Gå till innehåll

Tänk på att byta lösenord ofta


Pace

Recommended Posts

Med anledning av att Aftonbladet och Bilddagboken blivit hackade den senaste veckan är det värt att tänka på din egen säkerhet på nätet.

 

Tips för att förbättra din säkerhet

 

  • Långt lösenord. Ju längre ditt lösenord är, desto bättre. Det bör vara minst åtta tecken.
  • Alla tecken. Använd många tecken för ditt lösenord. Ett väldigt bra lösenord är i stil med =_Yw"sVSr`[F$i76.
  • Undvik ord. Använd inte ord som finns i ordlistor. Det är ofta de första som testas. Hitta på något helt obegripligt.
  • Byt lösenord ofta. De som hackade Bilddagboken hittade en backupfil från maj 2007. De som ändrat lösenord sedan dess är betydlig bättre skyddade.
  • Ett lösenord per sajt. Använd olika lösenord för varje webbplats du använder. När Aftonbladet hackades var det bara ett av systemen som drabbades. Men de använde lösenord de hittade där för att komma in på andra tjänster. Det minsta du bör skilja på är därför banktjänster/e-butiker samt forum/communities där du deltar.
  • Skriv ned lösenorden. Du kan använda ett lösenordsprogram för att hålla reda på lösenorden. Jag rekommenderar Keepass. Det är gratis, open source och fungerar på Mac, Windows, Linux med flera. Annars kan du skriva ned dem på papper. Det är troligen mindre risk för inbrott än dataintrång i dagsläget. Spara dock aldrig dina lösenord som en vanlig textfil på datorn.

 

Strong Password Generator kan du få ett automatisk lösenord som är starkt. Du får också smarta tips på hur du kommer ihåg det.

 

(Inloggningen till Voodoo Films forum används endast för att skriva inlägg och innebär därför inget reellt värde. Dock är den ändå hashad med salt, även under en okrypterad anslutning.)

Länk till kommentar
Share on other sites

Mitt lösenord är nio bokstäver. Är det för svagt?

 

Detta lösenord, som jag ofta använder, är initialerna hos de första nio orden i en viss låt, vars text jag länge missuppfattade.

 

Knepigt att lista ut, men väldigt lätt för mig att komma ihåg.

Länk till kommentar
Share on other sites

Antalet tecken är ointressant, utan det är kombinationen av längd och tecken som är viktig. Det kan alltid bli säkrare. ;)

 

Om du kan lägga in några siffror och specialtecken (%$|¤#&€ etc) så ökar du säkerheten ännu mer.

 

I grova drag finns det tre sätt att knäcka ett lösenord:

 

  1. Gissa. Ta reda på information om en person såsom för- och efternamn, födelseort med mera och testa baklänges eller liknande.
  2. Genom ordlistor. En ordlista över ett språk kan användas för att testa varje ord, ett efter ett. MySpacelösenord var på vift för ungefär ett år sedan och då var "password" och "123456" mest frekvent. Det hamnar i en ordlista över vanliga lösenord.
  3. Brute force. Genom att testa alla tänkbara teckenkombinationer. Använder man ett långt lösenord kommer det att ta flera miljoner år att knäcka. Ett lösenord på två tecken tar några sekunder. Tål att tänkas på.

Länk till kommentar
Share on other sites

Jag arbetar som sysadm. Jag knäcker lösenord ibland när jag har lust (på de egna systemen). qwerty är också ett vanligt lösenord.

 

Punkt tre. Långt lösenord är inte hela sanningen (som pace redan sagt). Det förutsätter att lösenordet tillåts att vara långt och inte trunkeras. Alla system använder inte hela lösenordet som man hittar på. Om man använder specialtecken så får man fler variationer per tecken och antalet kombinationer ökar dramatiskt för varje ytterligare tecken man har i lösenordet. Egentligen går det inte fortare att knäcka ett lösenord med siffror och specialtecken än utan om man använder alla tillåtna tecken vid knäckningen. Men det tvingar knäckaren att använda listor och kombinationer som innehåller dessa tecken och då blir som sagt bra mycket jobbigare, tar längre tid. Men om knäckare slipper inkludera specialtecknen så blir det färre kombinationer. Om jag vore knäckare skulle jag köra krackningen med en körning utan specialtecken fastän de är tillåtna för man får antagligen tillräckligt med träffar ändå. Jag skiter i dem som har specialtecken. Om man hittat 30 lösenord med enbart två-tre tecken, kanske det räcker för att skaffa deras kreditkortsnummer. Om alla skaffar sig vanan att ha specialtecken så tvingas knäckarna köra svåra algoritmer.

