Hur ser erat system för lösenord + autentisering ut?

Permalänk
Medlem

Jag blundar när jag skriver in lösenordet.

Permalänk
Medlem

Memorerar de få lösenord jag har.
Finns 2FA så kör jag det.

Visa signatur

www.fckdrm.com - DRM år 2025? Ha pyttsan.

Permalänk
Medlem
Skrivet av jnsson:

Jag har fått det utseendet i tillägget till MS Edge, men inte i Firefox. Kan det vara någon skillnad mellan Firefox och Chrome (Som Edge också är byggd på)? Men ja, det var en väldigt stor text storlek i nya versionen tycker jag

Nu uppdaterades tillägget till den senaste: v2024.12.3. Galet stort teckensnitt för allt annat än menyn! O.o Nä, ge oss valmöjligheter, tack!

Skrivet av Sunix:

Fan va skitnödiga ni är
Jag har kanske 4 olika lösenord.
Ett till viktiga saker som mail (skrivs aldrig in, alltid inloggad)
Ett till krypterade filer
Ett till gaming
Ett till platser där det inte spelar nån roll

Vänta bara tills någon knäcker ditt lösenord för din e-post och sen får veta att du har samma lösenord till dina andra viktiga platser på nätet Alla lösenord går att knäcka. Det enda som behövs är tid. Det är därför man behöver byta lösenordet till ens konton helst en gång per år, beroende på hur starkt det är.

Visa signatur

Citera mig om du vill att jag ska hitta till ditt svar.
airikr.me. Andra projekt: Keizai, Koroth, Serenum & Enc.

Permalänk
Medlem
Skrivet av Airikr:

Alla lösenord går att knäcka. Det enda som behövs är tid. Det är därför man behöver byta lösenordet till ens konton helst en gång per år, beroende på hur starkt det är.

Nja, i teorin, absolut, men i praktiken inte. Det är inte särskilt svårt att skapa ett lösenord som är oknäckbart i praktiken, så länge det lagrats på ett säkert sätt (dvs inte lagrats alls utan hashats med en säker metod). Att byta en gång per år fyller ingen funktion om det handlar om att man ska gardera sig mot att lösenordet knäckts, så länge det är säkert nog. Möjligen ökar det skyddet mot att tjänsten man använder lösenordet för hanterar lösenordsinformationen på ett osäkert sätt så att det läcker ut i ett knäckbart format.

Visa signatur

Moderkort: Gigabyte X570 Aorus Master | CPU: AMD Ryzen R9 5900X | CPU-kylare: Noctua NH-D15 chromax.black | RAM: Corsair Vengeance LPX 64 GB (4x16) DDR4-3600 CL18 | GPU: Gigabyte RTX 4080 Eagle OC | SSD: 2 x Samsung 970 EVO Plus 1 TB NVMe + Kingston A400 480 GB + Samsung QVO860 1 TB | PSU: EVGA SuperNOVA G2 1000 W Gold | Chassi: Lian Li O11 Dynamic XL | Skärm: BenQ PD3200U @ 3840x2160 + ASUS ROG Strix XG32VQ @ 2560x1440 | Tangentbord: Corsair K68 RGB Cherry MX Red | Mus: Logitech MX Master 2S

Permalänk
Medlem

Keypass å endast det och 2FA så ofta jag kan. All hashning å säkerhet ställd på max. Har värderat att prova vaultwarden men vill hålla allt lokalt. Kör faktiakt Authentik på vissa tjänster på mina Proxmox

Visa signatur

Fractal Design Define R6, ASUS X99a, Xeon E5-2697v3@3.5Ghz allcore, 64gb Hynix ECC REG 2133Mhz, 7900xt, 2.5gb nic

Server: Proxmox med OMV7, Teuenas och annat virtuellt: Supermicro X9SRH-7F, 64gb RAM, Xeon 2651v2, 4x10tb, 2.5gb Nic

Permalänk
Medlem
Skrivet av cyklonen:

Nja, i teorin, absolut, men i praktiken inte. Det är inte särskilt svårt att skapa ett lösenord som är oknäckbart i praktiken, så länge det lagrats på ett säkert sätt (dvs inte lagrats alls utan hashats med en säker metod). Att byta en gång per år fyller ingen funktion om det handlar om att man ska gardera sig mot att lösenordet knäckts, så länge det är säkert nog. Möjligen ökar det skyddet mot att tjänsten man använder lösenordet för hanterar lösenordsinformationen på ett osäkert sätt så att det läcker ut i ett knäckbart format.

