Sökte jobb på Elgiganten. Är mitt lösenord i fara?

Permalänk
Medlem

Sökte jobb på Elgiganten. Är mitt lösenord i fara?

Hej. Sökte jobb via elgigantens hemsida.
https://el-giganten.easycruit.com/

Svaret jag fick ser ut så här:

http://s8.postimg.org/tmqt1b8jo/l_sen.jpg

Där lösenordet står i klartext. Nu är min fråga hur elgigantens sekretess igentligen är och vilka som har tillgång till att se mitt lösenord. och bör jag byta på andra sidor? Tycker att med dagens system borde sånt vara krypterat. Det är inte så att det är ett genererat lösenord från dom som jag sen får byta utan det är ett "säkert" lösenord som är mitt jag fick skriva in då jag registrerade mig.

Permalänk
Medlem

Förmodligen är risken att ditt lösenord hamnar i orätta händer försvinnande liten men om du nojar är det ju bara att bita i sura äpplet, byta lösenord på andra sidor och i framtiden använda unika lösenord för olika sidor/tjänster.

Permalänk
Medlem

Med tanke på att du gick genom en https-sida så är nog ditt lösenord internt krypterat i deras system och att dom bara har bekräftat vad du skrev in. Hade blivit extra jobbigt annars om du skrivit in fel e-post men rätt lösenord så att säga.

Visa signatur

Server: Fractal design Define 7 XL | AMD Ryzen 7 5800X 8/16 | ASUS ROG CROSSHAIR VIII DARK HERO | 64GB Corsair @ 3000MHz | ASUS Radeon RX 460 2GB | Samsung 960 PRO 512 GB M.2 | 2x 2TB Samsung 850 PRO SSD | 6x Seagate Ironwolf Pro 10TB
WS: Phantex Entoo Elite | AMD Ryzen Threadripper 1950X 16/32 | ASUS Zenith extreme | 128GB G.Skill @ 2400MHz | ASUS Radeon HD7970 | 3x 2TB Samsung 960PRO M.2 | 6x Seagate Ironwolf Pro 10 TB
NEC PA301W 30" @ 2560x1600 | Linux Mint 21.1 Cinnamon

Permalänk
Medlem

Jag använder alltid olika lösenord beroende på vad jag ska göra, för jobbansökningar brukar jag köra ett enkelt standardlösenord som jag har på webbplatser där jag inte bryr mig särskilt mycket..

förövrigt är detta det första jobbet du sökt någonsin? brukar alltid få "inloggningsuppgifter" i klartext i e-mail efter jag sökt ett jobb

Visa signatur

R7 5800X3D / RX 6950 XT / 32GB Ram / 1TB SSD / X570 Bräda / 850w Nätagg.
32 Tums Skärm 1440p 144hz Curved VA panel.

Permalänk
Medlem

Starkt jobbat av Elgiganten, man sparar inte lösenordet i klartext... OAVSETT VAD!

Visa signatur

Intel i7 6700K @ 4,4 Ghz | MSI Z170 KRAIT GAMING 3X | be quiet! Dark Rock 4 | 16 GB Kingston HyperX Fury 2133 Mhz | Asus RTX 3060 OC | PNY XLR8 CS3030 500 GB | Samsung 860 QVO 1 TB

Permalänk
Medlem
Skrivet av PointMan:

Starkt jobbat av Elgiganten, man sparar inte lösenordet i klartext... OAVSETT VAD!

Ehm..vilket värld lever du i? Hur många system som helst som sparar lösennord i klartext. Dock kan ju sytemet i sin tur vara krypterat / ligga på krypterade diskar. Det behöver inte innebära en direkt säkerhetsrisk.

Visa signatur

|ASUS Z170-A||6700K@4.6Ghz||Corsair H50 Scythe GT 1450RPM PnP||16GB Crucial DDR4 2133Mhz@2800Mhz||Gigabyte GTX 970||850EVO 500GB||Corsair HX 1050W||Fractal Design - Define R2 Black Pearl|Citera för svar
Fotoblogg: PlanetStockholm

Permalänk
Medlem
Skrivet av PointMan:

Starkt jobbat av Elgiganten, man sparar inte lösenordet i klartext... OAVSETT VAD!

Är väl https://www.easycruit.com/ som gör felet?

