83

Medlem ★

Plats: Uppsala
Registrerad: Jun 2009

●

Skrivet av Allexz:

"Ja ehh... FOSS är ju... ehh.. fint å häftigt öhh.... men vem som helst kan ju stoppa in virus i koden och köra det i vår miljö.. näehh..."

*facepalm*

Hahhahaa Ja företagschefer i ett nötskal. XD

Visa signatur

ASUS X570-F, AMD Ryzen 9 3900x, 16Gb RAM, Gigabyte 2070Super auros

Citera flera Citera (1)

2023-03-04 11:21

dlq84

Medlem ★

Plats: Norrköping
Registrerad: Jan 2011

●

Skrivet av pompado:

Hej är det nödvändigt att använda tvåstegs indentifiering om man har memoriserat en lång komplex ramsa som bara finns tillgänglig i huvudet.

Tänker sidan har https och har ingen keylogger på datorn.

Mvh

Inget är strikt "nödvändigt". Men 2fa ökar säkerheten utan att krångla till det för mycket.

Lösenordshanterare med långa slumpmässiga lösenord och 2fa genom FIDO2 (Webauthn) är det bästa du som vanlig dödlig kan köra på idag.

Citera flera Citera

2023-03-04 11:34

Sh4d0wfi3nd

Medlem ★

Plats: Växjö
Registrerad: Jan 2012

●

Skrivet av Mullvaden83:

Varför inte?

Som sagt tidigare. Vi får bara ha godkända program inom koncernen och den enda lösenordshanteraren är keepass. Jag har dock local admin till skillnad från 98% av koncernen så tekniskt sett kan jag köra bitwarden men de övervakar våra maskiners mjukvara så kör primärt redan godkända eller mjukvara som krävs för mitt arbete.

Keepass gör sitt jobb med autotype i browsers tex. Inte världens bästa lösning men den är gratis.

Visa signatur

I7 12700K, Asus RTX 3080 TI, Alienware AW3423DW och annat smått o gott.

Citera flera Citera

2023-03-05 19:30

snajk

Avstängd

Plats: Göteborg
Registrerad: Jun 2010

●

Skrivet av Pitr-:

Du är alldeles rätt ute. Eftersom vi människor är lata i vår natur, och nu även Microsoft har kommit till den insikten, så har man insett att det rent säkerhetsmässigt är bättre att inte forcera på användarna lösenordsbyten stup i kvarten. Detta i kombination med att förbjuda "Sommar2023" och liknande lösenord samt forcera på 2-faktor tar oss ett rätt stort kliv i rätt riktning vad gäller att säkra upp både IT-miljö både personligt och i arbete.

I väntan på att det mesta ska vara helt "Passwordless" FIDO2/WebAuthn så har själv valt att köra Bitwarden för unika lösenord samt att jag även sparar MFA/OTP där. Då kanske många av er ropar ut direkt att detta är fullständigt säkerhetsmässigt idiotiskt vilket det hade varit om jag nu inte hade säkrat upp Bitwarden med Yubikey 2FA. Så jag är rätt nöjd med detta, mina kollegor blir smått avundsjuka när de ser hur lätt det är för mig att logga in säkert vis, ctrl+shift+l och därefter ctrl+v och jag är inloggad.

Bitwarden här med, och 2FA på allt viktigt som har det.

Att inte tvinga användarna att byta lösenord i onödan är bra säkerhet och det var det också när jag läste just IT-säkerhet 2008 då MS hade rekommenderat det i ett antal år redan. Likväl sitter man där var tredje månad och försöker komma på något nytt som inte får ha använts tolv gånger bakåt eller vad det är, jag fattar inte vem som bestämmer dessa policys? Har de inte uppdaterat sina kunskaper sedan nittiotalet?