Helgsnack: Hur håller du dina användarkonton säkra?

Permalänk
Skrivet av Pirum:

Jag håller absolut med dig, och om man använder en lösenordshanterare har man ju visat att man litar på den (även om man såklart kan välja en lösning där man kör allt lokalt, open source och egenkompilerat & kontrollerat om man är extra petig).

Och det säkert vara jättebra att kolla på https://haveibeenpwned.com om något är läckt, jag har gjort det ett par gånger, men om man går in på https://haveibeenpwned.con/ (fiktiv) istället och gör samma sak kanske det slutar illa.

Ett problem är annars : vem kan man lita på? Och går den alltid att lita på?

Det är ju alltid upp till ens hotbild. Väldigt få av oss är så värdefulla att vi behöver bry oss om mer än att vara säkrare än de allra flesta. Du behöver inte springa snabbare än draken; det räcker att springa snabbare än halvlingen.

Lastpass är ju ett skräckexempel på en - åtminstone tills relativt nyligen - mycket populär produkt med katastrofal säkerhet som ingen bör använda någonsin igen. Som nämndes av Medbor tidigare har andra produkter varit betydligt öppnare med hur de fungerar, och betydligt bättre på att kryptera all relevant information från sina användare.
Men även så: Använder du en lösenordshanterare så innebär det också att du har en överblick över alla de hemligheter du har, så om din lösenordsdatabas skulle hamna i orätta händer har du med stor sannolikhet tid att byta ut lösenorden på alla tjänster du använder innan angriparen hunnit dekryptera dina lösenord och använda dem.

Och återigen: För de allra flesta är en lösenordshanterare som genererar unika lösenord för varje site en gigantisk säkerhetsförbättring jämfört med vad de hade gjort annars - särskilt om de hittat på egna kluriga algoritmer för hur de ska skapa lösenord: Människor är experter på att introducera förutsägbarhet och eliminera sånt som gör lösenord matematiskt mer svårknäckta.

---

Som du ser av mina exempel ovan, är metoden Haveibeenpwned valt för lösenordskontroll ganska säker: Allt "farligt" sker på din egen dator, under din egen kontroll. Det enda som skickas över nätet är information som inte kan användas för att rekonstruera just ditt lösenord.

Permalänk
Medlem

Dashlane är en favorit. Har förstått att det är något dyrare än alternativen men kommer nog aldrig byta. Fungerar helt sömlöst och har alla funktioner jag behöver. Automatisk inloggning både på datorn och mobilen. Hjälper till vid registering, den auto-fill:ar allt och genererar säkra lösenord, ser till att jag aldrig använder samma. Håller koll på Darknet läckor. VPN ingår, även fast jag inte använder det mer än när jag vill fake:a position. Gillar det bara. Brukar sätta mig i mellandagarna och sortera upp allt. Ta bort sidor jag inte använder eller byta lösenord här och där. Ja... rekommenderar helt klart Dashlane!

Permalänk
Medlem

Lösenordshanterare, 2fa där det finns (via lösning som tillåter multipla enheter - laptop / mobil)

Permalänk
Medlem

olika lösenord på de flesta platser, återbruk på vissa platser som är lågkritiska. Spara lösenorden på/i xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxi Bilder i telefonen på de jag har svårt att komma ihåg och ofta behöver

Permalänk
Medlem

Betal-Bitwarden i deras EU-instans med ~20 tecken slumpade lösenord. Några konton som loggas in på via enheter som inte har Bitwarden har lösenord jag faktiskt kan komma ihåg och skriva själv. 2FA där det stöds och måste säga att Bitwardens automatiska clipboarding av TOTP-koder är grym.

Visa signatur

CPU: AMD Ryzen 7 7800X3D CO + 2133 MHz FCLK GPU: Sapphire RX 7900 XT Pulse OC
RAM: Corsair 2x16GB 6000 MT/s CL30 (Hynix) BZ subtimings
MB: ASUS ROG Strix B650E-F Gaming WIFI SSD: Kingston KC3000 2TB PSU: Corsair RM850x

Permalänk
Medlem
Skrivet av medbor:

Jag kör bara ******* överallt, hur säkert som helst

Jag kör så, jag är ej ironisk

Permalänk
Redaktionschef
Skrivet av evil penguin:
  • Bitwarden för smidig synk mellan alla enheter. Kontona får långa slumpgenererade lösenord, inget återvinnande av lösenord till flera konton.

  • TOTP 2FA påslaget på typ allt där det finns som val. Backup av 2FA i Keepass(XC)-fil som backas upp separat.

  • Registrerat mig för notifieringar från https://haveibeenpwned.com/ + https://monitor.firefox.com/

  • Föredrar kryptografiska lösningar för inloggning framför lösenord principiellt, och att då inte ha någon delad hemlighet som motparten också måste hålla hemlig. Men alternativet måste då ge möjlighet att hantera nycklar och/eller synka vettigt. Passkeys t.ex. känns som att det kan bli en grej när synk är ordentligt löst (Bitwarden t.ex. har väl endast stöd för synk i webbläsare än så länge, så en bit kvar).

När du får notifiering från Haveibeenpwned, vad för åtgärder gör du efteråt?

Permalänk
Medlem
Skrivet av Enviro:

När du får notifiering från Haveibeenpwned, vad för åtgärder gör du efteråt?

Oavsett om det är Haveibeenpwned, Firefox Monitor, den berörda tjänsten själv eller något annat som notifierat om ett sådant intrång så blir det väl i grund och botten samma reaktion; att byta lösenord på den berörda tjänsten samt se över dess säkerhetsinställningar.

Typiskt något sånt här:
* byta lösenordet
* finns det 2FA-stöd och är det isf aktiverat? om inte, aktivera om möjligt
* finns det möjlighet att logga ut befintliga sessioner? isf är det väl lämpligt att göra för säkerhets skull
* finns en lista över senaste inloggningar eller motsvarande? isf är det ju bra att titta så det ser ok ut

Om det är en tjänst som är extra känslig på något vis så skulle jag tänka till lite extra kring eventuella konsekvenser specifika för den tjänsten. Är det något mer man borde göra än att bara säkra själva kontot till tjänsten?

Och om det är en tjänst som inte längre används så kan man ju överväga att passa på att ta bort kontot helt.

*Om* man däremot skulle återanvända samma lösenord till olika tjänster (aja baja!) så kräver ju en sådan notifiering ofta mer jobb, och det kan nog snabbt bli väldigt jobbigt att hålla reda på vad som är vad om man inte använder en lösenordshanterare (vilket sannolikt går hand i hand med att återanvända lösenord).

Visa signatur

Desktop: Ryzen 5800X3D || MSI X570S Edge Max Wifi || Sapphire Pulse RX 7900 XTX || Gskill Trident Z 3600 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304

Permalänk
Redaktionschef
Skrivet av evil penguin:

Oavsett om det är Haveibeenpwned, Firefox Monitor, den berörda tjänsten själv eller något annat som notifierat om ett sådant intrång så blir det väl i grund och botten samma reaktion; att byta lösenord på den berörda tjänsten samt se över dess säkerhetsinställningar.

Typiskt något sånt här:
* byta lösenordet
* finns det 2FA-stöd och är det isf aktiverat? om inte, aktivera om möjligt
* finns det möjlighet att logga ut befintliga sessioner? isf är det väl lämpligt att göra för säkerhets skull
* finns en lista över senaste inloggningar eller motsvarande? isf är det ju bra att titta så det ser ok ut

Om det är en tjänst som är extra känslig på något vis så skulle jag tänka till lite extra kring eventuella konsekvenser specifika för den tjänsten. Är det något mer man borde göra än att bara säkra själva kontot till tjänsten?

Och om det är en tjänst som inte längre används så kan man ju överväga att passa på att ta bort kontot helt.

*Om* man däremot skulle återanvända samma lösenord till olika tjänster (aja baja!) så kräver ju en sådan notifiering ofta mer jobb, och det kan nog snabbt bli väldigt jobbigt att hålla reda på vad som är vad om man inte använder en lösenordshanterare (vilket sannolikt går hand i hand med att återanvända lösenord).

Riktigt bra tips!

Permalänk
Medlem

Jag kör på andra språk än svenska. Estuche de oro y el pasadito el tiempo. Typ så... De repente...

Превосходство

Visa signatur

Att jaga Krokodil 🐊 med en känd profil gör att internetfakturan blir betald med Stil. 🏖

En dammsugare som Suger och inte är Sugen betyder bara att det är ett dåligt märke utan drag i - Ett felaktigt köp...😃