Mobiltelefon og lesebrett System for passord

[MML]

Etter siste dagers fokus på passord, har jeg begynt å tenke på om jeg skal endre min egen policy. Problemet som sikkert alle andre erfarer er jo at man faktisk skal gå rundt å huske på 15-20 passord. En håpløs oppgave spesielt dersom man i tillegg skal bytte disse regelmessig. I tillegg skal man jo gjerne taste inn disse passordene både på nett og App på mobil, nettbrett og PC. Hvordan gjøre dette best mulig?

Jeg har div iOS enheter og 3 Mac. Mellom disse fungerer det strålende med Apples innebygde passordgenerator og synkronisering mellom enheter. Allikevel er det en klar ulempe at man ikke synkroniserer passordet i Appene, slik at man allikevel er avhengig av å notere seg dette et sted, evt bruke et passord som man kan huske. Det er jo også svært upraktisk å logge seg inn på div tjenester på jobb når man ikke kan huske passordet. Hvordan løser dere dette?

 

[Gjestemedlem]

Ha en fast unik stamme på passordet, så inkorporerer du dette med navnet på nettstedet eller tjenesten på en eller annen måte. Lag dine helt egne regler på hvordan.

 

[Larson]

Ovenfornevnte er risikofylt. Mister du ett passord har du mistet stammen og bruker du nettstedet som skilnad så har du egentlig gitt bort passordet ditt til alle stedene dine. Selvsagt vesentlig bedre alternativ enn å bruke kliss likt passord, men risikofylt.

Videoen her har gode tips:

 

[Poirot]

 

[berxter]

Jeg lager lange og infløkte passord.... og skriver dem ned.
Sjansen for at noen får tak i notatet er mye mindre enn at jeg blir utsatt for hacking/ cracking over nett.
De viktigste (Bank, Paypal og et par til) er innlåst i en safe i tilfelle jeg glemmer dem; standardpassordene ligger i klartekst på et A4-ark kun med svak sikring. Nå er jeg i en enmannshusholdning: Dersom jeg hadde hatt familie med unger/ ungdom i huset ville jeg nok ha skrudd opp sikringsnivået et par hakk.

B

 

[weld77]

Ovenfornevnte er risikofylt. Mister du ett passord har du mistet stammen og bruker du nettstedet som skilnad så har du egentlig gitt bort passordet ditt til alle stedene dine. Selvsagt vesentlig bedre alternativ enn å bruke kliss likt passord, men risikofylt.

Dersom "stammen" er god i seg selv skal det en hel del til å miste den. Passordknekking baserer seg på brute force og ordbok-baserte teknikker så om stammen er et meningsløst sammensurium av tall, bokstaver, spesialtegn og "lang nok" så er den i praksis ikke mulig å finne ut av.

Jeg har den typen opplegg for ting som betyr noe, deretter har jeg et (godt) passord som brukes på halvviktige ting og så har jeg et ganske dårlig som brukes på tullesider. Dersom jeg glemmer hva jeg brukte så er det ett av de to siste.

Når man leser at hundrevis av millioner av passord er på avveie etter angrep på en stor site så kan man som regel banne på at det er de dårlige av sorten de i praksis har fått tilgang til. Passord lagres som en enveis hash og det er ikke noen måte å komme seg fra hashverdien til det faktiske passordet utover å prøve og feile.

Men som en fyr fra Forsvarets Forskningsinstitutt sa en gang: Man trenger ikke mye regnekraft, man trenger kun å anta at folk er dumme. Det er garantert noen som har et passord med stor forbokstav og to tall til slutt. Bare med den antagelsen (som "alltid" stemmer) har man redusert størrelsen på problemet dramatisk.

Det tar noen få timer å brute-force absolutt alle passord med 8 tegn. Lange passord er bra. Korte er dårlig uansett hvor kompliserte de måtte se ut. Hvert ekstra tegn gjør at det er 95 ganger flere muligheter som må prøves ut.

 

[Larson]

Den beste løsningen er å bruke 4-5 helt tilfeldige ord, og så skrive ett av ordet feil på din egen lille måte, sleng inn ett tall eller symbol ekstra og ordbok-krunsjingen er dødfødt. Aller helst bør man ha en norsk bokstav også. Dessverre så takler ikke alle iphone/andriod-systemenes forskjellige apper synking med norsk bokstav i passordet.

Utfordringen med stamme er at du kan ikke være 100% sikker på passordhåndteringen hos nettsiden du oppretter kontoen. Bruker du stammen på et og annet forum, og adminsitratoren der er lat eller uærlig og bare lagrer passordene i rentekst, så er du fucked.

Fyren hos FFI nevnte vel også disse 1337-bokstavene. Man narrer bare seg selv ved å bruke dem.

 

[Fenalaar]

For ikke å snakke om de nettpassordene som Telenor lager - der blir det slik at man skal ha lette autistiske trekk for å huske de, og da blir det å skrive de ned som blir løsningen

Unødig kompliserte sikkerhetsrutiner fører gjerne til at brukerne finner på alleslags varianter for å omgå de eller at systemene ikke blir brukt. Nå er risikoen i disse dager for datainnbrudd basert på fysisk innbrudd vesentlig lavere enn et online innbrudd.

En tanke til de som bruker diverse passordprogrammer uten skylagring til å huske passord - hva skjer om maskina di blir utsatt or cryptovirus? Eller for de som lagrer passord i skyen - hva om skyen blir hacket?

Johan-Kr

 

[MML]

Tydeligvis ikke bare jeg som lurer på dette. Jeg ble faktisk utsatt for hacking av Netflixkontoen min for en stund tilbake. Loggen viste at en bruker i Favelaen i Rio hadde kost seg med en sesong OD. På samme tid hadde noen forøkt å logge seg inn på Apple IDen. Heldigvis hadde jeg ikke samme passord på disse, men ser jo da at også vanlige ubetydelige brukere kan bli rammet. Når jeg tenker etter har man sikkert opprettet brukere på nærmere et hundretall tjenester opp gjennom årene i forbindelse med diverse registreringer. Så selv om passordet i seg selv er langt og komplisert, gir det jo ikke nødvendogvis noe sikkerhet dersom det først blir kompromittert.

For de som er fanget i Apples univers, fungerer passordgeneratoren og synkroniseringen veldig bra. Det blir automatisk foreslått et svært komplisert unikt passord som blir synkronisert mellom alle enheter og lagret til senere. Apple-kontoen kan sikres med tofaktor autentisering og det må vel betegnes som svært trygt. Ulempen er at det er umulig å huske passordene så dersom man skal logge på for eksempel gmail fra annen maskin, må man ha tilgang til passordene i klartekst (det får man via iPhone). Det samme gjelder for innlogging via App. Upraktisk, men det finnes vel ikke noe synkroniseringsmulighet for dette uansett om løsningen heter iCloud eller lastpass eller lignende.

Men hva skjer dersom maskinen blir utsatt for cryptovirus? Vil slike skytjenester også bli låst?

 

[Fenalaar]

Nå har foreløpig ikke nøkkelgreiene i icloud vært utsatt, men en skal ikke være så forbaska sikker på sikkerhet igjennom obskuritet, heller.

Macer har vært utsatt for cryptovirus, selv om det ikke var så veldig mange som ble rammet (ca 7000), og dette ble relativt greit hanket inn.

En bør uansett sikre seg at en har papirkopi av nøklene lagret i en safe elns...

Johan-Kr

 

[MML]

Det er greit nok, men dersom et kryptovirus krypterer alt på maskinen, vil vel dette også kryptere innholdet i iCloud og dermed synkroniseres kryptert innhold til de andre enhetene og alle passordene blir derfor ødelagt? Eller har jeg misforstått slike kryptovirus?

 

[Fenalaar]

ICloud sin nøkkelring blir ikke syncet via vanlige filer i filsystemet, så du kan ikke få ødelagt den sentrale fila ved at cryptoviruset overskriver den lokale nøkkelringsfila. Dersom nøkkelringfila er ødelagt kan den gjenopprettes på følgende vis: Skru av keychain for alle enheter. På den enheten som har den siste gode versjonen av passord, skrur du på keychain. Deretter skrur du på de andre enhetene.

Nøkkelringen kan ekstraheres via brute-force fra en kryptert iPhone backupfil. Apple har visstnok arbeid på gang for å øke sikkerheten på dette (sterkere kryptering)

Johan-Kr

 

[MML]

Flott. Da har man jo en enkel og grei løsning på å genere og lagre gode passord som er sikker mot evt krypteringsvirus. Allikevel er jo problemet der med innlogging fra andre enheter/App og dette kan fort bli svært tungvint. Jeg tenker at tar en gjennomgang av mine passord og heller skriver ned alt i klartekst for egen backup.

 

[Fenalaar]

Det er uansett lurt å skrive ned en papirbackup som lagres sikkert i tilfelle noe katastrofalt skjer med dine iTing, Mac og/eller med iCloud. Om du mister samtlige iTing, så må du ha tilgang til en annen iTing eller Mac for å få henta ut passord - du kan aksessere bilder og dokumenyter fra icloud.com, men ikke passordene.

Når du bruker iCloud nøkkelringen, kan du gå inn på Safari på en tiknyttet iEnhet eller Mac og hente ut et klartekstpassord, hvis du f.eks. skal logge PCen din inn på Adobe sine skytjenester.

Johan-Kr