Sårbarhet i flera populära lösenordshanterare

Jag kör fortfarande papper och penna, svårslaget och de måste komma till mig fysiskt och leta efter just det. Bryter någon sig in hos mig är det nog andra saker de letar efter.
Funderat på en lösenordshanterare men alla verkar bli hackade stup i kvarten så det får vänta.

Ellerhur, samma här. En liten svart bok. Kommer aldrig fatta hur man kan vara så naiv att tro att någonting är 100% säkert online och speciellt med någonting så känsligt som lösenord.

Är ju därför man har 2FA på allt man tycker är viktigt.

Inget är 100% säkert, men att alla säkerhetsexperter rekommenderar lösenordshanterare tycker jag ändå säger en del.
Bor man ensam och aldrig har människor på besök är det potentiellt säkert att använda papper, men det är ändå sårbart mot ett fåtal attacker som lösenordshanterare inte är, som keyloggers.
Men jag tänker mig att den största anledningen att rekommendera lösenordshanterare är att de är så enkla att använda, och ändå säkra nog för i princip alla, speciellt med 2FA på inloggningen.

Jag har för övrigt 318 saker i lösenordshanteraren, plus krypterade anteckningar för serienycklar och annat. Alla lösenord 24+ tecker slumpade och förstås unika. Vore inte kul att ha det på papper!

Sen så är en attack som verkar bli vanligare session hijacking. Där hjälper varken lösenordshanterare eller att skriva på papper, och inte heller 2FA.

Ja, och helst då inte ha de sparade i samma tjänst som lösenorden.

Hur genererar du starka lösenord? Tärningar?

Jag har nog missat något här? Vad jag kan läsa mig till så har inte t.ex Bitwarden fixat felet som det står i denna artikel.
Jag har inte läst hela hans blogg men den 19 augusti ser det inte ut som allt är fixat?

https://marektoth.com/blog/dom-based-extension-clickjacking/#...

Man är ju rätt säker om man har favoriter/bokmärken till de riktiga sidorna och alltid går den vägen.
Funderar på att gå över till KeepassXC och sedan strunta i bitwarden och extension i webbläsaren.

Att skriva ned sitt/sina master-lösenfras är helt hål i huvudet.

Fördelen med lösenordshanterare är att jag kan ha OLIKA lösenord på alla sidor som jag använder. Master-frasen som jag använder för att nå lösenordshanteraren finns inte nedskriven någonstans. Glömmer jag den så får det väl vara så.

Lösenfras för återställningsmöjligheter som mail är inte heller nedskriven, det vore dumt om någon kom åt min möjlighet att återställa lösenord.

Om någon får tag i ett enstaka lösenord för någon site så påverkar det inget annat för mig.

De enda som blivit hackade på något sätt som ens kan liknas vid ”stup i kvarten” är LastPass, och de har påtagligt visat sig ha dåligt omdöme.

I övrigt verkar säkerheten vara rätt god hos de flesta, men naturligtvis - vilket också framgår i artikeln - hamnar alla lösningar någonstans på en skala mellan smidighet och användarvänlighet. Kör du en bra lösenordshanterare men väljer bort automatiskt ifyllande av webbformulär är du skyddad mot även denna attack.

Jag tror inte någon tror att saker är 100% säkra, men för den absoluta majoriteten människor är en lösenordshanterare bättre än vad de annars hade gjort. Har du en egen, bättre metod, eller om din hotbild är värre än för de flesta, för all del, använd säkrare sätt. Men återigen: för de flesta är lösenordshanterare, eller ännu bättre: passkeys, definitivt att föredra.

(En äldre släkting envisas också med att ha sina lösenord nerskrivna på fysiskt papper. Han har dock en kombination av dyslexi och oförmåga att lära sig att lösenord är skiftlägeskänsliga, samt att mellanslag också är tecken, så det är lika roligt varje gång, att hjälpa honom med något via hans dator…)

Tänker ut något bra ord och blandar stora och småbokstäver och börjar och avslutar med olika special tecken, man behöver inte krångla till det.
Kan man inte generera starka lösenord på egen hand har man nog mer allvarliga problem i sitt liv kan jag tänka mig.

Hur gör ni i fallet där man är på resande fot? Bär ni med er denna ovärderliga svarta bok då? Vad händer om ni blir av med den, tappar den eller den blir stulen?

Har ni x antal kopior av boken på olika platser för att skydda mot t.ex brand? Hur håller ni flera kopior uppdaterade med nya eller ändrade lösenord?

Problemet är väl inte att generera bra lösenord själv, utan att komma ihåg flera hundra unika lösenord.

Flera hundra? Jag kanske använder max 5-10 st? Jag kanske är en lättvikts användare?

Det i sig är ju en säkerhetsrisk, som jag lärt mig.
Att vara autoinloggad, dvs.

"The vulnerabilities affected not only Chromium-based browsers but also extensions for other browsers. Due to the wider adoption of Chromium-based browsers, I demonstrated all the videos using them."

Håller inte med, människor är svindåliga på randomness. Om man frågar folk om ett slumpmässigt tal mellan 1-10 så kommer de flesta säga 4 eller 7.