Gå til innhold

Endelig kan vi bli kvitt de plagsomme passordene

AfterGlow

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
MiSP

MiSP

Skrevet
Skrevet

USB-tilkobling gjør dette uegnet for mobilt bruk, som naturligvis er ganske utbredt. Man må derfor ha f.eks. passord som en alternativ innloggingsmetode. Sikkerheten er ikke sterkere enn det svakeste ledd, så dette løser ingen sikkerhetsproblemer - det gjør bare livet litt enklere når man bruker PC/laptop.

Nei, bruk heller en fornuftig passorddatabase.

  • Liker 4
Lenke til kommentar
MiSP

MiSP

Skrevet
Skrevet

Dette ligner vel nesten det samme som å bruke keepass med passord samt en passordfil lagret på usb nøkkel.

Bortsett fra at man må da kopiere innloggingsinformasjonen selv.

 

Det finnes plugins som setter inn passordinformasjon automatisk. Jeg bruker KeeFox (Firefox-plugin), men det finnes tilsvarende til bl.a. Chrome. Søk etter KeePass i plugins til nettleseren din.

Lenke til kommentar
IceBlitz

IceBlitz

Skrevet
Skrevet

Enten har jeg misforstått eller så er det lite å hente med denne oppfinnelsen.

 

Hvis jeg skal inn på min GMail er det da mye enklere å bare skrive inn mailadressen og passordet, istedenfor å bøye med ned under en pult, stikke inn en USB-enhet i en ledig USB-port, for så å skrive inn en PIN-kode før jeg kan logge på.

 

Samme med alt annet.

 

Det er faktisk et veldig lite problem å bruke ett passord til "alt". Dersom man har et skikkelig passord som oppfyller følgende krav er det nærmest umulig å knekke det:

 

- 8 karakterer

- store og små bokstaver

- Spesialtegn

- ikke bruke ett form for ord eller uttrykk

 

 

Den eneste risikoen man har ved å bruke det samme passordet på alt, er dersom en av tjenestene man bruker passordet på lager en enkel hash av passordet eller lagrer det i klartekst i sin brukerkatalog.

 

Men da bruker man seriøst amatørmessige tjenester.

Jeg bruker feks hotmail, gmail, nettbank, store kjente nettbutikker, "Mine sider" på tlf abonnement etc.

 

Og ingen av de tjenestene jeg bruker som krever innlogging ser ut til å ha en tilsynelatende dårlig sikring av brukerkatalogen og dens info. Jeg ser derfor liten risiko ved å bruke få passord. Jeg har ikke kun ett eneste ett, men det er nok mer fordi jeg er mer paranoid om det enn jeg trenger å være om man måler litt på risiko.

Lenke til kommentar
Stigander

Stigander

Skrevet
Skrevet

USB-tilkobling gjør dette uegnet for mobilt bruk, som naturligvis er ganske utbredt. Man må derfor ha f.eks. passord som en alternativ innloggingsmetode. Sikkerheten er ikke sterkere enn det svakeste ledd, så dette løser ingen sikkerhetsproblemer - det gjør bare livet litt enklere når man bruker PC/laptop.

 

Nei, bruk heller en fornuftig passorddatabase.

 

YoubiKey NEO inneholder også NFC, så den kan kommunisere med mobilen (http://www.yubico.com/products/yubikey-hardware/yubikey-neo/)

Lenke til kommentar
MiSP

MiSP

Skrevet
Skrevet

YoubiKey NEO inneholder også NFC, så den kan kommunisere med mobilen (http://www.yubico.com/products/yubikey-hardware/yubikey-neo/)

 

Det gjør jo saken betraktelig bedre. :) Jeg er likevel noe skeptisk. Man må alltid ha en backupløsning for innlogging, en konto kan jo ikke bli ubrukelig om man mister eller blir frastjålet denne dingsen. At det er et steg i riktig retning kan jeg imidlertid gå med på.

Lenke til kommentar
MrL

MrL

Skrevet
Skrevet (endret)

*Snip*

 

Og skal man da avgjøre i hvert tilfelle hvilke tjenester som er amatørmessing eller ikke?Hvordan skal du virkelig avgjøre at Dustin home er amatørmessing tjeneste som lagrer passordet i klartekst? Det er så klart sider som er sikrere enn andre, men før eller siden vil du treffe på nettsider du rett og slett ikke vet en dritt om hvordan de prioriterer sikkerhet(og det er flere man tror man kan stole på som har vist seg senere å bevist motsatt). Fra et sikkerhetsperspektiv er det derfor verdens verste råd å bruke et passord til alt, selvom det er ett sikkert passord.

 

Unntaket er om man bruker tjenester som Lastpass. Det er mye sikrere og veldig enkelt når man har fått konvertert alt over. Vil man bruke et passord til alt ser jeg ingen grunn til å ikke bruke Lastpass?

 

Men en USB dingle er svært uhendig, det hadde isåfall vært mye enklere med en kodegenerator ala den man bruker i bankid i forhold til mobilen. Dessuten ja, verdens undergang om USB'en blir borte..

Endret av MrLG
Lenke til kommentar
XmasB

XmasB

Skrevet
Skrevet

Og ingen av de tjenestene jeg bruker som krever innlogging ser ut til å ha en tilsynelatende dårlig sikring av brukerkatalogen og dens info. Jeg ser derfor liten risiko ved å bruke få passord. Jeg har ikke kun ett eneste ett, men det er nok mer fordi jeg er mer paranoid om det enn jeg trenger å være om man måler litt på risiko.

 

De siste årene har vi vært vitne til et ekstremt høyt antall tjenester som har lekket passord. De fleste av disse har vært å anse som sikre. Helt til de ikke var det likevel...

 

Om du bruker samme passord flere steder er du prisgitt flaks og lite annet.

  • Liker 1
Lenke til kommentar
Occi

Occi

Skrevet
Skrevet

Og ingen av de tjenestene jeg bruker som krever innlogging ser ut til å ha en tilsynelatende dårlig sikring av brukerkatalogen og dens info. Jeg ser derfor liten risiko ved å bruke få passord. Jeg har ikke kun ett eneste ett, men det er nok mer fordi jeg er mer paranoid om det enn jeg trenger å være om man måler litt på risiko.

Det er i beste fall historieløst å si at det er paranoid å være skeptisk til å ha samme passord overalt. Adobe, Linkedin, Last.fm, "store kjente nettbutikker" m.mer har klart å lekke kundeinfo og passord med eller uten hash.

  • Liker 1
Lenke til kommentar
Snowleopard

Snowleopard

Skrevet
Skrevet

 

 

YoubiKey NEO inneholder også NFC, så den kan kommunisere med mobilen (http://www.yubico.com/products/yubikey-hardware/yubikey-neo/)

Det gjør jo saken betraktelig bedre. :) Jeg er likevel noe skeptisk. Man må alltid ha en backupløsning for innlogging, en konto kan jo ikke bli ubrukelig om man mister eller blir frastjålet denne dingsen. At det er et steg i riktig retning kan jeg imidlertid gå med på.

Enig med deg. Har ikke sjekket om det går, men i tilfelle, kan man ha f.eks. 3 ubikeys, og så merker man de rød, grønn eller gul, der grønn er for sider der sikkerhet er så-som-så, gul er for litt mer sensitive tilganger, mens rød er for noen få men mer kritiske tilganger.

 

Da har man ihvertfall en tretrinns risikotilnærming... Men igjen, enløsning for de gangene du ikke har uikey tilgjengelig, eller den blir defekt av en eller annen årsak.

Lenke til kommentar
MrL

MrL

Skrevet
Skrevet (endret)

Enig med deg. Har ikke sjekket om det går, men i tilfelle, kan man ha f.eks. 3 ubikeys, og så merker man de rød, grønn eller gul, der grønn er for sider der sikkerhet er så-som-så, gul er for litt mer sensitive tilganger, mens rød er for noen få men mer kritiske tilganger.

 

Da har man ihvertfall en tretrinns risikotilnærming... Men igjen, enløsning for de gangene du ikke har uikey tilgjengelig, eller den blir defekt av en eller annen årsak.

 

Det er er egentlig ikke en bra løsning med mindre man deler en kontoer med andre(man vil jo ha tilbake alt, ikke bare små deler).

 

Hva som skjer når man mister USB'en er opp til hver enkelte tjeneste, men prinsippet er jo at det skal ikke være mulig å komme inn uten en USB, så du skal være fucked hvis du mister den, ellers ville faktisk 100 % av poenget med en USB vært borte.

 

Det derimot Lastpass gjør er at du kan ha 5 USB på en konto, så det er vel lurt å kjøpe minst 2 stk og grave ned den ene i en boks i hagen eller no sånt :)

Endret av MrLG
Lenke til kommentar
Sitron_NO

Sitron_NO

Skrevet
Skrevet (endret)

Det som ikke kommer helt fram i artikkelen er hvordan Yubi-keys fungerer. Den er i seg selv et tastatur, så hver gang jeg trykker på den spyr den ut en streng, f.eks denne:

ccccccbjkvkjvhufnkkhcrgdihkejnctktbfkifhkfln

De første tegnene er en identifikator, alt annet er en OTP som dermed forandrer seg fra gang til gang. Denne sendes fra meg, via Google til Yubico som verifiserer at jeg er meg, og dermd får jeg tilgang.

 

Med andre ord: Det er som BankID, men mye lettere og like sikkert. For mobil vil dette også fungere, da Yubikey NEO har NFC.

 

Min Yubikey ligger i kortlommen, så jeg har den alltid med meg. Bruker den idag mot Lastpass, men hadde vært ideelt å kunne bruke den i stede for BankID, eller mot Google, mot egne Linux-servere som kjører SSH og slikt.

 

Edit: Jeg har selvfølgelig to Yubikeys som er aktiv, den ene i backup som jeg har gjemt vekk :-)

Endret av Sitron_NO
Lenke til kommentar
Displayname

Displayname

Skrevet
Skrevet

Synes ikke det høres så dumt ut jeg. Ser for meg at det blir en tilvenningssak å huske på nøkkelen, men jeg klarer da å huske på bilnøkkelen når jeg skal kjøre, alle mulige kort når jeg trenger dem, mobilen osv. Ser ingen grunn til at jeg ikke skulle klare å holde styr på en USB-nøkkel dersom den ble en integral del av elektronikkhverdagen min. Blir den utbredt, så får man kanskje flere skjermer med USB-port i som er tiltenkt nøkkelen, og da slipper man å bøye seg ned under bordet for å finne en ledig port i den stasjonære PCen.

 

Go for it! (y)

Lenke til kommentar
sirtommen

sirtommen

Skrevet
Skrevet

USB-tilkobling gjør dette uegnet for mobilt bruk, som naturligvis er ganske utbredt. Man må derfor ha f.eks. passord som en alternativ innloggingsmetode. Sikkerheten er ikke sterkere enn det svakeste ledd, så dette løser ingen sikkerhetsproblemer - det gjør bare livet litt enklere når man bruker PC/laptop.

 

Nei, bruk heller en fornuftig passorddatabase.

 

Enheten støtter også NFC, og om jeg ikke husker å ha lest feil så jobbet Lenovo bla med å kunne låse opp Android telefonene sine med denne brikken ved bruk av NFC.

Lenke til kommentar
AlfSimen

AlfSimen

Skrevet
Skrevet (endret)

USB-tilkobling gjør dette uegnet for mobilt bruk, som naturligvis er ganske utbredt. Man må derfor ha f.eks. passord som en alternativ innloggingsmetode. Sikkerheten er ikke sterkere enn det svakeste ledd, så dette løser ingen sikkerhetsproblemer - det gjør bare livet litt enklere når man bruker PC/laptop.

 

Nei, bruk heller en fornuftig passorddatabase.

En YubiKey Neo har også NFC, så det funker supert mot mobil. (har en slik selv og er strålende fornøyd)

 

Edit: skulle nok ha refreshet artikkelen, for det rant inn med svar om akkurat dette >_<

Endret av AlfSimen
Lenke til kommentar
Argusblikk

Argusblikk

Skrevet
Skrevet (endret)

 

 

....
Og ingen av de tjenestene jeg bruker som krever innlogging ser ut til å ha en tilsynelatende dårlig sikring av brukerkatalogen og dens info. Jeg ser derfor liten risiko ved å bruke få passord. Jeg har ikke kun ett eneste ett, men det er nok mer fordi jeg er mer paranoid om det enn jeg trenger å være om man måler litt på risiko.

 

 

 

Og skal man da avgjøre i hvert tilfelle hvilke tjenester som er amatørmessing eller ikke?Hvordan skal du virkelig avgjøre at Dustin home er amatørmessing tjeneste som lagrer passordet i klartekst?

....

 

 

 

De siste årene har vi vært vitne til et ekstremt høyt antall tjenester som har lekket passord. De fleste av disse har vært å anse som sikre. Helt til de ikke var det likevel...

 

Om du bruker samme passord flere steder er du prisgitt flaks og lite annet.

 

 

Det er i beste fall historieløst å si at det er paranoid å være skeptisk til å ha samme passord overalt. Adobe, Linkedin, Last.fm, "store kjente nettbutikker" m.mer har klart å lekke kundeinfo og passord med eller uten hash.

 

 

Det er jeg helt enig i. Senest i forrige uke fant jeg ut at flere av sidene jeg anså som "trygge" faktisk lagrer passord i klartekst. Tok i bruk Keepass, og da jeg resatte passord i den forbindelse, så fikk jeg fran enkelte av tjenestene i stedet meldingen "Hei, her er passordet ditt!". Der i blant var den norske nettbutikken Dropzone/Ateadirect. Amatørmessig og farlig.

Endret av Argusblikk
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...