Passord-tjeneste med millioner av brukere hacket. Eksperter kaller det hele en «pinlig» affære

[SondrB]

 

Hvordan da?

 

På samme måte som man gjør det dersom man skriver ned alle passord på små lapper og plasserer de i lommeboken. Man baserer seg jo på at man skal passe ekstra bra på lommeboken. På den andre siden, dersom lommeboken mistes så er alt kompromitert.

Det er bare å legge til ett ekstra tegn eller flere i passordet, f.eks. "X" foran de man skriver ned på papir. Du husker det lett, men ingen andre vil klare å bruke informasjonen på papiret.

[ATWindsor]

Man må jo stole på at de som lover Zero Knowledge faktisk leverer det, men det velger jeg å gjøre. De har alt å tape på å lyve om sånt, og det er ikke spesielt vanskelig å implementere.

 

(Når det gjelder "alle eggene i en kurv" har man selvsagt backup, så det er ikke en problemstilling)

 

Alle eggene i en kurv er vel snakk om at alle passord er kompromittert , ikke at man ikke får tak i sine egne passord. De har jo forøvrig ikke alt å tape om å lyve om slikt, om de ikke har et bra system har de alt å tjene på å lyve om at det er bra. Og det er mye passordsikkerhet som ikke er vanskelig å implementere, men det blir allikevel ikke gjort. Det har sin risiko å stole på disse tjenestene også.

 

AtW

[Xantippe]

Som jeg har nevnt før, slike tjenester har en risiko da man har alle eggene i en kurv, det er ikke en så fantastisk løsning på alle sikkerhetsproblemer som enkelte vil ha det til.

 

AtW

 

Det som er _helt_ sikkert er at _ingenting_ er sikkert.

Nå har jo også sikker som banken dødd helt ut.

[bojangles]

 

Man må jo stole på at de som lover Zero Knowledge faktisk leverer det, men det velger jeg å gjøre. De har alt å tape på å lyve om sånt, og det er ikke spesielt vanskelig å implementere.

 

(Når det gjelder "alle eggene i en kurv" har man selvsagt backup, så det er ikke en problemstilling)

 

Alle eggene i en kurv er vel snakk om at alle passord er kompromittert , ikke at man ikke får tak i sine egne passord. De har jo forøvrig ikke alt å tape om å lyve om slikt, om de ikke har et bra system har de alt å tjene på å lyve om at det er bra. Og det er mye passordsikkerhet som ikke er vanskelig å implementere, men det blir allikevel ikke gjort. Det har sin risiko å stole på disse tjenestene også.

 

AtW

 

 

 

Ja det kan man si, men har man nødvendig kunnskap til å skape noe bedre selv? De færreste vil kunne svare ja på et slikt spørsmål. Altså vil det uansett valgt løsning, en ferdigutviklet passord tjeneste av nøytral tredjepart, eller en egenutviklet løsning kun for deg være knyttet stor usikkerhet rundt grad av sikkerhet. 

 

Tror at for de aller fleste så vil det være langt sikrere å bruke en ferdig utviklet greie. Enten det er lastpass eller tilsvarnede løsninger eller feks en løsning som keeweb som lar deg ivareta sikkerheten til passord databasen på egenhånd. Begge disse har jo ikke lagret bruker data, all data er lagret hos bruker. Og feks lastpass gir deg 2FA, og keeweb via plugin.  

 

Tenker det beste en kan gjøre er å bruke tredjepartsløning, håpe på det beste men forberede seg på det værste. Kanskje kan man gjøre klar en ny løsning feks på minnepenn, med et script som importerer passord database og bytter gamle passord med nye og som har en egen krypteringsnøkkel. Så får en krysse fingra så godt en kan og håpe en ikke er blant de første som blir berørt av evt. passord lekkasjer.  Evt så kan man kanskje bytte løsning nå og da? Og ved import så kan man sette nye passord. 

[naldy]

En sikker passord løsning er KeePass Password Safe.

[_dundun_]

Det viktigste man kan gjøre er å ha tofaktor på mail. Da får man resatt alt annet om noen skulle fått tak i passordene. Er man ekstra redd kan man la være å lagre mailpassordet noe sted.

 

Å ta ansvar for egen sikkerhet er forøvrig en elendig idé. Du er ikke flink nok til det. Ikke jeg heller, og dette er jobben min. Tredjepart er i så godt som alle tilfeller en bedre løsning enn å prøve å være smart selv når det kommer til it-sikkerhet.

 

(Keepass er helt fint, men neppe noe bedre enn feks lastpass og 1password. Så lenge ikke nøkkel og data er samme sted er de dønn sikre alle sammen.)

Endret 3. juni 2017 av Audun_K

[ATWindsor]

Det viktigste man kan gjøre er å ha tofaktor på mail. Da får man resatt alt annet om noen skulle fått tak i passordene. Er man ekstra redd kan man la være å lagre mailpassordet noe sted.

 

Å ta ansvar for egen sikkerhet er forøvrig en elendig idé. Du er ikke flink nok til det. Ikke jeg heller, og dette er jobben min. Tredjepart er i så godt som alle tilfeller en bedre løsning enn å prøve å være smart selv når det kommer til it-sikkerhet.

 

(Keepass er helt fint, men neppe noe bedre enn feks lastpass og 1password. Så lenge ikke nøkkel og data er samme sted er de dønn sikre alle sammen.)

 

Det er jeg ikke enig i, det er ikke spesielt vanskelig å lage en sikrere "egen løsning" enn tredjepart kan levere (tatt i betraktning det er en viss usikkerhet i om de kan levere det de lover). Om det er praktisk er dog en annen sak.

 

AtW

[Abel46]

Som jeg har nevnt før, slike tjenester har en risiko da man har alle eggene i en kurv, det er ikke en så fantastisk løsning på alle sikkerhetsproblemer som enkelte vil ha det til.

 

 

Jeg mener at for de fleste så er det å ha en liten bok der man skriver inn brukernavn og passord for hver tjeneste, en pr side i boken. Den boken oppbevarer man hjemme, gjerne på en lur plass. Når man reiser på ferie kan man eventuelt ta den med seg.

Denne metoden er rimelig hacker sikker, men forutsetter at du stoler på de du bor sammen med. :-)

[_dundun_]

 

Det viktigste man kan gjøre er å ha tofaktor på mail. Da får man resatt alt annet om noen skulle fått tak i passordene. Er man ekstra redd kan man la være å lagre mailpassordet noe sted.

 

Å ta ansvar for egen sikkerhet er forøvrig en elendig idé. Du er ikke flink nok til det. Ikke jeg heller, og dette er jobben min. Tredjepart er i så godt som alle tilfeller en bedre løsning enn å prøve å være smart selv når det kommer til it-sikkerhet.

 

(Keepass er helt fint, men neppe noe bedre enn feks lastpass og 1password. Så lenge ikke nøkkel og data er samme sted er de dønn sikre alle sammen.)

Det er jeg ikke enig i, det er ikke spesielt vanskelig å lage en sikrere "egen løsning" enn tredjepart kan levere (tatt i betraktning det er en viss usikkerhet i om de kan levere det de lover). Om det er praktisk er dog en annen sak.

 

AtW

En løsning som ikke er praktisk er ingen løsning. Selvsagt kan man ha hundresifrede passord på en lapp i bankboks og si man er sikrere, men da mistenker jeg at de fleste vil jukse og bruke andre passord andre steder.

 

Jeg har 30-tegns randomiserte unike passord overalt. Dét er ikke praktisk mulig uten en lagringstjeneste, og jeg mener bestemt det er en bedre løsning enn det meste man i praksis kan få til på egen hånd og fortsatt bruke. I tillegg er alt viktig bak tofaktor såklart, og absolutt all lagring kryptert og beskyttet med passord og/eller biometri.

Endret 3. juni 2017 av Audun_K

[ATWindsor]

 

 

Det viktigste man kan gjøre er å ha tofaktor på mail. Da får man resatt alt annet om noen skulle fått tak i passordene. Er man ekstra redd kan man la være å lagre mailpassordet noe sted.

 

Å ta ansvar for egen sikkerhet er forøvrig en elendig idé. Du er ikke flink nok til det. Ikke jeg heller, og dette er jobben min. Tredjepart er i så godt som alle tilfeller en bedre løsning enn å prøve å være smart selv når det kommer til it-sikkerhet.

 

(Keepass er helt fint, men neppe noe bedre enn feks lastpass og 1password. Så lenge ikke nøkkel og data er samme sted er de dønn sikre alle sammen.)

Det er jeg ikke enig i, det er ikke spesielt vanskelig å lage en sikrere "egen løsning" enn tredjepart kan levere (tatt i betraktning det er en viss usikkerhet i om de kan levere det de lover). Om det er praktisk er dog en annen sak.

 

AtW

En løsning som ikke er praktisk er ingen løsning. Selvsagt kan man ha hundresifrede passord på en lapp i bankboks og si man er sikrere, men da mistenker jeg at de fleste vil jukse og bruke andre passord andre steder.

 

Jeg har 30-tegns randomiserte unike passord overalt. Dét er ikke praktisk mulig uten en lagringstjeneste, og jeg mener bestemt det er en bedre løsning enn det meste man i praksis kan få til på egen hånd og fortsatt bruke. I tillegg er alt viktig bak tofaktor såklart, og absolutt all lagring kryptert og beskyttet med passord og/eller biometri.

 

 

Det finnes jo mellomting, feks noe som er (ok) kryptert lagret på noe som ikke er på nett, det gir bedre sikkerhet i mine øyne enn slike online-tjenester. Men om det er verd det? Det er en annen sak. Personlig gjør jeg ikke det.

 

AtW

[G]

Å legge alle eggene i samme kurv er det noe som heter. Det er dumt det.

[Kikert]

Jeg har utviklet min egen passordløsning, den er open source og gratis. PP heter den og er i følge mange uavhengige tester den sikreste som finnes.

 

Slik fungerer den; Du har en penn og et papir, skriv ned siden/tjenesten, brukernavn og passord. Legg papiret i en skuff, for å øke sikkerheten enda et hakk så kan man bruke en safe.

 

Man kan også kryptere passordene ved å skrive dem ned i kokeboka, det vil gjøre det mindre interresant for en innbruddstyv å ta med seg og se passordene.

 

Det er også inkludert en valgfri tofaktorløsning som heter låsedøranårmangårut.

 

Man kan faktisk også bruke en trefaktorløsning ved å legge til enda en kryptering. Dette kalles å skrive i kode, eksempel/oppskrift; http://www.wikihow.com/Write-in-Code

[_dundun_]

Jeg er usikker på om det er bedre. Du må nemlig skrive inn passordene dine og er dermed sårbar for keyloggere. Mine fylles inn automatisk og kan dermed ikke fanges opp av verken keyloggere, kameraer eller andre metoder som baserer seg på å fange tastetrykk.

[Deimos_Anomaly]

Ingen grunn til å dømme alle passord-huske-leverandører likt. De proffe har ingen mulighet til å lekke passordene dine av den enkle grunn at de ikke har dem. Så lenge nøkkelen aldri forlater brukerens datamaskin er det ingen risiko forbundet med å ha passordene sine lagret i skya.

 

At denne leverandøren tydeligvis var ubrukelig nok til å lagre krypterte passord sammen med nøkler betyr ikke at alle er like håpløse.

 

De fleste sikkerhetsproffer er helt klare på at det er anbefalt å benytte denne typen tjenester, fordi det er sikrere enn stort sett alle praktisk gjennomførbare alternativer. Det er heller ingen økt sikkerhet ved å bruke løsninger som lagrer passord på fritt valgt tjeneste, det er ren placebo,

Jeg har vurdert å gå over til en passordtjeneste, men lurer litt på hvilke som faktisk tilbyr dette. At ikke tjenesten selv kan dekryptere passordlista mi er et absolutt krav.

Jeg har brukt Notepad++ med krypto-plugin for å lagre windows nøkler, sjeldent brukte passord og lignende i Google drive, men det er ikke en spesielt fleksibel lønsing.

 

Det finnes jo mellomting, feks noe som er (ok) kryptert lagret på noe som ikke er på nett, det gir bedre sikkerhet i mine øyne enn slike online-tjenester. Men om det er verd det? Det er en annen sak. Personlig gjør jeg ikke det.

 

AtW

Det spiller egentlig ikke noen stor rolle hvor det er lagret så lenge det er (ok) kryptert.

Jeg slenger lett en hundrings på bordet om noen klarer å dekryptere meldingen under:

<nppcrypt version="1013">
<encryption cipher="rijndael256" mode="gcm" encoding="base16" tag="8LCbMRloLRWxjY7iTsWUMA==" />
<random iv="+56wkztulh2kt9V3C7HYyQ==" salt="hQrGl96QABamVMb68WVT0Q==" />
<key algorithm="pbkdf2" hash="sha256" iterations="50000" />
</nppcrypt>
89D9D49E2991C618C47A1BA366B30B1FEBEC70B6B68526CB2080ECE945A66229390ED149831212035C4F149B73788BFD12

[Gunnar Johansen]

Slike tjenester har vært og vil alltid være galskap. Å legge alle passordene mine ut på nett, så tullete blir jeg aldrig. Jeg har en god gammeldags, kryptert kodebok, som jeg har inn låst i en safe med kode pluss en kopi på et hemmelig sted.

[_dundun_]

Hadde du forstått kryptering hadde du ikke laget så mye styr for deg selv.

[bojangles]

Slike tjenester har vært og vil alltid være galskap. Å legge alle passordene mine ut på nett, så tullete blir jeg aldrig. Jeg har en god gammeldags, kryptert kodebok, som jeg har inn låst i en safe med kode pluss en kopi på et hemmelig sted.

 

 

Men hva gjør du når du en dag har fått deg en uønsket keylogger på maskinen din? For hver eneste tjeneste du bruker vil noen fange opp alt du skriver inn. Hva er forresten en "god gammeldag kryptert kodebok"? Er det en kladdebok hvor du har lagret dine passord i din egen hemmelige kode? I motsetning til hva mange tror så er ikke du og jeg spesielt gode til å lage hemmelig kode, og når vi forsøker så blir ofte koden knekt rimelig kjapt med dagens regnekraft. Og hvor sikker er safen din? Om du feks får innbrudd, er ikke safen det første som blir tatt med?

 

Nei det er ikke enkelt å ha høy sikkerhet, og jeg tror de aller fleste av oss er best tjent med å bruke tredjepartsløsninger. Gjerne løsninger som lar deg kjøre tofaktor login. Det er nevnt flere passord tjenester i denne tråden som ikke lagrer dine passord på sine servere. Begynn å bruke en av dem. Har du noe du mener fortjener ekstra sikkerhet så bruk en annen tjeneste for dette. Og kryss fingrene for at evt. problemer med tjenesten blir rapportert kjapt slik du kan endre det som trengs. 

Endret 3. juni 2017 av bojangles

[Actibus]

Aldri stolt på disse tjenestene selv, bruker 2 faktor der det er mulig, alle burde hatt det egentlig, ellers så har jeg de fleste passord i huet, på tjenester det ikke er spesielt farlig om noen får tak i passordet bruker jeg gjerne samme passord eller en variant av det samme.

[naldy]

(Keepass er helt fint, men neppe noe bedre enn feks lastpass og 1password. Så lenge ikke nøkkel og data er samme sted er de dønn sikre alle sammen.)

 

KeePass er den absolutt beste software løsningen for passord. De tilbyr solid kryptering og har hverken skylagring eller andre 3dje parts løsninger integrert. Her bestemmer du selv hvor du lagrer den krypterte databasen og sikkehetsnøkkelen.

 

Sånn rent praktisk kan du til eksempel lagre databasen på din egen skyløsning (Google Drive, OneDrive, Dropbox osv.) og nøkkelen på dine private enheter. Det blir ikke sikrere enn det.

 

Skulle noen stjele filene dine, og i verste fall få kloa i både krypteringsnøkkel og databasen, må de fremdeles ha passordet for å løse krypteringen til databasen. Som sagt.. sikrere blir det ikke.

 

 

Utfordringen med Lastpass og 1password er at de har informasjonen din lagret på et nettsted som potensielt kan angripes av hvem som helst. Skal ikke gå inn på det rent tekniske her men det er mange svake punkt ved slike løsninger.

 

De som har greie på passord lagring anbefaler ofte KeePass. Det er en grunn til det.

Endret 3. juni 2017 av ronorio

[mr. papp]

Jeg er usikker på om det er bedre. Du må nemlig skrive inn passordene dine og er dermed sårbar for keyloggere. Mine fylles inn automatisk og kan dermed ikke fanges opp av verken keyloggere, kameraer eller andre metoder som baserer seg på å fange tastetrykk.

 

Ut av nysgjerrighet, hvordan er dine passord beskyttet på enhetene dine? Jeg antar de er kryptert og må låses opp på et vis, hvis ikke er det jo bare om å gjøre å stjele utstyret ditt. Om enhetene dine skulle bli kompromittert med en keylogger eller lignende, hvorfor kan ikke denne gi uønskede tilgang til alle dine passord gjennom å gi tilgang til passorddatabasen din?

 

Eller snakker vi rett og slett om å ha den feteste sykkellåsen her: den er ikke umulig å knekke, men det finnes enklere mål for bad guysene.