Gå til innhold

KOMMENTAR: Oy vey, eBay! Her har du fem spørsmål?

Redaksjonen.

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
XmasB

XmasB

Skrevet
Skrevet

Passordet mitt på eBay er heldigvis helt unikt og kryptisk (jeg kan det ikke selv), men bytter uansett. man vet jo aldri om det er knukket. ;)

 

Ellers er jeg nysgjerrig. Hvilke gode alternativer har vi til en lenke som gir meg mulighet til å endre passord?

Lenke til kommentar
Anaphora

Anaphora

Skrevet
Skrevet

Glad jeg bruker lastpass. Slik som XmasB aner jeg ikke hva mitt passord er på ebay, eller på de aller fleste av de over hundre nettsidene jeg har konto. Jeg har én supertrygg master-passord som faktisk er ganske lett å huske og taste. Resten av passordene mine er generert av lastpass, hvor noen er 100 tegn lange, just for fun.

 

Anbefaler sterkt lastpass. Det at den kan skanne alle login-detaljer for styrke, og se om noen av kontoen mine er involvert i innbrudd, og om noen av nettsidene jeg bruker var utsatt for heartbleed er seriøst verdt ca en tier per mnd.

  • Liker 1
Lenke til kommentar
Snorre

Snorre

Skrevet
Skrevet

Passordet mitt på eBay er heldigvis helt unikt og kryptisk (jeg kan det ikke selv), men bytter uansett. man vet jo aldri om det er knukket. ;)

 

Ellers er jeg nysgjerrig. Hvilke gode alternativer har vi til en lenke som gir meg mulighet til å endre passord?

 

Poenget med endring av passord er vel at det er uheldig at det eneste som identifiserer deg ved gjenoppretting av passord er e-posten din. Det betyr jo i effekt at så snart noen har tilgang til e-posten din vil de kunne få tilgang til alle de andre tjenestene du benytter den e-posten på. I tillegg til å identifisere med e-post burde tjenestene spørre om tilleggsinformasjon, enten det er spørsmål med hemmelige svar, tidsbaserte koder (ala bank id), eller annet.

  • Liker 1
Lenke til kommentar
007CD

007CD

Skrevet
Skrevet

En kryptert database hjelper neppe om det er snakk om angrep mot en database som er online, da dataene må være dekrypterte for at det skal funke slik som skjemaer osv.

Av samme årsak så er det neppe noen 2 trinns verifikasjon mot databasen, avhengig av hvordan det er gjort så kan du lett hoppe forbi enten ved å utgi deg for å være web applikasjonen som vanligvis leser i databasen for informasjonen (Ebay sine brukersider med navn og adresse hvor det opprettes, endres etc) eller du piggy backer på en 2 trinns verifikasjon's innlogging til serveren hvor dataene befinner seg og det eneste du gjør deretter er å fortsette å bruke administrator sin brukertilgang selv etter at administrator tror han har logget av.

 

Det å unngå overvåkningssystemer kan være enkelt avhengig av hvordan det er satt opp, logger kan "pyntes" om de ikke lagres andre steder eller at systemet ikke er satt opp korrekt og dumper en masse feil til vanlig og i den forstand roper "ulv ulv" og forårsaker falsk alarm, ala det samme som skjedde hos Target.

Og da drukner de virkelige rapportene i støy av andre vanlige og irrelevante feil.

Lenke til kommentar
tommyb

tommyb

Skrevet
Skrevet (endret)

Sikkerhetsekspert er ikke nådig mot nettkjempen etter datainnbrudd.

 

KOMMENTAR: Oy vey, eBay! Her har du fem spørsmål?

 

Jeg har et tilleggsspørsmål til eBay:

 

Hvorfor får jeg ikke lov til å bruke passordfraser på eBay?

Dere nekter meg å bruke whitespace (mellomrom) og dere begrenser meg til bare 20 tegn.

Jeg får heller ikke lov til å lime inn et vanskelig passord fra en passordgenerator.

 

Dette kaller jeg svakhet gjennom design.

 

 

Hvis du lager et passord på 24 tegn, og skriver det inn på linje en på siden for passordbytte, og deretter skriver inn bare 22 første tegnene i den andre linjen, vil den bare oppfatte de 20 første tegnene i begge feltene, og si at feltene er like. De 20 første tegnene vil da bli ditt nye passord. Da blir du sparket ut til forsiden, der du må skrive inn ditt nye passord.

 

Skriver du da de 24 tegnene du skreiv inn i passordfeltet, blir du avvist. Du må selv telle opp til 20 tegn og stoppe der for å få logget på.

 

Den eneste måten dette framgår på, er at du slutter å få flere skjult-tegn-sirkler i passordfeltet etter du har skrevet 20 tegn.

 

I tillegg til å identifisere med e-post burde tjenestene spørre om tilleggsinformasjon, enten det er spørsmål med hemmelige svar, tidsbaserte koder (ala bank id), eller annet.

 

 

Apropos spørsmål med hemmelige svar:

eBay HAR spørsmål med hemmelige svar. Disse spørsmålene er nå kompromitterte. Spørsmålene våre på eBay må byttes, i likhet med passordene.

Endret av tommyb
Lenke til kommentar
tahe

tahe

Skrevet
Skrevet

...

 

Ellers er jeg nysgjerrig. Hvilke gode alternativer har vi til en lenke som gir meg mulighet til å endre passord?

 

En mail som ber deg starte nettleseren, logge inn på siden på vanlig måte og så bytte passord på vanlig måte. Mao en mail uten noen lenker.

Lenke til kommentar
XmasB

XmasB

Skrevet
Skrevet

 

Passordet mitt på eBay er heldigvis helt unikt og kryptisk (jeg kan det ikke selv), men bytter uansett. man vet jo aldri om det er knukket. ;)

 

Ellers er jeg nysgjerrig. Hvilke gode alternativer har vi til en lenke som gir meg mulighet til å endre passord?

Poenget med endring av passord er vel at det er uheldig at det eneste som identifiserer deg ved gjenoppretting av passord er e-posten din. Det betyr jo i effekt at så snart noen har tilgang til e-posten din vil de kunne få tilgang til alle de andre tjenestene du benytter den e-posten på. I tillegg til å identifisere med e-post burde tjenestene spørre om tilleggsinformasjon, enten det er spørsmål med hemmelige svar, tidsbaserte koder (ala bank id), eller annet.

 

 

Ja, jeg er enig i at det er uheldig at epost er eneste identifikasjon, men samtidig er det veldig lite praktisk med løsninger som ber om svar på "hemmelige spørsmål" og denslags. Dersom spørsmålene er forhåndsdefinerte er de som oftest svært lite sikre mot angrep fra noen som kjenner litt til vedkommende. Og uansett er det en viss stor risiko for at brukeren glemmer hva han/hun svarte. En løsning som bank-id er mer ålreit, men de fleste har vel vært borti et tilfelle hvor de trenger bank-id og kodebrikken ligger igjen hjemme... (pre bank-id på mobil).

 

Jeg hadde en konto i forbindelse med en spillutgiver jeg ikke husket passord på. For å resette passord måtte jeg oppgi svar på et spørsmål. Spørsmålet var enkelt nok, de ville ha navnet på kjæledyret mitt. Problemet er bare at dyr ikke lever evig, og jeg hadde ingen kjæledyr lenger. Så da måtte jeg gå gjennom lista over dyr jeg hadde hatt. Jeg forsøkte i flere dager, uten hell. Det var til slutt kona mi som minnet meg på at en tidligere katt aldri ble kalt noe annet enn Pus...

 

 

 

...

 

Ellers er jeg nysgjerrig. Hvilke gode alternativer har vi til en lenke som gir meg mulighet til å endre passord?

En mail som ber deg starte nettleseren, logge inn på siden på vanlig måte og så bytte passord på vanlig måte. Mao en mail uten noen lenker.

 

 

Og dersom man ikke husker passordet sitt?

Lenke til kommentar
Snorre

Snorre

Skrevet
Skrevet

 

Ja, jeg er enig i at det er uheldig at epost er eneste identifikasjon, men samtidig er det veldig lite praktisk med løsninger som ber om svar på "hemmelige spørsmål" og denslags. Dersom spørsmålene er forhåndsdefinerte er de som oftest svært lite sikre mot angrep fra noen som kjenner litt til vedkommende. Og uansett er det en viss stor risiko for at brukeren glemmer hva han/hun svarte. En løsning som bank-id er mer ålreit, men de fleste har vel vært borti et tilfelle hvor de trenger bank-id og kodebrikken ligger igjen hjemme... (pre bank-id på mobil).

 

Jeg hadde en konto i forbindelse med en spillutgiver jeg ikke husket passord på. For å resette passord måtte jeg oppgi svar på et spørsmål. Spørsmålet var enkelt nok, de ville ha navnet på kjæledyret mitt. Problemet er bare at dyr ikke lever evig, og jeg hadde ingen kjæledyr lenger. Så da måtte jeg gå gjennom lista over dyr jeg hadde hatt. Jeg forsøkte i flere dager, uten hell. Det var til slutt kona mi som minnet meg på at en tidligere katt aldri ble kalt noe annet enn Pus...

 

 

Jeg tror tidskode-systemer som Authy og Google Authenticator som har apper og lignende kan fungere bra. Spesielt Authy er fint fordi det går ann å bruke den på flere (forhåndsgodkjente) enheter samtidig, og å sette et backup-passord i tillfelle du skulle miste de enhetene du har tilgang til tidskodene på. Med Authy og Google Authenticator har du med deg tidskodene hvor enn du går. Så det løser jo litt av det gamle bankid-systemet med kodebrikker.

 

Men jeg er ellers enig med deg i at slike hemmelige spørsmål ofte er dårlig implementert, og at faren for at man glemmer svarene er stor.

Lenke til kommentar
Gjest Slettet+45613274

Gjest Slettet+45613274

Skrevet
Skrevet

Glad jeg bruker lastpass. Slik som XmasB aner jeg ikke hva mitt passord er på ebay, eller på de aller fleste av de over hundre nettsidene jeg har konto. Jeg har én supertrygg master-passord som faktisk er ganske lett å huske og taste. Resten av passordene mine er generert av lastpass, hvor noen er 100 tegn lange, just for fun.

 

Anbefaler sterkt lastpass. Det at den kan skanne alle login-detaljer for styrke, og se om noen av kontoen mine er involvert i innbrudd, og om noen av nettsidene jeg bruker var utsatt for heartbleed er seriøst verdt ca en tier per mnd.

 

Men hva om lastpass blir "hacket"? Da mister du jo alle passordene dine.

Lenke til kommentar
007CD

007CD

Skrevet
Skrevet

Teknisk sett så kan man miste passordene sine om LastPass blir tatt, men de stikker av med krypterte data da i så fall.

Etter hva LastPass lover så krypteres dataene FØR de forlater maskinen / enheten din, men det er en ting hva de sier og noe annet hva som skjer riktignok.

Om du bekymrer deg for det, så bruker du KeePass som passord arkiv da du sitter med ansvaret og kontrollen for hvordan databasen skal nåes.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...