Blivit hackad

Nej, jag hade med en lösenordshanterare..tills jag blev hackad. Då insåg jag att det säkraste är helt enkelt att ha det analogt.

Ett av de i särklass bästa sätten för de flesta av oss om man står ut med att det är ganska styltigt när man har ett unikt konto per tjänst man använder.

Få människor har en hotbild där ett fysiskt angrepp på ens digitala liv är sannolikt, och de flesta normala människor är mycket bättre på att hemlighålla och hantera viktiga fysiska objekt än viktiga digitala dito.

Börjar med att säga att det så klart är tråkigt när sånt här händer. Men det är säkert många som läser tråden så jag vill klargöra några saker

TS körde en fil lokalt på datorn som potentiellt fick tillgång till allt som finns på den. Och kunna skicka hem utvalda filer eller hela disken till ägaren.

Detta är troligen en stor källa till att anfallaren kunnat komma över inloggning till massa tjänster. Men även samtliga sessionskakor som är lagrade på datorn. Tänk på alla tjänster där man är inloggat hela tiden, de har en sessions kaka på din dator som gör det möjligt. Eftersom de haft full tillgång till din dator kan de klona i stort sett alla unika kollar för att komma åt konton, de kan tom köra proxy via din dator så att de kommer från samma IP så inget verkar suspect.

Detta är bra, men tänk på vad jag just skrev om sessions kakor. Om man kör ett program på datorn så kan de sno allt sånt och kringgå 2FA. Då är det upp till tjänsten vad man kan göra utan lösenord och/eller 2FA. Tex Facebook har vi sett många som fått sitt konto helt övertaget genom att de bytts mail och telefonnummer helt utan att man verkar behöva ha lösenord, 2FA eller access till de befintliga mail/telenummren. Nu kan man tycka att detta är helt fel tänk från Metas sida men man är utsatt till hur tjänsterna funkar.

Du har inte fel, men du glömmer nämna vad som faktiskt läckte. Det var folks krypterade valv, som är krypterade med användarens egna lösenfras. Plus massa metadata som inte var krypterad. Så det är illa, men inte så illa som folk kan tolka det som. Detta är också en risk med google chrome, apple safari, ms edge om man vill ha sina lösenord synkade.

Jag ser att en del gör sig roliga över er. Men jag vill bara instämma att hotbilden att nån kommer hem till en och fysiskt snor lösenordsböcker är långt i från verklighet för många. På internet är man ett mål så länge man har en enhet uppkopplad. Dock kan det vara knepigt när man själv inte är hemma och behöver logga in på tjänster.

PS hur sparar ni alla andra era backup koder för MFA? Jag har dem på papper hemma. Lika så har jag en backup yubikey hemma.