Ny topplista med svaga lösenord släppt

Permalänk
Medlem

Välkommen är väll ändå ett bra lösen?

Permalänk
Hedersmedlem

Sedan år väl frågan hur gamla de här lösenorden är.

Om databasen med läckta lösenord innehåller läckor som är över 15 år gamla och helheten bara presenteras kommer det liksom fortsätta visas att folk väljer 12345678 som lösenord även om ingen valt det på 15 år.

Visa signatur

🎮 → Node 304 • Ryzen 7 5700X3D • Nh-D14 • Gainward RTX 2070 • 32GB DDR4 • MSI B450I Gaming Plus AC
🖥️ → Acer Nitro XV273K Pbmiipphzx
💻 → Lenovo Yoga slim 7 pro 14" Oled

Permalänk
Medlem

Varför använder vi fortfarande lösenord egentligen? Redan för 20 år sedan så började att diskuteras om lösenordsfria lösningar. Vissa tjänster har det men varför är det inte mer vanligt?

Permalänk
Skrivet av Lasrod:

Varför använder vi fortfarande lösenord egentligen? Redan för 20 år sedan så började att diskuteras om lösenordsfria lösningar. Vissa tjänster har det men varför är det inte mer vanligt?

2FA är väl väldigt vanligt idag. Även om jag personligen inte kör det överallt. Tex på min hotmail där jag skiter i om någon kommer in. Finns liksom inget av värde.

Permalänk

Jag kör slumpmässigt genererade lösenord med tecken från Bitwarden då jag gav upp med att försöka memorera alla de hundratals inloggningar jag har. Men det är kräver att du har Bitwarden installerat på alla enheter du tänkt logga in på. Stor nackdel är att de gångerna du ska logga och av någon anledning inte har tillgång till Bitwarden blir det mindre kul.

Idag behöver man ju konto till allt, så har man inte någon form av lösenordshanterare blir det andra alternativet oftast att välja ett lätt lösenord.

Permalänk
Medlem
Skrivet av Nivity:

Känns lite konstigt idag när de flesta använder en enhet där de finns automatiska starka lösenord man kan välja på varje konto man skapar, som sen automatiskt sparas och syncas mellan ens enheter.

Tänkte du på att man kan spara lösenordet i webbläsaren?

Har varit hel del problem i alla fall tidigare med den lösningen, där webbläsaren läckt lösenord.

Visa signatur

Min spel rigg:FD Define R4|VX 550W|i5 2500K|Corsair LP 4GBX2|Mammabräda P67 Extreme4|GTX 670 windforce|23tum u2312hm
Min gamla/HTPC:AMD 6000+|Ram 2GbX2|Radeon HD5770| XFX 450/nu XFX 550
Mitt bygge: ByggloggFri frakt INET:Fraktfritt sweclockers vid köp över 500kr

#Gilla inlägg som är bra & Använd citera/@"namn" vid snabbt svar

Permalänk
Medlem
Skrivet av dlq84:

Du missar poängen. De mest vanliga lösenorden kommer testas först oavsett om attackerna vet vem du är eller inte. De ligger först i ordlistor som används vid cracking. Inte för att det spelar jättestor roll, att gå igenom en ordlista tar sekunder, eller minuter på sin höjd.

Att gå igenom en ordlista tar några sekunder OM hackaren har kommit åt shadow-filen på servern. Det är ett väldigt stort om.

Ska man testa lösen via en sidas api istället så finns det ofta naturlig delay på en halv sekund och ofta inbyggd delay på långt längre.

Fast oavsett, har man ett lösen som finns i en ordlista så har man ingen säkerhet, där har du helt rätt

Visa signatur

Processor: Motorola 68000 | Klockfrekvens: 7,09 Mhz (PAL) | Minne: 256 kB ROM / 512 kB RAM | Bussbredd: 24 bit | Joystick: Tac2 | Operativsystem: Amiga OS 1.3

Permalänk

Hur svårt är det att använda en lösenordshanterare? Extremt svårt, tydligen...

Permalänk
Medlem

Finns det någon lösenordshanterare som är tillgänglig både på mobil och dator? Det börjar bli lite väl mycket lösenord nu för tiden.

Visa signatur

To ride, shoot straight and speak the truth.

https://discord.gg/manS3tFBHU

Permalänk
Skrivet av Vethut:

Finns det någon lösenordshanterare som är tillgänglig både på mobil och dator? Det börjar bli lite väl mycket lösenord nu för tiden.

Bitwarden. Open source och gratis.

Permalänk
Inofficiell ambassadör
Skrivet av Vethut:

Finns det någon lösenordshanterare som är tillgänglig både på mobil och dator? Det börjar bli lite väl mycket lösenord nu för tiden.

