Gå til innhold
🎄🎅❄️God Jul og Godt Nyttår fra alle oss i Diskusjon.no ×

Alvorlige sårbarheter fjernet fra populært passordprogram


Anbefalte innlegg

Videoannonse
Annonse

 

 

 i tillegg er det fint mulig å lage seg regler der man har en del av passordet som er generert at websidens navn feks, som gjør at man ikke må gjenbruke det samme.

 

Og når en angriper har fått tak i ett eller to av dine passord, så er det dritenkelt å gjette seg til resten av passordene dine?

For ingen angriper kan vel være like lur som deg, right?

 

Samme svakhet med "password padding", dersom man bruker samme "padding" overalt.

 

 

1. Jeg tviler på at angripere gidder å gjette seg til passord. De bruker kompromitterte passord i store databaser, og orker ikke å sjekke noe mer enn det.

 

2. Det er nesten alltid en hash de får tak i, det forutsetter også at de faktisk henter ut ditt passord, ikke et annet passord med samme hash.

 

AtW

Lenke til kommentar

 

1. Jeg tviler på at angripere gidder å gjette seg til passord. De bruker kompromitterte passord i store databaser, og orker ikke å sjekke noe mer enn det.

 

2. Det er nesten alltid en hash de får tak i, det forutsetter også at de faktisk henter ut ditt passord, ikke et annet passord med samme hash.

 

 

En leser til stadighet om store databaser med brukernavn/passord (ukryptert) som kommer på avveier. Det kan være nok med ett av dine spesialpassord før en eller annen luring prøver å gjette hvilket passord du kan ha brukt på en annen webside. Er man desperat nok, og har man dårlig nok betalt, så kan det vel hende man er villig til å bruke litt tid for å få tilgang til en annen persons 'konto' på en eller annen nett-tjeneste. Hvor angriperen går derfra er en annen sak.

Lenke til kommentar

Personlig kommer jeg nok aldri til å lagre passordene mine på devicer jeg ikke kontrollerer selv, som skytjenester. Bruker KeePass og syncer databasen til nødvendige devicer med Bittorrent Sync da jeg ikke vil legge databasen på Google Drive, One Drive el.. heller.

For å sikre at jeg ikke overskriver noe ved en feiltagelse velger jeg å bare legge til å slette passord på en enkelt PC. Deler databasen som read-only via Bittorrent Sync fra denne PC'en,

Lenke til kommentar

Enten synker jeg en kopi av passorddatabasen til min iPhone gjennom iTunes. Bruker selvfølgelig ikke lagring i skyen og iTunes gjør jobben med synkronisering med PC enkel og grei (iPhone fungerer faktisk meget bra mtp. privacy). Skulle jeg trenge passord hvis jeg er på reise kan jeg alltid nå passorddatabasen via VPN som jeg selv kontrollerer. Har satt opp både SSL-VPN og IPSec-VPN, med og uten split tunneling, alt ettersom hva jeg trenger og/eller ønsker utifra den enkelte situasjon. Og selvfølgelig, autoriativt lager for passorddatabasen står selvfølgelig på et VLAN som ikke er nåbart utenfra, og enheten kan ikke snakke ut mot internett..

Endret av stigfjel
Lenke til kommentar

Jeg har forøvrig over 120 ulike siter med ulike passord i min passord-manager... lykke til med å staplehorse de...

 

Ja, helt enig., jeg nærmer meg 250 sites, hvorav antagelig endel er utdatert helt sikkert :)

 

En annen viktig ting med Lastpass, er "Sikkerhetsutfordring". Her kan Lastpass analysere alle passordene dine og rapportere om f.eks duplikat passord, svake passord osv.

 

Joda, man har alle eggene i en kurv. Men med to-faktor auth (f.eks Lastpass Authenticator som er gratis) så er man rimelig sikker mener nå jeg. Og veldig mye sikrere enn å dra rundt på en eller annen bok som man risikerer å miste eller bli frastjelt.

Lenke til kommentar

Ønsker man å ha kontroll over noe som 100 lange passord eller mer på en trygg måte må man bruke noe som Keepass, Lastpass, 1pass eller lignende verktøy. Det er bestandig en vist risiko med bruk av såne verktøy, men det er bare tull å tenke at man kan ha kontroll over så mange unike og lange passord på egen hånd på en trygg måte hvis du ikke er Johnny Mnemonic.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...