Gå til innhold

«Jeg angrer», sier mannen som gjorde at du må lage slike passord

Erlend Tangeraas Lygre

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
G3F198A1

G3F198A1

Skrevet
Skrevet

Staten jobber med å digitalisere kommunikasjon med oss alle. Så hvorfor ikke hjelpe oss på vei ved å opprette tjenester som 1password, Password eller lignende ?

Kort sagt en gratis tjeneste på nett hvor alle kan lagre sine passord kryptert og trygt, gratis...

Nå koster ikke private tjenester all verden, men for min del liker jeg lite faste månedlige gebyrer til ørten private tjenester. Det er også et sikkerhetsaspekt ved dette. For staten vil det være et vinn/vinn. Man skaper et sikrere system for alle egne brukere, andre og ikke minst gjør at folk flest vil bruke bedre passord....

Lenke til kommentar
MegaMann2

MegaMann2

Skrevet
Skrevet

1password og Lastpass lagrer passordet og informasjonen knyttet til passordet i kryptert form. For å dekryptere passordet/informasjon kreves den private nøkkelen - og den lagres ikke på 1password eller Lastpass. Den har du kun på egen maskin og kun tilgjengelig ved hjelp av masterpassord og/eller to-faktor/biometri.

 

Passordene/informasjonen blir kryptert før de forlater egen maskin - altså ende til ende. For kryptering brukes 256 bit AES-kryptering med PBKDF2 nøkkel.

 

Så om 1password eller Lastpass sin server skulle bli hacket - ja da får de tilgang til mye krypterte data - som i realiteten ikke lar seg dekryptere.

Sist jeg sjekket var både lastpass og 1password closed-source. Du må altså stole på at disse to tjenestene faktisk bruker den nøkkelen du spesifsierer for å kryptere innholdet. Du må også stole på at ingen bakdører eller svakheter er lagt inn med vilje.

Lenke til kommentar
GitKenneth

GitKenneth

Skrevet
Skrevet

Staten jobber med å digitalisere kommunikasjon med oss alle. Så hvorfor ikke hjelpe oss på vei ved å opprette tjenester som 1password, Password eller lignende ?

Kort sagt en gratis tjeneste på nett hvor alle kan lagre sine passord kryptert og trygt, gratis...

Nå koster ikke private tjenester all verden, men for min del liker jeg lite faste månedlige gebyrer til ørten private tjenester. Det er også et sikkerhetsaspekt ved dette. For staten vil det være et vinn/vinn. Man skaper et sikrere system for alle egne brukere, andre og ikke minst gjør at folk flest vil bruke bedre passord....

 

En sentralisert passord database er ikke en god idé. Det sikreste vil være for hver enkelt å opprette sin egen database på egen lagring, men hvorfor finne opp hjulet på nytt når vi har bl.a. KeePass. Åpen kildekode, gratis, enkel i bruk. Eneste du må passe på er å ha databasen lagret på mer enn 1 plass.

  • Liker 1
Lenke til kommentar
bojangles

bojangles

Skrevet
Skrevet (endret)

I følge 1Password har jeg 409 kontoer diverse steder på internett. Alle disse har hvert sitt unike passord på alt fra 20-30 tegn. Hvis én konto blir hacket, så gjør det ingenting, for kun den kontoen har akkurat det passordet. Mitt masterpassword, som er det eneste jeg trenger å huske, er et langt sitat fra en TV-serie jeg elsker.

 

Takk nå gjorde du jobben svært mye enklere. Fremfor å forsøke å brute force 309 unike kontoer trenger de som ønsker å råke akkurat deg nå kun å sette sammen ordlister, sitater og setninger fra kjente TV serier. Akkurat det er nok langtifra så vanskelig som en først skulle tenkt seg. 

 

Først søke opp alt en kan om deg som online person. Feks hvor lenge du har hatt en konto. Så finne linker mellom forskjellige online kontoer, feks linker du kanskje en annen forumkonto på et annet forum. Eller kanskje face konto direkte? Dette vil hjelpe betraktelig med å sette fødselsår, og finner en faceboka så er brått halve jobben med å finne hvilke serier du liker gjort. Kanskje du faktisk har postet at du faktisk ELSKER en tv-serie, og også hvilken? Om ikke så vil alder kunne hjelpe med deduksjon. 

 

Du gjorde jo minst 3/4 av jobben selv. Du linket bloggen din fra denne kontoen. Og uten at jeg orker å lese bloggen din så ser jeg ikke bort ifra at det dermed blir enklere å avdekke faceprofilen din og eller andre alias som gjør at blir "rent trivielt" å finne ditt favoritt tv show. 

 

Plutselig er det eneste logiske svaret at du elsker "how I met your mother", og at episode 3 i sesong 2 er favoritten. Hvor vanskelig tror du det nå er å knekke masterpassordet? 

Endret av bojangles
  • Liker 1
Lenke til kommentar
bojangles

bojangles

Skrevet
Skrevet

 

Da ber du nok om problemer... Hvis du har samme passord mange steder, og ett av de stedene blir hacket, så får de potensielt lett tilgang til dine andre konti med samme passord. Derfor bør man ha vidt forskjellige passord på alle kontoer. LastPass og 1Password hjelper deg med det. 

 

Hva skal de ta da? Instagrambrukeren med 31 følgere?

Diskusjon.no-kontoen der jeg skriver svada?

Facebook har to-faktor, nettbanken også.

 

Er virkelig ikke oppriktig bekymret da jeg ikke anser meg selv som noe mål for hacking. Ville vært bortkastet strøm å bruke datamaskiner for å cracke mine passord.

 

 

 

Bortkastet? Slett ikke. Det kommer helt av på hvem som cracker dine passord. Plutselig brukes dine kontoer til å spre illegalt materiale, blir en del av et botnet eller på annen måte setter deg i et uheldig lys som kan bli vanskelig for deg å snakke deg ut av når anklager kan finne fysiske bevis på diverse kontoer du bruker. 

 

Men det kan også hende de bare bruker deg til å tjene penger feks annonsboter, eller salg lurium. 

Lenke til kommentar
Bolson

Bolson

Skrevet
Skrevet

Problemet med Lastpass og muligens også 1password har vært at de har hatt feil i nettleserutvidelsene. Dermed har data fra Lastpass vært tilgjengelige gjennom DOM (meh). Personlig avinstallerte jeg nettleserutvidelsene til Lastpass tidligere i år og benytter native-applikasjonen til Lastpass.

 

Det er helt korrekt, og jeg kunne nevnt akkurat dette. Men dette er i realiteten vel så mye et nettleserproblem, og man kan vel bare innse at nettlesere har sikkerhetsutfordringer. En annen ting er at dette var sikkerhetshull som i realiteten krevde at man lurte brukeren til en nettside med angrepskode. En slik fremgangsmåte kunne like gjerne bli brukt til å installere en keylogger, som hadde hentet dine brukernavn og passord uansett hvordan og hvor du lagrer de. Lastpass fikset også feilen raskt, i løpet av noen få dager.

 

Personlig brydde jeg meg ikke om å avinstallere nettlesertillegget, da jeg såg med en gang at sikkerhetshullet ikke kunne utnyttes - da jeg ikke kjører kode på nettsider jeg ikke har godkjent.

 

@Emancipate: Faktisk kan KeePass tas med samme type angrepsvektor som kunne brukes for sårbarheten i LastPass. Sålenge maskina er koblet til nettet, så finnes det angrepsvektor.

 

Brukte selv KeePass i mange år, men det funket ikke etterhvert som jeg jobbet fra mange maskiner og plattformer.

  • Liker 1
Lenke til kommentar
quantum

quantum

Skrevet
Skrevet

 

Forsåvidt veldig forutsigbart hvilke spesialtegn en setning vil inneholde ...

Per og Pål ga hverandre $5 & £8 respektivt, de hadde begge tapt veddemålet om hvor den 10"5' båten deres befant seg + de var tom for blåbærsyltetøy / hadde bare 5% bensin.  #UteAvKurs!.

 

 

 

Joda, bevares ... dog usikker på om det der blir den typiske passord-setningen.

Lenke til kommentar
frodenerd

frodenerd

Skrevet
Skrevet

I følge 1Password har jeg 409 kontoer diverse steder på internett. Alle disse har hvert sitt unike passord på alt fra 20-30 tegn. Hvis én konto blir hacket, så gjør det ingenting, for kun den kontoen har akkurat det passordet. Mitt masterpassword, som er det eneste jeg trenger å huske, er et langt sitat fra en TV-serie jeg elsker.

 

Men alle de passordene er nødvendigvis lagret i dekrypterbar stand hos 1password.

Lenke til kommentar
hessel

hessel

Skrevet
Skrevet

 

I følge 1Password har jeg 409 kontoer diverse steder på internett. Alle disse har hvert sitt unike passord på alt fra 20-30 tegn. Hvis én konto blir hacket, så gjør det ingenting, for kun den kontoen har akkurat det passordet. Mitt masterpassword, som er det eneste jeg trenger å huske, er et langt sitat fra en TV-serie jeg elsker.

 

Takk nå gjorde du jobben svært mye enklere. Fremfor å forsøke å brute force 309 unike kontoer trenger de som ønsker å råke akkurat deg nå kun å sette sammen ordlister, sitater og setninger fra kjente TV serier. Akkurat det er nok langtifra så vanskelig som en først skulle tenkt seg. 

 

Først søke opp alt en kan om deg som online person. Feks hvor lenge du har hatt en konto. Så finne linker mellom forskjellige online kontoer, feks linker du kanskje en annen forumkonto på et annet forum. Eller kanskje face konto direkte? Dette vil hjelpe betraktelig med å sette fødselsår, og finner en faceboka så er brått halve jobben med å finne hvilke serier du liker gjort. Kanskje du faktisk har postet at du faktisk ELSKER en tv-serie, og også hvilken? Om ikke så vil alder kunne hjelpe med deduksjon. 

 

Du gjorde jo minst 3/4 av jobben selv. Du linket bloggen din fra denne kontoen. Og uten at jeg orker å lese bloggen din så ser jeg ikke bort ifra at det dermed blir enklere å avdekke faceprofilen din og eller andre alias som gjør at blir "rent trivielt" å finne ditt favoritt tv show. 

 

Plutselig er det eneste logiske svaret at du elsker "how I met your mother", og at episode 3 i sesong 2 er favoritten. Hvor vanskelig tror du det nå er å knekke masterpassordet? 

 

Hehe... Dette er det morsomste jeg har lest i dag. :-) Kan jo trøste deg med at det finnes flere spesialtegn i tillegg. Sitatet er nok ikke lett å finne ut av uansett, selv om du vet hvilke serier jeg liker. 

Lenke til kommentar
Gjest Slettet-t8fn5F

Gjest Slettet-t8fn5F

Skrevet
Skrevet

Så vi skal alle gå rundt i rustning i tilfelle en drage angriper oss?

 

Har tre hovedkontoer (Hotmail og Gmail) med hvert sitt passord. Om den ene kontoen blir forsøkt tuklet med, får den andre beskjed med en gang samt at jeg får sms i det øyeblikket noe mistenkelig skjer, så det er nesten umulig å hacke seg inn i de kontoene uten noen form for varsel til meg.

 

Alt av kontoer jeg har på nettet (inkludert denne) har samme passordet og passordene lagres kryptert på Google sine servere til sine respektive kontoer. Jeg logger på med samme mail og passord på stort sett alle plasser der jeg har registret kontoer.

Selv om jeg gav ut mitt brukernavn og passord til andre, vil jeg kunne få tilbake kontoen med å be om nytt passord som sendes til min mail. Selv om du hadde det brukernavnet og passordet, så skal du samtidig vite hvor jeg har registrert meg.

Ja og så har jeg et brukernavn og et passord som jeg bruker på sider som ikke er så viktige å miste. Kjekt når jeg kommer på en ny interessant side, så prøver jeg det konto:passordet. Det hender at jeg faktisk har konto der..

Nyere websider bruker jeg å logge inn med Facebook.

Denne måten gjør at jeg bare har 4 passord og huske, samt tidligere versjoner av disse.

Lenke til kommentar
Bolson

Bolson

Skrevet
Skrevet

 

I følge 1Password har jeg 409 kontoer diverse steder på internett. Alle disse har hvert sitt unike passord på alt fra 20-30 tegn. Hvis én konto blir hacket, så gjør det ingenting, for kun den kontoen har akkurat det passordet. Mitt masterpassword, som er det eneste jeg trenger å huske, er et langt sitat fra en TV-serie jeg elsker.

 

Men alle de passordene er nødvendigvis lagret i dekrypterbar stand hos 1password.

Ja, men er det praktisk mulig å dekryptere informasjon kryptert med AES-256 og PBKDF2 nøkkel når man ikke har privat nøkkel og masterpassord. I og med at USA sitt forsvar bruker AES-256 dette til "strengt hemmelig" informasjon - så må man regne med at det ikke er praktisk mulig.

 

@MegaMann2: Teoretiske er det en slik mulighet, men jeg vil tro det er ekstremt lite sannsynlig. For det første analyserer en lang rekke eksperter slike løsninger meget grundig. Det er også mange utenfor Lastpass eller 1password som har lest koden. Det er nemlig en del aktører som har slike krav for at programvaren skal kunne brukes.

 

Og realiteten er at open source i liten grad vurderes av andre enn de som skriver koden.

 

Det er også slik at det meste skjer hos klienten (om ikke alt), dvs det som sendes fra klienten til server er ferdig kryptert informasjon. 1password kan som KeePass lagre info lokalt.

Lenke til kommentar
Sondre K

Sondre K

Skrevet
Skrevet

 

Da ber du nok om problemer... Hvis du har samme passord mange steder, og ett av de stedene blir hacket, så får de potensielt lett tilgang til dine andre konti med samme passord. Derfor bør man ha vidt forskjellige passord på alle kontoer. LastPass og 1Password hjelper deg med det. 

 

Hva skal de ta da? Instagrambrukeren med 31 følgere?

Diskusjon.no-kontoen der jeg skriver svada?

Facebook har to-faktor, nettbanken også.

 

Er virkelig ikke oppriktig bekymret da jeg ikke anser meg selv som noe mål for hacking. Ville vært bortkastet strøm å bruke datamaskiner for å cracke mine passord.

Det mest verdifulle, slik du skisseres situasjonen, vil vel være personlig informasjon om deg. Kan komme langt med fult navn, adresse og telefonnummer. Telefonnummeret kan jo være en trussel for eventuelle SMS-baserte to-faktorbeskyttede kontoer (kopiere SIM ved hjelp av social engineering, motta to-faktor-koden på SIM-kopien), mens resten kan kanskje brukes til identitetstyveri. Nå er vi ganske heldige her i Norge, da man sikkert ikke kommer langt om man prøver seg på social engineering på engelsk hos de fleste norske kundeservicetjenester, så du har nok rett i at risikoen er relativt lav.

Lenke til kommentar
0laf

0laf

Skrevet
Skrevet (endret)

Ja, men er det praktisk mulig å dekryptere informasjon kryptert med AES-256 og PBKDF2 nøkkel når man ikke har privat nøkkel og masterpassord. 

 

Nei, det er ikke praktisk mulig. Det er teoretisk mulig, men ikke praktisk mulig.

Det spiller dog liten rolle, det finnes andre måter å utnytte en slik tjeneste på.

 

La oss si at angripere får tilgang til LastPass sin server, og dine opplysninger, blant annet navn og e-post adresse.

 

De kan nå sende deg en e-post som ser ut som om den kommer fra LastPass, og ettersom de har tilgang til serverne kan de opprette en egen nettside på LastPass sitt domene som er umulig for deg å vite at er falsk.

 

De ber så om at du endrer ditt "master" passord, ettersom de er bekymret for sikkerheten. I det du taster inn det gamle passordet for å bekrefte at du virkelig er deg, har angriperne fått tilgang til nøkkelen som dekrypterer alle passordene dine. Phising kalles det.

 

For ordens skyld, dette har delvis skjedd, det er ikke mer enn et par år siden LastPass hadde et datainnbrudd hvor store mengder data gikk tapt, dog fikk ikke tyvene med seg alt av data fra "hvelvene", altså de lagrede hashene, men de klarte å få med seg all kontaktinformasjonen til de fleste brukerne.

Endret av adeneo
Lenke til kommentar
bojangles

bojangles

Skrevet
Skrevet

 

 

Så vi skal alle gå rundt i rustning i tilfelle en drage angriper oss?

 

 

Det hjelper ikke med rustning mot drager, da blir du bare jevnt stekt når dragen spytter ild. Barnelærdom ;)

 

Sikkerhet er ikke et spørsmål om å være paranoid eller ei. Det er mer snakk om å være bevisst på de små endringene hver av oss kan gjøre som vil gi en dramtisk økning i sikkerheten. 

Lenke til kommentar
Gnarfer

Gnarfer

Skrevet
Skrevet

 

I følge 1Password har jeg 409 kontoer diverse steder på internett. ...

 

Hva gjør du når 1pass blir hacket? Da lekker vel alle 409 kontoene? Eller misforstår jeg noe her. 

Du må ikke oppbevare passordende i 1passsword sentralt. Jeg bruker 1password på PC og mobil - og synker disse over wifi - ikke via skytjenester.

Lenke til kommentar
bojangles

bojangles

Skrevet
Skrevet (endret)

 

 

I følge 1Password har jeg 409 kontoer diverse steder på internett. Alle disse har hvert sitt unike passord på alt fra 20-30 tegn. Hvis én konto blir hacket, så gjør det ingenting, for kun den kontoen har akkurat det passordet. Mitt masterpassword, som er det eneste jeg trenger å huske, er et langt sitat fra en TV-serie jeg elsker.

 

Takk nå gjorde du jobben svært mye enklere. Fremfor å forsøke å brute force 309 unike kontoer trenger de som ønsker å råke akkurat deg nå kun å sette sammen ordlister, sitater og setninger fra kjente TV serier. Akkurat det er nok langtifra så vanskelig som en først skulle tenkt seg. 

 

Først søke opp alt en kan om deg som online person. Feks hvor lenge du har hatt en konto. Så finne linker mellom forskjellige online kontoer, feks linker du kanskje en annen forumkonto på et annet forum. Eller kanskje face konto direkte? Dette vil hjelpe betraktelig med å sette fødselsår, og finner en faceboka så er brått halve jobben med å finne hvilke serier du liker gjort. Kanskje du faktisk har postet at du faktisk ELSKER en tv-serie, og også hvilken? Om ikke så vil alder kunne hjelpe med deduksjon. 

 

Du gjorde jo minst 3/4 av jobben selv. Du linket bloggen din fra denne kontoen. Og uten at jeg orker å lese bloggen din så ser jeg ikke bort ifra at det dermed blir enklere å avdekke faceprofilen din og eller andre alias som gjør at blir "rent trivielt" å finne ditt favoritt tv show. 

 

Plutselig er det eneste logiske svaret at du elsker "how I met your mother", og at episode 3 i sesong 2 er favoritten. Hvor vanskelig tror du det nå er å knekke masterpassordet? 

 

Hehe... Dette er det morsomste jeg har lest i dag. :-) Kan jo trøste deg med at det finnes flere spesialtegn i tillegg. Sitatet er nok ikke lett å finne ut av uansett, selv om du vet hvilke serier jeg liker. 

 

 

Du bruker kanskje special skills tegn som #H4CK3R!    :-)

 

Ting vi skal huske har vi ofte en tendens til å forenkle. Det gjelder kanskje ikke akkurat deg med det vil gjelde mange. Så selv om spesialtegn og store bokstaver i teorien kan være plassert overalt i sitatet så er ofte realiteten at du har funnet en måte gjøre det lesbart, eller enklere å huske. Det kan kutte drastisk ned på logiske plasser å bruke store bokstaver og også tegn. 

 

Poenget var jo ikke at jeg ønsker å hacke din konto, mer å vise at selv kompliserte passord kan gjøres relativt ukompliserte med tilgang på data og metadata. Om noen virkelig var dedikert for og forsøke seg på master passordet ditt så er det ei helt utenkelig at de ville klart det. Eller om de ikke klarer det idag så klarer de det kanskje i morgen? AI, synkende hardware priser. Økende regnekraft og stadig større og mer omfattende bot net bør jo på sikt være glimrende verktøy for kriminelle til å knekke passord. Deduktive metoder i AI vil sikkert fungere rimelig bra. Og idag er jo regnekraft også mulig å få kjøpt som en skalerbar tjeneste enten gjennom å kjøpe time slots eller via cloud. 

 

Idag er det vel ikke veldig sannsynlig at noen legger ned veldig mye tid og ressurser i å knekke ditt passord, ja med mindre du har psyko ekser med stort hat og dype lommer. Men hvor er du om 5 år? Eller ti år? Sannsynligvis ikke forvalter av oljefondet eller statsminister. Men du har kanskje likevel en posisjon eller en arbeidssituasjon som gjør nettopp deg til et potensielt mål. Har feks hørt snakk om at alenemødre er enkle å sjekke, og nå har vi jo fått en veldig prominent alenemor her i landet for en tid tilbake. Kanskje "universet" fører dere sammen og dere blir gift til sang fra englekor?

 

Og noen få søk på google så finner de denne tråden. 

Endret av bojangles
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...