 

Ordlistorna är svårare att fre sig mot, eftersom de redan har "Pa$$W0rd" och "3ev1igt" och liknande lösenord i listan. Men lösenorden klarar specen för säkert lösenord eller hur?

 

Windows NTLM-hash är lite lurig faktiskt, tex. Man har ett komplicerat lösenord enligt de goda råden. LM-hashen konverterar lösenordet så alla tecken byts till uppercase, trunkeras till två halvor av åtta (eller var det rent av bara fyra?) sjubitstecken. Nu blev det plötsligt inte så många tecken att knäcka. En användardatabas på tusentals användare tar 5-7 dar att köra brute force.

 

Jaha, men intruder lockout? Mja, jag har en annan approach. Ta ett dåligt lösenord. Prova alla tänkbara kombinationer av användarnamn. Alltid är det nån som har det lösenordet. Det kan man säkert köra mot ett levande system utan att locka några konton eller att syns i nåra loggar.

 

Har ni tänkt på att de tagit bort bokstäverna på bankmaskinerna? Argumentet var att det skulle ge fler kombiationer på pin-koder. Skitsnack, det är precis samma antal knappar och fyra tecken. Men folk hittade på pinkoder som bildade ord. Och de var de första som testades.

 

Jag tror det bara är en tidsfråga innan det finns ordlistor på första tecknet på ord i de mest populära låtarna och barnramsorna. Hitta på själv. Var inte smart, bara oförutsägbar.

 

Om nån knycker lösenordstabellerna så är det svårt att fre sig. Men man kan åtminstone unvika att nån gissar rätt på hundens namn på hotmailkontot. Det är det minsta man kan begära. Lösenord är egentligen inte så bra lösning.

Länk till kommentar
Share on other sites

mammas portkod på fattighuset är 6798. vem skulle kunna hitta på sånt lösenord eller var skulle man kunna hitta det.

 

OLSON

Du verkar ju vara ovanligt smart... Dvs när du lägger ut ditt lösen på en offentlig och välbesökt sida. Det måste vara "godis" för hackare...

Ett litet tips; BYT NU!

Mvh

Joel .N

Länk till kommentar
Share on other sites

Lösenord är egentligen inte så bra lösning.

 

Vad tror du/ni det kan komma för alternativ?

 

Kanske...

... att ett lösenord leder till en obskyr och/eller personlig fråga, vars svar leder till inmatning av lösenord nummer två.

 

... att webbkameran läser av iris.

 

... att man trycker tummen på en liten smidig fingeravtrycksavläsare.

 

... att man topsar sig själv, och stoppar in denna i en dna-analyserare.

 

... att man istället för internet använder bankbok, postväsendet, samt vanlig telefon när man gör ärenden och umgås med fjärran folk.

 

Vad kan bli framtidens melodi?

Länk till kommentar
Share on other sites

... att webbkameran läser av iris.

 

... att man trycker tummen på en liten smidig fingeravtrycksavläsare.

 

... att man topsar sig själv, och stoppar in denna i en dna-analyserare.

 

Allt det resulterar i en digital sträng av ettor och nollor. Lyckas man "sniffa" av den informationen kan man också komma in. Åtminstone om informationen ska skickas över ett nätverk. Men lokalt, javisst. Dock är det ganska integritetskränkande i det stora hela.

Länk till kommentar
Share on other sites

Allt det resulterar i en digital sträng av ettor och nollor. Lyckas man "sniffa" av den informationen kan man också komma in. Åtminstone om informationen ska skickas över ett nätverk. Men lokalt, javisst. Dock är det ganska integritetskränkande i det stora hela.

 

Ja, det är ju just det. Då kanske det sista alternativet är det säkraste? Att man återgår till pre-nittiotalet?

 

Bankdosor då, eller vad dom kallas? Alltså en sån man använder (iaf jag) när man pysslar med sitt bankkonto via nätet. Dom är väl ganska idiotsäkra?

Länk till kommentar
Share on other sites

Bankdosor är väl det jag tror på mest själv.

I alla varianter av fysisk identitets-bekräftelse, typ fingeravtryck & iris, sker identifieringen av själva maskinen för att skickas vidare i binär form till tolken.

Eftersom identifieraren är på min sida nätet & tolken på hemsidans, så kan någon sniffa av signalen på vägen & man har inte uppnått nånting.

Använder man en dynamisk dosa som uppdaterar sig själv så går det fortfarande att räkna ut grundkoden matematiskt, men det krävs en grym massa individuella koder att jämföra mellan, plus krypteringen mellan datorerna. Skulle man sen göra grundkoden åsså dymanisk enligt en krypterad nyckel så får hacksen (ja dom är hacks, dom asen) en riktigt intressant tid att se fram emot :-)

 

Hur vanligt är det egentligen med flera nivåer av kryptering med individuella nycklar förresten?

Min tanke är, att, säg som exempel att man har "pungdjur" som lösenord. Om man sen krypterar det via den, visserligen muggiga men enkla att förklara, metoden att flytta alla tecken ett visst antal ASCII-steg. Säg att nyckeln nu är 1 (ett), då blir "pungdjur" raskt "vohekvs". Säg sen att man tar en ny kryptering som har +1 på jämnt & -2 på ojämnt, så får man helt plötsligt "tpffiwq ".

Inte det lättaste att knäcka som jag ser det eftersom det inte finns något reellt under att jämföra med, & med en schysst 128-bitars kryptering per lager så borde det väl som jag ser det vara grymt jobbigt att knäcka utan att ha direkt kontakt med servern?

Det är åsså en sak som är bra med exempelvis Lynx forum, skriver man fel så måste man verifiera en uppsättning blurriga tecken.

Lätt för en människa, kräver lite mer av en dator.

Länk till kommentar
Share on other sites

Um, glömde påpeka att algorithmen jag skrev ner där givetvis raskt kan förenklas till +2 even -1 odd. Min tanke var givetvis betydligt mer avancerade koder, gärna där olika bitar i krypteringen kan interagera mot andra eller tillåmä tredimensionell kryptering.

Vet att det inte är särskilt vanligt just nu, men lär knappast dröja innan det dblir standard.

Känner inte till befintliga system särskilt väl, men känns endå som ett väldplanerat krypteringssystem i flera nivåer borde vara en god idé!

Länk till kommentar
Share on other sites

Det finns ju idag digitala ID-kort, för tex deklarationen över internet. Idén är att man har den privata nyckeln själv som aldrig lämnas ut och den del som är publik kan man skicka och i andra ändan köra efter de krypteringsalgoritmer som gäller och resultatet skickas tillbaka till den privata nyckeln och gämförs. Om det blev samma, så är det rätt. Någon känslig data skickas aldrig. Om man kombinerar detta med engångspin (typ bankdosor eller skraplotter)som då inte behöver krypteras så kommer man en skapligt bra bit på vägen.

 

Omvänt, gäller att tex websidan har ett certifikat så att den är vad den utger sig för att vara. Klienten har motsvarande cert och gämför om det passar. Ingen "hemlig" data skickas.

 

Jag är lite skeptisk till identifiering med kroppsdelar. Alla gammalmodiga säkerhetskillar brukar säga att man skall lämna över till rånarna vad rånarna vill ha. De har slutat att sätta fast säkerhetsportföljer med handfängsel på personalen av det skälet. Om min tumme erfordras för att jag skall kunna ta mig in på jobbet kommer jag byta jobb.

 

Rent praktiskt tror jag smartcards eller usb-minne är standard inom några få år. Redan i dag finns ju bitlocker i vista, dvs datorn går inte att starta eller läsa hårddisken i en annan dator om man inte har sin nykel i usbminnet isatt. För tex voodoofilms forum kan jag tänka mig att när man ansöker om medlemskap så skickar man in sin publika nykel. När man loggar in, så skickar voodoofilm tillbaka den bearbetade nyckeln, och klienten gämför om det är samma som den privata. Är det inte det, så kommer man inte in.

 

Edit: Jag glömde säga: ALLA system som bygger på hemliga algoritmer är det varningsflagga på. De är inte säkra. Alla bra system bygger på välkända och publika algoritmer. Så om någon babblar om "nytt hemligt system" så skall man tacka nej.

Länk till kommentar
Share on other sites

I alla varianter av fysisk identitets-bekräftelse, typ fingeravtryck & iris, sker identifieringen av själva maskinen för att skickas vidare i binär form till tolken.

Inte nödvändigtvis. Man kan tänka sig att hela fingeravtrycket (eller en checksumma) skickas till systemet. Och det är klart det kan avlyssnas om det inte är krypterat. I vilket fall är det inte enklare att avlyssna fingeravtrycksdata än ett lösenord, så där är det ingen försämring.

 

Något jag önskar är att fler sajter skulle implementera OpenID. Då har man en single sign on-lösning som funkar på alla de sajterna, så man behöver bara ha en enda inloggning att hålla reda på. Och OpenID kan använda lösenord, nycklar, fingeravtryck eller vad som helst som identifiering egentligen.

Länk till kommentar
Share on other sites

mitt lilla tips är att byta ut bokstäver mot sifror. tex 0 mott o, 1 mot i och tvärt om.

