Gå til innhold

«Jeg angrer», sier mannen som gjorde at du må lage slike passord


Anbefalte innlegg

La oss si at angripere får tilgang til LastPass sin server, og dine opplysninger, blant annet navn og e-post adresse.

 

De kan nå sende deg en e-post som ser ut som om den kommer fra LastPass, og ettersom de har tilgang til serverne kan de opprette en egen nettside på LastPass sitt domene som er umulig for deg å vite at er falsk.

 

De ber så om at du endrer ditt "master" passord, ettersom de er bekymret for sikkerheten. I det du taster inn det gamle passordet for å bekrefte at du virkelig er deg, har angriperne fått tilgang til nøkkelen som dekrypterer alle passordene dine. Phising kalles det.

 

For ordens skyld, dette har delvis skjedd, det er ikke mer enn et par år siden LastPass hadde et datainnbrudd hvor store mengder data gikk tapt, dog fikk ikke tyvene med seg alt av data fra "hvelvene", altså de lagrede hashene, men de klarte å få med seg all kontaktinformasjonen til de fleste brukerne.

 

Phising er er risiko uansett - noe uttalige eksempler viser, samme gjelder drive-by som installerer keylogger etc. Slik sett er man kun optimal trygg om passordene er unike for hvert nettsted, har høy entropofi og kun er lagret i brukers hode. Og vi alle er enige i at det med antall nettsteder etc mange har passord til er det i realiteten umulig.

 

Nå lagres aldri masterpassord andre steder enn på egen enhet, men jeg ser at man allikevel kan bli narret. Men bruker man biometri/tofaktor i tillegg (aktivert) - så er har man tatt vekk dette problemet.

 

Så da må man finne en løsning som balanserer hensiktsmessighet, brukervennlighet og sikkerhet. For meg som har 500 - 600 passord - og det øker med rundt 100 stk i året er det i realiteten bare løsninger som KeePass, Lastpass, 1password som fungerer. Brukte KeePass, men når jeg stadig vekk glemte å påse at databasen var lik ulike steder så kom jeg plutselig ut for at jeg ikke kom inn der jeg skulle når jeg var ute hos kunder.

 

På meg virker det faktisk som mange er negative til løsninger som faktisk er med å hever sikkerheten på nettet. Det er ikke rette løsningen for alle, fordi alle har ikke 400+ passord - men for de som har visse behov er det kanskje det eneste fornuftige. De er heller ikke optimale løsninger, men langt bedre enn et alternativ med ikke unike passord med svak entropofi - noe som vil være alternativet for de fleste.

 

PS! En ting som ikke er helt tåpelig, løsninger som Lastpass og 1password har faktisk verktøy som gjør det mulig å analysere kvaliteten på passord, om brukernavn du bruker finnes i kjente sikkerhetsbrudd osv.

Lenke til kommentar
Videoannonse
Annonse

I følge 1Password har jeg 409 kontoer diverse steder på internett. Alle disse har hvert sitt unike passord på alt fra 20-30 tegn. Hvis én konto blir hacket, så gjør det ingenting, for kun den kontoen har akkurat det passordet. Mitt masterpassword, som er det eneste jeg trenger å huske, er et langt sitat fra en TV-serie jeg elsker.

 

"You're tearing me apart, Lisa!"? :)

Lenke til kommentar

Litt av utfordringen med sikkerhetsspørsmål som som dette her er også det faktum at å vurdere sikkerhetstiltak opp mot behov er en kunst i seg selv. Jeg ser det skrives om lydavlytting av tastatur her - det stemmer at dette er en angrepsvektor, men med mindre man er høytrangert spion for etterretningen er ikke dette en reell trussel.

 

Man har ofte en tendens til å se for seg en uendelig teknologisk avansert angriper med uendelige ressurser til å angripe akkurat deg, og da vil samtlige sikkerhetstiltak komme til kort. Prøv heller å være litt nøktern og se for deg et faktisk realistisk scenario - en av tjenestene du bruker har datainnbrudd og noen får tak i passordhashen din, f.eks. Hvis denne tjenesten har et unikt passord så har du allerede her dramatisk redusert konsekvensen av datainnbruddet.

 

Passordverktøy som KeePass, LastPass og 1Password er primært sett ment å hjelpe deg med å få til det éne tiltaket som virkelig, drastisk, øker sikkerheten din på nett: det å ha et unikt passord pr. tjeneste. Og selv om det stemmer at du da lager deg én angrepsvektor inn til alle dine passord, så er denne angrepsvektoren så vanskelig å utnytte at det for alle praktiske formål er tilstrekkelig for de aller fleste.

