Helgsnack: Hur håller du dina användarkonton säkra?

Permalänk
Melding Plague

Helgsnack: Hur håller du dina användarkonton säkra?

Vi lever i en digitaliserad värld och nästan samtliga tjänster kräver numera användarkonton för att fungera korrekt. Vad gör du för att hålla kontona säkra?

Läs hela artikeln här

Visa signatur

Observera att samma trivselregler gäller i kommentarstrådarna som i övriga forumet och att brott mot dessa kan leda till avstängning. Kontakta redaktionen om du vill uppmärksamma fel i artikeln eller framföra andra synpunkter.

Permalänk
Hedersmedlem

Kör Bitwarden med unika, slumpade lösenord (32 tecken på de som accepterar det, annars max) på varje sida samt 2FA (via Aegis på mobilen, ungefär som Google Authenticator / Authy fast open-source och lokalt på mobilen) på de viktigaste, c:a 15 olika.
Recovery codes till alla 2FA på papper.

Visa signatur

Asus ROG STRIX B550-F / Ryzen 5800X3D / 48 GB 3200 MHz CL14 / Asus TUF 3080 OC / WD SN850 1 TB, Kingston NV1 2 TB + NAS / Corsair RM650x V3 / Acer XB271HU (1440p165) / LG C1 55"
Mobil: Moto G200

Permalänk

Har använt lösenordshanterare sedan 2011 eller så, spenderade en kväll med att byta lösenord på alla ställen jag kunde komma på då. Började med KeePass men på den tiden så var inte stödet för andra plattformar än Windows speciellt bra så jag köpte 1Password nån gång 2015. Det har blivit mycket bättre idag vad jag förstått.

Framtiden med passkeys verkar lovande, väntar bara på att jobbet ska aktivera det på alla olika microsoft365-instanser som jag måste logga in på ibland.

Permalänk
Medlem

Brukade köra egen lösenordshanterare men har nu bytt till en jag betalar årligen för. Litet pris att betala för säkerhet. 2FA det mesta viktigt. Slumpmässiga lösenord överallt.

Min snapchat blev hackad för några veckor sen. Har inte öppnat appen på flera år så hade ett lösenord jag inte använt på länge men brukade använda överallt, så kan vara värt att gå genom gamla konton och se till att ta bort kontona eller byta lösenord där.

Visa signatur

Starka åsikter om onödiga saker.

Permalänk
Testpilot

Gör inget direkt överdrivet, men kanske mer än svensson.

  • Använder flera mejladresser beroende på vad som ämnas att registrera sig på.

  • 2-step-authentication (2FA) där det är möjligt.

  • Unika lösenord för varje hemsida eller tjänst.

  • Delar inte mina konton med andra användare.

  • VPN används ofta, primärt vid trådlös anslutning (Wifi/4G/5G).

  • Blockerare för Cookies och diverse annat.

  • Surfar/loggar inte in på hemsidor som verkar skumma eller annars saknar kryptering

Visa signatur

R < ROG G17 | R9 5900HX | 32GB 3200 MHz | RTX 3070 >

G < R9 5900X | 32GB 2666MHz | ROG RTX 3090 Ti >

B < RK96 | VGN K75 Pro | Deathadder V2 Pro >

Permalänk

Olika hantering av konton på olika ställen. Alla konton är viktiga, vissa konton är dock mindre viktiga än andra. Ta det anonyma kontot som man måste skapa hos en välkänd tillverkare endast för att ladda hem ett dokument, det enda man uppger för dem är en Ip-adress plus ett fungerade mailkonto. Jag väljer såklart ett svårt lösenord ändå, men det är inte precis jag nyttjar deras 3 faktor auktoriseringtjänst för detta konto.. 3 faktor auktorisering kan vara RSA dosa/mobil App, + telefonsamtal med personer som kopplar släpper in en och sedan vanligt lösenord.

Ett stort problem med detta telefonsamtal är att den en gång i tiden ansågs mycket säker, nu med Ai, så kan de göra en Ai med ens viss persons röst som pratar med personen och få tillgång till det ena och andra utan att på något sätt kunna uppge något lösenord eller annat. Speciellt om telefonnumret som visas på mobilen ser ut att vara den riktiga personens.

Så folk får tänka om.

Permalänk

Ja "social-engineering" är ett intressant ämne för datasäkerhet. Ring nån och verka säker nog på din sak bara så kan de kanske de gå med på att släppa in en.

Permalänk
Medlem

Jag använder lösenord som är slumpade från en teckenuppsättning som innehåller stora och små bokstäver, siffror och en del specialtecken, oftast 20-30 tecken långa. Ett lösenord per konto/tjänst, så ingen återanvändning. Jag använder också flera olika mejladresser för att regga mig, så för konton i tematiskt närliggande ämnesområden har jag inte samma mejladress. Enstaka ställen har krav på lösenordets utformning som gör att jag får skapa ett mer begränsat lösenord, men jag försöker alltid "maxa".

Lösenorden är uppskrivna lokalt, men jag har automatisk inloggning på allt som går, så det är oerhört sällan jag behöver skriva in ett lösenord efter första inloggningen.

Jag hade missat att byta lösenord på mitt tidigare Instagram-konto, och hade där ett mycket enkelt och gammalt lösenord (som jag dessutom använde på de flesta ställen). Dumt, för uppenbarligen var det nån som lyckades hacka det, och helt plötsligt var kontot avstängt utan förklaring. Ett konto jag bara använt för att se bilder som föräldrar, syskon och nära vänner lägger upp, och där jag själv bara hade lagt upp en handfull bilder på typ löv, rimfrost och nån enstaka bild på mitt ansikte. Helt oskyldigt konto alltså, så ingen anledning för det att bli avstängt pga nåt jag gjort.

Tvåfaktorsautentisering med mobil avskyr jag, och jag väljer bort att använda tjänster som kräver det i möjligaste mån. För banktjänster och liknande är det bank-id, och det är förstås ok när det gäller såna saker.

Visa signatur

Moderkort: Gigabyte X570 Aorus Master | CPU: AMD Ryzen R9 5900X | CPU-kylare: Noctua NH-D15 chromax.black | RAM: Corsair Vengeance LPX 64 GB (4x16) DDR4-3600 CL18 | GPU: Gigabyte RTX 4080 Eagle OC | SSD: 2 x Samsung 970 EVO Plus 1 TB NVMe + Kingston A400 480 GB + Samsung QVO860 1 TB | PSU: EVGA SuperNOVA G2 1000 W Gold | Chassi: Lian Li O11 Dynamic XL | Skärm: BenQ PD3200U @ 3840x2160 + ASUS ROG Strix XG32VQ @ 2560x1440 | Tangentbord: Corsair K68 RGB Cherry MX Red | Mus: Logitech MX Master 2S

Permalänk
Medlem

En lösenordshanterare är grundläggande säkerhetshygien idag. Själv använder jag Bitwarden för att det är smidigt med synkning mellan flera enheter + bra addon till Firefox. Om jag tappar förtroende för BitWarden så går det att self-hosta, men i värsta fall hade man fått migrera till KeePassXC eller Pass

Nästa steg är MFA/2FA. För de tjänster som stödjer säkerhetsnycklar så använder jag det, då uppbackade av YubiKeys. Annars är det väl för det mesta TOTP som gäller, och även de lägger jag in på mina YubiKeys

Sett att flera tjänster börjat rulla ut PassKeys till användare (exempelvis Google, GitHub) - be gone, passwords!

Permalänk

Jag håller mina användarkonton säkra genom att inte prata öppet om hur jag håller dem säkra!

Skrivet av unpronounceable:

Ja "social-engineering" är ett intressant ämne för datasäkerhet. Ring nån och verka säker nog på din sak bara så kan de kanske de gå med på att släppa in en.

Säkerhetspraxis för alla när någon ringer och utger sig för att vara det spoofade numret i samband med att kräva något är att lägga på direkt och ringa det spoofade numret för då ringer du rätt nummer och kan bekräfta det hela.

Mvh,
WKL.

Visa signatur

<WKL:"En kodrad i taget!";/>

Permalänk
Medlem

Många tjänster/sidor är ju sådana där du själv kan lägga upp/in något, men som du också bara kan titta på utan att aktivt bidra. Att det ska krävas konton till det mesta och ibland även 3:e-parts tjänster är knappast positivt för upplevelsen. I många av fallen fyller kontona ingen funktion för användaren och borde vara valfria.

Man bör inte ha samma lösenord till flera och definitivt inte samma till t ex mailen du använder som till något där mailen används för inloggning el är registrerad.
2FA är väl lite säkrare, men det gör också att om du av någon orsak skulle förlora tillgången till enheten som används så är du sen kanske helt utelåst.
Det får ju inte vara för säkert, så att du själv riskerar att inte alls komma in om någon del fallerar. Du kan inte med säkerhet räkna med att din mobil/dator el säkerhetsnyckel alltid kommer att fungera el vara tillgänglig, kan inte lägga alla äggen i en korg. Lösenordshanterare använder jag inte alls, av samma orsak och för att de i sig kan vara svagheten.

Har mestadels en del olika mönster för lösenord, så att jag i stort sett kan ha samma lösenord men ändå unika. Dvs även om något lösenord skulle komma ut så är det bara för just det kontot och inget annat.
Dessutom flera olika mailadresser så att inte ens det går att koppla mellan olika.
Krävs fysisk/lokal tillgång så blir ju det också en del av säkerheten, så något som behöver skrivas ofta och endast lokalt behöver inte ha riktigt samma nivå som till sådant som går att komma åt via nätet.
Beror också lite på vad det är för konto, är det något som bara skapats för att det är krav på det så kanske lösenordet också är av enklare el mer likartat slag.

Hade någon gång lösenord som jag själv inte ens visste exakt vilka tecken det var, utan bara var de fanns på tangentbordet och om man behövde hålla inne shift el altgr.

Funderat på att någon gång göra en rejäl översyn över alla konton jag har och byta lösenord samt identifiera ev fall där jag har samma lösenord för flera. Hur många konton jag har och var jag har dem tar nog lite tid att komma på el lista ut, har så pass många och då har jag inte ens konto alls på flera av de vanligaste tjänsterna (Fb, Ig, X, Yt m fl).

Jag har nog också ovanligt bra minne för t ex lösenord och liknande.
Gjorde någon gång ett enkelt test med 32 tecken slumpgenererat inkl specialtecken, efter att ha tittat på det några gånger och även skrivit det några gånger så satt det. Det är ju förstås opraktiskt långt att behöva skriva in så. Lite svårare är när man även behöver försöka komma ihåg andras lösenord också, för t ex närstående.

På externa tjänster går det oftast att begära lösenordsåterställning vid behov, är värre på mer lokala saker.

Sen finns det ju folk, såväl här på forumet som på andra håll, som är paranoida och tror att just de som individer är så pass viktiga mål att just de måste gå extremt långt för att försöka skydda varje enskilt konto de har.
De flesta tjänster har enormt många användare, varför är just du målet och vad har ev angripare att vinna på att rikta in sig på just dig?
En rimlig nivå av säkerhetstänkande gör att du bör klara dig bättre än de flesta andra. Om någon extremt resursstark organisation/individ verkligen skulle rikta in sig specifikt på dig är det långt ifrån säkert att du klarar dig ändå och verkligen har tänkt på allt.

Permalänk
Medlem

Bitwarden med slumpade lösen på allt som verkligen används. 2FA på huvudmailkontot som är akilleshälen nummer ett. Annars undviker jag 2FA så länge det inte känns ordentligt motiverat.

Permalänk
Medlem

Jag kör bara ******* överallt, hur säkert som helst

Permalänk
Medlem

Tänker jag ju inte tala om här!

Visa signatur

Phanteks P400A RGB : Asus Prime X570-P : Ryzen 9 5900X : Corsair H100X : 32GB G.Skill Trident Z Neo 3600CL14 : Sapphire Nitro+ 6800 XT : Xiaomi 34" Curved 3440x1440 : Playseat Evolution Alcantara : Thrustmaster T300RS GT / Ferrari SF1000 Edition Add-on : HP Reverb G2

Permalänk
Medlem

Har aktiverat tvåfaktorsautentisering på de konton som är viktigast. Annars kör jag med olika lösenord till olika konton. Använder ingen lösenordshanterare utan försöker komma ihåg själv alla lösenord. Enklare med en lösenordshanterare såklart men såna kan ju också hackas (var väl inte så länge sen lastpass hackades som jag minns)

Visa signatur

Acer Predator Helios 18 Core i9 32GB 1024GB SSD RTX 4080 250Hz 18"

Permalänk
Medlem

Har 2 stegs överallt där det går och är viktigt, tex mail, sociala konton osv.
Olika lösen överallt, men sen hur jag har koll.... Det känns dumt att dela med sig av på ett forum

Visa signatur

Citera för svar!
ASUS X570-E, AMD 5950X, RTX4080 Super, 32gb B-die

Permalänk
Medlem
  • Mobilt bankid där det finns.

  • 2FA där det finns.

  • Bitwarden med slumpmässigt utvalda lösenord för allt annat.

Visa signatur
Permalänk
Medlem

Bitwarden, komplexa, långa lösenord och Yubikey.
1 nyckel på mig hela tiden sen en backup inlåst i valvet.

Skrivet av Bit010:

Har aktiverat tvåfaktorsautentisering på de konton som är viktigast. Annars kör jag med olika lösenord till olika konton. Använder ingen lösenordshanterare utan försöker komma ihåg själv alla lösenord. Enklare med en lösenordshanterare såklart men såna kan ju också hackas (var väl inte så länge sen lastpass hackades som jag minns)

Ta och släng upp en egen Bitwarden server hemma?
Går att komma åt i offline mode, men du kan inte göra ändringar eller lägga till lösenord.

Permalänk
Medlem

Bitwarden eller KeePass rekommenderas varmt. Har själv använt de i många år.

Visa signatur

Utan spaning, ingen aning.

Permalänk

Lösenordshanterare med slumpade lösenord. Passkeys där möjligt. MFA där möjligt.

Permalänk
Medlem
Skrivet av mihon:

Ta och släng upp en egen Bitwarden server hemma?
Går att komma åt i offline mode, men du kan inte göra ändringar eller lägga till lösenord.

Många här i tråden som nämner Bitwarden. Kanske kollar upp det nåt sen

Visa signatur

Acer Predator Helios 18 Core i9 32GB 1024GB SSD RTX 4080 250Hz 18"

Permalänk
Medlem

Yatagarasu skrev:

  • Använder flera mejladresser beroende på vad som ämnas att registrera sig på.

  • 2-step-authentication (2FA) där det är möjligt.

  • Unika lösenord för varje hemsida eller tjänst.

  • Delar inte mina konton med andra användare.

  • VPN används ofta, primärt vid trådlös anslutning (Wifi/4G/5G).

  • Blockerare för Cookies och diverse annat.

  • Surfar/loggar inte in på hemsidor som verkar skumma eller annars saknar kryptering

Ungefär detsamma.

Det finns fortfarande udda ställen som inte tillåter komplexa lösenord över 12 tecken. Då är det väldigt tveksamt om man skapar konto där...

Visa signatur
Permalänk
Medlem

Hah, tror ni jag går på den lätta? 😉😉😉

Permalänk
Medlem

Jag brukar köra mina lösenord mot en sida som kollar ifall lösenorden kommit på rymmen. Samtidigt kollar sidan om mina mailadresser finns i register över hackade konton. (<= riktigt korkat)

Det finns ju skumma sidor som ovanstående alltså, så man bör hålla koll på vad man gör.

Jag gör väl som alla andra här, lösenordsapp och 2FA; mina "säkraste" lösenord till mobil och mail ligger dock inte i lösenordshanteraren, de ligger i huvudet samt nedskrivet på papperslapp ifall jag blir förvirrad (och då inte hela lösenorden)

Visa signatur

ASUS P8Z68-v Pro i7 2600K@4.5, RX 580, 4K Samsung u24e590, Intel SSD, Seagate SSHD, LG BH16NS55 BD/RW, MacOS Monterey, Win 10+11, Linux Mint

Macbook Pro 2009, 6GB RAM, SSD, MacOS Catalina + Windows 7

Permalänk
Medlem
Skrivet av WebbkodsLärlingen:

Jag håller mina användarkonton säkra genom att inte prata öppet om hur jag håller dem säkra!

Säkerhetspraxis för alla när någon ringer och utger sig för att vara det spoofade numret i samband med att kräva något är att lägga på direkt och ringa det spoofade numret för då ringer du rätt nummer och kan bekräfta det hela.

Mvh,
WKL.

@Tozs:
Det är faktiskt en ganska kass idé. Metoden du använder för att säkra ska kunna vara helt öppen och granskas av andra för att fastställa att den faktiskt är säker

Annars kan det finnas otaliga problem, sidokanaler och rena brister som inte upptäcks

Det du förespråkar här kan översättas till ’security by obscurity’ alltså att säkerheten ligger i metoden och hur konstigt du gjort något eget

Det är mycket bättre att använda färdiga bra metoder

Permalänk
Skrivet av Pirum:

Jag brukar köra mina lösenord mot en sida som kollar ifall lösenorden kommit på rymmen. Samtidigt kollar sidan om mina mailadresser finns i register över hackade konton. (<= riktigt korkat)

Det finns ju skumma sidor som ovanstående alltså, så man bör hålla koll på vad man gör.

Om det är korkat eller inte beror på metoden sidan använder. Haveibeenpwned, exempelvis, låter dig skicka in de första fem tecknen i SHA-1 eller NTLM-hashen av ditt lösenord, och svarar sedan med alla kända lösenord som börjar med den hashen. Det är ett rätt säkert sätt att lösa problemställningen på och som inte kräver att tjänsten känner till hela lösenordet eller ens vilka faktiska tecken som ingår i ditt lösenord.
(https://haveibeenpwned.com/API/v3#SearchingPwnedPasswordsByRa...)

Edit, om du inte vet hur hashning fungerar.
Här drar jag ut hashen för två lösenord som är snarlika så när som på en bokstav. Som du ser av det tredje exemplet är längden på hashen inte relaterad till antalet bokstäver i lösenordet. Märk också att hela hashen förändras om du så bara ändrar en bokstav.

$ echo -n hunter2 | shasum -a 1 f3bbbd66a63d4bf1747940578ec3d0103530e21d - $ echo -n gunter2 | shasum -a 1 cf05f1095d4fdc59be27d5c8f260c280fd6761b6 - $ echo -n hunter23 | shasum -a 1 2951be48a2647df1d36596d63a37fc62336ac3e1 -

Edit 2:
Här är ett praktiskt exempel där jag frågar Haveibeenpwned om lösenordet hunter2 förekommit i några läckor. Jag anropar deras api med de första fem tecknen i SHA-1-hashen för lösenordet:

$ curl -s https://api.pwnedpasswords.com/range/f3bbb 007CB392BB6E6EC3580EB41AD26A451858E:4 00E3DA24001BF2BC27B09945C7A411442C1:1 01256162A602EF2DB8D058D4F6047352EF4:1 0164CE06F79F75E0A14ED5CBB96F33A560E:2 01A5619D9DCD0ECDEB0C356516C8C65EA7F:1 ...

Av de miljontals läckta/knäckta lösenord som finns i deras databas, återfinns början av hashen för hunter2 i 815 unika hashar:

Om jag söker i svaret efter resten av hashen för hunter2 (minus de fem första tecknen) kan jag se att den förekommer långt över 23000 gånger i olika läckor:

$ curl -s https://api.pwnedpasswords.com/range/f3bbb | grep -i d66a63d4bf1747940578ec3d0103530e21d D66A63D4BF1747940578EC3D0103530E21D:23587

Permalänk
Skrivet av Pirum:

Jag brukar köra mina lösenord mot en sida som kollar ifall lösenorden kommit på rymmen. Samtidigt kollar sidan om mina mailadresser finns i register över hackade konton. (<= riktigt korkat)

Det finns ju skumma sidor som ovanstående alltså, så man bör hålla koll på vad man gör.

Jag gör väl som alla andra här, lösenordsapp och 2FA; mina "säkraste" lösenord till mobil och mail ligger dock inte i lösenordshanteraren, de ligger i huvudet samt nedskrivet på papperslapp ifall jag blir förvirrad (och då inte hela lösenorden)

Skrivet av Det Otroliga Åbäket:

Om det är korkat eller inte beror på metoden sidan använder. Haveibeenpwned, exempelvis, låter dig skicka in de första fem tecknen i SHA-1 eller NTLM-hashen av ditt lösenord, och svarar sedan med alla kända lösenord som börjar med den hashen. Det är ett rätt säkert sätt att lösa problemställningen på och som inte kräver att tjänsten känner till hela lösenordet eller ens vilka faktiska tecken som ingår i ditt lösenord.
(https://haveibeenpwned.com/API/v3#SearchingPwnedPasswordsByRa...)

Bara för att ge lite mer kontext: det är sedan flera år en generell rekommendation att vid lösenordsbyte validera användarens önskade lösenord så det a) uppfyller komplexitets- och längdkraven, och b) inte ligger på listorna över kända knäckta lösenord.
(https://pages.nist.gov/800-63-3/sp800-63b.html#sec5)

Många av de gängse lösenordshanterarna har funktionalitet för att göra sådana kontroller löpande för att varna för farliga lösenord.

Permalänk
Medlem
Skrivet av Det Otroliga Åbäket:

Många av de gängse lösenordshanterarna har funktionalitet för att göra sådana kontroller löpande för att varna för farliga lösenord.

Jag håller absolut med dig, och om man använder en lösenordshanterare har man ju visat att man litar på den (även om man såklart kan välja en lösning där man kör allt lokalt, open source och egenkompilerat & kontrollerat om man är extra petig).

Och det säkert vara jättebra att kolla på https://haveibeenpwned.com om något är läckt, jag har gjort det ett par gånger, men om man går in på https://haveibeenpwned.con/ (fiktiv) istället och gör samma sak kanske det slutar illa.

Ett problem är annars : vem kan man lita på? Och går den alltid att lita på?

Visa signatur

ASUS P8Z68-v Pro i7 2600K@4.5, RX 580, 4K Samsung u24e590, Intel SSD, Seagate SSHD, LG BH16NS55 BD/RW, MacOS Monterey, Win 10+11, Linux Mint

Macbook Pro 2009, 6GB RAM, SSD, MacOS Catalina + Windows 7

Permalänk
Medlem

Jag använder samma lösenord överallt! eller var det "sammalösenordöverallt?"

Jag får gå in och läsa här "sedan om jag gömmer bort ..."

Skrivet av Tozs:

Hah, tror ni jag går på den lätta? 😉😉😉

Jag kommenterar inte ens på en sådan här tråd

Visa signatur

Server: Fractal design Define 7 XL | AMD Ryzen 7 5800X 8/16 | ASUS ROG CROSSHAIR VIII DARK HERO | 64GB Corsair @ 3000MHz | ASUS Radeon RX 460 2GB | Samsung 960 PRO 512 GB M.2 | 2x 2TB Samsung 850 PRO SSD | 6x Seagate Ironwolf Pro 10TB
WS: Phantex Entoo Elite | AMD Ryzen Threadripper 1950X 16/32 | ASUS Zenith extreme | 128GB G.Skill @ 2400MHz | ASUS Radeon HD7970 | 3x 2TB Samsung 960PRO M.2 | 6x Seagate Ironwolf Pro 10 TB
NEC PA301W 30" @ 2560x1600 | Linux Mint 21.3 Cinnamon

Permalänk
Medlem
  • Bitwarden för smidig synk mellan alla enheter. Kontona får långa slumpgenererade lösenord, inget återvinnande av lösenord till flera konton.

  • TOTP 2FA påslaget på typ allt där det finns som val. Backup av 2FA i Keepass(XC)-fil som backas upp separat.

  • Registrerat mig för notifieringar från https://haveibeenpwned.com/ + https://monitor.firefox.com/

  • Föredrar kryptografiska lösningar för inloggning framför lösenord principiellt, och att då inte ha någon delad hemlighet som motparten också måste hålla hemlig. Men alternativet måste då ge möjlighet att hantera nycklar och/eller synka vettigt. Passkeys t.ex. känns som att det kan bli en grej när synk är ordentligt löst (Bitwarden t.ex. har väl endast stöd för synk i webbläsare än så länge, så en bit kvar).

Visa signatur

Desktop: Ryzen 5800X3D || MSI X570S Edge Max Wifi || Sapphire Pulse RX 7900 XTX || Gskill Trident Z 3600 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304