 

Eller ha ett vanligt ord som lösen, fast med en sifra bokstav bakom/framför

 

tex: E10lleK

 

Nej, det är just det som brukar avrådas. Att byta o mot noll och L mot ett är redan känt manér. Siffror i början och slutet är också underkänt om man skall följa vedertagna tips. Chattuttryck fick också med i kracklistorna, som "lr" och "3v1igt".

 

Per defention av de goda råden är "3v1igt" precis lika bra lösenord som "igt3v1" (kan man tycka) men ni ser själva att det skillnad.

 

Men även slumpen kan spela ett spratt. Vår gamla lösenordsgenerator tillverkade en gång detta lösenord: "fUcky0u2"

Länk till kommentar
Share on other sites

Precis som gorse mycket riktigt skriver så avråds alla kända sätt att skriva eller bilda meningar. Det är just det första som testas eftersom det är människor som knäcker lösenord (och därmed vet vad människor brukar göra). Längden spelar heller ingen roll om man använder ett fåtal kända tecken. eadereedaeddaaef är lättare att knäcka än %£hM6, så länge man känner till mönstret.

 

Återigen, de bästa lösenorden är i stil med ETr{g{9-*�{|o5.!/23178N}]X?+P/6

 

Läs också: De tio absolut vanligaste lösenorden.

 

Något jag önskar är att fler sajter skulle implementera OpenID. Då har man en single sign on-lösning som funkar på alla de sajterna, så man behöver bara ha en enda inloggning att hålla reda på. Och OpenID kan använda lösenord, nycklar, fingeravtryck eller vad som helst som identifiering egentligen.

 

Har funderat på det med forumet, men avvaktar lite. Jag är rädd för spam.

Länk till kommentar
Share on other sites

Återigen, de bästa lösenorden är i stil med ETr{g{9-*�{|o5.!/23178N}]X?+P/6

 

Damn, det skulle ju ta två minuter att skriva in ett sånt lösenord.

 

Eller kan man ha nån specialknapp på tangentbordet som kodar för "ETr{g{9-*�{|o5.!/23178N}]X?+P/6

Länk till kommentar
Share on other sites

På mitt jobb som sysadm tjatar jag cyniskt om användarnas sätt att köra dator och andra hyss som är nätbesläktade med datoranvänding, för mina kollegor. Hade det varit för tio år sen i min yrkesbana så hade jag antagligen surnat till, men idag höjer jag inte ens ögonbrynen. Även denna tråden får jag mina skäl till min cynism bekräftad:

 

Pace uppmanar till att använda vettiga lösenord och säger hur de skall se ut. Direkt efter i samma tråd läser jag kommentarer och goda råd som är precis rakt motsatsen. Därmed anser jag det återigen bevisat att det kvittar vad man ger för anvisningar. De blev inte lästa eller lästa men inte förstådda. Var och en formar verkligheten efter egna önskemål i alla fall, och ger sina egna tolkningar av vad som blev sagt.

 

Har jag ett bra lösenord själv? Nej, inte till forum. Jag kommer inte ihåg dem. Men sysadmkontona och mitt datorkonto har lösenord som är komplicerade.

 

Jag har ett råd om lösenord som faktiskt inte är så dåligt som man kan tro. Skriv upp dem, på papper. Förvara slutstycket skillt från vapnet, dvs pinkoderna skall inte ligga i plånboken där kreditkorten ligger. Datorlösenord skall inte förvaras i datorn. Pinkoden till mobilen skall inte ligga i telefonen etc.

Länk till kommentar
Share on other sites

Damn, det skulle ju ta två minuter att skriva in ett sånt lösenord.

 

Det var därför jag tipsade om Keepass i första inlägget. Kom ihåg ett lösenord till programmet. Låt sedan Keepass komma ihåg alla lösenord åt dig.

 

Du kan använda CTRL+T i programmet för att klistra in användarnamn och lösenord i formulärsfält, riktigt smidigt. Enklare än så är det faktiskt svårt att få det utan att börja tulla på säkerheten.

Länk till kommentar
Share on other sites

Delta i konversationen

Du kan posta nu och bli medlem senare. Om du har ett konto, logga in nu för att posta med ditt konto.

Gäst
Skriv ett svar...

×   Klistras in som rik text.   Återställ formatering

  Endast 75 max uttryckssymboler är tillåtna.

×   Din länk har automatiskt bäddats in.   Visa som länk istället

×   Ditt tidigare innehåll har återställts.   Rensa redigerare

×   Du kan inte klistra in bilder direkt. Ladda upp eller sätt in bilder från URL.

×
×
  • Skapa nytt...