Bitwarden! Sen så kan man också använda den inbyggda i Firefox, Chrome eller Edge, de är inte superbra - men mycket bättre än att inte ha någon alls. Även Microsoft’s Authenticator app för MFA har en lösenordshanterare har jag för mig.

Visa signatur

Mobo Aorus B550 Pro V2 CPU Ryzen 5600X RAM Corsair Vengance 16GB @ 36000 MHZ
GPU MSI GTX 1080 ti Gaming X Skärm Acer X34A

Permalänk
Medlem
Skrivet av Broken-arrow:

Tänkte du på att man kan spara lösenordet i webbläsaren?

Har varit hel del problem i alla fall tidigare med den lösningen, där webbläsaren läckt lösenord.

Ja men det spelar mindre roll, poängen är ju att de finns bra alternativ inbyggt att få starka lösenord.
Och även att skapa unika lösenord i ex chromes lösenordshanterar är bättre än att använda hejsan på alla sina konto

Sen var ju mer tanken att majoriteten sitter inte på en PC utan något längre. De flesta har sina mobila enheter där många också har Apple. Dessa har sina egna lösningar för lösenordshantering och skapa starka lösenord inbyggt och syncat etc.

Så i min mening förstår jag inte vilka det är som skapar dessa lösenord på nyskapade konto 2024. Om det är gamla som sitter vid en gammal PC med internet explorer och skapar lösenord på facebook typ

Permalänk
Redaktion
Skribent
Skrivet av Vethut:

Finns det någon lösenordshanterare som är tillgänglig både på mobil och dator? Det börjar bli lite väl mycket lösenord nu för tiden.

Vi har en guide som handlar om lösenordshanterare, där ett par av alternativen är gratis. 🙂

Permalänk
Medlem
Skrivet av Vethut:

Finns det någon lösenordshanterare som är tillgänglig både på mobil och dator? Det börjar bli lite väl mycket lösenord nu för tiden.

KeePass

Visa signatur

5950X, 3090

Permalänk
Medlem
Skrivet av Rasmus117:

Kan ju inte röja ens lösenord bara sådär nu måste jag byta, igen.

Äsch, du har ju en lista att välja ifrån här!

Visa signatur

7800X3D//4090
Kubuntu // W10

Permalänk
Medlem

Använder inte lösenord, kör MFAmed Yobikey till allt bra från inloggning i Linux till kryptering/dekryptering osv.. det kommer bli mer o mer mer eller mindre krav på MFA frammåt enligt källor på nätet. Har använt det i flera år.

Visa signatur
Permalänk
Medlem

Vad är de äldsta/dåliga password ni minns att ni använt?

Jag tror jag använde "GunsNRoses" som första password till Hotmail, vilket är det äldsta jag minns.

Visa signatur

Redbox: Asrock B650 Lightning ATX, 7800x3D -20CCO, XFX 6950XT, 2x32GB Corsair Vengence 6400 CL32, WD SN770 2TB, Corsair RMe 1000, Lian Li Lancool 216, Peerless Assassin 120 SE
Purpbox: Z87-Pro, I5 4670K@4.2, Sapphire 290 TRI-X, 2x8GB Crucial Tactical@stock, Deep Silence 1
Samsung Evo 250+500GB + QVO 1TB, 2x1TB 7200RPM backup/lagring
Det var bättre förr: E5300 2600MHz -> 3640MHz, Celeron 300A -> 450MHz

Permalänk
Medlem

Det här är lite som med antibiotikaresistens. När varenda liten skitsida eller program kräver konto och lösenord så blir lösenorden svaga då människor omöjligen kan hålla koll på 10+ säkra lösenord. Det bör ses som högsta prioritet för applikationer och hemsidor att kunna fungera utan inloggning och lösenord.

Visa signatur

hehu

Permalänk
Medlem
Skrivet av Lasrod:

Varför använder vi fortfarande lösenord egentligen? Redan för 20 år sedan så började att diskuteras om lösenordsfria lösningar. Vissa tjänster har det men varför är det inte mer vanligt?

Det är ju inte så mycket en rent autentiseringsteknisk fråga så mycket som hur man kan få till en sån förändring där alla måste anpassa sig för att det ska spela någon roll.

Det är väl en kombination av lösningar som inneburit någon som helst tröskel att komma igång, ovilja från tjänster att tvinga användare att lära sig något, fullkomligt ointresse av säkerhet från majoriteten av alla användare, samt då även en enorm tröghet att övervinna för att få något att bli accepterat som användbart av både tjänster och användare.

Nu finns Passkeys-initiativet, Webauthn med mjukvarubackad nyckelhantering, gemensamt pådrivet av Apple, Google och Microsoft. De har i mitt tycke gjort helt onödiga tabbar som undergräver initiativet (som tex att alla tre ville nyttja detta för att hålla användaren gisslan i just deras ekosystem, en kortsiktig vinst som skadat hela projektet), men det kanske kan hända något denna gång till slut.
Det är väl dock ganska illustrativt vad för backning som krävs för att ens nå "det kanske går".

Visa signatur

Desktop spel m.m.: Ryzen 9800X3D || MSI X870 Tomahawk Wifi || Sapphire Pulse RX 7900 XTX || Gskill FlareX 6000 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Arbetsstation: Ryzen 7945HX || Minisforum BD790i || Asus Proart 4070 Ti Super || Kingston Fury Impact 5600 65 GB || WD SN850 2TB || Samsung 990 Pro 2TB || Fractal Ridge
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304

Permalänk
Skrivet av filbunke:

Det långa var ju bara ett tecken längre än det korta.

Men det är längre! 😄

Visa signatur

If it ain't broken: tweak it...
folding@home

Permalänk
Medlem

Säger det igen, MFA med tx Yobikey, är det som gäller frammåt, allt fler tjänster kommer att kräva det. Själv kört med det många år, både mycket säkrare och smidigare.

Visa signatur
Permalänk
Medlem
Skrivet av Nivity:

Känns lite konstigt idag när de flesta använder en enhet där de finns automatiska starka lösenord man kan välja på varje konto man skapar, som sen automatiskt sparas och syncas mellan ens enheter.

Skrivet av Hotfuzz08:

Ja, det visar väl återigen att lösenord måste bort. Som tur är så händer det en del på password-less fronten iom Passkeys, Windows hello, phone app sign in osv.

Skrivet av Fantgrenen:

Jag kör slumpmässigt genererade lösenord med tecken från Bitwarden då jag gav upp med att försöka memorera alla de hundratals inloggningar jag har. Men det är kräver att du har Bitwarden installerat på alla enheter du tänkt logga in på. Stor nackdel är att de gångerna du ska logga och av någon anledning inte har tillgång till Bitwarden blir det mindre kul.

Idag behöver man ju konto till allt, så har man inte någon form av lösenordshanterare blir det andra alternativet oftast att välja ett lätt lösenord.

Lösenordshanteraren är den svagaste länken när du använder en. Människan är den svagaste länken om du inte använder en.

Det jag fruktar är att om man binder upp sig med dessa lösenordshanterare och de en dag slutar fungera på grund av någon slumpartad anledning, säg en mjukvarupppdatering från MS, eller blir hackade eller säljs till icke-seriös aktör eller annat oväntat inträffar med den - vad gör man då?

Permalänk
Medlem
Skrivet av underd0g76:

Lösenordshanteraren är den svagaste länken när du använder en. Människan är den svagaste länken om du inte använder en.

Det jag fruktar är att om man binder upp sig med dessa lösenordshanterare och de en dag slutar fungera på grund av någon slumpartad anledning, säg en mjukvarupppdatering från MS, eller blir hackade eller säljs till icke-seriös aktör eller annat oväntat inträffar med den - vad gör man då?

Problembilden beror ju lite på vad för lösenordshanterare du använder:

Om du använder en där datan sparas hos dig själv (t.ex. Keepass-varianter, eller t.ex. ett Bitwarden som kör mot en självhostad serverinstans) så är väl den relevanta frågeställningen vad som händer om lagringen går sönder eller filerna tas bort, eller ja olika sådana varianter.

Då är svaret: du måste ju ha backup på grejerna.

Om du använder någon tjänst med online-hosting av datan (t.ex. Bitwarden, 1Password, m.fl. eller för den delen Apples, Googles eller Microsofts eller någon annans integrerade lösningar) så är frågan mer just den som du tog upp. Vad händer om de stänger ned tjänsten eller ditt konto blir borttaget eller det ena eller det andra?

Då är svaret: du måste ju ha backup på grejerna.

Finns säkert fler varianter som man kan tänka sig... men jag tror svaret i alla lägen blir något på samma spår. Backup.

Visa signatur

Desktop spel m.m.: Ryzen 9800X3D || MSI X870 Tomahawk Wifi || Sapphire Pulse RX 7900 XTX || Gskill FlareX 6000 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Arbetsstation: Ryzen 7945HX || Minisforum BD790i || Asus Proart 4070 Ti Super || Kingston Fury Impact 5600 65 GB || WD SN850 2TB || Samsung 990 Pro 2TB || Fractal Ridge
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304

Permalänk
Medlem
Skrivet av Sambuccashake:

Hur svårt är det att knäcka lösenord som:
1SupersvårtHotmailLösen!
1SupersvårtGmailLösen!
1SupersvårtBlocketLösen!

