abene Skrevet 6. mai 2011 Rapporter Del Skrevet 6. mai 2011 Oppfordrer brukerne til å endre passord. Et mulig innbrudd i LastPass Lenke til kommentar
VikinGz Skrevet 6. mai 2011 Rapporter Del Skrevet 6. mai 2011 Bra at selskaper lærer å være på vakt, det er vell kun sony som glemmer dette. 3 Lenke til kommentar
Sujit Skrevet 6. mai 2011 Rapporter Del Skrevet 6. mai 2011 Nei, der er vell at LastPass er et dedikert firma. Sonys problem er at det er ikke nok teknologer i styret... men dette er et generell problem. Lenke til kommentar
G Skrevet 6. mai 2011 Rapporter Del Skrevet 6. mai 2011 Bra at de sier tydelig i fra om problemet. Har aldri hørt om tjenesten før denne artikkelen gjorde meg oppmerksom på den. Jeg kunne aldri tenke meg å legge flere passord i en slik tjeneste. Da tar jeg heller sjansen på at jeg får hukommelsestap eller blir senil eller noe liknende i alderdommen. Lenke til kommentar
_Brukernavn_ Skrevet 6. mai 2011 Rapporter Del Skrevet 6. mai 2011 Dette er grunnen til at jeg ikke bruker en slik tjeneste. Da er det bedre med en kryptert fil som jeg selv har fysisk tilgang til. Lenke til kommentar
007CD Skrevet 6. mai 2011 Rapporter Del Skrevet 6. mai 2011 Jepp, kjører KeePass selv, dette er 100% lokalt innad i nettverket med kryptering og ett master passord. Lenke til kommentar
meitemark Skrevet 6. mai 2011 Rapporter Del Skrevet 6. mai 2011 Ironisk... Ironisk er det vel ikke, men de er et ekstra fristende mål pga innholdet. Ironisk ville det vært om de som drev det glemte passordene sine. Lenke til kommentar
Stefski Skrevet 6. mai 2011 Rapporter Del Skrevet 6. mai 2011 Har sett en del kommentarer på diverse forum, av typen "jeg bruker heldigvis ikke sånn tjeneste, og nå kommer jeg ihvertfall ikke til å gjøre det". Jeg bruker LastPass, og er sålangt veldig fornøyd. Var veldig skeptisk til denne typen tjenester før, men etter å ha lest hvordan det rent teknisk fungerer, har jeg måttet endre holdning. Det er klart at du er nødt til å stole på at det LastPass skriver om sin tjeneste er sant, hvis du ikke skal begynne å dykke ned i og undersøke dataene du sender via nettet til dem. Men forutsatt at de ikke lyver for sine brukere, så vil jeg påstå at å ha sine passord lagret hos LastPass er vel så sikkert som å lage (og ikke minst huske) passord "manuelt" for enhver website du registrerer deg på. Før hadde jeg stort sett ett passord (utenom nettbankens), som jeg gjenbrukte overalt - hvem klarer å huske ørten _sterke_ passord, egentlig? Dette holder jo helt til ett av websitene søler den usikrede brukerdatabasen sin ut over nettet. I tilfellet med LastPass, så kan det godt hende at databasen deres har blitt kopiert. Men den er lite verdt for dem som har fått tak i den, hvis de ikke klarer å knekke master-passordet for brukerne - og det er den enkelte brukerens ansvar å ha et såpass sterkt master-passord, at det ikke lar seg knekke med den enkleste brute force metoden. Lenke til kommentar
_Brukernavn_ Skrevet 6. mai 2011 Rapporter Del Skrevet 6. mai 2011 Så har du muligheten med å ha ulike passord for ulike tjenester lagret i en kryptert disk eller partisjon med et masterpassord. Da må de først A) bryte seg inn i huset ditt og B) knekke koden. Så klarer man alltids å huske passordene til de tjenestene som brukes oftest. Jeg har ikke et eneste passord som er likt et annet, utenom på sider/tjenester jeg ikke anser som viktige. Lenke til kommentar
TomasF Skrevet 6. mai 2011 Rapporter Del Skrevet 6. mai 2011 Noen som vet om tilsvarende løsninger (klient integrert i nettlesere, evnt standalone Windows klient, gjerne også android etc klient) som lar en holde databasen på sin egen server? Dvs at du kan peke klientene til en valgfri host som kjører en kompatibel kryptert database og en eller annen form for webservice e.l. Lenke til kommentar