Yepp, du har helt rätt. Till exempel Sverige-Finland-Danmark3-Norge tar sekler att knäcka, enligt Bitwardens egna lösenordstestare. Det går alltså att knäcka, och det är det jag menar med att allt man behöver, är tid. Men eftersom det tar hundratals år att knäcka en enkel lösenordsfras med minst 3 ord, så kan man ju säga så som du skrev: oknäckbart

Tyvärr finns det väldigt många internetanvändare som inte behärskar det här med lösenord (min far inkluderad), och använder lösenord som är enkla att komma ihåg. Jesper.Anders är ju ett enkelt sådant och tar 4 dagar att knäcka. Men om man ändrar det till J3sp3r.And3rsHejsan, så tar det sekler att knäcka lösenordet.

Tyvärr är folk ovisa och/eller lata, medan andra ogillar lösenordshanterare (jodå, sådana personer finns, jag har stött på sådana). Folk vill ha lösenord som de kommer ihåg. Att använda en lösenordshanterare är bara "för omständigt för då måste man ju komma ihåg ytterligare ett till lösenord".

Nästan alla mina vänner använder sig av enkla lösenord, som till exempel namn på deras husdjur, vilket tar knappt 1 minut att knäcka. Dessa vänner är långt ifrån ensamma om att använda sådana enkla och mycket osäkra lösenord.

Som sagt, det beror på hur starkt lösenordet är, gällande hur ofta det måste bytas ut

God jul på dig!

Visa signatur

Citera mig om du vill att jag ska hitta till ditt svar.
airikr.me. Andra projekt: Keizai, Koroth, Serenum & Enc.

Permalänk
Medlem
Skrivet av VinterSolen:

Det här är med "Compact view (beta)" dessutom

<Uppladdad bildlänk>

Ja, så där ser inte min BW ut. Har alla knapparna du nämnde framme hela tiden, så det är kanske beroende på vilken webbläsare du har. Jag kör Edge.

Visa signatur

There are two kinds of people: 1. Those that can extrapolate from incomplete data.
Min tråkiga hemsida om mitt bygge och lite annat smått o gott: www.2x3m4u.net

Permalänk
Medlem

Nu är jag nog ganska ensam om det, men jag kör GNU Pass för mina lösenord och synkar dem mot min egen server över SSH. Underliggande krypteringen görs med en onödigt lång GPG-nyckel och om man vet vad man gör kan man manuellt läsa ut lösenorden med nyckeln. Inte så användarvänlig och vad jag vet finns det bara välutvecklade klienter till Linux och Android. Passar mig men förmodligen inte så många andra.

Poängen är dock att man inte måste följa strömmen i sitt val av lösenordshanterare, det viktiga är att man har en som man faktiskt kommer att använda istället för både skräplösenord och pseudosäkra lösenord. Det är precis som whiplashskydden i bilen; de fungerar bara om man använder dem (justera stolen rätt!).

Visa signatur

Mjölnir: Ryzen 9 3900X | X570-I | Ballistix Sport 32GB | Powercolor RX 5500XT 4GB ITX | Kolink Sattelite
Server: Ryzen 5 1400 | X470-F | Ballistix Sport 24GB | ASUS HD 7790 2GB | Sapphire RX 470 8GB ME | NZXT Switch 810

Permalänk
Medlem

Jag kör rätt oldschool med papper och penna som jag gömmer på bra ställe. Tänker att de måste hem till mig och rota reda på det och förstå vad det innebär då jag slängt in lite random saker och inte skriver något annat än användar id och lösenord i raderna som utomstående inte skulle förstå vad det är.
Försöker komma ihåg så gott jag kan så jag slipper använda pappret.

Visa signatur

Ryzen 9800X3D @ Stock, MSI Suprim X 3080 @ game mode.
YT kanal där jag meckar bilar: https://www.youtube.com/@saab900turboT16

Permalänk
Medlem

Bitwarden med konto hos dom samt egenhostad på två Linuxservrar via Vaultwarden (open sourceimplementation av deras server). Backup av Bitwardeninfo till JSON-fil som sparas krypterat via Cryptomater. Två olika 2FA-appar på två olika telefoner. Sparar INTE TOTP-seed i Bitwarden. Backuppar från 2FA-apparna till JSON-filer.
Backupper från Bitwarden, Auth-apparna samt QR-koder sparas krypterat via Cryptomater.
Då och då RARar jag ihop upplåsta Cryptomater-driven krypterat och lagrar på USB-minnen och molntjänster.
Jag har några masterlösenord till Bitwarden som jag anser vara tillräckligt säkra.
Cryptomaterdatan syncas till andra datorer via Dropbox.
Jag har alltid ett USB-minne på mig med krypterad data.
En djävla massa saker kan hända utan att jag riskerar att bli utestängd, men minnesförlust är den svaga länken och det ska jag lösa med en lösning med utskrifter som ska ligga hos utvalda personer. Man kommer enbart kunna få ut datan genom att ha minst n stycken papperslappar så en person som har papperet hos sig kommer inte ensam kunna komma åt datan.

Det är MYCKET och jag har inte ens något speciellt att skydda annat än helt vanliga konton till FB och Swec

Permalänk
Medlem

Utvecklade min egen app för 2FA
Insåg genast efter jag började använda Authy att den var skumt och saknade alternativ för desktop

Pillade lite till så den sköter lösenord och skapa seed pharses också

Permalänk
Medlem

Använder bitwarden till allt!
Och använder Yubikey till bitwarden samt datorn, använder Yubikey till allt som funkar

Visa signatur

I just live with the anxiety of knowing I f*cked it all up as soon as I typed sudo …

Permalänk
Medlem
Skrivet av Airikr:

Nu uppdaterades tillägget till den senaste: v2024.12.3. Galet stort teckensnitt för allt annat än menyn! O.o Nä, ge oss valmöjligheter, tack!

Vilken webbläsare? På min Firefox installation har jag fortfarande Version: 2024.11.2 av Bitwarden medans serverversionen är 2024.12.0

Visa signatur

Stationär PC: Chassi: Phanteks Enthoo EVOLV ATX MB: MSI B550 Gaming Plus CPU: AMD Ryzen 7 5700X Kylning: Noctua NH-U12S GPU: MSI GeForce GTX 1060 Gaming X 6 GB RAM: Corsair Vengeance LPX Black 32GB 3600MHz NVMe: 2st Kingston A2000 SSD: Intel 520 180GB och Intel 530 240GB HDD: WD Green 1TB, Toshiba 640GB samt fler HDD PSU: Corsair RM750X. Mobila enheter Mina Androidenheter och Dell Latitude 5400. Citera om du vill ha ett garanterat svar från mig

Permalänk
Inaktiv

Jag har minnesvärda lösenord, men däremot använder jag 2FA överallt där det är möjligt.

Permalänk
Medlem
Skrivet av Airikr:

Vänta bara tills någon knäcker ditt lösenord för din e-post och sen får veta att du har samma lösenord till dina andra viktiga platser på nätet Alla lösenord går att knäcka. Det enda som behövs är tid. Det är därför man behöver byta lösenordet till ens konton helst en gång per år, beroende på hur starkt det är.

Orka brute-force knäcka ett lösenord, räcker att de knäcker någon site med något säkerhetshål om man har använt samma lösenord på flera ställen… skyddad är man bara om alla site:r man loggar in på har skött sin säkerhet exemplariskt och det enda vi kan vara säkra på är att det har de INTE gjort utan de har lagrat lösenord i lättknäckta hash-format och det räcker att en av de man använta samma på inte skött sig o.s.v.