(Som synes byter du bara ut själva sitenamnet)

Lätt att komma ihåg, innehåller siffror, svenska tecken, specialtecken och versaler.

Men, va fan! Nu måste jag byta lösenord igen! Blir skitjobbigt att komma ihåg när man behöver flytta (modulus) ett steg ner

Visa signatur

Server: Fractal design Define 7 XL | AMD Ryzen 7 5800X 8/16 | ASUS ROG CROSSHAIR VIII DARK HERO | 64GB Corsair @ 3000MHz | ASUS Radeon RX 460 2GB | Samsung 960 PRO 512 GB M.2 | 2x 2TB Samsung 850 PRO SSD | 6x Seagate Ironwolf Pro 10TB
WS: Phantex Entoo Elite | AMD Ryzen Threadripper 1950X 16/32 | ASUS Zenith extreme | 128GB G.Skill @ 2400MHz | ASUS Radeon HD7970 | 3x 2TB Samsung 960PRO M.2 | 6x Seagate Ironwolf Pro 10 TB
NEC PA301W 30" @ 2560x1600 | Linux Mint 21.3 Cinnamon

Permalänk
Medlem
Skrivet av Buck Naked:

Bitwarden. Open source och gratis.

Fast Bitwarden funkade inte på Android iaf. Så fort man försöker skapa konto eller logga in så stängs appen ner och Android säger att appen har en bugg. Märkligt på en sådan påkostad app. Jaja, jag letar vidare.

Visa signatur

To ride, shoot straight and speak the truth.

https://discord.gg/manS3tFBHU

Permalänk
Medlem
Skrivet av Vethut:

Fast Bitwarden funkade inte på Android iaf. Så fort man försöker skapa konto eller logga in så stängs appen ner och Android säger att appen har en bugg. Märkligt på en sådan påkostad app. Jaja, jag letar vidare.

Bitwarden fungerar perfekt på Android. Mycket smidigt att man kan låsa upp appen med fingeravtryck.

Permalänk
Avstängd
Skrivet av Buck Naked:

Hur svårt är det att använda en lösenordshanterare? Extremt svårt, tydligen...

Jämfört med att använda sig av enkla lösenord så är det väl ganska krångligt ja.

Använder själv Bitwarden... men det var ganska frustrerande en gång på jobbet när man skulle logga in och Bitwarden-appen vägrade fungera. Tror faktiskt inte jag kan logga in på den fortfarande.

Men det gick dock bra att logga in direkt på Bitwarden-hemsidan istället.

Dock så måste man ju komma ihåg sitt ganska långa och krångliga "masterpassword". Vilket är lite trist om någon kommer åt... för då får de tillgång till alla lösenord man nyttjar.

Permalänk
Medlem
Skrivet av Kaine_Uro:

...
Men det gick dock bra att logga in direkt på Bitwarden-hemsidan istället.

Dock så måste man ju komma ihåg sitt ganska långa och krångliga "masterpassword". Vilket är lite trist om någon kommer åt... för då får de tillgång till alla lösenord man nyttjar.

Man kan slå på 2FA för inloggning i lösenordshanteraren. Trist att inloggning med säkerhetsnyckar är möjligt bara i betalversionen i Bitwarden, men inloggning med en kod från en autentiseringsapp ingår i gratisversionen. Så även om någon kommer åt ditt masterlösenord så finns det ett steg till.

Kan du logga in i valvet på hemsidan ska du kunna logga in i appen. Testa att installera Bitwardentillägg i Firefox/Chrome på pc:n och logga in i det.

Permalänk
Skrivet av Vethut:

Fast Bitwarden funkade inte på Android iaf. Så fort man försöker skapa konto eller logga in så stängs appen ner och Android säger att appen har en bugg. Märkligt på en sådan påkostad app. Jaja, jag letar vidare.

Fungerar för alla oss andra, så felet beror på....

Permalänk
Medlem
Skrivet av Lasrod:

Varför använder vi fortfarande lösenord egentligen? Redan för 20 år sedan så började att diskuteras om lösenordsfria lösningar. Vissa tjänster har det men varför är det inte mer vanligt?

Jag själv och många jag känner som jobbar som pentesters / innom säkerhet har inte använt lösen på många år, det är Yobikey som gäller till alt ifrån inloggning på hemsidor till dekryptera gpg eller nycklar till SSH osv, ja till precis alt! Det är det som gäller inget annat, vist nu är ju PassKeys på starkt uppfart..
För mig handlar allt om säkerhet, är väl nörd, men alltid intresserats av säkerheten, och som blivande pentester så vet jag hur viktigt det är och hur bra skydd Yobikey ger, samt att det är sjukt smidigt att inte behöva minnas några lösenord förutom mitt PIN till mina keys med biomatris..

Visa signatur