tickinghd Skrevet 6. mai 2011 Rapporter Del Skrevet 6. mai 2011 Litt irriterende, jeg bruker LastPass og dette er første gang jeg får høre om dette. Dog, passordet mitt er vanskelig å finne med brute force så jeg er ikke så veldig bekymret om dataene er på avveie. Bra at de sier tydelig i fra om problemet. Har aldri hørt om tjenesten før denne artikkelen gjorde meg oppmerksom på den. Jeg kunne aldri tenke meg å legge flere passord i en slik tjeneste. Da tar jeg heller sjansen på at jeg får hukommelsestap eller blir senil eller noe liknende i alderdommen. Ulempen med å samle på passordene selv er at når du først har ett passord på avveie - så faller den våte bæsjen rett på viften, for å si det mildt. LastPass generer unike passord på alle sidene du besøker og husker dem, det er betydelig tryggere - så fremst du har ett godt hovedpassord som du ikke bruker andre steder. Lenke til kommentar
Nødstopp Skrevet 6. mai 2011 Rapporter Del Skrevet 6. mai 2011 Ironisk... Ironisk er det vel ikke, men de er et ekstra fristende mål pga innholdet. Ironisk ville det vært om de som drev det glemte passordene sine. At de som skal lagre og beskytte passordene dine for å hindre at du mister eller blir frastjålet data, blir frastjålet data synes jeg er litt ironisk. Lenke til kommentar
meitemark Skrevet 6. mai 2011 Rapporter Del Skrevet 6. mai 2011 Før hadde jeg stort sett ett passord (utenom nettbankens), som jeg gjenbrukte overalt - hvem klarer å huske ørten _sterke_ passord, egentlig? Da lager man seg et system som gjør det at DU klarer å se passordet ut fra HVOR du prøver å logge inn. Det finnes flere enkle triks der. Enkleste er å legge en kode til domenenavnet, feks "Dette er passord". Her på diskusjon.no ville det blitt: "Dette er passord diskusjon.no" Da har man plutselig et passord som vil ta år å knekke med bruteforce, og det forutsetter at man ikke prøver å bryte seg inn på tjenester som tempbanner deg ved for mange feil. Du kan tilogmed skrive det ned og ingen vil fatte at det er et passord. Epostadresser er også flotte passord: "[email protected]", og igjen et passord du kan skrive ned og ingen vil komme seg noe lenger med, rett og slett fordi de ikke forventer at en epostadresse er et passord, men at en epostadresse HAR et passord. Enda bedre hvis du bruker epostadresser som faktisk finnes. Den største bakdelen med samletjenester for passord er ikke potensielle innbrudd, men faren for at tjenesten går ned og blir utilgjengelig. Har du noen sjanse for å huske alle passordene da? Lenke til kommentar
nomore Skrevet 6. mai 2011 Rapporter Del Skrevet 6. mai 2011 Etter å ha fått inngående teknisk kjennskap til en del større norske nettløsninger så er det skremmende å se hvor lett utviklerene tar på sikkerhetsspørsmålet. Om de i det hele tatt ser på spørsmålet, og ikke bare skyver det under teppet til versjon 8. Tar man en titt på denne siden her så kan man jo begynne å lure(og deretter slette profilen sin): http://www.passwordfail.com/websites/ Dette er altså flere Norske løsninger hvor flere av de lagrer passordet sitt i klartekst. Flere av disse er tyngre aktører. Om de ikke klarer å få på plass noe så banalt som hashing av passord, hvordan kan vi stole på at de sikrer sin interne løsning godt nok, for å ikke snakke om backupen? Hvem tror at de faktisk har kontroll på backupen etter at den er tatt? Passord er et ømt tema for de fleste, føler eg. Alle vet at man skal ha et vanskelig passord som det ikke er mulig å gjette seg lett til. Eg vil si at så godt som 70-90% av brukerene er pr i dag klar over dette. Dessverre tror eg at bare 20-40% faktisk har et så bra passord. Hva kan dette komme av? Overprogrammerte web applikasjoner vil eg tildele noe av skylden. Nettløsninger hvor sikkerheten blir satt så høyt at brukerene må bytte passord 1 