Velg passordet med omhu

[abene]

Er du flink til å velge sikkert passord? En nettside har analysert Hotmail-passord.

 

Les mer

[kaffebryggare]

Jeg har et fantastisk sikkert passord, ja. Eneste problemet er at fetteren min har akkurat det samme. Skulle logge på MSN hans en gang, og han sa passordet til meg. Fikk det ikke ut av hodet og brukte det like så godt selv.

[Caveman]

Hvis det som står i artikkelen, at hotmail tillater passord helt ned i 1 karakter stemmer, er jo det helt latterlig!

8 bør være minium som mange andre har.

[Kimble]

Det er ofte vanskelig å tvinge folk til å ha gode / vanskelige passord. Dersom du tvinger folk til å ha minst åtte tegn i passordet svarer mange med å velge passord som "aaaaaaaa". Jo flere restriksjoner en legger på passordet jo større er sjansen for at en irriterer brukere. Noe som mange tjenesteleverandører som tjener penger på reklame er livredde for.

[dabear]

Da ville jeg bedt brukerne om å lage en passphrase istedet

[DarkSlayer]

Pga ymse nazihorer av utviklere og driftere i verden, så er det så ymse passordregler/rutiner at man i realiteten blir dritt føkkings lei.

 

Til slutt gir folk f, fordi de må lage "enda et unikt passord" og dermed finner på absurd enkle passord.

 

Selv har jeg standarisert et system slik at jeg totalt har få passord å huske på - og husker jeg et så kommer jeg på alternativene. Så på diskusjon bruker jeg tøysevarianten mens nettbanken bruker det hyperkompliserte.

På jobb er det værre for her tvinger de igjennom nytt passord hver mnd uten å kunne bruke tidligere... heldigvis står passordet på skjermen

 

Husker jeg jobbet i et stort/fint/flott firma der vi hadde tilgang til ymse systemer (mange b/p varianter). De fleste hadde for vane å føre opp dette i en gul blokk, påfør navnet "passord". Denne blokka lå på pulten. Arbeidsområdet var i gateplan, og vi forlot ofte jobb med store vinduer på vidt gap om sommeren. Åååååååå så sikkert det var.

[HulkHaugen]

Det som er irriterende er å ha et gammelt passord som brukes overalt, f.eks. 123456, så kommer man til ett nytt sted som krever 8 tegn, 12345678, og så ett som krever bokstaver og tall, abc123 etc, så husker man ikke hvor man har hva.

 

Like greit å finne et langt unikt passord med 8+ tegn med små, store og tall, kanskje også ett symbol eller to...

 

Jeg brukte alltid 123456 eller abc123 før i tiden

[Nord-Skandinav]

På jobb er det værre for her tvinger de igjennom nytt passord hver mnd uten å kunne bruke tidligere... heldigvis står passordet på skjermen

Et alternativ her kan jo være å bruke det vanlige passordet du bruker til det meste, og bare legge til f.eks "Oktober09" eller andre versjoner av måned/år, f.eks uten vokaler.

[Simen1]

# Bruk gjerne kombinasjon av bokstaver, tall og blanding av store og små bokstaver.

Det kvier meg for å si det men 1337-5pråk er for en gang skyld glimrende.

[ole_marius]

Bruker en stavefeil i hvert av mine passord med vilje

[Simen1]

Da ville jeg bedt brukerne om å lage en passphrase istedet

Jepp, det er glimrende. Bare for å illustrere:

Lisa gikk til skolen, trippet hun så glad = Lgtsthsg. Ikke akkurat noe man finner i ordbøker, men likevel enkelt å huske. Klarer man å få inn tall i frasen også så blir det ennå bedre.

[Bolson]

8 ord bør være minimum. Ellers er da ikke det med lange passord et problem, huske er et problem, men der finnes det hjelpemidler. Selv har jeg ca 45 ulik passord, bruker aldri samme passord på steder hvor "brute-forcing" kan ha konsekvenser, og jeg har en del slike sider. Normal lengde 10 - 18 tegn.

 

Ellers så burde alle sider med innlogging ha OpenID, inklusive diskusjon.no.

 

Aktuelle vertktøy for å hjelpe å huske passord er KeyPass, LastPass, Agatra? med flere. LastPass er særlig interessant i og med at man kan lagre passord forholdsvis enkelt på nett. Agatra er også nettbasert. KeyPass kan også gjøre dette, men noe mer tungvint.

 

Folk bør ta i bruk slike løsinger, samt OpenID, slik at man kan lage skikkelige passord uten å være redd for å glemme. Nå er det heller ikke problematisk de fleste steder om man skulle ha glemt sitt passord.

 

Edit: Såkalte førstebokstavs passord basert på uttrykk/passfrase er faktisk relativt enkle teknisk å brute-force. Eneste hensikt er at de kan hjelpe til å huske passord på mer enn 7 - 8 tegn. Særlig om du kan bruke de til lange passord, dvs 10 - 18 tegn er de glimrende.

Endret 9. oktober 2009 av Bolson

[-Teddy-]

Det kvier meg for å si det men 1337-5pråk er for en gang skyld glimrende.

 

Såvidt jeg har fått med meg så finnes det ordboksangrep som også bytter ut bokstaver med tegn og tall i beste 1337-5p33k stil.

[Lumpness]

Men 1 bokstav da ! Lukter latskap lang vei

[Deezire]

En passphrase er ikke nødvendigvis bare en forkortelse av en setning. De fleste systemer i dag støtter passord opp mot 255 tegn og man kan da være ganske mye mer kreativ i passordgivningen sin, og eventuelt ha en "fallback"-funksjon hvor passordet blir en forkortelse av passord frasen hvis det ikke er støttet å ha passord lengre enn f.eks. 14 tegn.

[Suppen]

Passordmanager er genialt. Alle mine passord er minst 20 tegn lange, og helt tilfeldige. Eksempel: xN^kveE<'wK)35e}'-U| (Dette er ikke et av passordene mine). Anbefaler KeePass (KeePassX til Linux og OS X)

[Kahuna]

Passfraser er tingen.

 

Lag en lett absurd setning, gjerne med ett eller to feilstavede ord(+ et salt, hvis du gidder). Eks: 'Storebroren min liker iskrem med kepsjupp'. Tegn for tegn tilsvarer dette ca 250 bit. Ord for ord en del mindre men fortsatt antagelig rundt 100 bit, noe som skal holde for de fleste formål...

 

Noen passord må du dessverre nødt til å huske men resten kan du med fordel skrive ned. Det finnes mange fine passordhuskeprogram men for min egen del bruker jeg bare en tekstfil som ligger i et truecrypt-volum(akkurat det passordet *må* jeg huske men jeg kan jo alltids skrive ut lista og lagre den i en bankboks, just in case)

[Ståle]

Men det viktigste er vel at passordet ikke kan gjettes, og at de som sjekker passordet låser systemet i en gitt tid, slik at bruteforce ikke går.

 

Å gjøre det vanskelig for brukeren, gjør det bare lettere for angriperen.

 

Edit; Det absolutt viktigste er vel å ikke gi fra seg passordet til phisingsider

Endret 9. oktober 2009 av Ståle

[Simen1]

Passordmanager er genialt. Alle mine passord er minst 20 tegn lange, og helt tilfeldige. Eksempel: xN^kveE<'wK)35e}'-U| (Dette er ikke et av passordene mine). Anbefaler KeePass (KeePassX til Linux og OS X)

Husker du disse eller er du avhengig av din egen PC + det programmet for å få tilgang til passordene? Hva om PCen kræsjer eller blir stjålet? Må du bruke passord for å få tilgang til passordoversikten eller kan hvem som helst som tar seg til rette på din PC få tilgang til alle passordene?

[Bolson]

Du kan lagre passordene på nettet (kryptert) for tilgang hvor du vil, bruke en løsning på minnepenn, lagre den krypterte passordbasen på minnepenn.

 

For åpning av databasen velger du om du vil bruke Master passord, Windows passord eller nøkkelfil. Jeg bruker KeyPass også til å lagre koder etc. Og så klart, basen sikkerhetskopieres og synkroniseres mellom de ulike maskinene jeg har. Selve passordbasen er kryptert med AES/Rijndael. Programmet er man avhengig av, men det er rask installasjon.

 

Nå bruker jeg den ikke til passord for steder som diskusjon.no eller andre åpne forum, der er det forholdsvis enkle passord. Men med tung tilgang til 7 servere og adminstratorretttigheter på nærmere 30 webløsninger må man ha orden på passorda.