Över 70 miljoner inloggningsuppgifter läckta i dataintrång

Egentligen är det underligt att inte fler läckt.

Själv lottar jag fram mina lösenord och lagrar dem i en låst fil. Lösenordet till den och datorn är därför de enda 2 jag behöver komma ihåg. Jag litar inte på lösenordshanterare. Vad händer om de blir hackade? Eller om de konkursar och bara försvinner? Jag vill ha kontroll på mina egna grejor. Det finns risk med det också, men hur man än vänder sig har man ju ändan bak, det är risker med allt. Det är t.o.m farligt att leva, det leder ju förr eller senare till döden, garanterat.

På arbetsplatsen vet jag att, tyvärr, lösenorden ofta finns tejpade på baksidan monitorn, under tangentbordet, i översta skrivbordslådan, på frystejp i lådan i arkivskåpet osv, städ hittade ett skrivet i tusch under en kontorsstol. Andra varianter är att man har en fusklapp i plånboken, kalendern, bild av fusklappen i telefonen, och jag tror nog i stort sett alla också finns i mailen. Vanligt med namn på hunden och postnumret eller liknande. Det är ju bara att se vad kollegorna gör då de kommer efter semestern eller julledigheten och ska logga in.. vad var lösenordet nu igen.

Det förekommer ganska ofta att personal klagar på att lösenorden måste vara så krångliga numera, och alltid är det någon som stolt svarar med "men jag har samma som till facebook, ååå det är så praktiskt". Det förekommor också friskt att man lånar inlogg av varandra inom arbetet för att komma åt saker som är låsta till en viss behörighet, som egentligen den andre ansvarar för. Det syndas enormt mycket.

Jag har aldrig någonsin sett någon som använder lösenordshanterare. Aldrig har någon använt fingeravtrycksläsaren på en laptop eller telefonen. Jag gör det inte heller. 2fa förekommer däremot, men i ganska begränsad omfattning.

Att inte fler inlogg kommit ut är förvånande, men kan väl iofs vara att de som har dem behåller dem för sig själva, de släpper inte ifrån sig dem i första taget? Så de här läckorna är bara en liten del av "toppen på ett isberg"?

Den här läckan är väl ett rätt bra bevis på att ”lösenord åldras inte” inte är helt sant. Ett lösenord är inte säkert när det har blivit stulet av en trojan, oavsett om du misstänker det eller inte.

Om det skulle hjälpa att byta lösenord är en annan femma, trojanen kanske är kvar och stjäl även det nya lösenordet. Men om man faktiskt lyckas ändra lösenord på ett säkert sätt (sommar2024 i stället för sommar2023 räknas inte), så är det så klart en garanti för att ett stulet (välkomponerat/slumpat) lösenord inte kan fortsätta användas i evighet amen.

I övrigt: För att undvika att råka ut för den här typen av läckor gäller det att ha lite disciplin och inte installera opålitliga program och program som riskerar att automat-uppdateras efter att ha råkat ut för supply-chain-attacker.

Ja, absolut man vet ju inte nödvändigtvis vad som har kommit på villovägar. Och avsaknaden av notifieringar från t.ex Haveibeenpwned är ju ingen garanti för någonting.

Det fyller generellt inget direkt syfte att byta lösenord ofta av ren princip (som förekommit/förekommer som policy ibland), men *aldrig* är inte heller nödvändigtvis rätt.

Och sedan åldras ju faktiskt även lösenord som inte öht kommit på villovägar i viss mån (beroende på typ av attack); för med ökad tillgänglig beräkningskraft så flyttas "bra nog" fram över tid.
Så om man inte bara har lösenord som är superbäst utan även några gamla lösenord som var "bra nog" men inte mycket mer när de valdes (ibland till följd av korkade regler för vilka lösenord man får välja) så kan de ju ha blivit direkt dåliga idag.

Om man nu använder en lösenordshanterare så har den ofta hjälpfunktioner som att identifiera uppenbart dåliga lösenord (dåligt = kort om man hårddrar det), och det kan ju vara värt att utvärdera inte bara en gång för alla utan kanske årligen eller så.

Om du ställer den frågan borde du nog byta till ett bra lösenord. Har man ett bra lösenord behöver man inte byta det

Vart sparar du alla dina lösenord om du skulle behöva skriva in den igen? I en fysisk bok?

Skit också. Blev Pwned

Kollade mina adresser, ett antal, en enda som var med där.
Det konto som jag tidigare inte ens själv kunde säga lösenordet till, för att jag gjorde det så att jag bara visste var på tangentbordet det var men inte exakt vilka specialtecken..

Om man förutsätter att alla lösenord man har på de olika kontona sparas, samt även ev felaktiga försök, så lär det bli många lösenord med tiden. Kombinera det med olika variationer på dessa.
Sen är det väl långt ifrån alltid de sparas i klartext så, snarare som hash för det mesta (får man hoppas).

Men det blir allt svårare att få till det med bra unika lösenord som går att skriva/komma ihåg utan lösenordshanterare.
Inte minst när allt fler sidor kräver konto bara för att läsa el ladda ner något.

Lösenordshanterare blir ju en svag punkt, som också måste skyddas på olika sätt och litas på.

Risken med 2FA är att man blir helt utelåst om något händer med den enhet man har det på, dvs allt hänger på att en enhet är tillgänglig och fungerande.

Så frågan är ju hur det ska lösas på tillräckligt bra sätt, finns nog ingen riktig bra och allmänt gångbar lösning som inte har tydliga svagheter el är för komplicerad att använda.

Att olika tjänster har funktioner för att upptäcka och förhindra "brute force"-attacker är en viktig del. Även om någon skulle ha en lista med tusentals lösenord, så ska det inte vara möjligt att prova dem innan kontot spärras tillfälligt. Om du bara kan prova ett väldigt begränsat antal lösenord per dygn/vecka, oavsett om det sker mot sidorna i sig el via något API, så kommer det att ta för länge att prova och fortsatta försök stoppas.
Även tvåstegslösenord, där man normalt sett bara använder ett, men ibland behöver använda flera för att komma in kan vara bra.
Sen ska det inte heller vara så lätt att byta lösenord även om man skulle kunna komma in, för att förhindra att konton tas över.
Måste finnas tillräckliga spärrar i systemen för att både minska risken och skadorna.

Råkade en gång ut för att mitt mailkonto på något sätt gjordes intrång på, sannolikt genom användning av hotell-wifi.
Enda som jag vet hände var att det skapades ett Facebook-konto, som visst inte går att ta bort (försökt på flera sätt) då jag ju inte vet alla uppgifter som angetts där.
Så jag får ibland notifieringar från Facebook på arabiska.

Det är inte så det fungerar när man ska knäcka lösenord.

Hackarna får tag i en fil med alla krypterade lösenord från en server. Sen prövar dem att gissa ett lösenord, krypterar det på samma sätt som det är krypterat i den stulna filen och kollar ifall resultatet är samma sak.

Och man kan göra miljontals krypteringsförsök per sekund med en vanlig dator.

Går ju att ha system, ett långt pw som man lägger till lite för varje sajt. Exempelvis j3süsBu!l7MyH0tr0d¤cewS (testade just det där på en som kollar strengt på pw, resultat: 904 trillion years) för den här sajten. En mening man kommer ihåg och sen nått man relaterar till sajten. Vilket gör att man kan ha unika pw precis överallt och ändå aldrig behöva skriva upp dessa eller använda ett pw-hanterare.

Du ska ju absolut byta om du vet att du använder samma lösenord på andra ställen. Och alltid se till att lösenordet är unikt (använd en password manager, helst lokal och inte någon cloud-tjänst (dessa kan bli hackade också) och använd en MFA-lösning.

Jag tror de flesta väljer att spara ett sånt lösenord i sin webbläsare, och inte skriver in för hand varje gång

Läste du mitt inlägg?
🤔

Jag va med pawned.
Ska man göra något åt detta?

Vad nu detta betyder?
Oh no — pwned!
Pwned in 5 data breaches and found no pastes (subscribe to search sensitive breaches)

Byt lösenord (Lösenordsgenerator), brukar köra minst 30 tecken, eller och skaffa Bitwarden (Lösenordshanterare)

@flashen
Yes.

Menas det att mitt lösen läckt på 5 ställen där jag använder den mailen?

Oh no — pwned!
Pwned in 5 data breaches and found no pastes (subscribe to search sensitive breaches)

Ang. 2FA, så ser jag mobilnummer och email som en eventuell säkerhetsrisk i sig. Jag är nog ganska ensam om att ha samma mobilnummer i över 25 år.

Än värre nu när Google börjar radera "inaktiva" e-post konton som i många fall fungerat just som "backup"-konton. Vad händer när dessa adresser tas över av någon annan?

Har varit med om mobilnummer som blivit SMS-spammade, då den tidigare abonnenten haft notiser igång från Google.

Edit:
Ett hett tips är att aldrig använda din aktiva email-adress för inloggning på exempelvis Microsoft 365. Jag använder istället ett skapat alias som hålls hemlig.

Du kan scrolla ner på sidan och läsa på varje läcka du har varit med i, där kan du se om det handlar om email, lösenord osv.

SSO är frälsningen och härligheten..

Älskar sidor som låter mig logga in med google, microsoft eller nåt annat jag ändå har inloggning till. Småsidor som inte har det struntar jag gärna i att komma ihåg lösen till och kör epost-återställning när jag tappat kakorna.

Nej, jag har, som jag skrivit flera gånger, automatisk/permanent inloggning i alla webbläsare. Det går normalt flera år mellan gångerna jag behöver skriva in ett visst lösenord nästa gång efter att kontot skapats.

@flashen

Tack.
Det va bara sidor som skickar skräppost/reklam och där jag inte har något lösenord.

Det va ju skönt

Även om du inte uppöever rislen vidare stor är det ju helt onödigt att inte ha unika lösenord. Skaffar du en lösenordshanterare är ju extraarbetet noll och ingenting.