gang i måneden, kan ikke bytte til et av de siste 30 og må være 20 tegn langt, inneholde tegn og tall osv. Og sjeldent snakker vi ikke om isolerte tilfeller. Alle skal ha sikre passord og veldig høye krav(men de skal ikke bruke eksterne autentiseringsløsninger). Hva er resultatet? Folk må enten skrive ned passordene sine, enten på en lapp, på mobilen eller under tastaturet(Hørt den før? Det skjer faktisk), eller så må de "lure" systemet til å godta passordet sitt enten ved å kontakte helpdesk(og opptre viktig og autoritært) eller bruke det samme avanserte passordet på alle nettstedene. Noe eg mener ikke er en god løsning. På toppen kommer de nettsidene som ikke godtar lange passord med tegn i. Veldig frustrerende. Hva er poenget mitt? Folk er udugelige til å huske mange avanserte passord, meg inkludert. Og de fleste leverandører av netttjenester er udugelige til å lage brukbare autentiseringsløsninger. Løsningen vil eg påstå er å bruke tredjepartsleverandører som har autentisering som levebrød. De vil ha en økonomisk gevinst av å ha den beste, sikreste og mest brukervennlige autentiseringsløsnignen som finnes, mens tjenestelevererandøren kan konsentrere seg om å lage en ypperlig tjeneste. Og her har nå LastPass skutt gullfuglen. Mener eg. I utgangspunktet er det lett å konkludere med at de burde vært kjølhalt, rullet i fjære og dunket i fjær. Og enkelte vil nok fortsatt tro det. Men faktisk viser LastPass at de kan dette, og de er til å stole på. Hvorfor? - De fant ikke ut at de var blitt hacket i ettertid, de mistenkte at noen kanskje hadde tappet data på bakgrunn av unormalt høy nettverksaktivitet mot en databaseserver. De færreste større IT selskaper kan skilte med muligheter, og rutiner for, å oppdage den type aktivitet. Kudos til LastPass. - De tok sikkerheten enda et nivå opp. Mao, selv om de ikke vet om data er på avveie så har de tatt tekniske tiltak for å redusere risikoen for at dataene som kanskje er på avveie kan komme til skade, og at det kan skje i fremtiden(eller skje igjen). Flott. - De informerte brukerene sine kjapt, samt media. Ikke en eneste IT-nettside har gått glipp av oppslaget. Dog med forskjellige vinklinger. Andre ville kanskje holdt denne informasjonen tett til brystet. Hvem er tjent med det? Aksjeholderene. Og kun de. - De har vært åpne om løsningen sin, og de har gitt konkrete råd til brukerene sine om hva de bør gjøre for å minimere risikoen i tilfelle worst case scenario. Vi kan jo dra en parallell til Sony og PSN. Der har du oppskriften på motstykke. 4 Lenke til kommentar
tickinghd Skrevet 6. mai 2011 Rapporter Del Skrevet 6. mai 2011 Før hadde jeg stort sett ett passord (utenom nettbankens), som jeg gjenbrukte overalt - hvem klarer å huske ørten _sterke_ passord, egentlig? Da lager man seg et system som gjør det at DU klarer å se passordet ut fra HVOR du prøver å logge inn. Det finnes flere enkle triks der. Enkleste er å legge en kode til domenenavnet, feks "Dette er passord". Her på diskusjon.no ville det blitt: "Dette er passord diskusjon.no" Da har man plutselig et passord som vil ta år å knekke med bruteforce, og det forutsetter at man ikke prøver å bryte seg inn på tjenester som tempbanner deg ved for mange feil. Du kan tilogmed skrive det ned og ingen vil fatte at det er et passord. Epostadresser er også flotte passord: "[email protected]", og igjen et passord du kan skrive ned og ingen vil komme seg noe lenger med, rett og slett fordi de ikke forventer at en epostadresse er et passord, men at en epostadresse HAR et passord. Enda bedre hvis du bruker epostadresser som faktisk finnes. Den største bakdelen med samletjenester for passord er ikke potensielle innbrudd, men faren for at tjenesten går ned og blir utilgjengelig. Har du noen sjanse for å huske alle passordene da? Det er ikke noen grunn for