Harald Brombach (digi.no) Skrevet 28. juli 2016 Del Skrevet 28. juli 2016 Alvorlige sårbarheter fjernet fra populært passordprogram Lenke til kommentar
ATWindsor Skrevet 28. juli 2016 Del Skrevet 28. juli 2016 Som jeg har skrevet før, når folk anbefaler slikt for å løse problemene med passordinnbrudd rundt omkring, ulempen er at man har alle eggene i en kurv, og må stole på de som lager denne softwaren, konsekvensen av brudd hos de er enorm. AtW Lenke til kommentar
LMH Skrevet 28. juli 2016 Del Skrevet 28. juli 2016 Korleis fungerer desse tenestene? Om eg skal logge inn på facebook eller nettbank på telefonen f.eks., går eg inn på appen og leser passordet, eller skriver eg inn eit enkelt passord til passord-administratoren og så logger den meg automatisk inn? Sverger til å skrive ned passord fysisk eg då, ser ikkje korleis det er mindre trygt. Lenke til kommentar
Kikert Skrevet 28. juli 2016 Del Skrevet 28. juli 2016 Sverger til å skrive ned passord fysisk eg då, ser ikkje korleis det er mindre trygt. Jeg også. Det er et mindre marked for fysiske innbrudd enn hacking i Norge. Vi er kjent for å ha godt med penger så det er mer lukrativt å gjøre det via nett, sikrere er man også da man ikke trenger å være på stedet. Det er relativt enkelt å sikre/ gjemme et papir eller to med passord på. Så kan man argumentere for at "kanskje man trenger passord til X når man ikke er hjemme". Vel, hvis man undervurderer sin hjerne i så stor grad at man tror man ikke kan huske de få passordene man virkelig trenger når man ikke er hjemme så blir jeg litt trist. Hvis man har klart å lære å lese og skrive så bør det ikke være så vanskelig å pugge relativt enkle passord som er vanskelig å knuse. 1 Lenke til kommentar
hakontdal Skrevet 28. juli 2016 Del Skrevet 28. juli 2016 Korleis fungerer desse tenestene? Om eg skal logge inn på facebook eller nettbank på telefonen f.eks., går eg inn på appen og leser passordet, eller skriver eg inn eit enkelt passord til passord-administratoren og så logger den meg automatisk inn? Prøv det gjerne. Om du er skeptisk, så kan du gjer uttesting med mindre viktige tenester. På min iPhone har eg LastPass-appen installert. Eg tar opp Safari eller Chrome og surfar rundt. På ei side må eg inn med brukarnamn og passord som eg frå før har lagra i LastPass (dette gjor eg gjerne på PCen, tidlegare). Eg trykker "Send/del"-knappen i nettlesaren på mobilen, og velger LastPass. Nettlesaren sender web-sida til LastPass-appen som startar opp. Eg blir bedt om tommelen på fingeravtrykkslesaren. LastPass sender meg så tilbake til nettlesaren og fyller inn felta med brukarnamn og passord. Det fungerer fint. Eg slepp å tasta noko på tastaturet og eg slepp at folk som ser kva eg gjer kan sjå passordet. LastPass verifiserer at domenet faktisk er riktig, så eg ikkje tastar passordet inn på ei "phishing-side". Når eg skal ha tak i andre informasjonar, kopierer eg det frå LastPass og limar det inn der eg treng det. Dette er ikkje lika automagisk, men fungerer greit. Og, ja. Du kan også starta i passord-appen og "starta" passordbeskytta tenester derifrå. Ingen seier at alle _må_ bruka LastPass, men dette er ei teneste som gjer det hensiktsmessig å ha unike og lange passord per teneste på nettet. Når ikkje ein gong du kan hugsa passorda dine, er du betre rusta mot "brute force"-angrep. Lenke til kommentar
Zeph Skrevet 28. juli 2016 Del Skrevet 28. juli 2016 Eg har brukt LastPass nokre år og er veldig nøgd med tenesta. Det store risikoelementet er sjølvsagt at alle passorda ligg i same database, men eg har så mange kontoar på nett at det får bli sånn. Lenke til kommentar
Kikert Skrevet 28. juli 2016 Del Skrevet 28. juli 2016 Ingen seier at alle _må_ bruka LastPass, men dette er ei teneste som gjer det hensiktsmessig å ha unike og lange passord per teneste på nettet.Når ikkje ein gong du kan hugsa passorda dine, er du betre rusta mot "brute force"-angrep. 2 Lenke til kommentar
_dundun_ Skrevet 28. juli 2016 Del Skrevet 28. juli 2016 Når man skal ha unike sterke passord på kanskje 50 forskjellige sites hjelper det lite med Correct Horse-metoden, man må uansett skrive ned et sted. Det aller aller viktigste er å ha tofaktor på alle steder som gir mulighet til å endre passord andre steder eller som brukes til login, særlig mail og Facebook. Kommer noen seg inn på de kontoene har de plutselig tilgang til veldig mye. 2 Lenke til kommentar
Kikert Skrevet 28. juli 2016 Del Skrevet 28. juli 2016 Hvor ofte bruker man de forskjellige passordene da? Jeg husker vel 10-15 passord i hodet, de tjenestene jeg bruker fast. Det er sikrere å ha passordene lagret i en database som ikke kan hackes fra en avsidesliggende krok et eller annet sted i Elfenbenskysten Lenke til kommentar
nebrewfoz Skrevet 28. juli 2016 Del Skrevet 28. juli 2016 konsekvensen av brudd hos de er enorm. Konsekvensen av "brudd" hos LastPass er at innbryterne sitter med en haug med krypterte data. Dekrypteringsnøklene finnes hos hver enkelt bruker av LastPass. De LastPass-svakhetene som det handler om i denne artikkelen, er kun relatert til hva som skjer på brukerens egen maskin, der LastPass plug-in blir 'lurt' til å gi fra seg logon & passord til uvedkommende. Så det spiller ingen rolle om LastPass lagrer ting i 'skyen'; problemet er at man kjører en browser-plugin som har tilgang til alle ens logon/passord-kombinasjoner, og den lar seg av og til lure. 1 Lenke til kommentar
Zork Skrevet 28. juli 2016 Del Skrevet 28. juli 2016 (endret) Undres stadig over at den xkcd-stripen er garantert å dukke opp i enhver debatt rundt passord til tross for at 1. Alle som debatterer passord har garantert sett den minst 100 ganger før og 2. Det er gode årsaker (som er postet nesten like mange ganger som stripen) som forklarer hvorfor den egentlig ikke er relevant. Jeg har forøvrig over 120 ulike siter med ulike passord i min passord-manager... lykke til med å staplehorse de... Endret 28. juli 2016 av Zork 6 Lenke til kommentar
Kikert Skrevet 28. juli 2016 Del Skrevet 28. juli 2016 konsekvensen av brudd hos de er enorm. Konsekvensen av "brudd" hos LastPass er at innbryterne sitter med en haug med krypterte data. Dekrypteringsnøklene finnes hos hver enkelt bruker av LastPass. De LastPass-svakhetene som det handler om i denne artikkelen, er kun relatert til hva som skjer på brukerens egen maskin, der LastPass plug-in blir 'lurt' til å gi fra seg logon & passord til uvedkommende. Konsekvensen av brudd er jo individuellt, men det gjør det ikke mindre enormt for de som blir utsatt. Så kan i verste fall hele greia bli tatt over og det blir lagt ut en oppdatering som tar alt av info hos alle brukere, sannsynligheten er vel ca 0. Undres stadig over at den xkcd-stripen er garantert å dukke opp i enhver debatt rundt passord til tross for at 1. Alle som debatterer passord har garantert sett den minst 100 ganger før og 2. Det er gode årsaker (som er postet nesten like mange ganger som stripen) som forklarer hvorfor den egentlig ikke er relevant. Har ikke noe å si om den har blitt brukt 100 ganger før eller at den er irrelevant. Har du aldri ledd av samme vits to ganger? Lenke til kommentar
stigfjel Skrevet 28. juli 2016 Del Skrevet 28. juli 2016 (endret) Synes tittelen er særs misvisende. LastPass er vel ikke noe program, heller en skytjeneste. Selv holder jeg passord langt unna maskinvare jeg selv ikke har kontroll på. Likevel har jeg de passordene jeg trenger lett tilgjengelig uansett hvor jeg måtte befinne meg. Endret 28. juli 2016 av stigfjel Lenke til kommentar
hernil Skrevet 28. juli 2016 Del Skrevet 28. juli 2016 Som jeg har skrevet før, når folk anbefaler slikt for å løse problemene med passordinnbrudd rundt omkring, ulempen er at man har alle eggene i en kurv, og må stole på de som lager denne softwaren, konsekvensen av brudd hos de er enorm. AtW Fordelen med lastpass er at de har vist at de kan det de driver med og tar sikkerhet på alvor. Ingenting er perfekt, men alternativet er i praksis passordgjenbruk og når en mindre godt sikret side lekker passordene dine så er fort 1/4,1/5 av sidene dine kompromittert. Forutsatt at du i det hele tatt husker hvor du har konto er det en drittjobb å rydde opp i. Denne spesifikke situasjonen var meget uheldig, men ting ble patcher lynkjapt. De har også tidligere blitt hacket, men da gadd jeg ikke engang bytte masterpassord siden det er godt nok til at hackerne ikke har sjans til å knekke det med den hashingen lastpass har brukt. Selve passordene er også kryptert på klientsiden så de sitter ikke lastpass på engang. Så ja, ingenting er perfekt, men lastpass er for de fleste langt bedre enn alternativet! 3 Lenke til kommentar
nebrewfoz Skrevet 28. juli 2016 Del Skrevet 28. juli 2016 LastPass er vel ikke noe program, heller en skytjeneste. Det er kun betal-utgave som tilbyr skytjenester, og da kun for lettere å synkronisere passordlisten på ulike dingser. LastPass er primært en "passord-safe" for en PC (eller et nettbrett, eller en smartphone). Lenke til kommentar
ATWindsor Skrevet 28. juli 2016 Del Skrevet 28. juli 2016 Som jeg har skrevet før, når folk anbefaler slikt for å løse problemene med passordinnbrudd rundt omkring, ulempen er at man har alle eggene i en kurv, og må stole på de som lager denne softwaren, konsekvensen av brudd hos de er enorm. AtW Fordelen med lastpass er at de har vist at de kan det de driver med og tar sikkerhet på alvor. Ingenting er perfekt, men alternativet er i praksis passordgjenbruk og når en mindre godt sikret side lekker passordene dine så er fort 1/4,1/5 av sidene dine kompromittert. Forutsatt at du i det hele tatt husker hvor du har konto er det en drittjobb å rydde opp i. Denne spesifikke situasjonen var meget uheldig, men ting ble patcher lynkjapt. De har også tidligere blitt hacket, men da gadd jeg ikke engang bytte masterpassord siden det er godt nok til at hackerne ikke har sjans til å knekke det med den hashingen lastpass har brukt. Selve passordene er også kryptert på klientsiden så de sitter ikke lastpass på engang. Så ja, ingenting er perfekt, men lastpass er for de fleste langt bedre enn alternativet! For det første finnes det andre alterntiver i samme bransje, og i tillegg er det fint mulig å lage seg regler der man har en del av passordet som er generert at websidens navn feks, som gjør at man ikke må gjenbruke det samme. Sier ikke at ting som lastpass er dårlig, men synes enkelte lovpriser det litt i overkant, og risikoen med ha alt på samme sted er reell. AtW Lenke til kommentar
stigfjel Skrevet 28. juli 2016 Del Skrevet 28. juli 2016 Det er kun betal-utgave som tilbyr skytjenester, og da kun for lettere å synkronisere passordlisten på ulike dingser. LastPass er primært en "passord-safe" for en PC (eller et nettbrett, eller en smartphone). Selv bruker jeg KeePass(X) med smart(e) plassering(er) av selve passorddatabasen. På den måten, samt med en god hjemmebrannmur kan jeg få til det samme som om man skulle brukt skytjenesten. Og jeg har full kontroll på hvor dataene er plassert, samt tilgangen til dataene. Lenke til kommentar
nebrewfoz Skrevet 28. juli 2016 Del Skrevet 28. juli 2016 i tillegg er det fint mulig å lage seg regler der man har en del av passordet som er generert at websidens navn feks, som gjør at man ikke må gjenbruke det samme. Og når en angriper har fått tak i ett eller to av dine passord, så er det dritenkelt å gjette seg til resten av passordene dine? For ingen angriper kan vel være like lur som deg, right? Samme svakhet med "password padding", dersom man bruker samme "padding" overalt. Lenke til kommentar
stigfjel Skrevet 28. juli 2016 Del Skrevet 28. juli 2016 Nei, takke meg heller til unike, genererte passord når man skal sette nytt, uten noe som er basert på tidligere passord. Og med en passordlommebok som KeePass(X) blir det ganske enkelt å holde styr på alle passordene. Da blir det ikke nødvendig med noe gjenbruk. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå