Millioner av hackede Adobe-konti hadde «123456» som passord

[lektroluv]

Er ikke det litt skummelt? Generellt sett er det en dårlig ide å lagre alle ting på en plass. Har selv masse pwd's lagret i nettleseren, men ting som TrueCrypt passord osv er kun lagret i huet, og på en lapp ikke engang jeg vet hvor er da jeg har glemt hvor jeg la den.

Du kan sette opp Keepass til å kreve passord og en nøkkelfil, så det blir en slags to-faktor innlogging.

 

 

When using both password and key file, the final key is derived as follows: SHA-256(SHA-256(password), key file contents), i.e. the hash of the master password is concatenated with the key file bytes and the resulting byte string is hashed with SHA-256 again. If the key file doesn't contain exactly 32 bytes (256 bits), they are hashed with SHA-256, too, to form a 256-bit key. The formula above then changes to: SHA-256(SHA-256(password), SHA-256(key file contents)).

 

KeePass supports the Advanced Encryption Standard (AES, Rijndael) and the Twofish algorithm to encrypt its password databases. Both of these ciphers are regarded as being very secure. AES e.g. became effective as a U.S. Federal government standard and is approved by the National Security Agency (NSA) for top secret information.

The complete database is encrypted, not only the password fields. So, your user names, notes, etc. are encrypted, too.

SHA-256 is used as password hash. SHA-256 is a 256-bit cryptographically secure one-way hash function. Your master password is hashed using this algorithm and its output is used as key for the encryption algorithms.

In contrast to many other hashing algorithms, no attacks are known yet against SHA-256.

 

Ganske sikkert, altså

[Olavxxx]

Folk som har såpass enkle passord, gjør det nok gjennomgående på andre steder.

 

Problemet er altså ikke nødvendigvis bare hos adobe.com , men at de gjerne har samme på sin e-post. Tar man da over e-postkontoen, kan man ta over det digitale livet deretter.

[rebjorn]

naps

[HilRam]

er det ingen her som har forstått at

- sikre passord er de som er vanskelige å gjette seg til

- sikre passord er også vanskelig å huske , da velger man et letere passord

- passord skal aller helst ikke lagres, skrives ned eller fortelles til andre . man skal altså huske ( alle) dem man bruker uten å skrive dem ned

 

å forholde seg 100% til disse 3 punktene blir veldig vanskelig

Spot on!

 

Det er det som er vårt store dilemma i forhold til kunder - dersom vi blir for strenge med passord-policy, og tvinger dem til å bytte ofte, så ender det bare opp med at passordet havner på en gul lapp som i beste fall ligger under tasteturet. Men helst festet til skjermen.

Så det er en vanskelig balansegang dette her!

[tommyb]

Gullapper kan du forhindre helt med å kreve nok lange passord til at det blir upraktisk å skrive dem inn, og samtidig introdusere dem til f.eks. KeePass.

[IndirectCell]

Di som valghe tullepassord er heldig her, ingenting avslørt, å er brukernavnet enda mer generelt noe som "Privat Privat" eller annet som ikke kan ledes noen steder + e-mail med spoof adresse som leder til en tulle person (som kansje eller kansje ikke eksisterer ) som blir brukt til det meste tullete

 

Da er ikke passordet eller brukernavnet ditt som du bruker seriøst på frifot å dem kan heller ikke sammenligne med e-posten.. og da er man sikker på internett, om ett sted skulle bli åpnet av hackere. for da finner dem bare ubrukelig data.

[XmasB]

Jeg skulle registrere meg for beta på ny Dota-klonen til Blizzard i dag. I den forbindelse fikk jeg beskjed om at kontoen min var stengt pga mistenkelig oppførsel. Jeg hadde ikke fått noe på SMS selv om dette er satt opp.

 

Anywho... Når jeg da skal sette nytt passord etter å ha fått den låst opp via SMS får jeg ikke lov å legge inn det jeg vil. Blizzard har nemlig en begrensing på lengden et passord kan være. Passordet jeg ville ha er på 24 tegn. Men pga begrensing ble det istedet på 12 tegn. Lurer på om 14 er maks. Hvorfor det skal begrenses på slikt forstår jeg ikke. I praksis fører jo dette bare til svakere passord, og en antydning om et svakt system som ikke nødvendigvis håndterer passord på en god måte.