Gå til innhold

Vi har alle irritert oss over at vi må bytte passord alt for ofte. Nå er det endelig slutt på elendigheten


Anbefalte innlegg

Videoannonse
Annonse
Gjest Slettet-Pqy3rC

I slutten av mai gikk Microsoft offisielt inn for å fjerne jevnlige passordbytter fra sine offisielle sikkerhetsanbefalinger. Den eldgamle passordpolicyen har vært en pest og en plage for brukere verden over i lang, lang tid.

Fantastisk hva folk kan klage over og hvor lite som lar seg lagre i hjernen på brukere verden over.
Lenke til kommentar

Forrige uke fikk vi presisering av passord-rutinene våre fra ledelsen.

Alle passord skal byttes hver 90. dag...

 

 

Likevel er det bra å ha fått en rutine. For to år siden hadde vi lagt alle tegningene og dokumentene våre i skyen, og brukte tre siffer i brukernavn og 4 siffer i passordet. Da jeg påpekte at dette gav svak sikkerhet så fikk vi beskjed om å bytte passord.

  • Liker 3
Lenke til kommentar

Fantastisk hva folk kan klage over og hvor lite som lar seg lagre i hjernen på brukere verden over.

Jeg tviler på at noen som helst klarer å huske 25-100 passord.

De som til stadighet skryter strategien med å velge tilfeldige ord opp i skyene tar også sjelden dette i betraktning.

 

Et par passord for viktige ting som man må huske som slike tilfeldige ord er greit nok, for eksempel innlogging til maskin eller krypteringsnøkler.

Resten ender man opp med å skrive ned eller lagre i passordhåndteringsprogrammer, og da er det like så greit å velge et like langt passord med tilfeldige tegn som det er å velge ord.

  • Liker 1
Lenke til kommentar
Gjest Slettet-Pqy3rC

Et par passord for viktige ting som man må huske ... Resten ender man opp med å skrive ned eller lagre i passordhåndteringsprogrammer, og da er det like så greit å velge et like langt passord med tilfeldige tegn som det er å velge ord.

Jepp.

 

Men på de få (2-10) passordene en må/bør huske er det nok av serier å ta av, dvs. mekanikker for å huske dem. Så kan en bruke litt matematikk for å skape variasjoner når det er krav om jevnlig passordbytte.

 

Det underlige er at såpass enkle ting kan bli "en pest og en plage", det styrker ikke tilliten til hva den gemene hop er kapable til.

Lenke til kommentar

#jeggikkenturpåstien

#jeggikkenturpåstito

#jeggikkenturpåstitre

osv. har fungert fint hos meg. Ikke eksakt slik da, men prinsippet.

Men nå blir det tofaktoraut. via app på mobil. Krysser fingra for at mobiler, OS, apper og oppgraderinger spiller på lag. Kjedlig å ikke få logget på jobb-pc fordi Kina-mobilen min er havnet i unåde hos Microsoft pga. Trumps handelskrig.

  • Liker 6
Lenke til kommentar

Jeg bruker hodet mitt og genererer fortløpende nye passord til mine kunder i litt BankID-stil og kanskje til Pers fornøyelse.

Eksempelvis FlaggermusVingeslagfelt, Knutekålstappesamling, FabrikertHallikverneombud, o.s.v.

Min favoritt når jeg forklarer prinsippet bak et godt passord, er «2019, året da Rosenborg rykket ned!»

Lenke til kommentar

Synderne er mange...

Senest i går fikk jeg inn en Apple Macbook hvor eieren ikke visste passordet.

Litt flaks håper man jo på, så jeg klikker ikonet for passord hintet...

Der står det ‘Entotrefire’

Kan det være så enkelt tenkte jeg, og slo inn ‘1234’...

-Rett inn på skrivebordet du.

 

Mine deduktive passord krakking-evner fikk seg en boost og kunden var sjokkert(...)

