Sikkerheten til alle de mest populære passordappene var langt under pari

[Harald Brombach (digi.no)]

Sikkerheten til alle de mest populære passordappene var langt under pari

[Xantippe]

Jeg bruker LastPass og lurer på om noen kjenner til svakheter med denne.

Jeg har et sterkt passord, som jeg knapt klarer å lære selv, for å logge inn.

På mobilen må jeg bekrefte både med fingeravtrykk og passordet til LastPass-kontoen min.

Hvis jeg logger inn på nye enheter, må jeg bekrefte innloggingen via e-post eller mobil, så jeg føler meg rimelig trygg, men samtidig knyter det seg i magen ved tanke på hvilke konsekvenser det vil få hvis andre kommer seg inn.

[Gjest Slettet-Pqy3rC]

En nett basert tjeneste til passordlagring blir bukken og havresekken for meg. Heller noe "offline" verktøy (f.eks. KeePass) som arkiverer i en fil. Deretter kan en distribuere fila via sine egne tjenester (alle har vel en server stående...).

[jocke]

Det står mer detaljer om hvert system hos The Register. De tre som nevnes for LastPass, ser utelukkende ut til å gjelde Android (1 2 3), uten videre spesifisering om det skjer det samme på Windows-, Web-, eller iOS-varianten.

Endret 1. mars 2017 av jocke

[GitKenneth]

Å lagre passordene sine i "skyen" er aldri en god idé.

[Fungus]

Jeg bruker LastPass og lurer på om noen kjenner til svakheter med denne.

Jeg har et sterkt passord, som jeg knapt klarer å lære selv, for å logge inn.

På mobilen må jeg bekrefte både med fingeravtrykk og passordet til LastPass-kontoen min.

Hvis jeg logger inn på nye enheter, må jeg bekrefte innloggingen via e-post eller mobil, så jeg føler meg rimelig trygg, men samtidig knyter det seg i magen ved tanke på hvilke konsekvenser det vil få hvis andre kommer seg inn.

 

Bruker Lastpass selv, og tenker at selv om det er endel ulemper med denne løsningen (f.eks at den er skybasert), så utveies dette langt på vei av fordelene. Selv om det ikke kommer KJEMPEGODT fram i artikkelen her, så ser det ut som det er Android appen som er ute og sykler litt, så hadde vært interessant å vite om dette gjelder iOS og Windows også.

 

Men altså, fordeler vs ulemper. Skal man memorere flere hundre passord uten å bruke ett mønster som kan knekkes, så tror jeg man må være minst i kategorien "spesiell".

Så har man 2-faktor auth på de viktigste tjenestene (naturligvis inklusive Lastpass selv med Lastpass Authenticator) så mener jeg personlig at det er bra nok.

At andre er uenig med meg og heller noterer ned passordene i en gul bok som de oppbevarer i en hemmelig bankboks i Sveits tar jeg ikke så tungt.

[Syar-2003]

Vi bruker enpass. Den ivaretar sikkerheten på kle punkter inkl lagring av databsefil på skytjeneste (kryptert med 256 bit AES)

Er ikke omtalt i denne testen.

 

En annen security assessment gir meg iallfall ro i sjelen.

https://www.intego.com/mac-security-blog/how-to-choose-the-right-password-manager-for-you/

[Y4BNH49Z]

Enpass er det eneste jeg har turt å bruke selv. Det er bare en 256-bit AES kryptert sqlite-database man kan putte hvor man vil. Skytjeneste eller ikke. Totalt valgfritt.

[Martin Lie]

Er det noen som har prøvd https://passwords.mytrezor.com/ ?

 

Vurderer seriøst å hoppe over på Chrome for å teste...

[serpaul]

Hva er sikkerhetsrisikoen ved å la Chrome lagre passord kontra disse egne verktøyene? Jeg bruker to-faktor autentisering i Chrome, har låst mobilen med fingeravtrykk og den bærbare med pin.

[Abel46]

Jeg anbefaler alle jeg hjelper med data å få seg en liten bok. I denne boken bruker de så en side for hvert sted de besøker som krever passord. Altså en side for Facebook, en side for Microsoft, en side for Google osv.

Øverst på siden skriver de så hvem det gjelder (f.eks. Facebook)

Så skriver de epostadressen de bruker der og eventuelt egen innloggings id.

Deretter skriver de passordet.

 

Dersom de må bytte passord på denne siden, stryker de bare ut det gamle passordet og skriver det nye passordet nedenfor.

 

Passordet som du bruker til nettbanken skal ikke skrives ned. Det må være et passord som man må kunne huske.

 

Vanskelig for hackere å hacke en bok. Man må ha fysisk tilgang til din leilighet, og det er jo ingen grunn til å denne boken liggende fremme å slenge. Men sett den sammen med andre lignende bøker.

[Martin Lie]

Abel46: Problemet er at de både har gmail-adresser og e-post-adresser de har fått av internett-tilbyderen sin og så står de der på en eller annen tjeneste og lurer på hvilken e-post de skal oppgi som brukernavn. Så prøver de å slå opp i den store lure passord-boken som skulle fikse alt, men der er det ingen egen side for akkurat denne tjenesten. Hvorfor det, mon tro (hint: OpenID Connect)? Og så får de en aha-opplevelse... Åja, jeg bruker jo gmail-adressen min her, da må det bety at det er Google-passordet jeg skal bruke. *finne Google-siden i den lure passord-boken* Og så funker ikke det heller fordi de egentlig har trykket på "logg inn med Facebook", sånn de alltid har gjort i diverse apper og nettsteder - og selv om de har registrert en gmail-adresse på Facebook, så er det jo ikke gmail-passordet man skal logge inn med.

 

Skal ikke være greit... Eneste som funker er å 1) nullstille passordet hver gang du blir forvirret, 2) "knekke koden" fordi du bruker data ofte ifm. hobby eller jobb, eller 3) [i fremtiden en gang] at nettvett og passordhåndtering - og mye annet som trengs i det digitale samfunn - blir en del av allmenndannelsen man får som pensum på skolen.

[Leftie]

Glem denne posten. Jeg hoppa et par lenker for dypt i dagens Lastpass sak, så infoen min er utdatert

Endret 22. mars 2017 av Leftie