Hur ser erat system för lösenord + autentisering ut?

Jag orkar inte riktigt med lösenords-appar och har helt enkelt förlitat mig på tre lösenord/lösenordssystem

- Kritiskt lösenord: vilket enbart knutits till mitt huvudsakliga mail-konto, det använder 2-factor authentication och byts sällan då det enbart används på mailen i "säker miljö", Därefter har jag...
- Lösenord till tjänster: Där har jag ett som liknar mitt kritiska lösenord men samtidigt är det ganska kraftigt modifierat med ett system jag inte berättar, däremot använder jag de första två första-, och sista två bokstäverna av tjänstens namn insprängt i särskilda positioner i lösenordet, varannan av dessa bokstäver är små/stora, sist men inte minst har jag ett...
- Okritiskt lösenord till lätthackade forum: Där använder jag ett äldre högstadie-lösenord där jag bytt ut två bokstäver mot första och sista bokstaven i själva forumets namn.

För mig funkar detta bra. Jag kommer alltid ihåg grundformen till dessa lösenord samt deras system. har haft det så i 15år+ och minns alltid mina lösenord. Och även om ett forum-lösenord blir hackat så är lösenordet inte identiskt med andra forum, samtidigt är dessa lösenord inte i närheten av samma lösenord som större tjänster jag befinner mig på eller mitt kritiska mail-lösenord.

Är inte expert på ämnet som sådant men tankar som kom upp.
Lösenord till tjänster: Om ditt lösenord för sweclockers kommer ut och även lösenordet till t.ex facebook hittar ut så faller väl det systemet rätt fort:
Om du har lösenord Swhejsan56rs på sweclockers och Fahejsan56ok så kan de logga in på alla dina vanliga ställen efter det. Och det är nog enklare än Okritiskt lösenord eftersom man kan se mönstret lättare med två bokstäver i början och slutet av lösenordet.
Ditt system är säkrare än att ha exakt samma lösenord på alla sidor, men inte mycket säkrare anser jag iaf. Eftersom du har mailen på en helt separat och med 2fa så är ju du lite mer skyddad än många andra.
En lösenordshanterare är helt klart det bästa tillsammans med långa slumpade lösenord, och en lösenordshanterare har också en fördel som oftast glöms bort: Att man får koll på vilka sidor man har konto på.

Det är inte riktigt så tydligt. Och Sweclockers klassar jag mer som ett "forum" vilket innebär att det har det enklare forumlösenordet till skillnad från Facebook. Det ser mer ut så här (hypotetiskt):

Facebook: 80Fs+wgaS-s2R55
Sweclockers: 8sSensN2!Hu

Ofta när databaser läcker så är det ju främst "scammers" och "botar" som testar samma lösenord på andra tjänster, känner de inte om systemet går de vidare till nästa lösenord. Kommer de åt ett forum och skulle lista ut det så är det "ingen riktig skada skedd", och de flesta riktiga tjänster idag erbjuder 2-factor, som jag alltid har aktiverat. Så ifall de försöker ta sig in på facebook behöver de ha: listat ut lösenordssystemet från annan läckt tjänst, knappat in rätt, ha mitt mail-lösenord likaså + min fysiska dator/mobil eller dator-/mobil-lösenord. Jag skulle säga att botar och spammers ger upp, för så viktig är jag inte.

Det viktigaste är att man kategoriserar vilka tjänster som är potentiella säkerhetsrisker.

Använder man lösenordshanterare kan man lika gärna köra dessa 3 regler eftersom det är hanteraren som memorerar de oavsett.

• Ett lösenord som redan är känt har 0 bitars entropi.

• Ett lösenord som kräver som mest två gissningar för att hitta har 1 bitars entropi.

• Ett lösenord med n bitars entropi skulle kräva 2^n gissningar för att garantera att lösenordet hittas.

https://kodgeneratorn.se/vad-ar-ett-starkt-losenord

"Bitar" i det här fallet avser entropi, vilket är ett vanligt sätt att mäta mängden information som något innehåller inom informationsteori. Om lösenord av en viss form har 9.3 bitar entropi så finns det 2^(9.3) ≈ 630.3 möjliga kombinationer av lösenord som har den formen, så varje bit dubblar mängden olika kombinationer (och gör det därmed dubbelt så svårt att knäcka lösenordet). Går att se som ett standardiserat sätt att jämföra lösenord på, där vi reducerar lösenord till en sträng av 1:or och 0:or som genererats slumpmässigt genom att singla en slant.

För att beräkna detta behöver vi veta antalet symboler som går att välja mellan, och hur många symboler som valts slumpmässigt för att generera lösenordet. Om vi t.ex. använder symbolerna A-Z, a-z och 0-9 så finns 62 olika symboler att välja mellan, och om vi drar 10 av dessa symboler slumpmässigt för att generera ett lösenord så får vi log2(62^10) = 10 * log2(62) ≈ 59.5 bitar entropi.

