*F* Skrevet 6. juni 2012 Del Skrevet 6. juni 2012 Men jeg har ikke noe passord fra linkedin. Betyr det da at jeg "trygg" denne gangen? Da er det ingen fare "denne" gangen. @ATWindsor og @Dj_Evelen Det er da ikke direkte fornuftig å bruke samme passord på alle tjenester (100+) - det er nemlig garantert at et av disse stedene vil ha elendig sikkerhet. Jeg synes det er uproblematisk å bruke "ulike" passord, det finnes gode verktøy for å "huske" passord samt "regler" for passordnivåer man kan bruke. Verktøyene har også den fordel at man får oversikt over hvor man har kontoer. Det er faktisk et større problem for meg enn å holde orden på en god del passord. Vel, jeg har ikke samme passord over alt.Har kanskje ett forum passord, et personlig (linkedin, facebook..) passord, et bankpassord, et nettbutikkpassord osv. Menmen. Man kan bruke programvare til å huske dem, men da husker man det ikke når man er på en annen PC. Lenke til kommentar
ATWindsor Skrevet 6. juni 2012 Del Skrevet 6. juni 2012 Men jeg har ikke noe passord fra linkedin. Betyr det da at jeg "trygg" denne gangen? Da er det ingen fare "denne" gangen. @ATWindsor og @Dj_Evelen Det er da ikke direkte fornuftig å bruke samme passord på alle tjenester (100+) - det er nemlig garantert at et av disse stedene vil ha elendig sikkerhet. Jeg synes det er uproblematisk å bruke "ulike" passord, det finnes gode verktøy for å "huske" passord samt "regler" for passordnivåer man kan bruke. Verktøyene har også den fordel at man får oversikt over hvor man har kontoer. Det er faktisk et større problem for meg enn å holde orden på en god del passord. Man trenger ikke å ha kun ett passord for at det skal være endel strev å bytte ut ett kompromittert passord. Så kan man sikkert ønske seg at folk har 100+ forskjellige passord, men jeg vet av erfaring at det er ikke sånn majoriteten av brukere gjør det. AtW Lenke til kommentar
ShadowMaster Skrevet 6. juni 2012 Del Skrevet 6. juni 2012 Jaja, Linkedin har desverre mitt mest hemmeligste passord.Det er ikke barebare å bruke forskjellige passord på alle tjenester, Jeg vet ikke hvor mange titals, eller kanskje hundrevis av tjenester jeg har brukertilgang.Velvel, får vel bare starte passord-endring, ikke vet jeg hvordan jeg skal huske 100 forskjellige passord men.. Kan anbefale Lastpass på det sterkeste. Eneste måten jeg kan holde styr på 400+ unike passord beskyttet bak 2 faktor autentisering både for Lastpass og GMail. Kan gjøre det akkurat så utrygt eller sikkert som du selv gjør det til. Lenke til kommentar
*F* Skrevet 6. juni 2012 Del Skrevet 6. juni 2012 Sikkert en god tjeneste. Men å lagre passordene på LastPass's server vil jo være katastrofalt om: 1. LastPass blir hacket 2. LastPass er userriøse og bruker passordene mine/selger dem. Lenke til kommentar
hernil Skrevet 7. juni 2012 Del Skrevet 7. juni 2012 Hvilket system de andre nettstedene bruker for å "kryptere" passord spiller ingen rolle, så lenge selve passordet er komprimert sammen med epost/brukernavn klarer de å komme seg inn. Selv de systemene jeg administrerer hvor salted MD5,/Blowfish + RSA brukes er ikke trygge når passordene er er knekt og på avveie. Derfor er anbefalingen at er det risiko for at passord + brukernavn/epost er kompromittert så skifter man passord alle steder der dette er brukt. Man kan eventuelt argumentere at det er liten sannsynlighet for at de finner ut hvor du har brukt samme epos/brukernavn og passord - men det tar ikke lengre tid å rette opp dette enn at det er en god sikring. Er på ingen måte ekspert på området, men vil ikke ordentlig hashede og saltede passord på en viss lengde i praksis ikke være mulig å cracke. Her har man f.eks en oversikt over tid for cracking av diverse passordlengder med diverse maskinvare og begynner man å få passord på over 10 tegn med små og store bokstaver, tall og tegn så blir det vel i praksis vanskelig å bedrive ren bruteforcing? Lenke til kommentar
Rudde Skrevet 7. juni 2012 Del Skrevet 7. juni 2012 Det var dere som fikk meg til å regge meg på den jævla drittjenesten, makan til dritt! Lenke til kommentar
tommyb Skrevet 7. juni 2012 Del Skrevet 7. juni 2012 Hvor mange sider har jeg passord på? Jeg tipper 100+ Jeg tipper.... 78!? Lenke til kommentar
tommyb Skrevet 7. juni 2012 Del Skrevet 7. juni 2012 (endret) Har kanskje ett forum passord, et personlig (linkedin, facebook..) passord, et bankpassord, et nettbutikkpassord osv. Menmen. Man kan bruke programvare til å huske dem, men da husker man det ikke når man er på en annen PC. Man kan legge en kopi av KeePass o.l. på mobilen, men det igjen er en større risiko enn det er verd. Men når det gjelder å ha samme passord på f.eks. nettbutikker, så synes jeg det er en dårlig idé. Noen av disse lagrer betalingsinfo, andre sender varer med faktura. Hvis én person som har eller skaffer seg tilgang til én nettbutikk med åpne, svakt krypterte eller sterkt krypterte passord med en lokalt lagret dekrypteringsnøkkel, vil han altså kunne f.eks. bestille varer i ditt navn til en adresse han har tilgang på. Er fordelen med å slippe å komme opp med en bedre passordløsning verd denne risikoen for deg? Og aldri i livet om jeg ville gitt et passord til en offentlig tjeneste eller jobbrelatert tjeneste til store hacker-mål som facebook. Når det gjelder passord til spillnettverk har historien vist seg at der er risikoen enda større, så der bør man gjøre det man kan for å sikre seg i alle retninger. Endret 7. juni 2012 av tommyb Lenke til kommentar
nomore Skrevet 7. juni 2012 Del Skrevet 7. juni 2012 Sikkert en god tjeneste. Men å lagre passordene på LastPass's server vil jo være katastrofalt om: 1. LastPass blir hacket 2. LastPass er userriøse og bruker passordene mine/selger dem. LastPass har allerede sannsynliggjort at de er såpass trygge at det vanskelig lar seg gjøre å hente ut brukbar data fra de, og at de er såpass seriøse at skulle de ha mistanke om noe eller faktisk være hacket, så blir du informert. Eg stoler 100% på LastPass, og bruker det over alt. To faktor autentisering mot LastPass på alle maskiner eg bruker, og deretter auto-pålogging på alle nettsteder eg bruker(med ett unikt passord pr tjeneste). Det er kun ett passord eg må huske, og det byttes regelmessig. Og skulle allikevel LastPass bli hacket, alle passord komme på avveie, så hjelper LastPass meg uansett langt på vei med å gi meg en oversikt over hvilke nettsider eg er registrert på, hvilket brukernavn som er brukt, og hvilket passord den tjenesten er registrert med. Da er det bare å sette i gang med å endre passord manuelt(i worst case scenario). For å kunne ha denne muligheten må folk sitte med ei manuell liste over nettsider de bruker. Og seriøst, hvem gjør det, manuelt? Lenke til kommentar
Tor Tur Skrevet 7. juni 2012 Del Skrevet 7. juni 2012 Hadde uheldigvis samme passord på mailen som de prøvde å kapre... IP Address: 190.43.148.12 Location: Lima District, Peru 1 Lenke til kommentar
ATWindsor Skrevet 7. juni 2012 Del Skrevet 7. juni 2012 Sikkert en god tjeneste. Men å lagre passordene på LastPass's server vil jo være katastrofalt om: 1. LastPass blir hacket 2. LastPass er userriøse og bruker passordene mine/selger dem. LastPass har allerede sannsynliggjort at de er såpass trygge at det vanskelig lar seg gjøre å hente ut brukbar data fra de, og at de er såpass seriøse at skulle de ha mistanke om noe eller faktisk være hacket, så blir du informert. Eg stoler 100% på LastPass, og bruker det over alt. To faktor autentisering mot LastPass på alle maskiner eg bruker, og deretter auto-pålogging på alle nettsteder eg bruker(med ett unikt passord pr tjeneste). Det er kun ett passord eg må huske, og det byttes regelmessig. Og skulle allikevel LastPass bli hacket, alle passord komme på avveie, så hjelper LastPass meg uansett langt på vei med å gi meg en oversikt over hvilke nettsider eg er registrert på, hvilket brukernavn som er brukt, og hvilket passord den tjenesten er registrert med. Da er det bare å sette i gang med å endre passord manuelt(i worst case scenario). For å kunne ha denne muligheten må folk sitte med ei manuell liste over nettsider de bruker. Og seriøst, hvem gjør det, manuelt? De er jo ihvertfall ikke seriøse nok til å ha en ordentlig nettside. AtW Lenke til kommentar
robertaas Skrevet 7. juni 2012 Del Skrevet 7. juni 2012 Er på ingen måte ekspert på området, men vil ikke ordentlig hashede og saltede passord på en viss lengde i praksis ikke være mulig å cracke. Her har man f.eks en oversikt over tid for cracking av diverse passordlengder med diverse maskinvare og begynner man å få passord på over 10 tegn med små og store bokstaver, tall og tegn så blir det vel i praksis vanskelig å bedrive ren bruteforcing?Hvorfor ta den vanskeligste veien? En rekke websiter tilbyr nå brukerne å "sjekke om ditt passord hos LinkedIn er stjålet". De hasher så passordet og forteller brukeren om det er blandt de stjålne hashene. Samtidig finner de jo klartekstversjonen av de hashede passordene og mappingen til brukernavnet har de vel allerede med de lekkede filene. Folk er utrolig naive. Lenke til kommentar
007CD Skrevet 7. juni 2012 Del Skrevet 7. juni 2012 Sikkert en god tjeneste. Men å lagre passordene på LastPass's server vil jo være katastrofalt om: 1. LastPass blir hacket 2. LastPass er userriøse og bruker passordene mine/selger dem. LastPass krypterer på din ende, så det som lagres hos dem skal være kryptert når de mottar dem. Uansett, er du fortsatt redd så bruker du KeePass, da lagrer du lokalt og programmet er OpenSource så du kan sjekke kildekoden selv. 1 Lenke til kommentar
Bolson Skrevet 7. juni 2012 Del Skrevet 7. juni 2012 Hva er galt med nettsiden? Det lurte jeg også på! @ATWindsor og @Dj_Evelen Litt om hvordan LastPass håndterer informasjon og passord. Master passordet forlater aldri dine egne maskiner. Selve informasjonen (passord, brukernavn etc) blir kryptert/dekryptert på din egen maskin. Nøkkelen finnes kun på din maskin. Informasjonen som sendes er kryptert og sendes over SSL. Informasjonen som lagres på LastPass sine servere er kryptert og kan kun dekrypteres med din nøkkel. For å bruke nøkkelen må man også ha master password. Krypteringsnivået som brukes er "military grade". To-faktor autentiseringen gjør at til og med at en som får tilgang til din PC ikke klarer å fåt tak i informasjonen. Som en skrev i et forum "ansatte ved LastPass kan ikke røpe dine passord selv med en revolver mot hode, fordi de har ingen mulighet til å finne de". Og om du skulle glemme master passordet til LastPass er det ingen måte å hente informasjonen på. Jeg bruker og har brukt KeePass også. Men skal man kunne bruke denne over flere maskiner, må man også synke over nettet eller bruke en portabel versjon. Men da ligger informasjonen på en USB man kan miste. Personlig vurderer jeg LastPass kombinert med det å ha et unikt random sikkert passord på alle nettsteder som langt sikrere enn å ha 5 - 6 passord som jeg husker eller passord basert på noen former for regler. Lenke til kommentar
*F* Skrevet 7. juni 2012 Del Skrevet 7. juni 2012 mhm, tja, om det fungerer slik du beskriver virker det jo aganske greit. Dog vet man jo ikke om dette faktisk er sant. Ingen VET om dem er serriøse. LinkedIn har også i alle år blitt regnet som serriøse, og ikke mange hadde nok forrutesett denne hacken. Lenke til kommentar
raWrz Skrevet 7. juni 2012 Del Skrevet 7. juni 2012 Tenkte jeg bare hiver inn linken her; https://lastpass.com/linkedin/ Lenke til kommentar
Bolson Skrevet 7. juni 2012 Del Skrevet 7. juni 2012 (endret) Nå vet vi alt for lite om hva som har skjedd hos LinkedIn. Vi vet ikke om det er en hack, men det er ingenting som tyder på at noen har hacket nettsidene. Vi vet at det er ca 6,5 millioner av 100 millioner passord som er "røpet". Det jeg har fått med meg er at disse er røpet grunnet en feilkonfigurert cache - slik at en cache med passordhash kunne hentes ut, dvs omtrent det samme som AltInn klarte å få til. Du er faktisk på et nettsted som selv har hatt brukerkontoer/passord på avveie, Spotify har hatt det - ja jeg kan fortsette lenge. Spørsmålet om seriøsitet går på hvordan et nettsted håndterer et sikkerhetsproblem, ikke om det skjer. Alle nettsteder har sikkerhetsproblem (kjente eller ukjente) - det er nesten ikke å unngå. LinkedIn valgte når lekkasjen var verifisert å deaktivere passord på alle de gjeldende kontoer, og sende epost til de berørte. - http://blog.linkedin...ds-compromised/ - http://blog.linkedin...best-practices/ Jeg vurderer ikke dette som tegn på å være useriøs. Og oppfatter du LinkedIn som useriøs, ja da bør du heller ikke være her (ja du kan i realiteten la være å være på internett). Når det gjelder LastPass ble de etablert tilbake i 2009, dvs har vært på markedet i tre år. Det er bøttevis av personer som har vurdert LastPass sine løsninger og vurdert det til å være en god og sikker løsning. Da har man blant annet vurdere hva LastPass sender av informasjon og i hvilken form. Så selv om vi ikke kan se kildekoden så er det nok personer som har sjekket så mye av løsningen til at de kan verifisere at LastPass snakker sant. LastPass hadde ikke hatt flere millioner brukere om de hadde drevet feilinformasjon og blitt oppfattet som useriøse. LastPass viste også i mai 2011 at de tar sikkerhet alvorlig. Før noen som helst eksternt hadde informasjon om problemer, så informerte LastPass selv om unormal aktiviteter og gav brukerne anbefalinger. Blant annet la de inn tvunget skifte av master passord før de viste i det hele tatt om noe var på avveie. Du kan lese mer på http://blog.lastpass...tification.html Oppfatter du dette som en useriøs aktør - ja da tror jeg du bør være offline resten av livet. Endret 7. juni 2012 av Bolson 1 Lenke til kommentar
nomore Skrevet 7. juni 2012 Del Skrevet 7. juni 2012 Ingen VET om dem er serriøse.LinkedIn har også i alle år blitt regnet som serriøse, og ikke mange hadde nok forrutesett denne hacken. Hva er din løsning da? Lenke til kommentar
*F* Skrevet 7. juni 2012 Del Skrevet 7. juni 2012 Løsningen er å gi opp og innse at det ikke er noen god løsning. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå