Helgsnack: Hur håller du dina användarkonton säkra?

Har använt lösenordshanterare sedan 2011 eller så, spenderade en kväll med att byta lösenord på alla ställen jag kunde komma på då. Började med KeePass men på den tiden så var inte stödet för andra plattformar än Windows speciellt bra så jag köpte 1Password nån gång 2015. Det har blivit mycket bättre idag vad jag förstått.

Framtiden med passkeys verkar lovande, väntar bara på att jobbet ska aktivera det på alla olika microsoft365-instanser som jag måste logga in på ibland.

Gör inget direkt överdrivet, men kanske mer än svensson.

• Använder flera mejladresser beroende på vad som ämnas att registrera sig på.

• 2-step-authentication (2FA) där det är möjligt.

• Unika lösenord för varje hemsida eller tjänst.

• Delar inte mina konton med andra användare.

• VPN används ofta, primärt vid trådlös anslutning (Wifi/4G/5G).

• Blockerare för Cookies och diverse annat.

• Surfar/loggar inte in på hemsidor som verkar skumma eller annars saknar kryptering

Olika hantering av konton på olika ställen. Alla konton är viktiga, vissa konton är dock mindre viktiga än andra. Ta det anonyma kontot som man måste skapa hos en välkänd tillverkare endast för att ladda hem ett dokument, det enda man uppger för dem är en Ip-adress plus ett fungerade mailkonto. Jag väljer såklart ett svårt lösenord ändå, men det är inte precis jag nyttjar deras 3 faktor auktoriseringtjänst för detta konto.. 3 faktor auktorisering kan vara RSA dosa/mobil App, + telefonsamtal med personer som kopplar släpper in en och sedan vanligt lösenord.

Ett stort problem med detta telefonsamtal är att den en gång i tiden ansågs mycket säker, nu med Ai, så kan de göra en Ai med ens viss persons röst som pratar med personen och få tillgång till det ena och andra utan att på något sätt kunna uppge något lösenord eller annat. Speciellt om telefonnumret som visas på mobilen ser ut att vara den riktiga personens.

Så folk får tänka om.

Ja "social-engineering" är ett intressant ämne för datasäkerhet. Ring nån och verka säker nog på din sak bara så kan de kanske de gå med på att släppa in en.

Jag använder lösenord som är slumpade från en teckenuppsättning som innehåller stora och små bokstäver, siffror och en del specialtecken, oftast 20-30 tecken långa. Ett lösenord per konto/tjänst, så ingen återanvändning. Jag använder också flera olika mejladresser för att regga mig, så för konton i tematiskt närliggande ämnesområden har jag inte samma mejladress. Enstaka ställen har krav på lösenordets utformning som gör att jag får skapa ett mer begränsat lösenord, men jag försöker alltid "maxa".

Lösenorden är uppskrivna lokalt, men jag har automatisk inloggning på allt som går, så det är oerhört sällan jag behöver skriva in ett lösenord efter första inloggningen.

Jag hade missat att byta lösenord på mitt tidigare Instagram-konto, och hade där ett mycket enkelt och gammalt lösenord (som jag dessutom använde på de flesta ställen). Dumt, för uppenbarligen var det nån som lyckades hacka det, och helt plötsligt var kontot avstängt utan förklaring. Ett konto jag bara använt för att se bilder som föräldrar, syskon och nära vänner lägger upp, och där jag själv bara hade lagt upp en handfull bilder på typ löv, rimfrost och nån enstaka bild på mitt ansikte. Helt oskyldigt konto alltså, så ingen anledning för det att bli avstängt pga nåt jag gjort.

Tvåfaktorsautentisering med mobil avskyr jag, och jag väljer bort att använda tjänster som kräver det i möjligaste mån. För banktjänster och liknande är det bank-id, och det är förstås ok när det gäller såna saker.

Jag håller mina användarkonton säkra genom att inte prata öppet om hur jag håller dem säkra!

Säkerhetspraxis för alla när någon ringer och utger sig för att vara det spoofade numret i samband med att kräva något är att lägga på direkt och ringa det spoofade numret för då ringer du rätt nummer och kan bekräfta det hela.

Mvh,
WKL.

Många tjänster/sidor är ju sådana där du själv kan lägga upp/in något, men som du också bara kan titta på utan att aktivt bidra. Att det ska krävas konton till det mesta och ibland även 3:e-parts tjänster är knappast positivt för upplevelsen. I många av fallen fyller kontona ingen funktion för användaren och borde vara valfria.

Man bör inte ha samma lösenord till flera och definitivt inte samma till t ex mailen du använder som till något där mailen används för inloggning el är registrerad.
2FA är väl lite säkrare, men det gör också att om du av någon orsak skulle förlora tillgången till enheten som används så är du sen kanske helt utelåst.
Det får ju inte vara för säkert, så att du själv riskerar att inte alls komma in om någon del fallerar. Du kan inte med säkerhet räkna med att din mobil/dator el säkerhetsnyckel alltid kommer att fungera el vara tillgänglig, kan inte lägga alla äggen i en korg. Lösenordshanterare använder jag inte alls, av samma orsak och för att de i sig kan vara svagheten.

Har mestadels en del olika mönster för lösenord, så att jag i stort sett kan ha samma lösenord men ändå unika. Dvs även om något lösenord skulle komma ut så är det bara för just det kontot och inget annat.
Dessutom flera olika mailadresser så att inte ens det går att koppla mellan olika.
Krävs fysisk/lokal tillgång så blir ju det också en del av säkerheten, så något som behöver skrivas ofta och endast lokalt behöver inte ha riktigt samma nivå som till sådant som går att komma åt via nätet.
Beror också lite på vad det är för konto, är det något som bara skapats för att det är krav på det så kanske lösenordet också är av enklare el mer likartat slag.

Hade någon gång lösenord som jag själv inte ens visste exakt vilka tecken det var, utan bara var de fanns på tangentbordet och om man behövde hålla inne shift el altgr.

Funderat på att någon gång göra en rejäl översyn över alla konton jag har och byta lösenord samt identifiera ev fall där jag har samma lösenord för flera. Hur många konton jag har och var jag har dem tar nog lite tid att komma på el lista ut, har så pass många och då har jag inte ens konto alls på flera av de vanligaste tjänsterna (Fb, Ig, X, Yt m fl).

Jag har nog också ovanligt bra minne för t ex lösenord och liknande.
Gjorde någon gång ett enkelt test med 32 tecken slumpgenererat inkl specialtecken, efter att ha tittat på det några gånger och även skrivit det några gånger så satt det. Det är ju förstås opraktiskt långt att behöva skriva in så. Lite svårare är när man även behöver försöka komma ihåg andras lösenord också, för t ex närstående.

På externa tjänster går det oftast att begära lösenordsåterställning vid behov, är värre på mer lokala saker.

Sen finns det ju folk, såväl här på forumet som på andra håll, som är paranoida och tror att just de som individer är så pass viktiga mål att just de måste gå extremt långt för att försöka skydda varje enskilt konto de har.
De flesta tjänster har enormt många användare, varför är just du målet och vad har ev angripare att vinna på att rikta in sig på just dig?
En rimlig nivå av säkerhetstänkande gör att du bör klara dig bättre än de flesta andra. Om någon extremt resursstark organisation/individ verkligen skulle rikta in sig specifikt på dig är det långt ifrån säkert att du klarar dig ändå och verkligen har tänkt på allt.

Bitwarden med slumpade lösen på allt som verkligen används. 2FA på huvudmailkontot som är akilleshälen nummer ett. Annars undviker jag 2FA så länge det inte känns ordentligt motiverat.

Har aktiverat tvåfaktorsautentisering på de konton som är viktigast. Annars kör jag med olika lösenord till olika konton. Använder ingen lösenordshanterare utan försöker komma ihåg själv alla lösenord. Enklare med en lösenordshanterare såklart men såna kan ju också hackas (var väl inte så länge sen lastpass hackades som jag minns)

Har 2 stegs överallt där det går och är viktigt, tex mail, sociala konton osv.
Olika lösen överallt, men sen hur jag har koll.... Det känns dumt att dela med sig av på ett forum

Bitwarden, komplexa, långa lösenord och Yubikey.
1 nyckel på mig hela tiden sen en backup inlåst i valvet.

Ta och släng upp en egen Bitwarden server hemma?
Går att komma åt i offline mode, men du kan inte göra ändringar eller lägga till lösenord.

Bitwarden eller KeePass rekommenderas varmt. Har själv använt de i många år.

Lösenordshanterare med slumpade lösenord. Passkeys där möjligt. MFA där möjligt.

Många här i tråden som nämner Bitwarden. Kanske kollar upp det nåt sen

Jag brukar köra mina lösenord mot en sida som kollar ifall lösenorden kommit på rymmen. Samtidigt kollar sidan om mina mailadresser finns i register över hackade konton. (<= riktigt korkat)

Det finns ju skumma sidor som ovanstående alltså, så man bör hålla koll på vad man gör.

Jag gör väl som alla andra här, lösenordsapp och 2FA; mina "säkraste" lösenord till mobil och mail ligger dock inte i lösenordshanteraren, de ligger i huvudet samt nedskrivet på papperslapp ifall jag blir förvirrad (och då inte hela lösenorden)

@Tozs:
Det är faktiskt en ganska kass idé. Metoden du använder för att säkra ska kunna vara helt öppen och granskas av andra för att fastställa att den faktiskt är säker

Annars kan det finnas otaliga problem, sidokanaler och rena brister som inte upptäcks

Det du förespråkar här kan översättas till ’security by obscurity’ alltså att säkerheten ligger i metoden och hur konstigt du gjort något eget

Det är mycket bättre att använda färdiga bra metoder

Om det är korkat eller inte beror på metoden sidan använder. Haveibeenpwned, exempelvis, låter dig skicka in de första fem tecknen i SHA-1 eller NTLM-hashen av ditt lösenord, och svarar sedan med alla kända lösenord som börjar med den hashen. Det är ett rätt säkert sätt att lösa problemställningen på och som inte kräver att tjänsten känner till hela lösenordet eller ens vilka faktiska tecken som ingår i ditt lösenord.
(https://haveibeenpwned.com/API/v3#SearchingPwnedPasswordsByRa...)

Edit, om du inte vet hur hashning fungerar.
Här drar jag ut hashen för två lösenord som är snarlika så när som på en bokstav. Som du ser av det tredje exemplet är längden på hashen inte relaterad till antalet bokstäver i lösenordet. Märk också att hela hashen förändras om du så bara ändrar en bokstav.

$ echo -n hunter2 | shasum -a 1
f3bbbd66a63d4bf1747940578ec3d0103530e21d  -
$ echo -n gunter2 | shasum -a 1
cf05f1095d4fdc59be27d5c8f260c280fd6761b6  -
$ echo -n hunter23 | shasum -a 1
2951be48a2647df1d36596d63a37fc62336ac3e1  -

Edit 2:
Här är ett praktiskt exempel där jag frågar Haveibeenpwned om lösenordet hunter2 förekommit i några läckor. Jag anropar deras api med de första fem tecknen i SHA-1-hashen för lösenordet:

$ curl -s https://api.pwnedpasswords.com/range/f3bbb
007CB392BB6E6EC3580EB41AD26A451858E:4
00E3DA24001BF2BC27B09945C7A411442C1:1
01256162A602EF2DB8D058D4F6047352EF4:1
0164CE06F79F75E0A14ED5CBB96F33A560E:2
01A5619D9DCD0ECDEB0C356516C8C65EA7F:1
...

Av de miljontals läckta/knäckta lösenord som finns i deras databas, återfinns början av hashen för hunter2 i 815 unika hashar:

$ curl -s https://api.pwnedpasswords.com/range/f3bbb | wc -l
     815

Om jag söker i svaret efter resten av hashen för hunter2 (minus de fem första tecknen) kan jag se att den förekommer långt över 23000 gånger i olika läckor:

$ curl -s https://api.pwnedpasswords.com/range/f3bbb | grep -i d66a63d4bf1747940578ec3d0103530e21d
D66A63D4BF1747940578EC3D0103530E21D:23587

Bara för att ge lite mer kontext: det är sedan flera år en generell rekommendation att vid lösenordsbyte validera användarens önskade lösenord så det a) uppfyller komplexitets- och längdkraven, och b) inte ligger på listorna över kända knäckta lösenord.
(https://pages.nist.gov/800-63-3/sp800-63b.html#sec5)

Många av de gängse lösenordshanterarna har funktionalitet för att göra sådana kontroller löpande för att varna för farliga lösenord.

Jag håller absolut med dig, och om man använder en lösenordshanterare har man ju visat att man litar på den (även om man såklart kan välja en lösning där man kör allt lokalt, open source och egenkompilerat & kontrollerat om man är extra petig).

Och det säkert vara jättebra att kolla på https://haveibeenpwned.com om något är läckt, jag har gjort det ett par gånger, men om man går in på https://haveibeenpwned.con/ (fiktiv) istället och gör samma sak kanske det slutar illa.

Ett problem är annars : vem kan man lita på? Och går den alltid att lita på?

• Bitwarden för smidig synk mellan alla enheter. Kontona får långa slumpgenererade lösenord, inget återvinnande av lösenord till flera konton.

• TOTP 2FA påslaget på typ allt där det finns som val. Backup av 2FA i Keepass(XC)-fil som backas upp separat.

• Registrerat mig för notifieringar från https://haveibeenpwned.com/ + https://monitor.firefox.com/

• Föredrar kryptografiska lösningar för inloggning framför lösenord principiellt, och att då inte ha någon delad hemlighet som motparten också måste hålla hemlig. Men alternativet måste då ge möjlighet att hantera nycklar och/eller synka vettigt. Passkeys t.ex. känns som att det kan bli en grej när synk är ordentligt löst (Bitwarden t.ex. har väl endast stöd för synk i webbläsare än så länge, så en bit kvar).