Visa signatur

i9 11900k ||32GB 4000MHz CL15||ASUS ROG STRIX Z590-E||Noctua NH-D15s
Intel Arc a750 ||Samsung 980 pro|| EVGA Supernova G3 850W
Asus xonar essence STX|| Lian-Li O11 Dynamic XL
Asus VG27AQ 165Hz IPS, Sennheiser HD650, Logitech g502 Hero, fUnc f30r, Vortex TAB90M, Audio-Technicha ATR2500x-USB
Server: x10SL7-F, Xeon E3 1230v3, 32GB Samsung ECC ram, 6x3TB WD RED, FD Node 804.

Permalänk
Medlem
Skrivet av Da´Russian Stallion:

Ehm..vilket värld lever du i? Hur många system som helst som sparar lösennord i klartext. Dock kan ju sytemet i sin tur vara krypterat / ligga på krypterade diskar. Det behöver inte innebära en direkt säkerhetsrisk.

Lösenordet skall vara envägskrypterat (hashat). Alltså det går att kontrollera om du skrivit rätt lösenord. Men omöjligt att få tillbaka till klartext igen. Att inte göra så är en säkerhetsrisk.

Och vad har krypterade diskar med saken att göra? Hur ofta hör du att någon brutit sig in en datahall och sprungit iväg med hårddiskarna. 99.99999% av fallen är det någon som via nätverket kommit åt databaser etc där lösenorden lagras. Att hårdiskarna är krypterade kanske underlättar när man kastar en trasig hårddisk, om den kommer i orätta händer. Men oavsett så skall man hashat lösenorden från första början.

Visa signatur

[Asus P5B Dlx 430Mhz FSB] :: [Core 2 Duo E6400 2130@3440Mhz / Big Typhoon] :: [G-Skill PC6400 HZ DDR2 2GB 4-4-4-12] :: [X1900XT 680/800] :: 30" Dell 3007WFP

Permalänk
Medlem
Skrivet av Da´Russian Stallion:

Ehm..vilket värld lever du i? Hur många system som helst som sparar lösennord i klartext. Dock kan ju sytemet i sin tur vara krypterat / ligga på krypterade diskar. Det behöver inte innebära en direkt säkerhetsrisk.

Va?! Klart som fan det ska vara hashat minst en gång innan det sparas i en databas.
Jag lever i en värld där en hel hög med stora företag har fått be sina användare byta lösenord för att deras ultrasäkra databaser blivit hackade.

Skrivet av BergHa:

Japp, oavsett så borde Elgiganten kräva säkrare system.

Visa signatur

Intel i7 6700K @ 4,4 Ghz | MSI Z170 KRAIT GAMING 3X | be quiet! Dark Rock 4 | 16 GB Kingston HyperX Fury 2133 Mhz | Asus RTX 3060 OC | PNY XLR8 CS3030 500 GB | Samsung 860 QVO 1 TB

Permalänk
Medlem
Skrivet av PointMan:

Va?! Klart som fan det ska vara hashat minst en gång innan det sparas i en databas.
Jag lever i en värld där ett helt tjog med stora företag har fått be sina användare byta lösenord för att deras ultrasäkra databaser blivit hackade.

Japp, oavsett så borde Elgiganten kräva säkrare system.

Jag kanske var otydlig. Jag förstår såklart att det är säkrare att de inte står i klartext. Men tyvärr så är det jättemånga system som kör det i klartext, och det innebär oftast inga problem. När konton blir kapade så är det mycket oftare pga av att användaren inte haft ett bra lösenord snarare än att databasen har läckt ut.

Visa signatur

|ASUS Z170-A||6700K@4.6Ghz||Corsair H50 Scythe GT 1450RPM PnP||16GB Crucial DDR4 2133Mhz@2800Mhz||Gigabyte GTX 970||850EVO 500GB||Corsair HX 1050W||Fractal Design - Define R2 Black Pearl|Citera för svar
Fotoblogg: PlanetStockholm

Permalänk
Medlem

Hur vet ni att de sparar lösenordet i klartext i deras databas? Har ni någon källa på detta? De kan ju ha skickat lösenordet i klartext till den angivna e-postadressen, för att sedan ha krypterat eller hashat det i databasen.

Om du är så himla nojig och livrädd, Kyrostize, kontakta då deras support och fråga ut dem om detta! De vet mer om hur deras system och tjänster fungerar, än vad vi vanliga privatpersoner som förmodligen aldrig någonsin har arbetat på Elgigantens support. Skaffa även en lösenordshanterare som låter dig generera fram något starkt och slumpmässigt lösenord som inte ens du har någon koll på vad det är i framtiden. Klicka på lösenordshanterarens tillägg i webbläsaren, ange huvudlösenordet och vips - allt är ifyllt i textfälten för inloggningsformuläret.

Sluta noja och börja agera!

Visa signatur

Citera mig om du vill att jag ska hitta till ditt svar.
airikr.me /device:desktop

Permalänk
Medlem

Bara för att ditt lösenord står i klartext i mejlet så innebär det inte automatiskt att det även sparas i klartext.
Mejlet kan ju ha skickats direkt när du registrerade dig och då fanns det i klartext på servern innan de sparar det det krypterat/hashat.

Permalänk
Medlem

Så kan det helt klart vara. Kom att tänka på det efter mitt sista inlägg.

Visa signatur

Intel i7 6700K @ 4,4 Ghz | MSI Z170 KRAIT GAMING 3X | be quiet! Dark Rock 4 | 16 GB Kingston HyperX Fury 2133 Mhz | Asus RTX 3060 OC | PNY XLR8 CS3030 500 GB | Samsung 860 QVO 1 TB

Permalänk
Hedersmedlem

Är ditt lösenord skickat i klartext över mail så är det väl inte helt säkert längre. Epost är lika hemliga som vanliga vykort (alltså vem som helst på vägen kan läsa dem).
Men ett större säkerhetshål är väl att du överväger att byta lösenord på andra siter vilket jag tolkar som att du återanvänder lösenordet på många olika ställen. Om så är fallet så är det kanske dags att se över din lösenordshantering oavsett.

En lösenordshanterare som lastpass eller keepass kan vara din räddning kanske så kan du ha unika lösenord på alla siter utan att behöva komma ihåg dem.

Visa signatur

🎮 → Node 304 • Ryzen 5 2600 + Nh-D14 • Gainward RTX 2070 • 32GB DDR4 • MSI B450I Gaming Plus AC
🖥️ → Acer Nitro XV273K Pbmiipphzx • 🥽 → VR: Samsung HMD Odyssey+
🎧 → Steelseries arctic 7 2019
🖱️ → Logitech g603 | ⌨️ → Logitech MX Keys
💻 → Lenovo Yoga slim 7 pro 14" Oled

Permalänk
Medlem
Skrivet av Söderbäck:

En lösenordshanterare som lastpass eller keepass kan vara din räddning kanske så kan du ha unika lösenord på alla siter utan att behöva komma ihåg dem.

Litet sidospår kanske, men jag har alltid undrat: hur ska man kunna lita på lösenordhanterarna?
(vad garanterar att de inte har brister, dvs allt från slarv med lagringen av lösenord, hela vägen till att de skulle kunna skicka lösenordinfon vidare till okänd part)

Visa signatur

A modest man is usually admired, if people ever hear of him.

Permalänk
Medlem

Kan ju även vara så att mailet genereras innan ditt lösenord sedan krypteras och sparas ner. Men ingen garanti att de sköter det så.

Visa signatur

Gigabyte Aorus Master | 32gb DDR4 3466MHZ CL14 | Ryzen 3950X | 3080Ti
En lång rad Intel system som barnen fått som speldatorer, VR-dator, massa bärbara, servrar, RPi's och andra boxar :P

Permalänk
Hedersmedlem
Skrivet av Roger W:

Litet sidospår kanske, men jag har alltid undrat: hur ska man kunna lita på lösenordhanterarna?
(vad garanterar att de inte har brister, dvs allt från slarv med lagringen av lösenord, hela vägen till att de skulle kunna skicka lösenordinfon vidare till okänd part)

Öppen källkod i kee pass ;).
Det är ju ingen garanti såklart. Och din frågeställning är högst legitim.

För lastpass är det däremot blind tro som får ta en hela vägen, haha. Använder själv lastpass.

Visa signatur

🎮 → Node 304 • Ryzen 5 2600 + Nh-D14 • Gainward RTX 2070 • 32GB DDR4 • MSI B450I Gaming Plus AC
🖥️ → Acer Nitro XV273K Pbmiipphzx • 🥽 → VR: Samsung HMD Odyssey+
🎧 → Steelseries arctic 7 2019
🖱️ → Logitech g603 | ⌨️ → Logitech MX Keys
💻 → Lenovo Yoga slim 7 pro 14" Oled

Permalänk
Medlem

Börjar inte den här diskussionen bli lite löjlig, jag fick mitt lösenord hit bekräftat med e-post också. Varför har vi inte en diskussion om det också?

Vi skulle kunna ha lista med några tusen sajter till antar jag.

Visa signatur

Server: Fractal design Define 7 XL | AMD Ryzen 7 5800X 8/16 | ASUS ROG CROSSHAIR VIII DARK HERO | 64GB Corsair @ 3000MHz | ASUS Radeon RX 460 2GB | Samsung 960 PRO 512 GB M.2 | 2x 2TB Samsung 850 PRO SSD | 6x Seagate Ironwolf Pro 10TB
WS: Phantex Entoo Elite | AMD Ryzen Threadripper 1950X 16/32 | ASUS Zenith extreme | 128GB G.Skill @ 2400MHz | ASUS Radeon HD7970 | 3x 2TB Samsung 960PRO M.2 | 6x Seagate Ironwolf Pro 10 TB
NEC PA301W 30" @ 2560x1600 | Linux Mint 21.1 Cinnamon

Permalänk

Herregud, är ju lite skillnad på en inloggning till typ bank eller mer privata sidor än en jobbansökan. Vad finns det i jobbansökan som du inte vill att en ev hacker ska få tag i? Ditt CV? Det ligger ju i klartext på rekryterarens dator antagligen....

Kom tillbaka när det är bankens hemsida som är så här pass "oskyddad"

Visa signatur

PC: AMD FX-8320 @ 4.6GHz, Asus Sabertooth 990FX, 2x 8GB Corsair Dominator Platinum
Sapphire HD7970 Vapor-X GHz Edition, Samsung SSD 840 PROSeries 256GB, 5TB Storage
Ex-PC: AMD Phenom II X3 720 @ 2.8GHz, Gigabyte 790X, 2x 2GB Corsiar XMS2
Sapphire HD4870 512MB, OCZ Vertex 3 128GB, 320GB Storage
TV: LG 42", Raspberry Pi, Xbox360 Slim 250GB, Nintendo Wii /w softmod

Permalänk
Medlem
Skrivet av OldComputer:

Börjar inte den här diskussionen bli lite löjlig, jag fick mitt lösenord hit bekräftat med e-post också. Varför har vi inte en diskussion om det också?

Vi skulle kunna ha lista med några tusen sajter till antar jag.

För att det inte är säkert, det MINSTA man bör begära från någon som man litar sina uppgifter med är att i alla fall lösenorden är krypterade. Kan vi lista 1000 sidor så är det ju helt klart illa men det är ju bra att hänga ut företaget så någon förändring sker. Du kanske vill skriva ut ditt lösenord här i klartext?

Skrivet av PointMan:

Starkt jobbat av Elgiganten, man sparar inte lösenordet i klartext... OAVSETT VAD!

Exakt! Det första man bör lära sig med databaser.

Skrivet av OldComputer:

Med tanke på att du gick genom en https-sida så är nog ditt lösenord internt krypterat i deras system och att dom bara har bekräftat vad du skrev in. Hade blivit extra jobbigt annars om du skrivit in fel e-post men rätt lösenord så att säga.

Fast mailet har med 99% säkerhet inte varit krypterat som https sidan varit och då har ju https varit i onödan.

Skrivet av Christoffer1989:

Herregud, är ju lite skillnad på en inloggning till typ bank eller mer privata sidor än en jobbansökan. Vad finns det i jobbansökan som du inte vill att en ev hacker ska få tag i? Ditt CV? Det ligger ju i klartext på rekryterarens dator antagligen....

Kom tillbaka när det är bankens hemsida som är så här pass "oskyddad"

Fast hur många använder unika lösenord på alla sidor? 99% använder sitt lösenord på fler ställen och det är ytterligare en potentiell risk. Det är lösenordet vi diskuterar här, inte personuppgifter som ändå är publika online.

Jag tycker det är skrämmande att så många här inte bryr sig om säkerhet över huvud taget, hoppas ni använder en sida utan kryptering och blir 'hackade' på andra sidor så ni lär er en läxa.

Permalänk
Medlem
Skrivet av OldComputer:

Vi skulle kunna ha lista med några tusen sajter till antar jag.

http://plaintextoffenders.com/

Visa signatur

Desktop: AMD Ryzen 7 3700X / 48GB RAM / RX 6600 XT / 2TB SSD / Arch Linux
Server: Intel(R) i5-7400T / 32GB RAM / 21TB HDD / Proxmox

Permalänk
Medlem
Skrivet av OldComputer:

Börjar inte den här diskussionen bli lite löjlig, jag fick mitt lösenord hit bekräftat med e-post också. Varför har vi inte en diskussion om det också?

Testade just detta och lösenordet jag fick tillbaka var inte mitt gamla lösen vilket tyder på att sweclockers använder hashade lösenord.

Lösenordet man får skickas över okrypterat mail men eftersom sweclockers hemsida inte använder SSL så spelar det inte så stor roll. En attacker som kan övervaka anslutningen till sweclockers kan ändå se vilket lösen man sätter på hemsidan.

Permalänk
Skrivet av kobb3:

Fast hur många använder unika lösenord på alla sidor? 99% använder sitt lösenord på fler ställen och det är ytterligare en potentiell risk. Det är lösenordet vi diskuterar här, inte personuppgifter som ändå är publika online.

Jag tycker det är skrämmande att så många här inte bryr sig om säkerhet över huvud taget, hoppas ni använder en sida utan kryptering och blir 'hackade' på andra sidor så ni lär er en läxa.

Fast man kanske ska tänka till extra på det. Jag har 2-3 olika lösenord, ett som är "seriöst" och till mestadels sidor, sen har jag 1 till div söka jobb sidor då dom flesta lättare företagssidor är väldigt enkla sidor och då antagligen inte "bryr" sig om säkerheten som tydligen elgigantens sida
Om folk inte lärt sig att man inte ska ha 1 lösenord till exakt alla sidor än får man ju skylla sig själv, jag bryr mig inte jätte mycket därför jag har 2-3st, hade jag varit mer paranoid och/eller försiktig så hade jag ju lätt suttit på 10+ olika lösenord.

Skrivet av Emaku:

Testade just detta och lösenordet jag fick tillbaka var inte mitt gamla lösen vilket tyder på att sweclockers använder hashade lösenord.

Lösenordet man får skickas över okrypterat mail men eftersom sweclockers hemsida inte använder SSL så spelar det inte så stor roll. En attacker som kan övervaka anslutningen till sweclockers kan ändå se vilket lösen man sätter på hemsidan.

Antar att du testade att "återställa" lösenord? Detta är ju ett nytt slumpat lösenord för att inte någon ska kunna komma åt ditt vanliga lösen (om du nu använder ett lösen till alla sidor), tror inte det finns en ända sida som ger dig ditt vanliga lösen när du "återställer"
Däremot menar både TS o om sweclockers sida när man regristrerar sig

Visa signatur

PC: AMD FX-8320 @ 4.6GHz, Asus Sabertooth 990FX, 2x 8GB Corsair Dominator Platinum
Sapphire HD7970 Vapor-X GHz Edition, Samsung SSD 840 PROSeries 256GB, 5TB Storage
Ex-PC: AMD Phenom II X3 720 @ 2.8GHz, Gigabyte 790X, 2x 2GB Corsiar XMS2
Sapphire HD4870 512MB, OCZ Vertex 3 128GB, 320GB Storage
TV: LG 42", Raspberry Pi, Xbox360 Slim 250GB, Nintendo Wii /w softmod

Permalänk
Medlem

Skaffa lastpass, jag är registrerad på 117 olika hemsidor och jag har 117 unika lösenord. 20 tecken långt i snitt. Tvåstegsinloggningar på alla hemsidor där det är möjligt.

Lastpass teknik skyddar dig även mot keyloggers etc.

