Dette var de mest brukte passordene i 2015

[Niklasp]

Ja, 12345 er fortsatt med på listen.

Dette var de mest brukte passordene i 2015

[H_Bozz]

Hva har det å si hvis passordet er komplex når det blir lekket uansett?

 

Like godt å ha ett enkelt passord sånn det er enkelt å gi ifra seg til bekante når du trenger det.

[gullf1sk]

DetteErMittPassord4f.eks#hw
DetteErMittPassord4f.eks#google
DetteErMittPassord4f.eks#icloud
DetteErMittPassord4f.eks#whatever

Lag ett passord for hver nettside du er på. Sånn får du sikkert passord.

Endret 19. januar 2016 av gullf1sk

[nebrewfoz]

DetteErMittPassord4f.eks#hw

DetteErMittPassord4f.eks#google

DetteErMittPassord4f.eks#icloud

DetteErMittPassord4f.eks#whatever

 

Lag ett passord for hver nettside du er på. Sånn får du sikkert passord.

 

Så, dersom passordet "DetteErMittPassord4f.eks#whatever" blir lekket, så er det ikke særlig vanskelig å få tilgang til din 'konto' hos hw, google, icloud og overalt ellers på nettet? Det er jo bare å prøve seg fram og se om du er registrert på itunes, paypal, komplett, osv ...

[del_diablo]

Så, dersom passordet "DetteErMittPassord4f.eks#whatever" blir lekket, så er det ikke særlig vanskelig å få tilgang til din 'konto' hos hw, google, icloud og overalt ellers på nettet? Det er jo bare å prøve seg fram og se om du er registrert på itunes, paypal, komplett, osv ...

Så fremt det er mennesker som går over det? Ja.

Vis det ikke er mennesker? Roboter er beindumme så lenge de ikke er programmert til det.

[Merko]

Hva har det å si hvis passordet er komplex når det blir lekket uansett?

 

Like godt å ha ett enkelt passord sånn det er enkelt å gi ifra seg til bekante når du trenger det.

Passordene som blir lekket er i aller høyeste grad krypterte passord, slik at om passordet dit er "123456", så vil det bli seende ut 827ccb0eea8a706c4c34a16891f84e7b i databasen.

Så har altså "skurkene", store databaser hvor disse kodene befinner seg for de mest kjente passordene, gjerne tekstfiler på mange terrabyte som kun inneholder slike koder.

 

Når programmet finner koden "827ccb0eea8a706c4c34a16891f84e7b"  i tekstfilen, så vet den at det betyr "123456" som igjen gjør at de får logget inn på kontoen.

 

Har du avansert passord med "!#%#ø35, eller andre uvanlige tegn, så er sjansen mindre på at de har denne lagret den store "tekstfilen" de bruker.

[Zimon]

Bruk keepass eller lignende programvare til å autogenere lange passord og ta vare på dem. Men keepass så kan du legge databasen på en cloud tjeneste, f.eks dropbox og så kan du ha en MasterKey som må være tilgjengelig samt ett Master Passord. Keepass har også Android App, ikke sjekket annet, men regner med at det er til andre platfrormer også og ikke bare windows + android.

 

Så har man en tryggere hverdag.

[The Avatar]

Bruk keepass eller lignende programvare til å autogenere lange passord og ta vare på dem. Men keepass så kan du legge databasen på en cloud tjeneste, f.eks dropbox og så kan du ha en MasterKey som må være tilgjengelig samt ett Master Passord. Keepass har også Android App, ikke sjekket annet, men regner med at det er til andre platfrormer også og ikke bare windows + android.

 

Så har man en tryggere hverdag.

 

Bortsett frå dersom det er Keepass databasen som blir hacka, då er alle dine passord (som du antageligvis ikkje husker sjølv eingong) på avveie.

 

Dette blir ein slik legge alle egga i ei korg tankegang. Dersom det går bra så er slike tredjeparts passord-program ein fin ting å bruke. Men dersom det går gale så vil alle dine passord (og oversikt over kva sider dei høyrer til) komme i feil hender.

[1Dr.E]

 

Så, dersom passordet "DetteErMittPassord4f.eks#whatever" blir lekket, så er det ikke særlig vanskelig å få tilgang til din 'konto' hos hw, google, icloud og overalt ellers på nettet? Det er jo bare å prøve seg fram og se om du er registrert på itunes, paypal, komplett, osv ...

Så fremt det er mennesker som går over det? Ja.

Vis det ikke er mennesker? Roboter er beindumme så lenge de ikke er programmert til det.

 

Praktiserer en lignende som nebrewfoz skisserer, og føler meg relativt trygg med det.

BORTSETT fra den gangen kona trengte å logge inn på en tjeneste og jeg måtte dele passordet.

Er hun litt logisk skrudd sammen kan hun enkelt tenke seg til passordet på alle mine steder.

Når hun vet det er det potensielt mulig at hun deler det med andre også.

 

Jeg tror for det første ikke at hun la merke til systematikken i passordet, at hun har intereresse av å dele det videre eller har ønske om å sjekke min facebook, mail eller andre ting, og det måtte hun forsåvidt bare gjort da jeg ikke har noe å skjule.

 

Men for sikkerhet skyld byttet jeg bort den faste delen av passordet mitt

 

 

[gotark]

nr. 15 var en av de bedre på listen.

En kan jo feks gjøre ting litt bedre ved å ha det slik:
En tyngre type passord til veldig viktige ting (bank)
En type til passe viktig (fb, google)
En enkel type til lite viktige (ting som ikke har min person info)

Jeg har gjerne en liste med nettsider og assosiasjoner.
F.eks: Duskusjun.no = det Even sa + 2

For andre som ser dette betyr det svært lite, men jeg husker lett at jeg skal skrive pils1smakerhestU

Endret 19. januar 2016 av gotark

[007CD]

 

Bruk keepass eller lignende programvare til å autogenere lange passord og ta vare på dem. Men keepass så kan du legge databasen på en cloud tjeneste, f.eks dropbox og så kan du ha en MasterKey som må være tilgjengelig samt ett Master Passord. Keepass har også Android App, ikke sjekket annet, men regner med at det er til andre platfrormer også og ikke bare windows + android.

 

Så har man en tryggere hverdag.

 

Bortsett frå dersom det er Keepass databasen som blir hacka, då er alle dine passord (som du antageligvis ikkje husker sjølv eingong) på avveie.

 

Dette blir ein slik legge alle egga i ei korg tankegang. Dersom det går bra så er slike tredjeparts passord-program ein fin ting å bruke. Men dersom det går gale så vil alle dine passord (og oversikt over kva sider dei høyrer til) komme i feil hender.

 

 

Dersom KeePass databasen din blir 'hacket' så har du en god del større problemer.

Du kan adskille nøkkelen fra selve databasen og da blir det straks mye verre, så jeg vil faktisk våge å si at KeePass er ganske sikkert.

 

Men ellers så er jeg bruker av passord nr 2 på listen på switchen min

Det å få tilgang til denne fra utsiden er dog ikke enkelt så jeg føler meg ganske trygg.

 

Endret 19. januar 2016 av 007CD

[nebrewfoz]

 

Bortsett frå dersom det er Keepass databasen som blir hacka, då er alle dine passord (som du antageligvis ikkje husker sjølv eingong) på avveie.

 

Dette blir ein slik legge alle egga i ei korg tankegang. Dersom det går bra så er slike tredjeparts passord-program ein fin ting å bruke. Men dersom det går gale så vil alle dine passord (og oversikt over kva sider dei høyrer til) komme i feil hender.

 

 

Nå kjenner jeg ikke til Keepass spesielt, men andre 'password managers' sørger for å kryptere passordene før de sendes fra din PC/mobil slik at det ikke er noe som ligger lagret i klartekst på serveren. Uten ditt 'master password' - som du MÅ huske - er det som ligger på serveren verdiløst for andre.

 

Det finnes overbygninger (multi faktor) som gjør at du kan bruke fingeravtrykk, PIN-kode, og sikkerhetskode sendt til annen telefon, osv. som kan gjøre det enklere enn å huske et langt (og kanskje vondt) 'master' passord.

[Leftie]

 

Bruk keepass eller lignende programvare til å autogenere lange passord og ta vare på dem. Men keepass så kan du legge databasen på en cloud tjeneste, f.eks dropbox og så kan du ha en MasterKey som må være tilgjengelig samt ett Master Passord. Keepass har også Android App, ikke sjekket annet, men regner med at det er til andre platfrormer også og ikke bare windows + android.

 

Så har man en tryggere hverdag.

 

Bortsett frå dersom det er Keepass databasen som blir hacka, då er alle dine passord (som du antageligvis ikkje husker sjølv eingong) på avveie.

 

Dette blir ein slik legge alle egga i ei korg tankegang. Dersom det går bra så er slike tredjeparts passord-program ein fin ting å bruke. Men dersom det går gale så vil alle dine passord (og oversikt over kva sider dei høyrer til) komme i feil hender.