Lenke til kommentar

Da ber du nok om problemer... Hvis du har samme passord mange steder, og ett av de stedene blir hacket, så får de potensielt lett tilgang til dine andre konti med samme passord. Derfor bør man ha vidt forskjellige passord på alle kontoer. LastPass og 1Password hjelper deg med det. 

 

Hva om LastPass eller 1Password blir hacket da?

Jeg blir betraktet som "IT-ekspert" av mange jeg kjenner. Jeg gir de følgende råd:

Kjøp en liten bok. Bruk en side for hvert sted du besøker og som trenger passord. Skriv ned brukernavn (innloggingsnavn) øverst på siden, og passord på linjen nedenfor. Må du bytte passord, skriver du det nye passordet nedenfor og styrker det gamle.

Denne metoden er hackersikker via nettet, men om du ikke stoler på de du bor sammen med, må du få deg noe låsbart (safe el.) og låse inn boken der.

Lenke til kommentar

 

Da ber du nok om problemer... Hvis du har samme passord mange steder, og ett av de stedene blir hacket, så får de potensielt lett tilgang til dine andre konti med samme passord. Derfor bør man ha vidt forskjellige passord på alle kontoer. LastPass og 1Password hjelper deg med det.

Hva om LastPass eller 1Password blir hacket da?

Jeg blir betraktet som "IT-ekspert" av mange jeg kjenner. Jeg gir de følgende råd:

Kjøp en liten bok. Bruk en side for hvert sted du besøker og som trenger passord. Skriv ned brukernavn (innloggingsnavn) øverst på siden, og passord på linjen nedenfor. Må du bytte passord, skriver du det nye passordet nedenfor og styrker det gamle.

Denne metoden er hackersikker via nettet, men om du ikke stoler på de du bor sammen med, må du få deg noe låsbart (safe el.) og låse inn boken der.

 

Og hva gjør jeg med nøkkelen?

Lenke til kommentar
Gjest Slettet-t8fn5F

 

 

 

Så vi skal alle gå rundt i rustning i tilfelle en drage angriper oss?

 

 

Det hjelper ikke med rustning mot drager, da blir du bare jevnt stekt når dragen spytter ild. Barnelærdom ;)

 

Sikkerhet er ikke et spørsmål om å være paranoid eller ei. Det er mer snakk om å være bevisst på de små endringene hver av oss kan gjøre som vil gi en dramtisk økning i sikkerheten. 

 

Det kommer helt an på hvilken rustning man har.

Lenke til kommentar

I følge 1Password har jeg 409 kontoer diverse steder på internett. Alle disse har hvert sitt unike passord på alt fra 20-30 tegn. Hvis én konto blir hacket, så gjør det ingenting, for kun den kontoen har akkurat det passordet. Mitt masterpassword, som er det eneste jeg trenger å huske, er et langt sitat fra en TV-serie jeg elsker.

 

"The man who passes the sentence should swing the sword"

Game of thrones ;)

Lenke til kommentar

 

I følge 1Password har jeg 409 kontoer diverse steder på internett. Alle disse har hvert sitt unike passord på alt fra 20-30 tegn. Hvis én konto blir hacket, så gjør det ingenting, for kun den kontoen har akkurat det passordet. Mitt masterpassword, som er det eneste jeg trenger å huske, er et langt sitat fra en TV-serie jeg elsker.

"The man who passes the sentence should swing the sword"

Game of thrones ;)

 

 

Dårlig med spesialtegn og tall der. ;) 

Lenke til kommentar

Hva om LastPass eller 1Password blir hacket da?

Jeg blir betraktet som "IT-ekspert" av mange jeg kjenner. Jeg gir de følgende råd:

Kjøp en liten bok. Bruk en side for hvert sted du besøker og som trenger passord. Skriv ned brukernavn (innloggingsnavn) øverst på siden, og passord på linjen nedenfor. Må du bytte passord, skriver du det nye passordet nedenfor og styrker det gamle.

Denne metoden er hackersikker via nettet, men om du ikke stoler på de du bor sammen med, må du få deg noe låsbart (safe el.) og låse inn boken der.

 

 

 

Det er også en veldig vanlig feil å anta at fysiske sperrer er sikrere enn digitale.

 

Den safen din vet vi kan åpnes. Vi kan enten banke deg og ta nøkkelen, eller bare bruke skjærebrenner. En safe er i beste fall en ubekvemmelighet.

 

Blir 1Password serveren hacket, så sitter hackerne med en hel haug med krypterte datablobber som de ikke har nøkler til. Og det vil ta dem flere milliarder år pr. datablob å skulle knekke denne krypteringen.

Lenke til kommentar

Det verste er sikkerhetsspørsmålene for å få tilbake passordet. Det er typisk spørsmål som andre lett kan finne svaret på.