at ett ordlisteangrep ikke kan inkludere epost og enkle setninger. Enda verre er det om noen oppdager at du bruker ett så gjenkjennbart mønster og du gjentar metoden på alle sidene du bruker. LastPass generer passord som "skYMIn7O" (genererte det nettopp), det følger hverken mønster på tastatur (aka asdf123) eller gjenbruker eksisterende ord - slik vi mennesker ofte gjør. Ikke for dét, man kan lage sterke passord med enkle regler. Men var jeg deg ville jeg sterkt vurdert en bedre metode. LastPass har ett eget program (LastPass Pocket) som fungerer uten netttilgang også, så man kan benytte det om tjenesten skulle bli utilgjengelig eller lignende. Lenke til kommentar
GnuNix Skrevet 7. mai 2011 Rapporter Del Skrevet 7. mai 2011 (endret) Jeg bruker Lastpass og benytter en Yubikey for ekstra beskyttelse for slike tilfeller. Heldigvis er alle data på Lastpass sine servere kryptert og saltet slik at om en tyv får en kopi av databasen blir det stortsett umulig å knekke krypteringen (bortsett fra dem med et enkelt passord, "Joe897"). Lastpass er et sikkerhets firma og av den grunn klarte de å behandle sine kunder på den beste måten, ved å varsle dem tidlig og gi grundig informasjon. Dessuten har de et meget bra system i forhold til hvordan man opplaster informasjon til dem og hvordan de hånterer/lagrer informasjon de får. De er veldig åpen om hvordan de passer på at din database ikke kommer på avvei, men en må ta ansvar for at masterpassordet sitt holder mål! Endret 7. mai 2011 av jackbrennan2008 Lenke til kommentar
nomore Skrevet 7. mai 2011 Rapporter Del Skrevet 7. mai 2011 Eg kom over YubiKey i forbindelse med LastPass-nyheten de siste dagene og har fått øynene opp for den geniale dingsen. Kommer nok til å bestille meg en eller to i løpet av helgen. Vurderer å kjøpe inn 10 eller 50 for videresalg, om noen er interessert. Den er jo genialt fleksibel, og kan brukes i flere sammenhenger: - Som en nøkkelgenerator. Her vil man da få et engangspassord som autentiseres mot en YubiKey-server. - Som en nøkkel. Hver enkelt YubiKey kan lage et fast, langt og sikkert passord som du kan bruke på nettet i stede for å taste inn et eget. Slipper også å huske passordet, så lenge du har med deg YubiKey'en. - For ekstra sikkerhet kan du kombinere et passord + YubiKey for å få en tofaktor-løsning. Det beste er at YubiKey'en støtter begge metodene. Hvilken man bruker er avhengig av hvor lenge man trykker på knappen. Lenke til kommentar
tickinghd Skrevet 8. mai 2011 Rapporter Del Skrevet 8. mai 2011 YubiKey må ha gode dager nå, jeg bestilte pakken med YubiKey og LastPass premium fra Yubico i går - prisen kom på under 200 så det skal da bli tollfritt. En ok pris det. Det er interessant at de har åpne API og slikt så man kan bruke nøkkelen i egne løsninger også. Lenke til kommentar
G Skrevet 9. mai 2011 Rapporter Del Skrevet 9. mai 2011 (endret) Ett problem med passordbruk på PC er at en bruker samme PC til så mange forskjellig oppgaver, hvor mange av disse er relatert til internettbruk. Det andre problemet er at en gjerne bruker passordet fra flere enn en enkelt PC, dersom man reiser eller er på besøk. En kan aldri vite hvordan andre venner eller offentlige steder en surfer fra bruker maskinene sine. Sin egen PC kan også få uhumskheter ved seg, som en gjerne ikke legger merke til med en gang. Som f.eks. en keylogger. Antivirusprogramvaren og operativssystemet får dermed en formidabel oppgave å holde maskinen ren og pen. Det en kan gjøre mest med selv er selvfølgelig å tenke igjennom hvordan en selv bruker datamaskiner/internett og så foreta grep der. Denne diskusjonen rundt passord her i tråden er i så måte nyttig lesning. En får kanskje noen tips en ikke så enkelt ville kommet på selv. Endret 9. mai 2011 av G Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå