Google slutar med tvåfaktorautentisering via SMS

2025-02-25 09:52

Hedersmedlem ★

Plats: i bestens inre
Registrerad: Jul 2001

●

Skrivet av underd0g76:

Är en av få som inte använder smartphone (har en gammal Iphone som inte kan uppdateras). Har ingen tvåfaktorautentisering påslagen på den Gmail jag har. Faktum är att den är min slaskpost så den är inte av någon större vikt för mig.

Det finns myndigheter banker (Swedbank) och andra företag som fortfarande erbjuder SMS i olika autentiseringsammanhang. Om den möjligeten omvandlas till QR-kod, Mobilt BankID eller liknande så tvingas jag köpa en smartphone eller platta enbart för att komma åt tjänsten. Känns lite B.

Gå till inlägget

Fast när någon kommer åt ditt konto och snor dina pengar, vem kommer du skylla på då?
Knappast din egen snålhet va?

Visa signatur

I am a prototype for a much larger s󠅄󠅘󠅕󠄐󠅞󠅕󠅕󠅔󠄐󠅤󠅟󠄐󠅒󠅕󠄐󠅟󠅒󠅣󠅕󠅢󠅦󠅕󠅔󠄐󠅑󠅞󠅔󠄐󠅥󠅞󠅔󠅕󠅢󠅣󠅤󠅟󠅟󠅔󠄐󠅧󠅑󠅣󠄐󠅟󠅞󠅓󠅕󠄐󠅣󠅑󠅤󠅙󠅣󠅖󠅙󠅕󠅔󠄐󠅒󠅩󠄐󠄷󠅟󠅔󠄞󠄐󠄾󠅟󠅧󠄐󠅧󠅕󠄐󠅓󠅑󠅞󠄐󠅙󠅝󠅠󠅜󠅕󠅝󠅕󠅞󠅤󠄐󠅤󠅘󠅕󠄐󠅣󠅑󠅝󠅕󠄐󠅖󠅥󠅞󠅓󠅤󠅙󠅟󠅞󠅑󠅜󠅙󠅤󠅩󠄐󠅧󠅙󠅤󠅘󠄐󠅔󠅑󠅤󠅑󠄝󠅝󠅙󠅞󠅙󠅞󠅗󠄐󠅑󠅜󠅗󠅟󠅢󠅙󠅤󠅘󠅝󠅣󠄞ystem

Rapportera Redigera

Citera flera Citera (2)

2025-02-25 10:03

Medlem ★

Plats: Vid skogskanten
Registrerad: Mar 2015

●

Rubriken kapades ner till "Google slutar med tvåfaktorautentisering" under "Nytt i forumet"... höll på att få en hjärtinfarkt...

Rapportera Redigera

Citera flera Citera (2)

2025-02-25 10:15

Medlem ★

Plats: Norrköping
Registrerad: Jan 2011

●

Skrivet av Lagers:

Det här kommer leda till att otroligt många kommer bli utelåsta från sina telefoner och Gmail-konton. Alla som inte är datanördar som vi har noll koll på konton. De fåtal som kommer lösa det med 2FA app kommer då ha den på samma enhet vilket inte ger något, och när de ska komma åt backupen (om de tagit någon) på 2FA kommer de inte veta hur man gör, eller inte komma åt den för den har sparats på samma ställe som de inte kommer åt.

Sms är dåligt, men allmänheten har inte intresse att sätta sig in i alla andra lösningar. Bra att Google säkrar upp, men så många Gmail-konton kommer bli "låsta".

Jag kommer nu få vara support igen för släkten så att de säkerställer återställningskoder och 2FA app och jag kommer säkert få spara dessa i en keepass-valv hos mig för de inte har koll/tappar bort. Minst sex personer av släkten behöver nog hjälp med detta.

Varför inte strunta i att hjälpa dom? Jo, för jag får en mycket värre support-situation när deras telefon hamnar i golvet...

Gå till inlägget

Nej då. Google har naturligtvis A/B-testat detta redan.

Idag använder alla sin mobil som 2-faktor som transparent använder Passkeys. Din släkt kommer fortsatt klicka på knappen "Ja" för att logga in på en ny enhet.

Rapportera Redigera

Citera flera Citera (5)

2025-02-25 10:18

Medlem ★

Registrerad: Nov 2018

●

Bra. Nästa steg är att helt ta bort tvåfaktorautentisering. Vansinnesfunktion. Tack och lov är det fortfarande fritt att avstå på de flesta håll, men där tvånget finns är det förjävligt.