 

Ja om noen oppgir svar som navn på far/mor og faktisk oppgir mors navn. Du står jo fritt til å skrive inn akkurat hva du vil, og det kan være hva du enn ønsker og så langt og komplisert som nettsiden tillater. Om du bruker litt tid på en huskeregel så vil nok svaret komme straks du evt. skulle se spørsmålet om du skulle trenge passordbytte. 

Lenke til kommentar
Gjest Slettet-t8fn5F

Det verste er sikkerhetsspørsmålene for å få tilbake passordet. Det er typisk spørsmål som andre lett kan finne svaret på.

 

iCloud lar meg ikke bruke samme svaret på alle tre spørsmålene, så da deaktiverte jeg icloud.

Lenke til kommentar

 

I følge 1Password har jeg 409 kontoer diverse steder på internett. Alle disse har hvert sitt unike passord på alt fra 20-30 tegn. Hvis én konto blir hacket, så gjør det ingenting, for kun den kontoen har akkurat det passordet. Mitt masterpassword, som er det eneste jeg trenger å huske, er et langt sitat fra en TV-serie jeg elsker.

 

Takk nå gjorde du jobben svært mye enklere. Fremfor å forsøke å brute force 309 unike kontoer trenger de som ønsker å råke akkurat deg nå kun å sette sammen ordlister, sitater og setninger fra kjente TV serier. Akkurat det er nok langtifra så vanskelig som en først skulle tenkt seg. 

 

Først søke opp alt en kan om deg som online person. Feks hvor lenge du har hatt en konto. Så finne linker mellom forskjellige online kontoer, feks linker du kanskje en annen forumkonto på et annet forum. Eller kanskje face konto direkte? Dette vil hjelpe betraktelig med å sette fødselsår, og finner en faceboka så er brått halve jobben med å finne hvilke serier du liker gjort. Kanskje du faktisk har postet at du faktisk ELSKER en tv-serie, og også hvilken? Om ikke så vil alder kunne hjelpe med deduksjon. 

 

Du gjorde jo minst 3/4 av jobben selv. Du linket bloggen din fra denne kontoen. Og uten at jeg orker å lese bloggen din så ser jeg ikke bort ifra at det dermed blir enklere å avdekke faceprofilen din og eller andre alias som gjør at blir "rent trivielt" å finne ditt favoritt tv show. 

 

Plutselig er det eneste logiske svaret at du elsker "how I met your mother", og at episode 3 i sesong 2 er favoritten. Hvor vanskelig tror du det nå er å knekke masterpassordet? 

Jeg ble litt trigga av denne posten, så jeg bestemte meg for å starte litt graving. Har funnet både twitter, youtube/google+, instagram, hjemmesiden og flickr kontoen. Det var ikke så vanskelig, etter at jeg fant youtube, og testa navnet hans på facebook. Selv om G. ikke var med, så var det lett å se han likte Geocaching, så da ble det den personen på face. Så langt har jeg funnet at han følger Joey Tribiani på Twitter, så det kan godt være at det er Friends serien han tenker på. "How you doin`?"

Men ut fra instagram, så kan det også være ett sitat fra Fraglene, sett at han har med seg "Onkel Reisende Mac" på Geocashing turene.

 

Siden han jobber hos Digital Garden, som er registrar, er det vel sannsynlig at han bruker sitt eget domene til e-post på kontoen.

Nå blir det jo bare å finne ut hva e-post adressa er, å da er det vel bare å utnytte en funksjon i e-post servere, som sender retur på mail adresser som ikke finnes på serveren. Diverse kombinasjoner av navnet, blant annet slik det fremstår på de forskjellige profilene og legge til @hesselberg.us, å se hva som kommer i retur.

Gidder jeg gå så langt? Neh. Men morsom øvelse.

  • Liker 1
Lenke til kommentar

 

Da ber du nok om problemer... Hvis du har samme passord mange steder, og ett av de stedene blir hacket, så får de potensielt lett tilgang til dine andre konti med samme passord. Derfor bør man ha vidt forskjellige passord på alle kontoer. LastPass og 1Password hjelper deg med det. 

 

Hva skal de ta da? Instagrambrukeren med 31 følgere?

Diskusjon.no-kontoen der jeg skriver svada?

Facebook har to-faktor, nettbanken også.

 

Er virkelig ikke oppriktig bekymret da jeg ikke anser meg selv som noe mål for hacking. Ville vært bortkastet strøm å bruke datamaskiner for å cracke mine passord.

Du burde være veldig bekymret. Hørt om ID tyveri? Hvis noen kan hacke epost kontoen din ved å benytte samme passord, kan de enkelt late som de er deg, og bestille kredittkort i ditt navn og rett og slett skape mye dritt for deg.

Kanskje kan de også logge inn på amazon eller tilsvarende der du kanskje har lagret kredittkortet ditt, og bestille alt mulig av varer med one click osv.

Lenke til kommentar

 

 

Da ber du nok om problemer... Hvis du har samme passord mange steder, og ett av de stedene blir hacket, så får de potensielt lett tilgang til dine andre konti med samme passord. Derfor bør man ha vidt forskjellige passord på alle kontoer. LastPass og 1Password hjelper deg med det. 

 

Hva skal de ta da? Instagrambrukeren med 31 følgere?

Diskusjon.no-kontoen der jeg skriver svada?

Facebook har to-faktor, nettbanken også.

 

Er virkelig ikke oppriktig bekymret da jeg ikke anser meg selv som noe mål for hacking. Ville vært bortkastet strøm å bruke datamaskiner for å cracke mine passord.

Du burde være veldig bekymret. Hørt om ID tyveri? Hvis noen kan hacke epost kontoen din ved å benytte samme passord, kan de enkelt late som de er deg, og bestille kredittkort i ditt navn og rett og slett skape mye dritt for deg.

Kanskje kan de også logge inn på amazon eller tilsvarende der du kanskje har lagret kredittkortet ditt, og bestille alt mulig av varer med one click osv.

 

Hvis de bestiller varer til en annen adresse så får jeg vite om det, da kommer jeg på besøk for å si det sånn

Lenke til kommentar

 

 

I følge 1Password har jeg 409 kontoer diverse steder på internett. Alle disse har hvert sitt unike passord på alt fra 20-30 tegn. Hvis én konto blir hacket, så gjør det ingenting, for kun den kontoen har akkurat det passordet. Mitt masterpassword, som er det eneste jeg trenger å huske, er et langt sitat fra en TV-serie jeg elsker.

 

Takk nå gjorde du jobben svært mye enklere. Fremfor å forsøke å brute force 309 unike kontoer trenger de som ønsker å råke akkurat deg nå kun å sette sammen ordlister, sitater og setninger fra kjente TV serier. Akkurat det er nok langtifra så vanskelig som en først skulle tenkt seg. 

 

Først søke opp alt en kan om deg som online person. Feks hvor lenge du har hatt en konto. Så finne linker mellom forskjellige online kontoer, feks linker du kanskje en annen forumkonto på et annet forum. Eller kanskje face konto direkte? Dette vil hjelpe betraktelig med å sette fødselsår, og finner en faceboka så er brått halve jobben med å finne hvilke serier du liker gjort. Kanskje du faktisk har postet at du faktisk ELSKER en tv-serie, og også hvilken? Om ikke så vil alder kunne hjelpe med deduksjon. 

 

Du gjorde jo minst 3/4 av jobben selv. Du linket bloggen din fra denne kontoen. Og uten at jeg orker å lese bloggen din så ser jeg ikke bort ifra at det dermed blir enklere å avdekke faceprofilen din og eller andre alias som gjør at blir "rent trivielt" å finne ditt favoritt tv show. 

 

Plutselig er det eneste logiske svaret at du elsker "how I met your mother", og at episode 3 i sesong 2 er favoritten. Hvor vanskelig tror du det nå er å knekke masterpassordet? 

Jeg ble litt trigga av denne posten, så jeg bestemte meg for å starte litt graving. Har funnet både twitter, youtube/google+, instagram, hjemmesiden og flickr kontoen. Det var ikke så vanskelig, etter at jeg fant youtube, og testa navnet hans på facebook. Selv om G. ikke var med, så var det lett å se han likte Geocaching, så da ble det den personen på face. Så langt har jeg funnet at han følger Joey Tribiani på Twitter, så det kan godt være at det er Friends serien han tenker på. "How you doin`?"

Men ut fra instagram, så kan det også være ett sitat fra Fraglene, sett at han har med seg "Onkel Reisende Mac" på Geocashing turene.

 

Siden han jobber hos Digital Garden, som er registrar, er det vel sannsynlig at han bruker sitt eget domene til e-post på kontoen.

Nå blir det jo bare å finne ut hva e-post adressa er, å da er det vel bare å utnytte en funksjon i e-post servere, som sender retur på mail adresser som ikke finnes på serveren. Diverse kombinasjoner av navnet, blant annet slik det fremstår på de forskjellige profilene og legge til @hesselberg.us, å se hva som kommer i retur.

Gidder jeg gå så langt? Neh. Men morsom øvelse.

 

 

Ta den helt ut, hadde vært morsomt å lese. 

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...