 

Jeg fortalte jo ikke hva jeg hadde gjort. Har jo et rykte jeg må opprettholde om mine fabelaktige hakke-evner. ?

  • Liker 6
Lenke til kommentar
Gjest Slettet-Pqy3rC

Irriterer meg mer når diverse bruker plattformer skal diktere mine passord, for kort, for langt, mangler spesialtegn, mangler agurk, mangler ditt mangler datt.

Mmm, jeg skulle sette opp en office365 konto for meg selv her om dagen. Da røyk standarden min gitt, passordet jeg ønsket å benytte var for langt...

 

Selskapet dette gjaldt hadde ikke gjort noe spes, det var "default" pord reglene til MS som slo til.

Lenke til kommentar

Holder på passord med forskjellige kombinasjoner og hvis noen nettsider godtar +32 karakterer blir det en liten setning som er fjollete men lett og huske til det spesifikke nettstedet. Fungert i flere år men hender det glipper på gamle nettsider. (Hvis ikke google har en gammel auto-fyll av det da.)

Lenke til kommentar
Gjest Slettet-t8fn5F

#jeggikkenturpåstien

#jeggikkenturpåstito

#jeggikkenturpåstitre

osv. har fungert fint hos meg. Ikke eksakt slik da, men prinsippet.

Men nå blir det tofaktoraut. via app på mobil. Krysser fingra for at mobiler, OS, apper og oppgraderinger spiller på lag. Kjedlig å ikke få logget på jobb-pc fordi Kina-mobilen min er havnet i unåde hos Microsoft pga. Trumps handelskrig.

Oppfyller ikke kravene om kompleksitet.

Man skal også være forsiktig med å bruke alt for kompliserte spesialtegn. @ virker ikke på Eduroam og ikke over Cisco sin vpn-klient.

æøå er heller ikke anbefalt å bruke.

 

Men 2af og passordmanager er veien å gå fremover. Selv har jeg bare 3 viktige passord å huske. Resten av tjenestene går på et felles passord.

  • Liker 2
Lenke til kommentar

Irriterer meg mer når diverse bruker plattformer skal diktere mine passord, for kort, for langt, mangler spesialtegn, mangler agurk, mangler ditt mangler datt. 

 

Enig.

 

Eg er sikker på at i 9 av 10 tilfeller der eg trykker på "glemt passord" linken så er grunnen at tenesta har veldig sære passordreglar som gjer at eg har måtte bruke ein heilt anna pasordsystematikk, som igjen gjer at passordet fort blir gløymt.

  • Liker 1
Lenke til kommentar

 

Irriterer meg mer når diverse bruker plattformer skal diktere mine passord, for kort, for langt, mangler spesialtegn, mangler agurk, mangler ditt mangler datt.

Mmm, jeg skulle sette opp en office365 konto for meg selv her om dagen. Da røyk standarden min gitt, passordet jeg ønsket å benytte var for langt...

 

Dette kravet, om maks lengde, spesifikt, forsvant for to (tre?) uker siden. Microsoft har fjernet makslengder i passord, og du kan nå ha så langt passord du bare orker. (Kilde: https://mspoweruser.com/microsoft-finally-removes-16-character-limit-for-passwords-in-azure-ad/ - Gjelder både for Azure AD og Office 365)

 

Forøvrig har Microsoft aktivt anbefalt nye kunder i Office 365 å deaktiverte 90-dagers passord og ikke ha en expiration date det siste året. Hver gang vi oppretter en ny O365 tenant, er det første som kommer opp, anbefaling å deaktivere påtvungen passordendring.

Lenke til kommentar
Gjest Slettet-Pqy3rC

Dette kravet, om maks lengde, spesifikt, forsvant for to (tre?) uker siden. ...

