Helgsnack: Hur ofta byter du lösenord?

Vi kan byta, hunter2

Det är ju inte rättvist! Det går minst tre hunter2 på en V03z1P{H&.ym

Har ännu inte behövt ett annat lösenord än Tårtkalas69?!, så jag kör nog vidare på det.

Kan också tänka mig hunter2. Både coolt och lätt att komma ihåg!

Hela tiden... (varje gång jag glömt det gamla) O_o

Jag är ganska dålig på att byta lösenord. Skulle jag göra det på alla sajter som kräver lösenord skulle det vara ett heltidsjobb att sköta det jobbet
Så jag byter ibland där det finns ett kommersiellt intresse att kunna bryta sig in men på sådana här nördställen som Swecklockers och en del obskyra hifi-sajter sker det mer sällan och absolut inte med någon regelbundenhet. Bara när jag inte längre kommer in
Det viktiga är väl att inte använda samma pw på alla möjliga sajter, tex kan ju pw't XYZ123 som snappas upp på en sajt om hur man fanerar om sina högtalare snappas upp och sökas på en massa andra sajter.
Men på sajter av intresse för dem som vill provocera fram olika reaktioner (på tex Instagram/Facebook/TikTok/X/etc) kan det nog vara idé att hålla koll på detta.

/ B

Det är väl ett lika stort problem med enkla lösenord hos min arbetsgivare som hos alla företag. Men lösningen att byta ofta är fortfarande fel enligt NIST, Microsoft med fl.

Lösningen är istället att tvinga användarna att använda säkra lösenord. Detta löses med utbildning plus automatiak utvärdering av lösenordsstyrka (längd, jämdörelse mot ordlistor, databasläckor etc.)

Samtliga tjänster får ett nytt slump-genererat lösenord en gång om året på 130-150 bitar. Byter aldrig lösenordet till min databas men där använder jag också en fysisk nyckel som auth. Har aldrig haft problem med intrång på mina konton hos diverse tjänster.

Byter inte pw ofta utan det blir mer när man får en notis om det.
Ser sen att många använder Bitwarden som hanterare, själv vill jag gärna inte skicka upp alla pw i molnet utan kör en app som heter CodeGuard och endast lagrar lokalt på min mobil med AES 256-bitars kryptering, man kan även göra backup på databasen som sparas krypterad.
https://play.google.com/store/apps/details?id=com.lemo.codegu...

Försöker hålla mina kvartalscykler för de mest kritiska konton jag har som privatperson.

Tyvärr är det ovan säger - det är inte någon "IT-avdelning" som bestämmer detta, utan någon högre uppsatt. I det här fallet är den högre uppsatta någon kändis vid namn Staten

Kul att swec döljer lösenord direkt i forumet!

(Såklart inte sant på riktigt, posta inte ditt riktiga)

Bitwarden, Nordpass, 1Password, Proton Pass, Dashlane och RoboForm är några av de bästa. Personligen använder jag mig av Bitwarden och är nöjd.

Kort sagt är alla förutom Lastpass bra. Problemet med Lastpass är att de har blivit hackade inte bara en gång utan flera gånger de senaste åren och de flesta anser att de har en hel del kvar att bevisa innan man kan rekommendera dem igen.

För att tillägga; om man är apple only så är deras keychain också en bra lösenordshanterare.

Personligen kör jag också bitwarden, innan dess lastpass. På jobbet kör jag keepass med fil som synkas mot onedrive.

I en värld där alla som drev webbtjänster var duktiga på vad de gjorde hade detta troligen varit en rätt bra metod överlag: har du en komplex lösenordsbas och varierar den per tjänst har du troligen ett bättre lösenord än de flesta.

Tyvärr är det inte så verkligheten ser ut: många är oerhört naiva när de lagrar sina användares hemligheter, till den grad att de lagras i klartext eller i en form från vilken man kan jobba sig tillbaka till klartext.
Detta står utanför din kontroll, och läcker ditt lösenord från två eller fler sådana tjänster är det troligen trivialt att se ditt grundrecept för hur du tillverkar dina lösenord.

En sak datorer kan hjälpa till rätt bra med är att hitta mönster i stora datamängder. Flera av mina bekanta tjänar grova pengar på sin kompetens inom att massera gigantiska mängder av mer eller mindre strukturerad information och bygga upp värdefull kunskap baserad på denna.

Vad gäller din andra poäng illustrerar den hela argumentet för lösenordshanterare: lär dig ett enda riktigt bra lösenord som nästan garanterat inte kommer läcka eftersom bara du har tillgång till det, och sen låter du lösenordshanteraren hålla reda på alla dina fullständigt slumpmässiga lösenord som är unika för varje site, och dessutom varna dig om lösenord varit med i kända läckor, så du kan byta dem så fort som möjligt.

Någon som testat Keeper?
https://www.keepersecurity.com/?data_region=eu

Fick erbjudande via jobbet att köra den även hemma.

Jo jag känner till Bitwarden, men min fråga var om någon testat Keeper

Har Bitwardenkonto som jag inte konfigurerat fullt ännu, vet du (eller någon annan) om man kan importera pw från t.ex. webbläsaren till Bitwarden?

Varje gång jag supit bort dem.

Vi kör keeper på jobbet (antagligen enterprise), inte så imponerad men gör det de ska, finns diverse plugins och webinterface

Ok, vad gör bitwarden bättre för hemmabruk?
Om du nu kör bitwarden dvs.

Jag har aldrig kört bitwarden

Och via jobbet har jag ganska begränsade befogenheter och det mesta är lösenord som andra på bolaget delar till mig. Inte så likt privat bruk

Helt ärligt så behöver man inte byta lösenord regelbundet, det som krävs är att du har MFA / 2FA kopplat på ditt konto. Skaffa lösenordshanterare, generera drygt lösen som t.e.x. (!47x4ixib%#k*32DqCmLnZnb%)
Sen sitter du väldigt säkert.

Här har vi ett scenario för Person1 & Person2.

Person1 har säkert lösen (19 tecken) men ingen MFA på sitt konto, tjänsten person1 är medlem i blir anfallen av en illasinnad grupp, och gruppen lyckas komma åt ett par miljoner lösenord.
Nu är person1 illa utsatt då hen inte har haft tid och kolla sin mail eller ens hört talas om vad som hänt, p.g.a. detta så förlorar person1 tillgång till sitt konto. Nu behöver person1 kontakta tjänstens kundservice för att få tillbaka kontot, men med tanke på att tjänsten just fått en hel del problem så är person1 inte prio.

Person2 har ett mindre säkert lösen (8 tecken) men har MFA på sitt konto, tjänsten person2 är medlem i blir anfallen av samma illasinnad grupp och gruppen lyckas komma åt ett par miljoner lösenord.
Som tur är är hen inte utsatt alls då även den om den illasinnade gruppen fick tag i lösenordet som person2 har så kommer dom inte in i kontot p.g.a. MFA, person2 kan nu fortsätta att använda tjänsten.

Visserligen så läcker en del information ut om både person1 och 2 men detta är inte användarnas fel utan tjänstens fel som inte tillhandahåller tillräckligt bra säkerhet för alla deras användare.

• Aktivera MFA på alla era konton.

• Använd lösenordshanterare.