Visa signatur

Moderkort: Gigabyte X570 Aorus Master | CPU: AMD Ryzen R9 5900X | CPU-kylare: Noctua NH-D15 chromax.black | RAM: Corsair Vengeance LPX 64 GB (4x16) DDR4-3600 CL18 | GPU: Gigabyte RTX 4080 Eagle OC | SSD: 2 x Samsung 970 EVO Plus 1 TB NVMe + Kingston A400 480 GB + Samsung QVO860 1 TB | PSU: EVGA SuperNOVA G2 1000 W Gold | Chassi: Lian Li O11 Dynamic XL | Skärm: BenQ PD3200U @ 3840x2160 + ASUS ROG Strix XG32VQ @ 2560x1440 | Tangentbord: Corsair K68 RGB Cherry MX Red | Mus: Logitech MX Master 2S

Rapportera Redigera

Citera flera Citera (4)

2025-02-25 10:23

Medlem ★

Plats: Göteborg
Registrerad: Dec 2017

●

Skrivet av cyklonen:

Bra. Nästa steg är att helt ta bort tvåfaktorautentisering. Vansinnesfunktion. Tack och lov är det fortfarande fritt att avstå på de flesta håll, men där tvånget finns är det förjävligt.

Gå till inlägget

Är du sarkastisk? Enkom lösenord är förlegat, osäkert och endast kvarleva utifrån kulturell vana och att människor lätt begriper dess funktion. 2FA är ett absolut nödvändigt komplement för säker autentisering om användare inte klarar starka autentiseringsmetoder såsom nyklar.

Rapportera Redigera

Citera flera Citera (6)

2025-02-25 10:29

Medlem ★

Registrerad: Nov 2018

●

Skrivet av lhugo:

Är du sarkastisk? Enkom lösenord är förlegat, osäkert och endast kvarleva utifrån kulturell vana och att människor lätt begriper dess funktion. 2FA är ett absolut nödvändigt komplement för säker autentisering om användare inte klarar starka autentiseringsmetoder såsom nyklar.

Gå till inlägget

Inte det minsta sarkastisk. Ok, om det är valfritt skadar det åtminstone inte mig, men tyvärr går det mer och mer mot tvång. Och det är förjävligt.
Jag vill under inga omständigheter vara beroende av att ha flera saker tillgängliga för att komma åt en tjänst. Otaliga har tappat bort eller blivit bestulna på mobiler, och sen varit för evigt utestängda från de tjänster där mobilen var ena faktorn.

Visa signatur

Moderkort: Gigabyte X570 Aorus Master | CPU: AMD Ryzen R9 5900X | CPU-kylare: Noctua NH-D15 chromax.black | RAM: Corsair Vengeance LPX 64 GB (4x16) DDR4-3600 CL18 | GPU: Gigabyte RTX 4080 Eagle OC | SSD: 2 x Samsung 970 EVO Plus 1 TB NVMe + Kingston A400 480 GB + Samsung QVO860 1 TB | PSU: EVGA SuperNOVA G2 1000 W Gold | Chassi: Lian Li O11 Dynamic XL | Skärm: BenQ PD3200U @ 3840x2160 + ASUS ROG Strix XG32VQ @ 2560x1440 | Tangentbord: Corsair K68 RGB Cherry MX Red | Mus: Logitech MX Master 2S

Rapportera Redigera

Citera flera Citera (10)

2025-02-25 10:51

Medlem ★

Plats: Kävlinge
Registrerad: Feb 2002

●

Skrivet av dlq84:

Helt fel...

SMS är notoriskt osäkert i många länder. I många fall kan man flytta nummer nästan helt utan verifiering och på så sätt komma åt dessa koder och i då få obehörig tillgång till andras konton. Det är bra att det är på väg bort helt.

Om du använder exempelvis 2FAS så har du e2e-krypterad backup på valfritt moln. Så nä, har man backup så är man inte fucked.

Gå till inlägget

Ska vi sluta använda pass som ID från flyg världen över? Bara för t.ex. Zimbabwe är korrupt över öronen?

Att något telenät är osäkert just i något land är inte fog för att världens största leverantör av IT tjänster skall släcka något.

100% bullshit. Det är bra mycket osäkrare att jag på mina 220-ish nät tjänster skall spara något återställnings kod på något txt dokument på min dator eller A4 papper i garderoben.

