Gå til innhold

Du må bytte Dropbox-passordet ditt med en gang

OHJohansen

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
NatuRal3

NatuRal3

Skrevet
Skrevet

 

 

 

Flere som har fått mailen tilknyttet dropboxen sin hacket?

Det skjedde med meg i natt. Passord på dropbox og mailen er forskjellig.

Skal forklare litt bedre. I dag når jeg sto opp å jeg på mobilen at jeg hadde fått advarsler om at gmailen min var blitt hacket. Jeg fikk endret passordet med engang. Når jeg kom på jobben ble jeg opplyst om å sjekke dropboxen min. Der hadde jeg ingen tilgang. Det rare var at gmailen min var blitt byttet ut fra dropboxen for ca en uke siden. Begge deler hadde forskjellige passord. Det eneste tredjeparts programmet jeg har brukt til Dropbox er Ynab.

 

Jeg kom meg helskinnet ut av det, Men enten er det Ynab som her blitt hacket eller så er det dropbox som ljuger.

Men YNAB har ikke passord så vidt jeg kan huske. Tror du kan utelukke den.

Regner med at du har to-faktor på både Dropbox og GMail nå?

Har gjort om på sikkerheten ja. Men setter opp min egen sky når jeg kommer hjem i dag og sletter Dropbox. Om noe skulle gått galt da kan jeg ikke skylde noen andre en meg selv.

Lenke til kommentar
flinx

flinx

Skrevet
Skrevet

 

Hvis du ikke stoler på at skytjenesten holder ting sikkert, får du bruke Keepass som har egen lokal kryptering.

Det er den jeg har, men jeg bruker den ikke, for det er for upraktisk. Jeg la inn passordet i Keepass, men så instalelrte jeg dual-boot med linux og startet opp og trengte plutselig passordet, og da skjønte jeg at prosjektet var dødfødt.

 

Hvordan er det upraktisk? Du får både Keepass og Dropbox for Linux. Eller var det passordet for å logge på linux du hadde glemt? Da kunne du brukt Keepass på mobilen til å sjekke det.

Lenke til kommentar
Emancipate

Emancipate

Skrevet
Skrevet

Hvordan er det upraktisk?

Herregud, altså. Keepass synkroniserer ikke mellom OS og enheter. Så hvis jeg installerer linux har jeg ikke tilgang til de passordene jeg har lagret i windows, og motsatt.

 

Jeg gidder ikke forklare hvorfor dette er upraktisk, for det er ÅPENLYST.

 

Å åpne keepass og legge inn / ta ut passord stadig vekk er SELVSAGT mer upraktisk enn på huske passordene.

  • Liker 1
Lenke til kommentar
XmasB

XmasB

Skrevet
Skrevet

 

Hvordan er det upraktisk?

 

Herregud, altså. Keepass synkroniserer ikke mellom OS og enheter. Så hvis jeg installerer linux har jeg ikke tilgang til de passordene jeg har lagret i windows, og motsatt.

 

flinx skriver løsningen på synk i neste setning:

 

Hvordan er det upraktisk? Du får både Keepass og Dropbox for Linux. Eller var det passordet for å logge på linux du hadde glemt? Da kunne du brukt Keepass på mobilen til å sjekke det.

 

KeePass synker ikke. Men Dropbox synker.

 

 

Jeg gidder ikke forklare hvorfor dette er upraktisk, for det er ÅPENLYST.

Å åpne keepass og legge inn / ta ut passord stadig vekk er SELVSAGT mer upraktisk enn på huske passordene.

 

Jeg har passord til over 150 forskjellige nettsider i safen min. Å skulle huske de er upraktisk, for ikke å si umulig for oss vanlige dødelige. Grunner til å ikke ha samme passord er åpenlyst.

 

Men ja, god sikkerhet går gjerne litt på bekostning av hva som er lettest og praktisk. Men slettes ikke så upraktisk som mange tror. Men så er det også lettere og langt mer praktisk den dagen passordet ditt lekkes om du vet det ikke kan brukes andre steder.

  • Liker 2
Lenke til kommentar
flinx

flinx

Skrevet
Skrevet (endret)

Det er en dårlig idé å synkronisere datafiler til programmer som ikke er lagd for det. Om de kjører samtidig kan det fort ende med krøll.

 

Å ha passordene mine lagret på dropbox er selvsagt uaktuelt. Edit: Husk hva artikkelen handler om. ;)

 

Krypteringen i Keepass er såpass robust at det i utgangspunktet ikke er noe problem å legge ut databasefilen på Dropbox. Men du har også andre alternativer - du kan bruke andre nettskytjenester, eller til og med sette opp din egen hjemmelagde (keepass2android støtter f.eks. FTP og WebDAV direkte). Jeg foreslår uansett å bruke noe som har versjonshåndtering (Dropbox har 30 dager som standard) - da kan du alltids løse problemer som oppstår hvis du har redigert filen på to steder samtidig og ting ikke stemmer overens.

 

Alternativet blir en ren nettskypassordtjeneste som LastPass/1Password - da slipper du å tenke på om passordet er oppdatert eller ikke, og de bruker å være noe bedre integrert mot mobile enheter. Ulempen er at du har null innsikt i hvor sikker tjenesten/koden egentlig er, mens Keepass er åpen kildekode.

Endret av flinx
  • Liker 1
Lenke til kommentar
War

War

Skrevet
Skrevet

 

Prøvde en random, kom inn.

Tviler på at DB har tvingt alle på listene til å endre passord / få utløptmelding.

Det er straffbart å gjøre, om du ikke var klar over det.

 

Nja ikke om jeg skrev feil og tilfeldigvis kom inn på en annens.

Fort gjort om jeg skrivet litt fort.