 

 

Ja, det er alle egga i en kurv, men så er den kurven til gjengjeld noe av det sikreste jeg har vært borti. Du kan lese detaljene om hvordan databasen er kryptert her: http://keepass.info/help/base/security.html

For å si det sånn: Hvis Keepass databasen knekkes, vil vi ha mye større problemer enn at passordene mine er på avveie. For da vil potensielt det meste som er kryptert med AES256 være i faresonen.

 

Dessuten føler jeg meg tryggere på å håndtere sikkerheten i passordene mine sjøl, enn å overlate det til alle mulige web-utviklere o.l., som f.eks. ikke skjønner forskjellen på kryptering og hashing.

[larso093]

Dei beste passordene har desse eigenskapane:

-Langt, minst 10 tegn, helst fleire enn det

-Vanskelig å gjette

-Lett å huske

 

Det mange trur er at viss du har minst ein stor bokstav og eit tal i passordet ditt så er passordet sikkert. Det er ganske langt frå sannheten. Eg ser mange av dei andre foreslår passord som er skrevet på DenneMåtenHer123. Det er ein veldig vanlig måte å skrive passord på og det utnytter passordcrackerne. Dei har algoritmer som gjetter passord som har ord som begynner med stor bokstav og slutter på et tal.

 

Andre foretrekker passord med tilfeldige tegn for å føle seg sikre. Problemet då blir at det blir vanskelig å huske passordet. Då har folk ein tendens til å holde passordet for kort, då blir det lett å brute force passordet uansett.

 

Måten eg foretrekker å lage passord på er å skrive ein setning som ikkje gir meining eller berre ein haug med ord som ikkje høyrer sammen. Då får du et langt passord som er vanskelig å gjette siden det ikkje gir meining og det er lett å huske.

 

Et standard eksempel på et slikt passord er "correct horse battery staple" sjå https://xkcd.com/936/. Ja du kan bruke mellomrom i passordet ditt og disse mellomrommene er med på å gjere passordet sikrare. Ja det går fint å berre skrive lower case uten å bruke tal og spesialtegn i passordet ditt. Så lenge det er vanskelig å gjette og er langt nok så er passordet ganske sikkert.

[nebrewfoz]

Så lenge det er vanskelig å gjette og er langt nok så er passordet ganske sikkert.

 

Gitt at den serveren du oppgir det til behandler det korrekt.

(Ikke lagrer det i klartekst, salter & hasher ordentlig, osv.)

[kjeita]

 

Bruk keepass eller lignende programvare til å autogenere lange passord og ta vare på dem. Men keepass så kan du legge databasen på en cloud tjeneste, f.eks dropbox og så kan du ha en MasterKey som må være tilgjengelig samt ett Master Passord. Keepass har også Android App, ikke sjekket annet, men regner med at det er til andre platfrormer også og ikke bare windows + android.

Så har man en tryggere hverdag.

Bortsett frå dersom det er Keepass databasen som blir hacka, då er alle dine passord (som du antageligvis ikkje husker sjølv eingong) på avveie.

Dette blir ein slik legge alle egga i ei korg tankegang. Dersom det går bra så er slike tredjeparts passord-program ein fin ting å bruke. Men dersom det går gale så vil alle dine passord (og oversikt over kva sider dei høyrer til) komme i feil hender.

Du er litt forvirret.

KeePass er ikke som 1Password eller LastPass.

Med KeePass så er det du selv som bestemmer hvor databasen din skal lagres!

Du kan ha den på en minnepenn, eller laste den opp på dropbox som nevnt.

Din database vil med andre ord aldri forlate din kontrol, med mindre du eksplisitt laster den opp til tredjepart.

 

Forresten så hadde jo LastPass noen problemer for litt siden:

https://blog.lastpass.com/2015/06/lastpass-security-notice.html/

 

@Zimon,

KeePass kan virke på nesten alt.

Du har win, os x, ios, android, unix, linux, bsd, javascript, chromeos, blackberry med flere.

 

Det er mange som velger å overlate håndteringen til en tredjepart slik som for eksempel LastPass eller 1Password.

De fleste gjør dette fordi de ikke orker å håndtere databasen selv, og foretrekker hvor simpelt det er å sette opp samme database på flere enheter med LastPass/1Password.

[efikkan]

Hva har det å si hvis passordet er komplex når det blir lekket uansett?

 

Like godt å ha ett enkelt passord sånn det er enkelt å gi ifra seg til bekante når du trenger det.

Hvis det er en seriøs aktør sin database som blir lekket så er passordene hashet. Hashing er en irreversibel matematisk funksjon, og passordene lagres ikke i klartekst. Det betyr at hver gang noen logger inn så hashes det passordet og sjekkes opp mot det hashede passordet i databasen. Dersom databasen lekkes så må den som skal finne ut passordet ditt prøve alle mulige passord siden det ikke er mulig å regne seg baklengs fra f.eks. c4da71e67e68d4e2dd6bdac02de57d45 til "passord". Hvis passordene i tillegg er saltet med unike salt så kan heller ikke en passorddatabase brukes. Det betyr at den som har fått tak i databasen må bruteforce hvert enkelt passord kjempelenge, og til lengre passordet ditt er til lenger tid vil dette ta.

 

Dessverre kan mindre seriøse nettsider, forum og nettbutikker finne på å lagre passord i klartekst, og da kan det naturligvis misbrukes direkte. Da håper jeg for din skyld at passordet er unikt slik at den som får tak i det ikke kan bruke det til å misbruke andre tjenester du er medlem av. En måte å håndtere denne risikoen på er å bytte ut passord ofte, og da trenger du en passordsafe.

 

DetteErMittPassord4f.eks#hw

DetteErMittPassord4f.eks#google

DetteErMittPassord4f.eks#icloud

DetteErMittPassord4f.eks#whatever

 

Lag ett passord for hver nettside du er på. Sånn får du sikkert passord.

Det der er noe av det dummeste du kan gjøre.

Hvis du er medlem på en tvilsom nettside som lagrer passord i klartekst og den databasen lekkes så kan vi plutselig gjette alle passordene dine!

 

Dei beste passordene har desse eigenskapane:

-Langt, minst 10 tegn, helst fleire enn det

-Vanskelig å gjette

-Lett å huske

I stedet for å lage mange "halvgode" passord så trenger du bare ett eller to kjempegode. Så lærer du deg å bruke en passordsafe som KeePassX, og genererer så lange passord som mulig til hver enkelt tjeneste. Passordene bør du bytte ut én gang i året, eller oftere for mer tvilsomme tjenester. Bruk av passordsafe burde være det første alle lærte etter mus og tastatur.

 

Det finnes også nettbaserte passordsafer som LastPass, men da må du stole på en tredjepart og det er ikke lenge siden sist der var utfordringer med slike løsninger.

 

Andre foretrekker passord med tilfeldige tegn for å føle seg sikre. Problemet då blir at det blir vanskelig å huske passordet. Då har folk ein tendens til å holde passordet for kort, då blir det lett å brute force passordet uansett.

 

Måten eg foretrekker å lage passord på er å skrive ein setning som ikkje gir meining eller berre ein haug med ord som ikkje høyrer sammen. Då får du et langt passord som er vanskelig å gjette siden det ikkje gir meining og det er lett å huske.

 

Et standard eksempel på et slikt passord er "correct horse battery staple" sjå https://xkcd.com/936/. Ja du kan bruke mellomrom i passordet ditt og disse mellomrommene er med på å gjere passordet sikrare. Ja det går fint å berre skrive lower case uten å bruke tal og spesialtegn i passordet ditt. Så lenge det er vanskelig å gjette og er langt nok så er passordet ganske sikkert.

Hver gang det diskuteres passord så må noen bringe frem den XKCD-stripen med feil. Randall Munroe har hverken forstått matematikken bak entropi eller forstått hvordan moderne bruteforcing fungerer da han laget stripen:

- Et passord på 11 tilfeldige tegn har en entropi på 65-73 bit (avhengig av om spesialtegn tillates), stripen påstår "28 bit".

- Forklaringen til stripen bruker en ordbok med 7776 ord som eksempel. Fire tilfeldige ord gir da en entropi på ~51 bit.

- For hver bit med entropi kreves det dobbelt så mange forsøk, 65 bit er 16384 ganger bedre enn 51 bit.

- Om du så bruker en stor ordbok på 50.000 ord (inkl. variasjoner av samme ord, populære navn, stedsnavn osv.) så får du fremdeles en entropi på ~62 bit.

 

Nå er ikke 11 tegn nok til et godt passord, men du ser allerede der at det er betydelig bedre enn en rekke av vanlige ord. Nøkkelen her er at entropien avgjøres av enkleste måte du kan gjette deg til passordet, så hvis passordet ditt består av vanlige ord så er det åpenbart mye raskere å gjette vanlige ord enn alle mulige rare tegn. Det finnes allerede bruteforceing som bruker ordbøker til gjetting, så det er mange passord som lever farlig. Det passord er sterkt om det er vanskelig å gjette for andre.

[larso093]

 

Så lenge det er vanskelig å gjette og er langt nok så er passordet ganske sikkert.

 

Gitt at den serveren du oppgir det til behandler det korrekt.

(Ikke lagrer det i klartekst, salter & hasher ordentlig, osv.)

 

Gitt at du ikkje bruker passordet på ein usikra nettstad andre plasser så vil ikkje det gi store konsekvenser. Derimot om du har eitt universalpassord du bruker på alt, så er ein ganske sårbar om ein cracker skulle fått tak i passordet i klartekst.

 

 

Hver gang det diskuteres passord så må noen bringe frem den XKCD-stripen med feil. Randall Munroe har hverken forstått matematikken bak entropi eller forstått hvordan moderne bruteforcing fungerer da han laget stripen:

- Et passord på 11 tilfeldige tegn har en entropi på 65-73 bit (avhengig av om spesialtegn tillates), stripen påstår "28 bit".

- Forklaringen til stripen bruker en ordbok med 7776 ord som eksempel. Fire tilfeldige ord gir da en entropi på ~51 bit.

- For hver bit med entropi kreves det dobbelt så mange forsøk, 65 bit er 16384 ganger bedre enn 51 bit.

- Om du så bruker en stor ordbok på 50.000 ord (inkl. variasjoner av samme ord, populære navn, stedsnavn osv.) så får du fremdeles en entropi på ~62 bit.

 

Nå er ikke 11 tegn nok til et godt passord, men du ser allerede der at det er betydelig bedre enn en rekke av vanlige ord. Nøkkelen her er at entropien avgjøres av enkleste måte du kan gjette deg til passordet, så hvis passordet ditt består av vanlige ord så er det åpenbart mye raskere å gjette vanlige ord enn alle mulige rare tegn. Det finnes allerede bruteforceing som bruker ordbøker til gjetting, så det er mange passord som lever farlig. Det passord er sterkt om det er vanskelig å gjette for andre.

 

 

Generelt så tar eg XKCD stripa med ei klype salt. Det er tross alt humor. Ein er ikkje nødt til å følge oppskrifta til stripa men den har jo eit poeng at P@55w0rd er mykje dårligare enn berre 4 tilfeldige ord frå ei bok. Bra poeng med at passorda kan bruteforces gjennom ordbøker. Og eg er enig med deg i at ein bør ikkje lage eit passord basert på ord rett ut frå ordboka. Men det går jo alltids an å for eksempel skrive på dialekt, legge til tall i setninga. Bytte mellom språk, etc. Det er mykje ein kan gjere for å gjere eit passord sikkert men å gjere det lengre er vel kanskje den mest effektive måten.

 

Du har nok ein bedre løsning med tanke på den absolutt sikraste måten å håndtere passord på, med passordsafe og random passord for kvar teneste. Eg har aldri brukt noko passordbank sjølv så eg kan ikkje uttale meg om det før eg har prøvd. Eg har lagt litt vekt på at passordet skal være lett å huske. Fordi folk flest er generelt litt late når det kjem til å lage og å hugse passord. Og eg er blant dei late

[plankeby]

Hva om man filtrerer til å kun ta passord til nettbanker, får man da samme liste?

 

Mitt poeng er at det er veldig mange steder der passord har svært lite betydning, fordi det ikke har noen verdi om andre klarer å komme inn.

F.eks. steder som krever pålogging for å lese noe eller kommentere osv. I det hele steder det har null betydning om andre knekker passordet, fordi man uansett ikke får tilgang til noe som kan misbrukes.

Endret 19. januar 2016 av plankeby

[GoSuperb]

Jeg gjenopprettet android nettbrettet mitt i dag, da jeg ved en feiltakelse hadde kommet borti å markere for den androidenheten. Dette var via en litt rar app, som jeg ikke har sett en slik virkemåte på. Grunnen for at feilvalget mitt ble utført var at jeg ikke fikk opp den nye enheten jeg skulle innstaller appen på. Derfor ble det via googlekontoen min foretatt fjernsletting.

 

Når jeg så omsider skulle ta i bruk nettbrettet, så var enheten blitt fjernslettet og jeg måtte sette opp ting på ny. Da ble jeg klar over at Google samler inn en hel haug med ting, som f.eks. alle mine benyttede WiFi passord. Er jo ingen direkte uting å kunne ha all denne lettvintheten og puter under armene, men det kjennes litt ubehagelig at det ligger der ute hos en tredjepart for innsyn.

Endret 20. januar 2016 av GoSuperb