Jump to content
Sign in to follow this  
frankhaugen

Passord nedskreve eller lett å huske; hva er sikkert?

Recommended Posts

Litt "iffy" om dette er rette underforum, men det var det mest relevante!

 

Som "alle" har jeg flere titalls nettsider jeg er registert på og som jeg bruker jevnlig, (epostkontoer, facebook, Google, Neflix, HBO, XBox Live, osv ad nauseam). Pr. dags dato bruker jeg et middels sikkert passord, som er variert mellom de mange sidene, men jeg trenger å forbedre sikkerhetsnivået, (hvis passordet mitt er "SkogsKatt2014bank" i nettbanken og "SkogsKatt2014goog" for Google-kontoen min, osv osv; og nei dette er ikke passord jeg bruker men et eksempel).

 

Jeg vil gjerne ha et meget sikkert passord på hver av sidene jeg bruker som er viktige, (nettbank, epost, og lignende), eks: 2dFk74OopIlwiZq1, men jeg kan naturligvis ikke huske 25 slike passord, for sikkerhet og brukervennlighet er omvendt proposjonale.

 

Jeg fikk ideen om å lage et kredittkort størrelse laminert kort med passordene, men er dette egentlig en god idé? Jeg har ikke mistet en lommebok på 15år så jeg anser den som et sikkert lagringssted, men bare fordi det er en praktisk idé, så vet jeg ikke om det er en god en.

 

takk for all input!

 

-Frank

 

 

 

Liten anekdote om sikkerhet og passord:

Når jeg gikk på IKT-driftsfag og hadde om brukervennlighet versus passord, fortalte læreren om når Etteretningstjenesten begynnte med å ha utbredt bruk av datamaskiner, så hadde de 16-tegn autogenererte passord som måtte skiftes hver 14. dag. Resultatet var at de fleste hadde en Post-It med passordet sitt, hengende på på PC-sjermen :p
(vet ikke om det er en sann anektdote, men det er tåpelig nok til å være veldig troverdig)

Share this post


Link to post

Lastpass, Keepass med dropbox e.l. bør du bruke da..

Vil også si at et kort med passord i lommeboka er ganske sikkert, spesielt om du da kun har passordet på lappen i klartekst, mens navnet på tjenesten er noe obskurt som bare du vil skjønne hva er til (et ord du assosierer med tjenesten e.l.)

Men jeg bruker uansett Keepass, og ville ikke gått med passord på en lapp..

  • Like 2

Share this post


Link to post

Spørsmålet er kva du anser som den største trusselen.

Er det at passordet blir cracka/gjetta over internett, eller er det at nokon bryt seg inn hos deg/stjel lommeboka di?

 

Om du har eit svært komplisert passord som du skriver opp på ein lapp så er det vanskelig for utanforståande å gjette passordet ditt, men du er sjølvsagt ekstra sårbar for at tjuvar eller upålitelige venner/famile kan finne og bruke passorda dine.

 

Har du enkle passord som du ikkje skriv ned så kan ikkje dama di logge seg på eposten din ved å leite fram passord lappen, men du er meir utsatt for at ein "hacker" klarer å gjette passordet ditt over internett.

 

 

Personleg ville eg ikkje hatt passorda i lommeboka, den er for utsatt for å bli stjålet eller mista. Det er også upraktisk å måtte finne fram passordlappen frå lommeboka kvar gong du skal logge inn på noke.

Share this post


Link to post

Skriv gjerne ned passord! Bruk ulike passord hvert enkelt sted, helst autogenerert, og skriv dem ned. Å ha dem i lommeboken er nok ikke så lurt, men om de oppbevares hjemme er det noe annet. Må du ha det med deg? Bruk en passord-app. Enten på PC-en eller mobilen, eller begge deler om du ikke skremmes av tanken på å ha noe sky-basert (eller ønsker å overføre manuelt).

Share this post


Link to post

Det jeg gjør er å ha et par forskjellige passordnivåer.

 

Lavere nivå passord er relativt kort og brukes bare på ting jeg egentlig ikke bryr meg mye om - som brukerkontoer på forum som jeg bare bruker av og til, eller tjenester jeg bare skal bruke en gang.

 

Så har jeg et nivå eller to til for medium-viktighet, slik som hw.no forumet. Ikke super-kritisk (livet mitt går ikke i grunne om jeg mister brukerkontoen min her tross alt). Dette passordet bygget på og utvider på de lavere nivå passordene med en liten tilfeldig tvist som jeg enelt husker - slik at jeg ikke trenger åhuske på like mye "random data" i passordet.