Visa signatur

Amd o Apple

Permalänk
Medlem

KeePass på desktop/bärbar med lokal och off-site backup, KeePassDX med separat databas för telefon och platta. 2FA överallt det går. That's about it.

Visa signatur

5700X3D | ASUS X470-F | 32GB RAM | RTX 5070 Ti

Permalänk
Medlem

Köpte en begagnad Mac via Tradera nyligen.

Det visade sig att datorn i sig inte var nollställd och användaren var fortfarande inloggad. Med största sannolikhet var datorn ett fynd från något soprum.

Hur som helst, så hade användaren inte heller satt något lösenord på datorn, vilket gjorde att jag lätt kunde läsa samtliga sparade lösenord i klartext.

Så ni som skriver att långa lösenord är omöjliga att knäcka bör tänka om. Det som sparas i webbläsaren eller osäkra lösenordshanterare är ofta lätt att komma åt.

Som vanligt är inget säkrare än sin svagaste länk.

Tycker man även bör se över hur återställning av lösenord sker på ollka tjänster.

Permalänk
Medlem

Ärligt talat bryr jag mig inte så markant, jag kör googles lösenordshanterare fast den såklart inte är bland de bättre. Har fungerat i alla år.

Har dock 2FA på typ allt jag bryr mig om så spelar inte så stor roll.

Har provat saker som bitwarden osv förr men jag är helt enkelt för bekväm av mig. Är auto inloggad på typ allt på datorn alltid osv.
Om någon bryter sig in här och tar min dator så är mina lösenord till typ sweclockers minsta bekymret

Permalänk
Medlem
Skrivet av Airikr:

Tyvärr finns det väldigt många internetanvändare som inte behärskar det här med lösenord (min far inkluderad), och använder lösenord som är enkla att komma ihåg. Jesper.Anders är ju ett enkelt sådant och tar 4 dagar att knäcka. Men om man ändrar det till J3sp3r.And3rsHejsan, så tar det sekler att knäcka lösenordet.

Ja, det tar sekler att knäcka det lösenordet, men det tar inte sekler att gissa det lösenordet.

Det enda som behövs är att lösenordsknäckarna prövar att stava ett vanligt namn med 3 istället för E så får de träff. Och tro mig, ifall någon har kommit på en smart udda stavning så har också lösenordsknäckarna också kommit på det och lagt in det som alternativ i sina "vanligaste lösenords listor".

Permalänk
Medlem
Skrivet av kalle-anka:

Det enda som behövs är att lösenordsknäckarna prövar att stava ett vanligt namn med 3 istället för E så får de träff.

Jag skriver med € istället för E, så jag helt säker!

Permalänk
Medlem
Skrivet av walkir:

Jag skriver med € istället för E, så jag helt säker!

Börja med lite Kinesiska tecken, så blir det nog svårare

モモ

Ser ut som E:n (och typ f)

Permalänk
Medlem
Skrivet av VinterSolen:

Börja med lite Kinesiska tecken, så blir det nog svårare

モモ

Ser ut som E:n (och typ f)

God tanke, men tyvärr hopplöst då vissa ställen enbart tillåter a-z samt 0-9 i lösenord. Tror faktiskt att jobbet har det uppsatt så i Windows, då jag inte kunnat använda mina vanliga specialtecken där.

Permalänk

Har mina lösenord sparad på chrome/google med 2FA. Chrome fyller i automatiskt.

Viktiga sidor som mail osv 2FA om ny enhet/inlogg.

Permalänk
Medlem

Proton pass

Visa signatur

Är inte linux en billig kopia av ms-dos?

Permalänk
Medlem
Skrivet av Airikr:

Aha. Låter som någon betaversion då

Här är några till som "älskar" det nya UI:t
https://old.reddit.com/r/sysadmin/comments/1hlgx8v/bitwarden_...

Permalänk

Jag använder Braves inbyggda lösnordsgrejs.
I mobilen har jag Google.

Såg nu att jag har Brave där också!

Vågar jag synca mobilen med alla lösenord mot min pc?