För ordfraser så bör vi utgå ifrån att attackeraren har ordlistan, så där blir istället varje ord en symbol, och mängden ord i ordlistan blir antalet olika symboler som går att välja mellan. För ordlistan "svenska namn på nordiska länder" har vi 5 olika symboler att välja mellan (Danmark, Finland, Island, Norge och Sverige), så varje slumpmässigt valt ord i frasen tillför i det fallet log2(5) ≈ 2.3 bitar entropi.

Sen finns lite osynlig entropi utöver detta eftersom attackeraren behöver testa olika ordlistor för att hitta rätt, men att arbeta sig upp från små ordlistor med nära besläktade ord (eller t.ex. namn på anhöriga) lär vara en vanlig taktik.

Hur funkar det då?
Hur får bitwarden på min telefon signal att jag försöker logga in på en dator?
Eller måste jag gå in i appen först och hämta ett lösenord?

Så då blir jag tvungen att skriva in t.ex %#]*}$|’uemjfk

Varje gång? 🤔

Ja, om du inte t.ex. loggar in på web-valvet, då kan du kopiera från sidan.

Fel. Öppna tillägget och klicka sen på Settings > Account security. Kryssa därefter i att du vill låsa upp valvet med en PIN-kod. Du kan även sätta Vault timeout till något som passar dig bäst.

Det var inte det han frågare.

Endast använt lösenordshanterare Keepass på jobb och då fungerar det ju bra för det är bara där det används men undrar bara hur alla som använder sig loggar in på konto på någon annans dator/telefon. Måste ni ladda ner lösenordshanteraren då också ?

Jag använder Googles/Chromes hanterare hemma och på telefonen men har ändå separata lösenord för varje hemsida för att allt inte ska bli hackat direkt om en blir hackad.

Lärde mig detta för ca 15 år sen när jag var noob i IT-industrin och gjort det på allt sen dess.
Lösenorden består av en tangentbordsmönster och hemsidans namn, vilket gör att det enda jag behöver komma ihåg är tangentbordsmönstret och det är 1-2 kombinationer, 3 om man är riktigt invecklad. Sen kan man lägga till några dumma siffror och tecken i slutet som alltid är samma.

Hemsida: Google
Tangentbordsmönster: Ner -> Vänster
Lösenord: Gbvolkolkgbvl.,eds22!!
Tangentbordsmönster: Ner
Lösenord: Gbololgbl.ed22!!

Hemsida: Discord
Tangentbordsmönster: Ner -> Vänster
Lösenord: Dcxikjsxzc32olkrfddcx22!!
Tangentbordsmönster: Ner
Lösenord: Dciksxc3olrfdc22!!

Lätt att komma ihåg, går snabbt att skriva när man lärt sig det, långt, komplext och säkert.
Detta är bara ett exempel, själv använder ett mycket enklare mönster och aldrig blivit hackad. Inte så intressant heller kanske

För någon som har svårt att komma ihåg lösenord är detta suveränt för man behöver bara komma ihåg mönstret som är samma alltid och sen står grunden för lösenordet på hemsidan du försöker logga in på

Måste man logga in med huvudlösen varje gång man ska använda ett lösenord att logga in någonstans?

Måste man logga in med huvudlösen varje gång man ska använda ett lösenord att logga in någonstans?

Okej finns det fördel med bitwarden över den inbyggda i iphone?

Hos Apple måste du lita på deras ord då all källkod är stängd hos dom (väldigt dåligt och opålitligt).

Oj det var en del.. om jag specificerar frågan lite då..

Finns det fördel rent funktionsmässigt, om det jag vill ha är ett ställe att lagra lösenord så man slipper komma ihåg dom? Och som funkar smidigt med nåt knapptryck? Så jag slipper ha abc123 på alla sidor.

Jag vill kunna logga in på alla sidor med ett knapptryck utan att spara lösenordet i webläsaren.

Edit: kom precis på en egen fördel. Att det funkar till flera plattformar iOS varianten fungerar ju inte till min pc..

[ul]
[li]Du äger och kan kontrollera din data och ingen annan, inte ens Bitwarden (även om du har din data på deras server), vilket är väldigt viktigt nu för tiden.[/li]

Antar att Apple inte lagrar din data med helvägskryptering

Du behöver inte ens använda Bitwardens servrar om du inte vill. Du kan self-hosta också med Bitwarden

Lösenord och några andra kategorier: alltid. Annan data: valfritt (där man får väga risken att data läcker mot risken att hamna i en situation där man inte kan återställa den).
Källa: https://support.apple.com/en-us/102651