Permalänk
Medlem
Skrivet av Christoffer1989:

Fast man kanske ska tänka till extra på det. Jag har 2-3 olika lösenord, ett som är "seriöst" och till mestadels sidor, sen har jag 1 till div söka jobb sidor då dom flesta lättare företagssidor är väldigt enkla sidor och då antagligen inte "bryr" sig om säkerheten som tydligen elgigantens sida
Om folk inte lärt sig att man inte ska ha 1 lösenord till exakt alla sidor än får man ju skylla sig själv, jag bryr mig inte jätte mycket därför jag har 2-3st, hade jag varit mer paranoid och/eller försiktig så hade jag ju lätt suttit på 10+ olika lösenord.

Det har jag också men varför ska det vara en ursäkt för dåliga webbsidor/programmerare? Sedan är ju en stor del av befolkningen icke kunniga inom datorer och tänker inte på att ha olika lösenord eftersom man litar på företagen.

Permalänk
Medlem
Skrivet av Verminator:

Undrar hur säkra alla dessa olika program är?

Jag är lite smått skeptisk till att samla ihop alla lösenorden på en "nyckelring". Får någon tillgång till denna "nyckelring" så har denne tillgång till alla lösenorden.

En lapp här vid datorn känns för mig säkrare då man måste komma åt den fysiskt för att få tag på lösenorden. Dessutom behöver man inte ha en lapp där man skrivit ned lösenorden rakt upp och ned... utan den kan se ut som vanliga anteckningar.

Tvåstegsverifiering testade jag förresten att aktivera på mitt Google-konto... men dröjde inte länge innan jag avaktiverade det. Kunde inte logga in på flera enheter samtidigt utan att behöva verifiera kontot varenda gång. Det må vara säkert... men inte användbart.

Mitt huvudlösenord till lastpass är 30 tecken långt med slumpmässiga siffror, tecken och bokstäver. Ett lösenord som är i stort sett helt omöjligt att bruteforca. Ser ut ungefär såhär: My1cEQH@L6h#^5qrPdCibtiH9!LRvx
Även om någon mot förmodan skulle knäcka mitt lösenord så har jag en tvåstegsinloggning.

Snart har jag även skaffat en Yubikey.

https://helpdesk.lastpass.com/getting-started/introduction/wh...
https://www.youtube.com/watch?v=Wj5ApkD9nVo

Lastpass är väll cirka hundra gånger säkrare än ditt nuvarande säkerhetstänk.

Tvåstegsverifieringen använder du på fel sätt isåfall, i dagsläget är jag inloggad på min hemdator, mobilen och jobbdatorn utan att behöva verifiera varje gång jag använder enheten. Du måste sätta dina enheter som "trovärdiga". Medans nya enheter som försöker logga in kommer bli tvingade att ange tvåstegsverifieringen.

Detta har räddat mig vid två tillfällen. En gång var det någon i Thailand som försökte logga in på min gmail. Nu senast var bara för någon månad sedan när någon lagt till en "fejkad" enhet på mitt Google konto och försökte komma åt mina uppgifter därigenom, men även där satte tvåstegsverifieringen stopp.

Permalänk
Hedersmedlem
Skrivet av kobb3:

Det har jag också men varför ska det vara en ursäkt för dåliga webbsidor/programmerare? Sedan är ju en stor del av befolkningen icke kunniga inom datorer och tänker inte på att ha olika lösenord eftersom man litar på företagen.

Tror inte någon har påstått att det är en ursäkt för dålig säkerhet på hemsidor.
Men om man nu vet att säkerheten är undermålig på en del siter så är det väl lämpligt att försöka undvika onödiga risker.
Om jag nu vet att elektrikern kopplat min diskmaskin fel så att min diskbänk är strömförande så kommer jag inte fortsätta använda diskbänken som normalt även om det är elektrikerns fel.

Skrivet av Verminator:

Undrar hur säkra alla dessa olika program är?

Jag är lite smått skeptisk till att samla ihop alla lösenorden på en "nyckelring". Får någon tillgång till denna "nyckelring" så har denne tillgång till alla lösenorden.

En lapp här vid datorn känns för mig säkrare då man måste komma åt den fysiskt för att få tag på lösenorden. Dessutom behöver man inte ha en lapp där man skrivit ned lösenorden rakt upp och ned... utan den kan se ut som vanliga anteckningar.

Tvåstegsverifiering testade jag förresten att aktivera på mitt Google-konto... men dröjde inte länge innan jag avaktiverade det. Kunde inte logga in på flera enheter samtidigt utan att behöva verifiera kontot varenda gång. Det må vara säkert... men inte användbart.