Visa signatur

Linux Mint 22 Cinnamon -- I3-6100 CPU @ 3.70GHz × 2 -- Intel Corporation HD Graphics 530 -- 8GB ram. Kraftig ADHD.

Permalänk
Medlem

Varför inte googles egna eller MS Authenticator?

Permalänk
Medlem

Använder idag 1password - hanterar lösenord, passkeys, 2fa mm. Ärligt talat så stavas lösningen för dom allra flesta lösenordshanterare.

Visa signatur

| Ryzen 5800x | Asus prime x470 pro | Sapphire 9070xt pulse| Gskill 32gb 3,6ghz | aw3225qf |

Permalänk
Medlem
Skrivet av NorthLight:

Varför inte googles egna eller MS Authenticator?

Big Tech.

De har kontrollen över din data. De lagrar allt i klartext på krypterade diskar (även kallat för encryption at-rest), vilket gör att de kan se allt du lagrar hos dom. Om de inte har ändrat något sen sist jag läste om det för 5+ år sen, så lagras dina kreditkortsuppgifter krypterat hos Google (Microsoft har väl ingen sånt?) och inte i klartext på en krypterad disk (har jag för mig). Men jag litar inte ett dugg på Big Tech. Man ska alltid ta dom med nypa salt med allt, fram tills de har bevisat att "såhär gör vi, se och lär". Det kommer dock aldrig att ske för då måste de öppna upp all deras källkod - allt, rubbet - och det vägrar de att göra.

Om man vill att något ska lagras säkert utan att låta de som man lagrar sin data hos ska kunna se sin data, så ska datan krypteras på klientens sida (din enhet, läs mer) och sen skickas till servern. Antingen det eller lokalt med oavsett lagringsform (klartext/krypterat om servern endast kan nås via det lokala nätverket, annars endast krypterat).

Skrivet av kalle-anka:

Ja, det tar sekler att knäcka det lösenordet, men det tar inte sekler att gissa det lösenordet.

Det enda som behövs är att lösenordsknäckarna prövar att stava ett vanligt namn med 3 istället för E så får de träff. Och tro mig, ifall någon har kommit på en smart udda stavning så har också lösenordsknäckarna också kommit på det och lagt in det som alternativ i sina "vanligaste lösenords listor".

Japp. Jag gick dock efter hur lång tid det tar för datorer att knäcka ett lösenord.

Visa signatur

Citera mig om du vill att jag ska hitta till ditt svar.
airikr.me. Andra projekt: Keizai, Koroth, Serenum & Enc.

Permalänk
Medlem
Skrivet av Airikr:

Big Tech.

De har kontrollen över din data. De lagrar allt i klartext på krypterade diskar (även kallat för encryption at-rest), vilket gör att de kan se allt du lagrar hos dom. Om de inte har ändrat något sen sist jag läste om det för 5+ år sen, så lagras dina kreditkortsuppgifter krypterat hos Google (Microsoft har väl ingen sånt?) och inte i klartext på en krypterad disk (har jag för mig). Men jag litar inte ett dugg på Big Tech. Man ska alltid ta dom med nypa salt med allt, fram tills de har bevisat att "såhär gör vi, se och lär". Det kommer dock aldrig att ske för då måste de öppna upp all deras källkod - allt, rubbet - och det vägrar de att göra.

Om man vill att något ska lagras säkert utan att låta de som man lagrar sin data hos ska kunna se sin data, så ska datan krypteras på klientens sida (din enhet, läs mer) och sen skickas till servern. Antingen det eller lokalt med oavsett lagringsform (klartext/krypterat om servern endast kan nås via det lokala nätverket, annars endast krypterat).

Japp. Jag gick dock efter hur lång tid det tar för datorer att knäcka ett lösenord.

Detta, jag går mer och mer över till "icke bigtech" för det mesta.

Nyligen helt linux.
tittar på keepass med sync mellan datorer osv.
Mail borta från microsoft/outlook, snart även från google g-apps.
Söker med Kagi och undviket google sökmotor så mycket jag kan.

Telefon är visserligen google pixel, men har installerat GrapheneOS på den istället.