Lenke til kommentar
Runar

Runar

Skrevet
Skrevet

Huff og huff, det der var forferdelig. Du har bare deres ord for at hvelvet er sikkert, i realiteten kan det hende at de har passordene dine klartekst et sted, nå eller pga en manuell feil i fremtiden.

Skal man benytte seg av løsninger og tjenester fra tredjeparter er man på et eller annet tidspunkt nødt til å stole på det de sier. Jeg for min del velger å stole på utviklerne av 1Password når de sier dette:

 

Yet there is more to the picture than trust alone. We’ve worked hard to make sure 1Password is incredibly secure. Your data file is encrypted with an exceedingly secure encryption algorithm called AES-256. Even if someone were to break into your cloud service and acquire a copy of your data file, it would be extremely difficult (approaching impossible in a human lifetime) for them to actually gain access to your passwords without knowing your Master Password.

 

And here’s the catch: your Master Password isn’t actually stored in your vault where an attacker can find it. In fact, it’s not stored anywhere at all. That’s the reason why we can’t recover it for you if you ever forget it.

 

In fact, we’re so confident that your data is safe even should it fall into the wrong hands that our data format is completely open and fully documented. You can read all about our open keychain design in a blog post by our security wizard, Jeff Goldberg: http://blog.agilebits.com/2013/03/06/you-have-secrets-we-dont-why-our-data-format-is-public/.

 

At du bare har 2 enheter er da også et patologisk tilfelle vil jeg påstå. Hvem på et it-forum har bare 2 enheter, hvorav den ene er en mobil de alltid har med seg (husk: uten dette på en mobil enhet er systemet ubrukbart, for du kommer ikke til passordene dine noe annet sted enn hjemme)?

Jeg kunne jo nevnt fil- og medieserveren som står hjemme samt alle de virtuelle servere jeg har andre steder, men jeg er aldri logget inn fysisk på disse så behovet for å ha passordene mine der er ikke-eksisterende. Skal jeg logge inn skjer det med SSH og nøkler, ikke passord. Hvis det var det du tenkte på?

 

 

Det støtter ikke engang nettleseren jeg sitter i nå.

1Password støtter Safari, Opera, Chrome og Firefox. Hvilken nettleser bruker du?

 

 

Systemet betyr også at i realiteten bruker du bare ett passord. Får du det avslørt er alle passordene dine kompromittert. Når man har unike passord trenger man bare å passe på at ingen står bak seg når man logger inn i nettbanken. Nå kompromitterer du nettbanken hvis du logger inn på VG+ uten å se deg over skuldra. Skal jeg ha en passordsafe er minstekrav forskjellige master-passord for hver sikkerhetsklasse.

Ingen løsninger er 100 % sikre, og slik jeg ser det er løsningen jeg har valgt sikrere enn å ha ett hovedpassord med en liten variasjon for hver nettside/tjeneste. Jeg har mange hundre passord i databasen min, langt flere enn jeg klarer å huske selv med huskeregler og lignende. Nettbanken sikres selvsagt med BankID på mobil, en løsning uten passord.

Lenke til kommentar
XmasB

XmasB

Skrevet
Skrevet

Det er en dårlig idé å synkronisere datafiler til programmer som ikke er lagd for det. Om de kjører samtidig kan det fort ende med krøll.

 

Å ha passordene mine lagret på dropbox er selvsagt uaktuelt. Edit: Husk hva artikkelen handler om. ;)

 

Artikkelen gir inntrykk av at Dropbox er hacket. Sålangt tyder lite på dette, slik det ofte er med saker som dette. Mest sannsynlig er en liste over brukernavn/passord lekket fra en annen side eller samlet via phishing. Tilsvarende artikler har vi sett for blant annet Gmsil tidligere i år. Mitt brukernavn (epost) og passord var i listen som lekket for Gmail, men passordet byttet jeg for cirka 6 år siden...

 

Med to-faktor på Dropbox (og alle andre tjenester som tilbyr dette) er risikoen minimal for at andre får tilgang.

Jeg har brukt flere tjenester for synkronisering i flere år og har tilgode å oppleve noe problem slik du skisserer. Kjenner heller ikke til noen som har det.

 

Og igjen. Dropbox står for synk (det kan like godt være Google Drive, Mega, OneDrive, Jotta eller andre). KeePass, TrueCrypt (eller tilsvarende - jeg bruker ikke keysafe selv) står for sikkerheten. Om du stoler på den spiller det egentlig liten rolle hvordan du synker det.

 

Jeg bruker LastPass, fordi jeg mener den gir god nok sikkerhet, samtdig som den er enkel å bruke. Et kompromiss mellom sikkerhet og anvendelighet. Verken brukernavn (epost) eller passord for å logge inn der er i bruk noen andre steder.

Lenke til kommentar
Runar

Runar

Skrevet
Skrevet

Men hvis du er på en venn sin datamaskin eller noe, hva da?

Hvis man er så opptatt av sikkerhet at man bruker egne løsninger som å synkronisere passorddatabasen sin med BitTorrent Sync, hvorfor vil man da gjøre noe så dumt som å logge inn på en datamaskin du ikke har kontroll over?

Lenke til kommentar
Emancipate

Emancipate

Skrevet
Skrevet

Jeg er ikke så opptatt av sikkerhet, jeg bruker lignende passord på alle sider som ikke går på lommeboka.

 

Jeg snakker om dere og disse fabelaktige systemene deres. Dere er hos en venn, familien eller på et bibliotek og trenger å logge inn på f.eks. diskusjon.no. Men passordet er 32 tilfeldige tegn som ligger lagret i passordsafen. Hva nå? Dere har ikke tilgang til passordene uten å installere klienten på vedkommendes PC. Det er jo helt ubrukelig.

  • Liker 1
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...