Ah.. det var jo fint av dem. Jeg dreiv på i slutten av april eller helt i starten av Mai.
Lenke til kommentar

Savner en veldig viktig presisering i artikkelen. Dersom man fjerner sikkerhetsmekanismen "password expire" så må den erstattes av noe annet (Jfr "points instead to better alternatives .... multi-factor authentication..."). Riktignok er andre sikkerhetsmekanismer så vidt berørt i artikkelens siste del (cookies, IP-kontroll, parameter som ikke matcher), men synes ikke det går klart nok fram at autentisering som kun baserer seg på brukernavn+passord (som aldri går ut) er en dårlig ide...

  • Liker 1
Lenke til kommentar

 

Oppfyller ikke kravene om kompleksitet.

...

Men 2af og passordmanager er veien å gå fremover. Selv har jeg bare 3 viktige passord å huske. *

 

Enig i dette, oldschhool passord-rotasjon på intervall kombinert med eit stadig aukande antall (web)tenester og ordinære non-AD-auth-program/fagsystem som krev user/pass gjer kvardagen utfordrande for 'vanlege' brukarar.

 

Vi kjører gjerne Azure AD/O365 som autorativ og primær konto-styring, 2FA aktivert med unntak av domene-joina PC'ar på primær-LAN/public-ip.

MEN - har litt utfordringar med at brukarane syns det er veldig greitt å lage user/pass-pålogging for alle web-basert tenster i innebygd browser-passord-manager, enten det er Chrome, Firefox, Opera, Edge, IE (grøss) osv.

 

Er på jakt etter ein passord-manager som har brei browser-støtte og kan håndtere lagring av alle passord. Altså deaktivere lagring i browser (spes Google konto-sync), og ha plugin som ber om master-passord eller vha biometri kan automatisk fylle ut user/pass for aktuell webservice/side. Gjeld iofs også ordinær win32-apps.

 

HP Client Security har ein modul for dette. Kryptert database, støtte for opplåsing via biometriske inputs, master-password eller windows-auth.

 

Nokon som har erfaringar med korleis t.d.Lastpass, 1Password, Keeper m.fl. kunne passe inn i eit slikt opplegg? Keepass blir litt for lite intuitiv for vanlege brukarar, må vere så enkel å bruke at det faktisk vert brukt --- ellers er vi fort tilbake til gamle vanar, like passord og worst case gule lappar.. :)

 

Glad for alle innspel/erfaringar.

Lenke til kommentar
Gjest Slettet-t8fn5F

Enig i dette, oldschhool passord-rotasjon på intervall kombinert med eit stadig aukande antall (web)tenester og ordinære non-AD-auth-program/fagsystem som krev user/pass gjer kvardagen utfordrande for 'vanlege' brukarar.

 

Vi kjører gjerne Azure AD/O365 som autorativ og primær konto-styring, 2FA aktivert med unntak av domene-joina PC'ar på primær-LAN/public-ip.

MEN - har litt utfordringar med at brukarane syns det er veldig greitt å lage user/pass-pålogging for alle web-basert tenster i innebygd browser-passord-manager, enten det er Chrome, Firefox, Opera, Edge, IE (grøss) osv.

 

Er på jakt etter ein passord-manager som har brei browser-støtte og kan håndtere lagring av alle passord. Altså deaktivere lagring i browser (spes Google konto-sync), og ha plugin som ber om master-passord eller vha biometri kan automatisk fylle ut user/pass for aktuell webservice/side. Gjeld iofs også ordinær win32-apps.

 

HP Client Security har ein modul for dette. Kryptert database, støtte for opplåsing via biometriske inputs, master-password eller windows-auth.

 

Nokon som har erfaringar med korleis t.d.Lastpass, 1Password, Keeper m.fl. kunne passe inn i eit slikt opplegg? Keepass blir litt for lite intuitiv for vanlege brukarar, må vere så enkel å bruke at det faktisk vert brukt --- ellers er vi fort tilbake til gamle vanar, like passord og worst case gule lappar.. :)

 

Glad for alle innspel/erfaringar.

Lastpass.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...