Säkerhetsexpert: "Att periodiskt byta lösenord är en säkerhetsrisk"

Permalänk
Melding Plague

Säkerhetsexpert: "Att periodiskt byta lösenord är en säkerhetsrisk"

Flera medier rapporterar nu om risken med att återanvända lösenord och rekommenderar att byta lösenord kontinuerligt, något som säkerhetsexperten Karl Emil Nikka ifrågasätter.

Läs hela artikeln här

Visa signatur

Observera att samma trivselregler gäller i kommentarstrådarna som i övriga forumet och att brott mot dessa kan leda till avstängning. Kontakta redaktionen om du vill uppmärksamma fel i artikeln eller framföra andra synpunkter.

Permalänk
Medlem

Finns mycket som tyder på detta stämmer, om man t.ex. blir tvingad att byta lösenord flera gånger om året så kommer man använda mindre och mindre säkra lösenord. Och det blir lätt då t.ex. "Sommar2018!"

Permalänk
Medlem
Skrivet av Nyhet:

Om vi tvingas byta dem hela tiden är risken att vi väljer svagare lösenord.

Om man nu tycker det är jobbigt att komma ihåg nya 'starka lösenord' varje gång man bytar dem kan man ju skaffa en Password Manager?
Själv bytar jag med jämna mellanrum.

Permalänk

Jag är gammal. Har en "drös" med lösenord, men bara ett som jag är riktigt rädd om och det är min e-mail.

Det har funkat hitils, tänk på det här, om man har en låst dörr så är det bättre att ha ett BRA lås än sju extra lås.
Varför? Jo, en vecka senare är det tändstickor i alla lås utom ETT. Folk är bekväma, glöm aldrig det......

Permalänk
Inaktiv

Default i Windows är är väl att man måste byta lösenord senast var 42 dag och man får ej använda samma lösenord som man använde de senaste 24 gångerna. Man får ej byta lösenord mer än 1 gång samma dag, vilket många annars skulle kunna använda för att få lösenordshistoriken att räknas upp.
Plus att många slår på att man måste ha stora och små bokstäver samt siffror:
https://social.technet.microsoft.com/wiki/contents/articles/2...

Och jag har längre funderat på om detta blir säkrare?n Jag slår av denna dritt på de flesta servrar jag använder och sköter det manuellt. Jag tror mer på tvåfaktorsautentisering: https://www.sentor.se/kunskapsbank-it-sakerhet/losenord/tvafa...

Skrivet av Fatmajk:

Om man nu tycker det är jobbigt att komma ihåg nya 'starka lösenord' varje gång man bytar dem kan man ju skaffa en Password Manager?
Själv bytar jag med jämna mellanrum.

Och sedan blir Password Managern hackad... Nå för den som har tid så borde en guide för oss dummare personer skapas.

Jag själv kör såklart med lokala Password Manager för det viktiga, men för det mesta så är det mitt minne.

Skrivet av gonace:

Finns mycket som tyder på detta stämmer, om man t.ex. blir tvingad att byta lösenord flera gånger om året så kommer man använda mindre och mindre säkra lösenord. Och det blir lätt då t.ex. "Sommar2018!"

Hyss, hyss. Du har nyss givit lösenordet till en stor del av sveriges datorer inom vissa brancher.

Permalänk
Medlem
Skrivet av Nyhet:

Slå på tvåfaktorsautentisering till din e-post och lösenordshanterare.

Betyder inte detta att man måste ha lösenordshanteraren i molnet?

Är det inte säkrare med lokal fil, och alternativt en nyckel sparat på separat lagringsmedium?

Permalänk
Medlem
Skrivet av Fatmajk:

Om man nu tycker det är jobbigt att komma ihåg nya 'starka lösenord' varje gång man bytar dem kan man ju skaffa en Password Manager?
Själv bytar jag med jämna mellanrum.

Vilka är bra och pålitliga?

Hur fungerar de när man ska logga in på PC, mobil och surfplatta? Stödjer de tvåfaktorsautentisering?

Permalänk
Medlem

Vi kör med samma policy på jobbet.

Ett svårknäckt lösenord är bättre än att byta mellan olika lätta lösenord var 3:e månad eller så.

Visa signatur

R5 3600 | 5700 xt | XPG SPECTRIX 3200MHz 16GB | B450i Aorus Pro WIFI | Corsair SF750v2 | Evolv Shift Air |
Galleri: Aether | Chandra

-=CITERA FÖR SVAR=-

Permalänk
Medlem

Jag kör en postit-lapp på skärmen med lösenordet. Räcker att en keylogger hamnar på datorn så är det kört, oavsett hur starkt lösenordet är.

Visa signatur

I like my women how i like my coffee... In a plastic cup.

Permalänk
Medlem
Permalänk
Hedersmedlem
Skrivet av Eson:

Jag kör en postit-lapp på skärmen med lösenordet. Räcker att en keylogger hamnar på datorn så är det kört, oavsett hur starkt lösenordet är.

Hmm. Hur skriver du då in lösenorden från postITlappen utan att en eventuell keylogger kan få möjlighet att snappa upp din input då?

Nä jag tror jag förstår vad du menar ;). Det är större risk att någon (bot/virus/person på distans) tar sig in i ens dator i jakt på lösenord än att någon kommer in i ens hus och letar efter inloggningar.

Visa signatur

🎮 → Node 304 • Ryzen 7 5700X3D • Nh-D14 • Gainward RTX 2070 • 32GB DDR4 • MSI B450I Gaming Plus AC
🖥️ → Acer Nitro XV273K Pbmiipphzx
💻 → Lenovo Yoga slim 7 pro 14" Oled

Permalänk

Implementera bankid på alla siter så man slipper alla lösenord.

Skickades från m.sweclockers.com

Permalänk
Sötast
Skrivet av anon159643:

Hyss, hyss. Du har nyss givit lösenordet till en stor del av sveriges datorer inom vissa brancher.

Om vi ska vara realistiska så har nog de flesta inte hunnit gå över ifrån Sommar2017 än!!
Men haha ja, jag hickade till när jag läste "Sommar2018" dagens garv, undrar på hur många ställen detta finns.

Permalänk
Hedersmedlem
Skrivet av Saftsvalle:

Implementera bankid på alla siter så man slipper alla lösenord.

Skickades från m.sweclockers.com

Hmm. BankID är bankernas påhitt. Det i sig gör ju inget, men nu råkar det vara svenska banker som gjort BankID. Frågan är väl om de stora aktörerna där ute i världen bryr sig så mycket om en svensk inloggningsfunktion som några svenska banker fått ihop.
Idén är fin, men det här lär inte hända.
Det är kanske större chans och möjlighet i så fall att kolla på en av de stora aktörernas verifieringsmodeller. Med sitt googlekonto kan man ju verifiera sig på andra ställen istället för att skapa ännu en avändarprofil. Facebook har samma funktion. Styrkan här ligger i att aktören är så stor och välkänd att det här kan fungera globalt
However, dessa tjänster är såklart hårt bundna till respektive gigantbolag. MAn lär inte kunna logga in på facebook med googleID och vise versa. Sen är idén om att låta ett enskilt partiskt företag sköta all världens inloggningar inte heller helt optimalt... Bannad från facebook, ja då är man körd online.

Den här nöten är lite svårknäckt alltså. Kanske om man sätter upp något som liknar bankID men på global nivå. Fast ja, då ska man samla all världens banker till förhandlingsbordet också. Lättare sagt än gjort tror jag...

Visa signatur

🎮 → Node 304 • Ryzen 7 5700X3D • Nh-D14 • Gainward RTX 2070 • 32GB DDR4 • MSI B450I Gaming Plus AC
🖥️ → Acer Nitro XV273K Pbmiipphzx
💻 → Lenovo Yoga slim 7 pro 14" Oled

Permalänk
Medlem
Skrivet av Saftsvalle:

Implementera bankid på alla siter så man slipper alla lösenord.

Skickades från m.sweclockers.com

Fast nu fungerar ju BankID bara i Windows och MacOS. Det finns en hemsk telefonversion också men ingen med lite kunskaper om säkerhet skulle lita på den.

BankID är i grunden en bra idé där säkerheten baseras på ett asymmetriskt krypto och challenge-response, men jag tänker inte köra ett proprietärt amerikanskt OS bara för att använda BankID. Oavsett hur teoretiskt säkert det är.

Visa signatur

Mjölnir: Ryzen 9 3900X | X570-I | Ballistix Sport 32GB | Powercolor RX 5500XT 4GB ITX | Kolink Sattelite
Server: Ryzen 5 1400 | X470-F | Ballistix Sport 24GB | ASUS HD 7790 2GB | Sapphire RX 470 8GB ME | NZXT Switch 810

Permalänk
Medlem
Skrivet av gonace:

Finns mycket som tyder på detta stämmer, om man t.ex. blir tvingad att byta lösenord flera gånger om året så kommer man använda mindre och mindre säkra lösenord. Och det blir lätt då t.ex. "Sommar2018!"

Skrivet av anon159643:

Hyss, hyss. Du har nyss givit lösenordet till en stor del av sveriges datorer inom vissa brancher.

Skrivet av Allexz:

Om vi ska vara realistiska så har nog de flesta inte hunnit gå över ifrån Sommar2017 än!!
Men haha ja, jag hickade till när jag läste "Sommar2018" dagens garv, undrar på hur många ställen detta finns.

Ja, alltså... bokstavligen exakt detta lösenord har jag stött på hos flera av våra kunder. Ibland tjongar de till med något exotiskt som "Vinter" också.

Visa signatur

5950X, 3090

Permalänk
Medlem

Jag använder lastpass och ett starkt lösenord till lastpass. Rekommenderas varmt.
Det roliga är att jag skickade nists rekommendation om just detta för en dryg månad sedan till IT-ansvarige på mitt företag. (Jobbar på ett visst svensk väldigt stort byggföretag)

Visa signatur

Do good. Be good. Repeat.

Permalänk
Medlem

Inledningsvis så vill jag först påpeka att jag har otroligt svårt för att se det här som något annat än en sponsrad post för företaget Nikka Systems som uppriktigt talat ser mer ut som en blogg än som ett seriöst IT-säkerthetsföretag.

Vad det beträffar argumentet att det skulle utgöra en säkerhetsrisk att byta lösenord periodiskt så är det ett rätt ihåligt argument; dels för antalet människor som inser vikten av starka lösenord blir bara fler men även för att användandet av lösenordshanterare bara ökar bland användare. Herr Nikka hade haft ett klart bättre argument om han hade talat om vikten av BankID, 2FA eller vad det nu kan vara då det är inte många webbplatser i Sverige som kräver det (se bara e-handeln såsom Inet, Webhallen, m.fl).

Visa signatur

Science flies you to the moon. Religion flies you into buildings.

Permalänk
Musikälskare
Skrivet av Solaris:

Inledningsvis så vill jag först påpeka att jag har otroligt svårt för att se det här som något annat än en sponsrad post för företaget Nikka Systems som uppriktigt talat ser mer ut som en blogg än som ett seriöst IT-säkerthetsföretag.

Håller med, riktigt skamligt faktiskt, förtroendet blir lidande i dessa sammanhang.

Ni kan bättre SweC.

Visa signatur

❀ Monitor: ASUS Swift 27" @ 1440p/165Hz ❀ CPU: Ryzen 7700X ❀ Cooling: Corsair H170i ELITE 420mm ❀ GPU: MSI 3080 Ti SUPRIM X ❀ Memory: Corsair 32GB 6000Mhz DDR5 Dominator ❀ Motherboard: ASUS Crosshair X670E Hero ❀ M.2: Samsung 980 Pro ❀ PSU: Corsair HX1200 ❀ Chassi: Corsair 7000X ❀ Time Spy: 19 340

📷 Mina fotografier
🎧 Vad lyssnar du på just nu?

Permalänk
Hedersmedlem
Skrivet av Djhg2000:

Fast nu fungerar ju BankID bara i Windows och MacOS. Det finns en hemsk telefonversion också men ingen med lite kunskaper om säkerhet skulle lita på den.

BankID är i grunden en bra idé där säkerheten baseras på ett asymmetriskt krypto och challenge-response, men jag tänker inte köra ett proprietärt amerikanskt OS bara för att använda BankID. Oavsett hur teoretiskt säkert det är.

Utveckla gärna det där med att mobilt bankID skulle vara så illa. Jag tror inte det är någon allmänkunskap direkt...
Själv ser jag inte det hemska i det här alls men är det nu så illa som du säger så får du gladeligen dela med dig av informationen.

Visa signatur

🎮 → Node 304 • Ryzen 7 5700X3D • Nh-D14 • Gainward RTX 2070 • 32GB DDR4 • MSI B450I Gaming Plus AC
🖥️ → Acer Nitro XV273K Pbmiipphzx
💻 → Lenovo Yoga slim 7 pro 14" Oled

Permalänk

Jag kör alltid struntlösenord, typ 3Luckapajaspopp#
Man skriver det en gång sedan sitter det i bakhuvudet.
Detta funkat väldigt bra för mig, då jag kan tycka att vissa lösenord blir väldigt komiska och därför sätter de sig.

På vissa sidor som jag anser som struntsidor brukar jag dock köra en gammal klassiker jag hade på gymnasiet. Bryter sig någon sig in där gör det inget.

Skickades från m.sweclockers.com

Permalänk
Skrivet av gonace:

Finns mycket som tyder på detta stämmer, om man t.ex. blir tvingad att byta lösenord flera gånger om året så kommer man använda mindre och mindre säkra lösenord. Och det blir lätt då t.ex. "Sommar2018!"

Och vad är det för fel på "Sommar2018!" nu då? Det väljer jag alltid när jag sätter lösenord åt användare och då blir dom jätteglada och säger "Åh vilket härligt lösenord"...

Permalänk
Medlem

Alltid trevligt att få medhåll från flera men har hävdat detta länge, ha säkert och svårt på huvudmejlen och "viktiga" sidor och helst 2FA, resten kan få "skräplösen" men kan även få 2FA om de har stöd och man orkar... Och byt inte om nu inte sidan blivit komprometterad eller man glömt... Sen för glömska är lösenordshanterare bra att ha och kör man svårt lösen och någon app man litar på med 2FA (gärna typ Yubikey) så är man jäkligt säker och väldigt bekvämt uppsatt... (sen kan man ju vara paranoid och köra endast lokal fil för lösenordshanteraren)

Permalänk
Medlem
Skrivet av Djhg2000:

Fast nu fungerar ju BankID bara i Windows och MacOS. Det finns en hemsk telefonversion också men ingen med lite kunskaper om säkerhet skulle lita på den.

Med tanke på att appar normalt körs isolerade från varandra så vet jag inte varför mobilt bank-id skulle vara mindre säkert? Du får gärna gå in på detalj.

Visa signatur

5950X, 3090

Permalänk
Skrivet av backfeed:

Ja, alltså... bokstavligen exakt detta lösenord har jag stött på hos flera av våra kunder. Ibland tjongar de till med något exotiskt som "Vinter" också.

Inte bara kunder. Vet många it företag som sätter det som standard på vissa grejer. Sedan blir de förvånade när man berättar att alla andra gör samma sak.

Skulle nog endast sätta sommar2018 som första lösenord de får byta ut när de loggar in.

Skickades från m.sweclockers.com

Permalänk
Medlem
Skrivet av Eson:

Jag kör en postit-lapp på skärmen med lösenordet. Räcker att en keylogger hamnar på datorn så är det kört, oavsett hur starkt lösenordet är.

Hvordan hjelper en post-it notis mot en keylogger? Du må jo taste inn passord via tastatur uansett, så en keylogger ville jo kunne fange opp ditt bruker ID og passord uansett eller det noe jeg missforstår med ditt forslag?

Permalänk
Medlem
Skrivet av Söderbäck:

Utveckla gärna det där med att mobilt bankID skulle vara så illa. Jag tror inte det är någon allmänkunskap direkt...
Själv ser jag inte det hemska i det här alls men är det nu så illa som du säger så får du gladeligen dela med dig av informationen.

Jag vet inte om det är så illa, men jag tycker det är en rätt bra indikation på att det inte är så särdeles bra när vissa banker själva tar till de gamla hederliga (och rätt osäkra) "skraplotterna" för att dom inte vill tillåta att lägga upp nya betalningsmottagare mha BankID.

Visa signatur

"I have a hammer! I can put things together! I can knock things apart! I can alter my environment at will and make an incredible din all the while! Ah, it’s great to be male!"

Permalänk
Säkerhetsutbildare
Skrivet av Fatmajk:

Om man nu tycker det är jobbigt att komma ihåg nya 'starka lösenord' varje gång man bytar dem kan man ju skaffa en Password Manager?
Själv bytar jag med jämna mellanrum.

Jepp. Jag rekommenderar alla att använda en lösenordshanterare (oavsett hur de ser på periodiska lösenordsbyten). Det är med i slutet av artikeln.

Permalänk
Säkerhetsutbildare
Skrivet av Jaco8:

Betyder inte detta att man måste ha lösenordshanteraren i molnet?

Är det inte säkrare med lokal fil, och alternativt en nyckel sparat på separat lagringsmedium?

Som så ofta måste vi gå en balansgång mellan säkerhet och användarvänlighet när det kommer till hanteringen av lösenordshanterarens krypterade lösenordsarkiv. Om vi gör användning av lösenordshanterare för omständligt kommer färre att använda sådana. Vad som passar bäst (molnlagring, egen synkronisering eller helt lokal lagring) beror på användaren och känsligheten på arkivet.

Permalänk
Medlem

@Hurtigbullen:

BankID har en teknisk bra säkerhet, men pga id-stöld via tex "facebook-fraud", så lämnar kunder ut sina lösenord.