Ska "Eva 57år" som jobbar som handläggare på något random kommun jobb ha koll på någon e2e-krypterad backup i moln med säkerhetskod? Bara för vi just här på SweC är lite mera IT-intresserade av något betyder det inte att det är användbart i praktiken på 99,5% av befolkningen.

Ungefär som att ha en pistol hemma och för man är rädd att den skall stjälas, så har man ett raketgevär att försvara sig med, men för man är rädd för raketgeväret skall stjälas har man en stridsvagn hemma, men för man är rädd för att stridsvagnen skall stjälas har man en atombomb... osv...

Visa signatur

Macifierad militant mactivist....
"Why join the navy if you can be a pirate?" - Steve Jobs

Rapportera Redigera

Citera flera Citera (8)

2025-02-25 11:04

Medlem ★

Plats: Göteborg
Registrerad: Dec 2017

●

Skrivet av cyklonen:

Inte det minsta sarkastisk. Ok, om det är valfritt skadar det åtminstone inte mig, men tyvärr går det mer och mer mot tvång. Och det är förjävligt.
Jag vill under inga omständigheter vara beroende av att ha flera saker tillgängliga för att komma åt en tjänst. Otaliga har tappat bort eller blivit bestulna på mobiler, och sen varit för evigt utestängda från de tjänster där mobilen var ena faktorn.

Gå till inlägget

Den enskilde kan inte fatta ett sunt val när det gäller kryptografi. Många väljer lösenord för att det är metoden de tycker sig förstå, inte pga av avsky för bättre metoder. Därför låter många tjänster inte ens användaren att autentisera enkom med lösenord. Ett bra exempel är banker och myndigheter som använder elegitimation och aldrig endast lösenord.

Om du förstår riskerna med svag autentisering och trots det vill använda dig av detta är det nog så att du får anpassa dig. Systemet ser det helt enkelt så att andra inte ska behöva bli av med pengar/identitet för art vissa vill använda lösenord.

Rapportera Redigera

Citera flera Citera (11)

2025-02-25 11:14

Medlem ★

Plats: Linköping
Registrerad: Jan 2006

●

Skrivet av dlq84:

Nej då. Google har naturligtvis A/B-testat detta redan.

Idag använder alla sin mobil som 2-faktor som transparent använder Passkeys. Din släkt kommer fortsatt klicka på knappen "Ja" för att logga in på en ny enhet.

Gå till inlägget

Tänkte faktiskt på det, ska de gå över till passkeys för inlogg på gmail/telefon? Kommer det göra att de kan installera en ny telefon utan att vara inloggad någon annanstans och inte ha 2FA eller aktiviteringskoder?

Att trycka ja är ju när man redan har en enhet som är inloggad? Telefonen till 99,9%.

Visa signatur

Custom SweC - Optimerar utseendet på Sweclockers. 14 Mars: Nu i version 0.5.2 med nya funktioner!
Installera Custom SweC UserCSS
Glöm inte att Geeks har en egen Discord-server: discord.geeks.se

Rapportera Redigera

Citera flera Citera (1)

2025-02-25 11:23

Medlem ★

Registrerad: Aug 2015

●

Skrivet av SuperSverker:

Du sparar återställningskoder innan du aktiverar funktionen.

Gå till inlägget

Har du någonsin lyckats får en icke teknisk person att spara återställningskoder korrekt?

FFS dom flesta personer har aldrig någonsin gjort en backup på viktig data.

QR koder till en mobil är en väldigt skör lösning redan från design steget.

Rapportera Redigera

Citera flera Citera (5)

2025-02-25 11:27

Medlem ★

Registrerad: Aug 2015

●

Skrivet av Aphex:

Det kostar ingenting för ett företag av googles storlek att skicka SMS så det är bull. SIM-jacking är ett stort problem och alldeles för lätt att utföra, att skicka verifieringskoder över mobilnätet är inte säkert.

https://en.m.wikipedia.org/wiki/SIM_swap_scam

A number of high-profile hacks have occurred utilizing SIM swapping, including some on the social media sites Instagram and Twitter. In 2019, former Twitter CEO Jack Dorsey's Twitter account was hacked via this method.[13][14]

Gå till inlägget

Ja för QR koder kan ju absolut inte hackas..............

https://www.authentic8.com/blog/quishing-qr-code-phishing

Rapportera Redigera

Citera flera Citera (2)

2025-02-25 11:34

Medlem ★

Registrerad: Nov 2010

●

Så bra, SMS går absolut inte att lita på.

Visa signatur

Nybörjare på Linux? Se hit! #15665841

Rapportera Redigera

Citera flera Citera (2)

2025-02-25 11:48

Medlem ★

Plats: Westrobothnia
Registrerad: Okt 2008

●

Å herregud vad det här kommer ställa till med problem ... 😫

Skrivet av Lagers:

Det här kommer leda till att otroligt många kommer bli utelåsta från sina telefoner och Gmail-konton. Alla som inte är datanördar som vi har noll koll på konton. De fåtal som kommer lösa det med 2FA app kommer då ha den på samma enhet vilket inte ger något, och när de ska komma åt backupen (om de tagit någon) på 2FA kommer de inte veta hur man gör, eller inte komma åt den för den har sparats på samma ställe som de inte kommer åt.

Sms är dåligt, men allmänheten har inte intresse att sätta sig in i alla andra lösningar. Bra att Google säkrar upp, men så många Gmail-konton kommer bli "låsta".

Jag kommer nu få vara support igen för släkten så att de säkerställer återställningskoder och 2FA app och jag kommer säkert få spara dessa i en keepass-valv hos mig för de inte har koll/tappar bort. Minst sex personer av släkten behöver nog hjälp med detta.

Varför inte strunta i att hjälpa dom? Jo, för jag får en mycket värre support-situation när deras telefon hamnar i golvet...

Gå till inlägget

Jag tänkte skriva samma sak, jag vet flera som kommer får det rejält besvärligt pga detta, och det kommer bli ett helvete att ge support till dem, då de är väldigt otekniska och det skulle ta en evighet att försöka få dem att överhuvudtaget begripa eller använda någon alternativ MFA.

Fy fan.

Låt sms finnas kvar som alternativ, snåljävla Ooogle.

Visa signatur

9950X3D | 5080

Rapportera Redigera

Citera flera Citera (3)

2025-02-25 12:00

Medlem ★

Plats: Stockholm
Registrerad: Maj 2002

●

Skrivet av AkUs:

Ska vi sluta använda pass som ID från flyg världen över? Bara för t.ex. Zimbabwe är korrupt över öronen?

Att något telenät är osäkert just i något land är inte fog för att världens största leverantör av IT tjänster skall släcka något.

Gå till inlägget

Mobilnät och pass funkar radikalt olika. Det är billigt att köpa tjänster som snor sms eller snor simkort. Det är verkligheten vi lever i, och kommer leva i länge till. Det är inte ett säkert sätt att leverera hemligheter, även om det är bekvämt och återställningsbart.

Skrivet av AkUs:

100% bullshit. Det är bra mycket osäkrare att jag på mina 220-ish nät tjänster skall spara något återställnings kod på något txt dokument på min dator eller A4 papper i garderoben.

Gå till inlägget

Att folk får inbrott och blir av med återställnings koder från ett a4 är helt klart ett mindre problem än alla de hacking försök som görs dagligen.

Med detta sagt så är recoverability en viktig sak, förlust av en telefon ska inte låsa en ute.

Rapportera Redigera

Citera flera Citera (5)

2025-02-25 12:02

Medlem ★

Registrerad: Nov 2018

●

Skrivet av lhugo:

Den enskilde kan inte fatta ett sunt val när det gäller kryptografi. Många väljer lösenord för att det är metoden de tycker sig förstå, inte pga av avsky för bättre metoder. Därför låter många tjänster inte ens användaren att autentisera enkom med lösenord. Ett bra exempel är banker och myndigheter som använder elegitimation och aldrig endast lösenord.

Om du förstår riskerna med svag autentisering och trots det vill använda dig av detta är det nog så att du får anpassa dig. Systemet ser det helt enkelt så att andra inte ska behöva bli av med pengar/identitet för art vissa vill använda lösenord.

Gå till inlägget

Du får tro det, men så ser inte verkligheten ut. För säkert 99.99 procent av allt som är behörighetssatt på nätet är det helt oproblematiskt med enbart lösenord. Banker och en del andra saker, ja, där har jag lite mer acceptans för att det ska vara extremt jobbigt att logga in, men för annat, nej absolut inte.

Lösenord kan vara hur säkra som helst, så länge de inte begränsas av implementationen.

Visa signatur

Moderkort: Gigabyte X570 Aorus Master | CPU: AMD Ryzen R9 5900X | CPU-kylare: Noctua NH-D15 chromax.black | RAM: Corsair Vengeance LPX 64 GB (4x16) DDR4-3600 CL18 | GPU: Gigabyte RTX 4080 Eagle OC | SSD: 2 x Samsung 970 EVO Plus 1 TB NVMe + Kingston A400 480 GB + Samsung QVO860 1 TB | PSU: EVGA SuperNOVA G2 1000 W Gold | Chassi: Lian Li O11 Dynamic XL | Skärm: BenQ PD3200U @ 3840x2160 + ASUS ROG Strix XG32VQ @ 2560x1440 | Tangentbord: Corsair K68 RGB Cherry MX Red | Mus: Logitech MX Master 2S

Rapportera Redigera

Citera flera Citera (4)

2025-02-25 12:05

Medlem ★

Plats: Linköping
Registrerad: Jan 2006

●

Skrivet av backfeed:

Å herregud vad det här kommer ställa till med problem ... 😫

Jag tänkte skriva samma sak, jag vet flera som kommer får det rejält besvärligt pga detta, och det kommer bli ett helvete att ge support till dem, då de är väldigt otekniska och det skulle ta en evighet att försöka få dem att överhuvudtaget begripa eller använda någon alternativ MFA.

Fy fan.

Låt sms finnas kvar som alternativ, snåljävla Ooogle.

Gå till inlägget

Om man inte hjäper dom innan, så kommer man få frågan när de ska byta telefon eller liknande.
"-jag kommer inte in på mitt google konto, hjälp mig"
"-Kan inte göra något, så skapa en nytt google konto. och sedan kan du inte komma in på många andra tjänster, så du får skapa nytt konto på dessa med. Ibland måste man ha gamla mail-kontot för att byta till ett nytt på tjänsterna"
"-Suck, teknik.. så krångligt..."

Visa signatur

Custom SweC - Optimerar utseendet på Sweclockers. 14 Mars: Nu i version 0.5.2 med nya funktioner!
Installera Custom SweC UserCSS
Glöm inte att Geeks har en egen Discord-server: discord.geeks.se

Rapportera Redigera

Citera flera Citera (7)

2025-02-25 12:07

Medlem ★

Registrerad: Apr 2002

●

Skrivet av cyklonen:

Du får tro det, men så ser inte verkligheten ut. För säkert 99.99 procent av allt som är behörighetssatt på nätet är det helt oproblematiskt med enbart lösenord. Banker och en del andra saker, ja, där har jag lite mer acceptans för att det ska vara extremt jobbigt att logga in, men för annat, nej absolut inte.

Lösenord kan vara hur säkra som helst, så länge de inte begränsas av implementationen.

Gå till inlägget

Det är ju dock en autentiseringsform som har en del fundamentala problem. Kanske främst då att tjänsten man loggar in på måste känna till lösenorden (i någon form), så de sitter med en enorm hög med hemligheter som kan läckas.

Och sedan då när lösenorden faktiskt väljs på ett sätt att de är säkra så kommer de allra flesta inte längre tycka att det är enkelt.

Visa signatur

Desktop spel m.m.: Ryzen 9800X3D || MSI X870 Tomahawk Wifi || MSI Ventus 3x 5080 || Gskill FlareX 6000 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Arbetsstation: Ryzen 7945HX || Minisforum BD790i || Asus Proart 4070 Ti Super || Kingston Fury Impact 5600 65 GB || WD SN850 2TB || Samsung 990 Pro 2TB || Fractal Ridge
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304

Rapportera Redigera

Citera flera Citera (5)

2025-02-25 12:09

Medlem ★

Registrerad: Nov 2018

●

Skrivet av evil penguin:

Kanske främst då att tjänsten man loggar in på måste känna till lösenorden (i någon form), så de sitter med en enorm hög med hemligheter som kan läckas.

Gå till inlägget

Är det korrekt gjort är lösenorden hashade med en kryptografiskt säker hashalgoritm. Det är inget problem i dag. Om nån hobbysida för knyppling eller modelljärnvägar har en dålig lösning, inte osannolikt, så är det ju ändå ingen viktig grej att skydda.

Visa signatur

Moderkort: Gigabyte X570 Aorus Master | CPU: AMD Ryzen R9 5900X | CPU-kylare: Noctua NH-D15 chromax.black | RAM: Corsair Vengeance LPX 64 GB (4x16) DDR4-3600 CL18 | GPU: Gigabyte RTX 4080 Eagle OC | SSD: 2 x Samsung 970 EVO Plus 1 TB NVMe + Kingston A400 480 GB + Samsung QVO860 1 TB | PSU: EVGA SuperNOVA G2 1000 W Gold | Chassi: Lian Li O11 Dynamic XL | Skärm: BenQ PD3200U @ 3840x2160 + ASUS ROG Strix XG32VQ @ 2560x1440 | Tangentbord: Corsair K68 RGB Cherry MX Red | Mus: Logitech MX Master 2S

Rapportera Redigera

Citera flera Citera (2)

2025-02-25 12:15

Medlem ★

Plats: Westrobothnia
Registrerad: Okt 2008

●

Skrivet av cyklonen:

Inte det minsta sarkastisk. Ok, om det är valfritt skadar det åtminstone inte mig, men tyvärr går det mer och mer mot tvång. Och det är förjävligt.
Jag vill under inga omständigheter vara beroende av att ha flera saker tillgängliga för att komma åt en tjänst. Otaliga har tappat bort eller blivit bestulna på mobiler, och sen varit för evigt utestängda från de tjänster där mobilen var ena faktorn.

Gå till inlägget

Helt rätt.

Jag är fullt medveten och insatt i hur MFA fungerar, och varför, och fördelarna. Men även nackdelarna, främst att det är så satans osmidigt (alla varianter av Authenticator-appar exempelvis, inklusive andOTP som jag använder).

Det finns "smidiga(re)" MFA också, t.ex. Yubikey, men då tillkommer ett nytt gigantiskt problem: backup på nyckeln. Om min Yubikey går sönder eller försvinner? Fucked. Så vitt jag vet finns det inget sätt att ta backup på en nyckel, annat än något högst tveksamt fulhack jag läste om för ett tag sedan, som jag inte minns detaljerna av men min slutsats var att det inte duger för min del.

Passkeys? Ja, hur fan tar man backup på dem då? Det blir i praktiken samma problem som med Yubikey. Och aldrig att jag skulle gå med på att låta tredjepart (t.ex. MS) lagra det åt mig.

Visa signatur

9950X3D | 5080

Rapportera Redigera

Citera flera Citera (2)

2025-02-25 12:24

Medlem ★

Plats: Westrobothnia
Registrerad: Okt 2008

●

Skrivet av Lagers:

Om man inte hjäper dom innan, så kommer man få frågan när de ska byta telefon eller liknande.
"-jag kommer inte in på mitt google konto, hjälp mig"
"-Kan inte göra något, så skapa en nytt google konto. och sedan kan du inte komma in på många andra tjänster, så du får skapa nytt konto på dessa med. Ibland måste man ha gamla mail-kontot för att byta till ett nytt på tjänsterna"
"-Suck, teknik.. så krångligt..."

Gå till inlägget

I bästa fall.

Jag vet individer som kommer få panikångest. Jag bävar inför att någon av dem ens får höra talas om detta.

Fy fan.

Visa signatur

9950X3D | 5080

Rapportera Redigera

Citera flera Citera (4)

2025-02-25 12:30

Medlem ★

Registrerad: Jan 2024

●

I grunden är jag för detta, men eftersom det är Google och kravet är att du måste vara inloggad någonstans, så får google då direkt tillgång till din(a) enheter där de kan spionera och logga och tjäna mer pengar då du måste installera och logga in med t.ex. youtube på din telefon.

Rapportera Redigera

Citera flera Citera (1)

2025-02-25 12:31

Medlem ★

Registrerad: Apr 2002

●

Skrivet av cyklonen:

Är det korrekt gjort är lösenorden hashade med en kryptografiskt säker hashalgoritm. Det är inget problem i dag. Om nån hobbysida för knyppling eller modelljärnvägar har en dålig lösning, inte osannolikt, så är det ju ändå ingen viktig grej att skydda.

Gå till inlägget

Fast problemet slutar ju inte där...

Lösenord lockar till återanvändning, och då blir det plötsligt att alla tjänsterna måste vara lika säkra för att en tjänsts dåliga hantering inte ska bita alla om användaren är lite oinsatt/slapp/ointresserad/...

Och att enbart hasha går ju alldeles för snabbt med t.ex. GPGPU, och utan salt vore det väl i många lägen närmast meningslöst.
Så om vi tänker kryptografiskt säker hash med salt som något slags grundnivå så måste det ju i det läget verkligen vara ett *långt* säkert lösenord för att göra riktig skillnad ändå.

Om man ska kunna ha något som upplevs som balanserat för användaren (mellan enkelhet och säkerhet, dvs), något som iaf *nästan* passera som "enkelt", så krävs det väl mer eller mindre att det istället för bara hashning görs något mer involverat som faktiskt försöker straffa en offline-attack. Typ Argon2, scrypt, osv (ev. även PBKDF2, men det är ju bara "lägg på mer hashning", så det har lite samma fundamentala problem).

Så ja, OM lösenordet är supersäkert och unikt valt endast för denna tjänst... så slutar det nästan där. Men vid en läcka så ska det ju då bara ses som att man vunnit tid att hinna byta lösenord.

Om man jämför det med någon nyckelbaserad lösning så har tjänsten ingen hemlighet, bara en lista med användarens *publika* nycklar. Så skillnad är det iaf.

Visa signatur

Desktop spel m.m.: Ryzen 9800X3D || MSI X870 Tomahawk Wifi || MSI Ventus 3x 5080 || Gskill FlareX 6000 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Arbetsstation: Ryzen 7945HX || Minisforum BD790i || Asus Proart 4070 Ti Super || Kingston Fury Impact 5600 65 GB || WD SN850 2TB || Samsung 990 Pro 2TB || Fractal Ridge
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304

Rapportera Redigera

Citera flera Citera

2025-02-25 12:35

Medlem ★

Registrerad: Jan 2011

●

Skrivet av Defender:

hahah, ja visst gör man. Och dom hittar man ju också åravis senare när dom väl behövs.

Gå till inlägget

Lägg dom i lösenordshanteraren bara. Såklart en risk men går ju. Ett alternativ kan ju vara att ha två hanterare eller åtminstone återställningskoderna på en annan instans/konto.

Visa signatur

Citera för svar

Rapportera Redigera

Citera flera Citera

2025-02-25 12:36

Medlem

Registrerad: Aug 2007

●

Skrivet av cyklonen:

Är det korrekt gjort är lösenorden hashade med en kryptografiskt säker hashalgoritm. Det är inget problem i dag. Om nån hobbysida för knyppling eller modelljärnvägar har en dålig lösning, inte osannolikt, så är det ju ändå ingen viktig grej att skydda.

Gå till inlägget

lol. Finns ju massor med företag och även sånt som offentlig sektor där login är "1234" eller liknande på olika ställen. Detta är inkl. portkod till parkering och annat där det inte ska vara lätt att gissa lösenord/kod.

Och många gånger sparas lösenorden/koderna i plain-text eller md5 utan salting fortfarande.

Visa signatur

Byt namn på Nvidia till NvidAI

Rapportera Redigera

Citera flera Citera

2025-02-25 12:38

Medlem ★

Registrerad: Apr 2005

●

Undrar när (om) Microsoft väljer att gå samma väg, har inte hittat något datum ännu. Många företag kör ju med Microsoft O365 molnjänst.

Visa signatur

Intel® Core i7-13700K @ 5.7/5.6GHz | ASRock Z690 Extreme | G.Skill Trident Z 32GB @ DDR4-3400 CL14 | Samsung EVO series M.2 + Sata SSDs 2TB | Intel Arc B580 | SuperFlower Titanium 1000W | Gigabyte M32Q 32"/1440p 165Hz | Arctic Freezer II 360 AIO | Phanteks P500A D-RGB

Rapportera Redigera

Citera flera Citera

2025-02-25 12:45

Medlem ★

Registrerad: Nov 2018

●

Skrivet av evil penguin:

Fast problemet slutar ju inte där...

Lösenord lockar till återanvändning, och då blir det plötsligt att alla tjänsterna måste vara lika säkra för att en tjänsts dåliga hantering inte ska bita alla om användaren är lite oinsatt/slapp/ointresserad/...

Och att enbart hasha går ju alldeles för snabbt med t.ex. GPGPU, och utan salt vore det väl i många lägen närmast meningslöst.
Så om vi tänker kryptografiskt säker hash med salt som något slags grundnivå så måste det ju i det läget verkligen vara ett *långt* säkert lösenord för att göra riktig skillnad ändå.

Om man ska kunna ha något som upplevs som balanserat för användaren (mellan enkelhet och säkerhet, dvs), något som iaf *nästan* passera som "enkelt", så krävs det väl mer eller mindre att det istället för bara hashning görs något mer involverat som faktiskt försöker straffa en offline-attack. Typ Argon2, scrypt, osv (ev. även PBKDF2, men det är ju bara "lägg på mer hashning", så det har lite samma fundamentala problem).

Så ja, OM lösenordet är supersäkert och unikt valt endast för denna tjänst... så slutar det nästan där. Men vid en läcka så ska det ju då bara ses som att man vunnit tid att hinna byta lösenord.

Om man jämför det med någon nyckelbaserad lösning så har tjänsten ingen hemlighet, bara en lista med användarens *publika* nycklar. Så skillnad är det iaf.

Gå till inlägget

Inga problem att använda hashningsalgoritmer som är starka nog att omöjliggöra effektiv lösenordsknäckning för lösenord av en rimlig längd. Vi snackar inte MD5 liksom...

Visa signatur

Moderkort: Gigabyte X570 Aorus Master | CPU: AMD Ryzen R9 5900X | CPU-kylare: Noctua NH-D15 chromax.black | RAM: Corsair Vengeance LPX 64 GB (4x16) DDR4-3600 CL18 | GPU: Gigabyte RTX 4080 Eagle OC | SSD: 2 x Samsung 970 EVO Plus 1 TB NVMe + Kingston A400 480 GB + Samsung QVO860 1 TB | PSU: EVGA SuperNOVA G2 1000 W Gold | Chassi: Lian Li O11 Dynamic XL | Skärm: BenQ PD3200U @ 3840x2160 + ASUS ROG Strix XG32VQ @ 2560x1440 | Tangentbord: Corsair K68 RGB Cherry MX Red | Mus: Logitech MX Master 2S

Rapportera Redigera

Citera flera Citera (1)

2025-02-25 12:59

Medlem ★

Plats: plast
Registrerad: Sep 2011

●

Skrivet av AkUs:

Bara för något är från 80 talet måste det per definition inte vara dåligt…
Detta har bara med pengar att göra. Inget annat. Slippa tillhanda ha något som kostar mer pengar helt enkelt.

Gå till inlägget

Nja, har nog mer att göra med att SMS är väldigt osäkert
Kolla in Veritasiums video om hur osäkert SMS är där de tar över kontrollen av Linus (Tech Tips) SMS-kommunikation
https://www.youtube.com/watch?v=wVyu7NB7W6Y

Visa signatur

...

var fri

...

Rapportera Redigera

Citera flera Citera (1)

2025-02-25 13:03

Medlem ★

Registrerad: Feb 2006

●

Skrivet av Baxtex:

Lägg dom i lösenordshanteraren bara. Såklart en risk men går ju. Ett alternativ kan ju vara att ha två hanterare eller åtminstone återställningskoderna på en annan instans/konto.

Gå till inlägget

Fy fan jag vill inte ha nån jävla osäker lösenordshanterar se bara hur det gick med lastpass... fucking idioti att folk litar på företag.

Rapportera Redigera

Citera flera Citera (3)

2025-02-25 13:04

Medlem

Registrerad: Aug 2007

●

Skrivet av cyklonen:

Inga problem att använda hashningsalgoritmer som är starka nog att omöjliggöra effektiv lösenordsknäckning för lösenord av en rimlig längd. Vi snackar inte MD5 liksom...

Gå till inlägget

md5 är inte lämlig för att spara något "hemligt", det var aldrig tanken. Men det finns och används fortfarande lite här och var.

Visa signatur

Byt namn på Nvidia till NvidAI

Rapportera Redigera

Citera flera Citera

2025-02-25 13:06

Medlem ★

Plats: Stockholm
Registrerad: Jan 2011

●

Skrivet av Tralle:

Fy fan jag vill inte ha nån jävla osäker lösenordshanterar se bara hur det gick med lastpass... fucking idioti att folk litar på företag.

Gå till inlägget

Du kan använda lösenordshanterare och ha filen själv hos dig eller på din egna server om du t.ex. använder Bitwarden.

Visa signatur

Stationär PC: Chassi: Phanteks Enthoo EVOLV ATX MB: MSI B550 Gaming Plus CPU: AMD Ryzen 7 5700X Kylning: Noctua NH-U12S GPU: MSI GeForce GTX 1060 Gaming X 6 GB RAM: Corsair Vengeance LPX Black 32GB 3600MHz NVMe: 2st Kingston A2000 SSD: Intel 520 180GB och Intel 530 240GB HDD: WD Green 1TB, Toshiba 640GB samt fler HDD PSU: Corsair RM750X. Mobila enheter Mina Androidenheter och Dell Latitude 5400. Citera om du vill ha ett garanterat svar från mig

Rapportera Redigera

Citera flera Citera (4)