 

Og så er det viktig å ha et top-level passord som bare brukes på det aller aller viktigste og sikreste. for meg er dette gmail passordet mitt og bankkonto. Grunnen til at du må ha et toplevel passordet på emailen din er fordi om noen tjeler emailen din så kan de som regel resette og få tilgang til de fleste andre kontoer du har via passord reset funksjoner - så ikke skimp på email sikkerheten din.

 

Ellers så er det for det meste bare å ha litt lengde på passordet + unngå alle "dictionary" ord. Unngå alle skikkelige ord altså - spesiellt engelske ord, men norske bør du også unngå. Jeg ville annbefalt å bruke en enkel skole-pugge metode for å lage et tilsynelatende random passord som liekvel er personlig og enkelt å huske (for det minst brukbare passordet er alltid det du ikke kan huske uansett hvordan du snur og vender på det).

 

Katten min Pusur mjauer alltid så høyt (!) når han vil ha mat = KmPmash!nhvhm

sleng på et tall eller to som du enkelt husker men ikke er noe totalt åpenbart som en fødselsdato, årsmodellen på din første bil eller whatever som du faktisk har lett tilgjengelig i hukkomelsen din:

KmPmash!nhvhm87

 

Der har du et ganske så heavy passord som du likevel enkelt kan huske etter du har brukt det et par ganger - og du kan rekonstruere det fra den personlige setningen enkelt uten at det gir noen hint til uvedkommende.

 

Så, om du skal bruke det som et medium-level passord så bare utvider du setningen med en ekstra 50% for eksempel. Selv om noen skulle kompromitere det lavere nivå passordet så skal de slite kraftig med å kunne bruke den informasjonen til å kunne finne ditt sikrere passord (med all sansynlighet vil det aldri falle noen inn å forsøke noe slikt en gang). Fordelen er du ender opp med å bare huske en personlig setning, og ut fra denne så kan du "se" alle passordene dine - så du ender opp med å huske "et" passord i stedet for 4-5 forskjellige - og skulle du ende opp med å ikke huske om du bruke nivå 3 eller 4 passord på webtjeneste X så tar det tross alt kort tid å teste de 2 eller 3 nivåene som du regner med at du ville plassert tjenesten inn i.

 

Det er slik jeg hånderer det ihvertfall, og jeg regner sikkerheten med et slikt system å være mer enn godt nok. Bare vær streng på på inndelingen av passord i sikerhetsnivåene. Passord blir kompromitert før eller siden - med et par forskjellige nivåer så minimerer du potensiell skade veldig mye.

 

EDIT: Med noen enkle slike regler så har jeg faktisk opp til 64 tegn med passord inkludert store og små bokstaver, tall og tegn - og selv om jeg skeldent får behov for å bruke noe så langt passord så kan jeg relativt enkelt finne tilbake til passordet via enkle (men personlige) huskeregler selv om det kanskje er åresvis siden jeg brukte det sist. Dette krever ingen vanvittig hukommelse (for det har ihvertfall ikke JEG det kan jeg garantere) og burde gi sikkerhet i bøtter og spann uten å måtte være 100% avhengig av software som husker hundre forskjellige randomgenererte passord for deg... Just my 2 cent.

 

-Stigma

Edited by Stigma
  • Like 1

Share this post


Link to post

Jeg bruker et passord på alt og det har gjort siden jeg fikk internett i 1998. Om noen skulle lese mailen min ser jeg ikke problemet, samme med dropboks, facebook, bank osv.

Har ingenting på nett som folk kan misbruke og banken min kommer de ikke inn i.

Share this post


Link to post

Jeg bruker et passord på alt og det har gjort siden jeg fikk internett i 1998. Om noen skulle lese mailen min ser jeg ikke problemet, samme med dropboks, facebook, bank osv.

Har ingenting på nett som folk kan misbruke og banken min kommer de ikke inn i.

 

Du har aldri på noe tidspunkt hatt noe som helst informasjon som du synes er verdt å beskytte på internett? ... Jeg stiller meg tvilsom - men nå er vel uansett antagelsen i denne tråden at folk har noe de synes er verdt å beskytte dersom de spør rundt passordsikkerhet. Å ikke ha noen nevneverdig sikkerhet føler jeg ikke er spesiellt konstruktivt forslag heh...

 

-Stigma

  • Like 1

Share this post


Link to post

Jeg bruker et passord på alt og det har gjort siden jeg fikk internett i 1998. Om noen skulle lese mailen min ser jeg ikke problemet, samme med dropboks, facebook, bank osv.

Har ingenting på nett som folk kan misbruke og banken min kommer de ikke inn i.

 

Problemet med at uvedkommende får tilgang på eposten er ikkje nødvendigvis at dei les dine inn og utgåande eposter. Problemet ligg i at den som har tilgang på din epost kan låse deg ute frå alle dei andre tjenestene du har registrert eposten din i.

 

Så sjølv om du ikkje har nokon hemmeligheiter så vil det være problematisk om nokon bruker eposten til å utgi seg for å være deg.

Dersom nokon f.eks tar kontroll på facebook-kontoen din som dei bruker til å poste halvrasistiske innlegg i diverse nettaviser så kan du få problemer i forhold til f.eks seinare jobbytte då desse innlegga vil dukke opp i eit googlesøk på ditt navn. Då vil den potensielle nye arbeidsgiveren få eit heilt feil inntrykk av deg.

  • Like 2

Share this post


Link to post

Ikke det at det nødvendigvis gjør så mye bedre inntrykk hvis du sier at du ikke er så opptatt av passord, så du bare valgte et pisslett et heller :p

 

Jeg kjører et lignende opplegg som Stigma, med 3 sikkerhetsnivåer. Et for alle ting som ikke er så viktig, kanskje noen variasjoner av det hvis det er litt mer viktig, men liksom ikke nivå 2. På nivå 2 brukes mye av samme logikken på passordene sånn at de er enkle å huske, men fortsatt litt mer obskure. Da snakker vi mer vanlige sider som jeg ofte er på og som jeg ønsker litt mer sikkerhet. Til slutt er det nivå 3 som er på mail, bank, facebook og alle de tingene, som er veldig obskurt og forskjellig fra hver side.

Og det er riktig som Stigma sier at det er visse steder hvor du ikke nødvendigvis trenger å være så nøye med passordene, men du burde ikke sluntre unna på Bank og Epost, tilgang til begge disse kan fort ende opp med å låse deg ute, eller gi inntrenger tilgang til andre ting ved bruk av feks password reset.

 

Samtidig, er passordene alt for obskure ville jeg anbefale å skrive dem ned og legge dem på et sikkert sted, du kan jo lage noe mer kryptisk med lappen slik at bare du skjønner hva passordet er. Feks å skrive en handleliste slik som dette:

 

Melk x 2

Mel

Brød

Sjokolade

Biff x 200G

 

Hvor passordet kan da være M2MBSB200G eller et eller annet. Da burde du jo passe på at du ikke gjør det så jævlig åpenbart da, hvem kjøper liksom 16 kartonger med melk :p

Spørsmålet går på hva du ser som den største trusselen, at noen bryter seg inn i hjemmet ditt og stjeler lappen, eller at noen "hacker" seg til passordet ditt. Nå vet ikke jeg hva tyver gjør nåtildags, men hvis de bryter seg inn tror jeg de stikker avgårde med TV'en, dvd'spilleren etc lenge før de titter i en bok, eller en skoff eller hvor enn du ender opp med å legge passordene dine.

Edited by Perrern

Share this post


Link to post

Jeg vil anbefale deg lastpass, det er en helt genial tjeneste som genererer passord for deg på de ulike sidene, samt den logger deg inn på de aktuelle sidene når du trenger det.

 

Eneste du må huske er "master" passord til lastpass, og vil du være 100% sikker så bruker du yubikey i tillegg for ekstra verifisering :)

  • Like 1

Share this post


Link to post

I LastPass, er det noen mulighet for å skru av at den som sitter på PC-en kan se de ulike passordene i klartekst? F.eks. kreve master-passordet for å kunne se dem.

Prøvde ut LastPass for et par dager siden, og for meg er dette en stor sikkerhetstrussel.

Share this post


Link to post

Nei, men så må man vel samtidig være innlogget i velvet for å benytte tjenesten?

Finner passord ved å gå til verktøymenyen oppe til høyre i Chrome, My LastPass Vault, edit på en spesifikk konto, også "Show password"

 

Jeg kunne tenkt meg at jeg slapp å logge meg ut av velvet hver gang jeg forlot PC'en uten å være redd for at noen kan gå inn og se passordet. Litt tungvindt å skrive inn det supersikre LastPass-passordet hver gang.

Share this post


Link to post

Er vel dette du er ute etter da?

 

Prompt for LastPass master password when:
Logg inn på et nettsted
View or Edit Site
Rediger sikre notater
View or Copy Passwords
Fyll inn eller rediger skjemadata
Switch or Edit Identities/Roles
Edit Shares
Valget som heter "View or Copy Passwords".

Share this post


Link to post

Jeg gadd ikke teste selv, så om du tester kan du jo gi en tilbakemelding på om det var slik du ønsket.

 

For øvrig en artig blanding av språk de har :)

Edited by kreps79

Share this post


Link to post

Ja, var akkurat det jeg var ute etter :)

 

Blir litt sånn når man oversetter alt, for så å legge inn nye funksjoner i ettertid. Krever mye å holde alt oversatt på alle språk til en hver tid. Tror jeg holder meg til engelsk.

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...