Valid point med att man samlar in många känsliga data på en punkt. Det är ju egentligen lika dumt som en vanlig nyckelring för hus/bil/cykelnycklar :).

Ja en lapp hemma är inte så dumt faktiskt. Det är antagligen väldans ovanligt att inbrottstjuvar är ute efter inloggninsdata för användarkonton ;). Så hemlappen är nog rätt safe i guess.
Men det finns såklart nackdelar med lappen jämfört med de lösenordsnyckelringar som finns tillgängliga idag.
Dels så är åtkomligheten väldigt begränsad. Går bara att se när man är hemma. Och tar man med sig lappen i plånboken så blir det såklart inte så säkert längre. Och man får ingen hjälp med att hålla listan uppdaterad heller. Funkar säkert för en del ändå, men många sådana listor är säkerligen ganska utdaterade efter ett tag. Och så blir det såklart jobbigt att manuellt skriva av 20 tecken långa unika lösenord för varje site varje gång. lösenordsnyckelringen hjälper ju till att fylla i lösenordet vilket gör att man inte behöver begränsa komplexiteten på lösenordet.

Tvåstegsverifieringen för google har jag inte haft några problem med faktiskt. Använder detta på flera enheter utan att märka av de problemen du nämner.

Visa signatur

🎮 → Node 304 • Ryzen 5 2600 + Nh-D14 • Gainward RTX 2070 • 32GB DDR4 • MSI B450I Gaming Plus AC
🖥️ → Acer Nitro XV273K Pbmiipphzx • 🥽 → VR: Samsung HMD Odyssey+
🎧 → Steelseries arctic 7 2019
🖱️ → Logitech g603 | ⌨️ → Logitech MX Keys
💻 → Lenovo Yoga slim 7 pro 14" Oled

Permalänk
Medlem

Eh.. ohashade lösenord var ofräscht redan år 1985 så nu finns det inga som helst ursäkter för seriösa programmerare att hålla på med sånt.

Visa signatur

Det var enklare förr att skilja Asus moderkort åt:
Asus A7V -> Asus P5Q Pro -> Asus M4A88TD-V EVO/USB3

Permalänk
Medlem
Skrivet av stn1337:

Mitt huvudlösenord till lastpass är 30 tecken långt med slumpmässiga siffror, tecken och bokstäver. Ett lösenord som är i stort sett helt omöjligt att bruteforca. Ser ut ungefär såhär: My1cEQH@L6h#^5qrPdCibtiH9!LRvx
Även om någon mot förmodan skulle knäcka mitt lösenord så har jag en tvåstegsinloggning.

Snart har jag även skaffat en Yubikey.

https://helpdesk.lastpass.com/getting-started/introduction/wh...
https://www.youtube.com/watch?v=Wj5ApkD9nVo

Lastpass är väll cirka hundra gånger säkrare än ditt nuvarande säkerhetstänk.

Tvåstegsverifieringen använder du på fel sätt isåfall, i dagsläget är jag inloggad på min hemdator, mobilen och jobbdatorn utan att behöva verifiera varje gång jag använder enheten. Du måste sätta dina enheter som "trovärdiga". Medans nya enheter som försöker logga in kommer bli tvingade att ange tvåstegsverifieringen.

Detta har räddat mig vid två tillfällen. En gång var det någon i Thailand som försökte logga in på min gmail. Nu senast var bara för någon månad sedan när någon lagt till en "fejkad" enhet på mitt Google konto och försökte komma åt mina uppgifter därigenom, men även där satte tvåstegsverifieringen stopp.

Hur går det med alla lösenord om tex hårddisken kraschar? Förlorar man alla konton?

Permalänk
Medlem
Skrivet av Söderbäck:

men många sådana listor är säkerligen ganska utdaterade efter ett tag. Och så blir det såklart jobbigt att manuellt skriva av 20 tecken långa unika lösenord för varje site varje gång. lösenordsnyckelringen hjälper ju till att fylla i lösenordet vilket gör att man inte behöver begränsa komplexiteten på lösenordet.

Dessutom hjälper det mot keyloggers, vilket papperslappen är helt värdelös mot. Har du en keylogger på datorn och ingen tvåstegsinloggning så spelar det ingen roll om du har ett 100 tecken långt lösenord på papperslappen.