Populær passordtjeneste hacket – Bytt passord nå

[AfterGlow]

Populær passordtjeneste hacket – Bytt passord nå

[Kajac]

Passord-tjenester høres bra ut på papiret, men i realiteten er det jo galskap å plassere alle passordene man har til en skytjeneste. 

[Comma Chameleon]

Kajac skrev (4 minutter siden):

Passord-tjenester høres bra ut på papiret, men i realiteten er det jo galskap å plassere alle passordene man har til en skytjeneste. 

Det er jo ikke galskap, og bedre enn mange alternativer. Ingenting er helt trygt.

Endret 26. april 2021 av Comma Chameleon

[henrikwl]

Kajac skrev (10 minutter siden):

Passord-tjenester høres bra ut på papiret, men i realiteten er det jo galskap å plassere alle passordene man har til en skytjeneste. 

Det er i praksis noe av det tryggeste du kan gjøre, fordi alternativet er i realiteten at man har ett passord i hodet som man bruker på flere steder.

Ideelt sett så hadde man hatt forskjellige, lange passord alle steder man logger seg inn og husket dem alle i hodet. Det er dog veldig sjelden man får til. Den naive løsningen på det, nemlig å skrive alle passordene på et papir har jo åpenbare svakheter det også, så det å ha passordene lagret kryptert i en tjeneste som er designet for det er i mange tilfeller det beste kompromisset mellom sikkerhet og anvendelighet.

Jeg har enda ikke sett noen bedre løsning som ikke forutsetter urealistiske forventninger til menneskelig oppførsel.

Endret 26. april 2021 av henrikwl

[xyzæøå]

2FA hjelper jo bra på sikkerheten da

[Wisd0m]

2 hours ago, Kajac said:

Passord-tjenester høres bra ut på papiret, men i realiteten er det jo galskap å plassere alle passordene man har til en skytjeneste. 

Lang ifra. Alternativet er at man bruker samme passord på alle tjenester, og dermed har antagelig hundrevis av tjenester som noen kan få tilgang til "hovedpassordet". Har man tilfeldige passord generert i en passordtjeneste er det bare en plass å hacke for å få tilgang til alle passordene. Jeg føler meg sikrere på at disse tjenestene som lever av å beskytte passordene mine gjør nødvendige sikkerhetstiltak, enn en tilfeldig nettside.

Endret 26. april 2021 av Wisd0m

[Theo343]

Man kan fint lage et system for hvordan man generer passord som ikke krever en passordwallet men det for min del er ikke noe argument i seg selv. Passordwallets har mer funksjonalitet enn bare å lagre et passord.

[nebrewfoz]

2 hours ago, Kajac said:

Passord-tjenester høres bra ut på papiret, men i realiteten er det jo galskap å plassere alle passordene man har til en skytjeneste. 

Passwordstate er ikke en skytjeneste. De som er rammet har fått stjålet informasjon fra sin egen PC.

[tommyb]

3 hours ago, Kajac said:

Passord-tjenester høres bra ut på papiret, men i realiteten er det jo galskap å plassere alle passordene man har til en skytjeneste. 

Definitivt. Det er galskap og/eller grenseløst naivt å plassere alle passordene man har i en skytjeneste. Ikke bare må du stole på tjenesteleverandøren og deres hostingleverandør, dere må til og med stole på staten de ligger i og til og med i alle andre stater med cyber-angrepskompetanse for at de ikke skal blande seg inn i det som er det mest åpenbare i verden å ønske å blande seg inn i. 

2 hours ago, henrikwl said:

Det er i praksis noe av det tryggeste du kan gjøre, fordi alternativet er i realiteten at man har ett passord i hodet som man bruker på flere steder.

Wait for it...

50 minutes ago, Wisd0m said:

Lang ifra. Alternativet er at man bruker samme passord på alle tjenester, og dermed har antagelig hundrevis av tjenester som noen kan få tilgang til "hovedpassordet". 

Wait for it...

18 minutes ago, nebrewfoz said:

Passwordstate er ikke en skytjeneste. De som er rammet har fått stjålet informasjon fra sin egen PC.

And there you have it.  

Alternativet er naturligvis ikke å bruke samme passord alle plasser. Et mye bedre alternativ er å ha passordene liggende lokalt og ikke i skyen. Nå har det seg altså sånn at Passwordstate ser ut til å være nettopp dette, et bedre alternativ til skyen, der du kan ha passordene ligge beskyttet lokalt. Du har også mulighet til å beskytte deg bedre med at programvaren ikke trenger ha tillatelse til nettverkstilgang. Ondsinnede angrep som dette er skikkelig bedritent for brukerne, men det er langt høyere risiko for at det blir oppdaget enn dersom passordene lå i skyen. Og du blir da en frittstående og lite interessant fisk å angripe sammenlignet med et stort register der man bare automatiserer angrepet på alle i en lang liste. Det er også mange faktorer her, som skal samtreffe for vellykket angrep. Inklusive det at folk med utdaterte versjoner ikke ble rammet, folk med strenge sikkerhetsinnstillinger på PCen ikke ble rammet, folk med avslått PC ikke ble rammet, folk ble ikke lengre rammet når angrepsserveren ble slått av, etc. Hadde dette vært i en cloud-tjeneste hadde alle brukerne blitt rammet. 

Cloud-løsningene har fordeler med at de har økonomisk incentiv til å forbedre sikkerheten på mange måter som går langt forbi gratis programvare på din lokale maskin, men samtidig er den enorme interessen rundt disse tjenestene fra høyeste globale etteretningsnivå en så fundamental og konstant faktor at en cloud-løsning er fundamentalt ikke mulig å stole på. Og den type angrep som virker på lokalt lagrede sikkerhetsprogrammer, vil også virke mot cloud-tjenester, siden din klientprogramvare er infisert. 

[henrikwl]

tommyb skrev (8 minutter siden):

Alternativet er naturligvis ikke å bruke samme passord alle plasser. Et mye bedre alternativ er å ha passordene liggende lokalt og ikke i skyen.

Så har man gjerne laptoppen, desktoppen, en telefon og en tablet man skal logge inn på diverse steder fra. Da hjelper det lite å ha det supersikre hvelvet liggende på én av enhetene.

Private cloud er jo den åpenbare løsningen på det problemet, men å drifte sin egen skyløsning medfører jo i seg selv et helt eget sett med sikkerhetsvurderinger som må gjøres og tiltak som må treffes. Er dette noe vi kan forvente at vanlige folk skal drive med?

Vi faller igjen tilbake på at en betalt tjeneste hos en leverandør med godt rykte blir det beste kompromisset som ikke ofrer alt for mye for hverken sikkerhet eller anvendbarhet.

Det sikreste er jo tross alt å klippe ethernetkabelen, men vi er vel ikke der at vi innbiller oss at det er farbar vei?

Endret 26. april 2021 av henrikwl

[nebrewfoz]

6 minutes ago, henrikwl said:

Private cloud er jo den åpenbare løsningen på det problemet, men å drifte sin egen skyløsning medfører jo i seg selv et helt eget sett med sikkerhetsvurderinger som må gjøres og tiltak som må treffes. Er dette noe vi kan forvente at vanlige folk skal drive med?

PasswordState er et "business password management tool which is hosted on premises". Sluttbrukerne trenger ikke drifte noe som helst.

[Uderzo]

Populær? Aldri hørt om dem før. Ser ut til å være laget for enterprise, kanskje enda større konsekvenser hvis de har mange enterprise kunder?
Vi bruker Team Password Manager på jobben, hvis noen her bruker Passwordstate og ser etter et alternativ.

https://teampasswordmanager.com/

Endret 26. april 2021 av Uderzo

[henrikwl]

nebrewfoz skrev (11 minutter siden):

PasswordState er et "business password management tool which is hosted on premises". Sluttbrukerne trenger ikke drifte noe som helst.

Ja, for alle har jo selvsagt noen som kan hoste on premise for seg. Soleklart den beste løsningen for alle dette her.

For Ola og Kari, som bare trenger å ha passordene sine et sikrere sted enn på papir, og ikke bør ha samme passordet på alle tjenestene, vil en forbrukertilpasset skytjeneste som f.eks. LastPass eller 1Password være det sikreste som er mulig å få til, samtidig som det er mulig for dem å bruke.

[kmlund]

Jeg har en fast stamme på mine passord som jeg salter med utvalgte tegn fra den aktuelle netttjenesten. Den eneste ulempen er at jeg har vært litt inkonsekvent med store og små bokstaver. Den opprinnelige utgaven av prosedyren hadde heller ikke med spesialtegn. Også sliter jeg litt dersom tjenster krever at man bytter passord med jevne mellomrom...

Også hender det jeg bommer på om jeg laget et eget brukernavn/passord for en lite brukt tjeneste, eller om jeg logget inn vha 3. part (google/facebook). Men i all hovedsak fungerer ordningen utmerket.

[BjartmarO]

29 minutes ago, kmlund said:

Jeg har en fast stamme på mine passord som jeg salter med utvalgte tegn fra den aktuelle netttjenesten. Den eneste ulempen er at jeg har vært litt inkonsekvent med store og små bokstaver. Den opprinnelige utgaven av prosedyren hadde heller ikke med spesialtegn. Også sliter jeg litt dersom tjenster krever at man bytter passord med jevne mellomrom...

Også hender det jeg bommer på om jeg laget et eget brukernavn/passord for en lite brukt tjeneste, eller om jeg logget inn vha 3. part (google/facebook). Men i all hovedsak fungerer ordningen utmerket.

Salter klartekstpassordet?

Jeg bruker en metode hvor jeg salter klartekstpassordet med navnet på tjenesten, hasher resultatet, og bruker hashen som det endelige passordet. Da er jeg relativt trygg selv om passordet mitt skulle lekke fra ulike tjenester.

Hvis jeg bare hadde saltet klartekstpassordet, så ville en angriper kunne se mønsteret dersom han fikk tak i passordet mitt fra to ulike tjenester.

Endret 26. april 2021 av BjartmarO

[tommyb]

1 hour ago, henrikwl said:

Så har man gjerne laptoppen, desktoppen, en telefon og en tablet man skal logge inn på diverse steder fra. Da hjelper det lite å ha det supersikre hvelvet liggende på én av enhetene.

Private cloud er jo den åpenbare løsningen på det problemet, men å drifte sin egen skyløsning medfører jo i seg selv et helt eget sett med sikkerhetsvurderinger som må gjøres og tiltak som må treffes. Er dette noe vi kan forvente at vanlige folk skal drive med?

Vi faller igjen tilbake på at en betalt tjeneste hos en leverandør med godt rykte blir det beste kompromisset som ikke ofrer alt for mye for hverken sikkerhet eller anvendbarhet.

Det sikreste er jo tross alt å klippe ethernetkabelen, men vi er vel ikke der at vi innbiller oss at det er farbar vei?

Ja, det er et godt poeng, men kanskje man ikke trenger alle passordene tilgjengelig på bussen og i mørke bakgater? Selv dekker jeg bussen og mørke bakgater med å ha en (noe utdatert) kopi på mobilen, men det anbefaler jeg virkelig heller ikke. VPN er kanskje enklere å holde oppdatert enn en Private Cloud, det ville kanskje jeg valgt, men heller ikke det kan man forvente fra folk. Ingen løsninger er perfekte, og LastPass el.l. er klart å foretrekke framfor hukommelse. Jeg bruker KeePass, ikke perfekt det heller. 

En betalt skytjeneste er og forblir et enormt fristende single point of attack og staters etterretningstjenester har mandat, lovhjemmel, kompetanse og prioritert arbeidstid til å ta seg inn der. Jeg foretrekker å vente til de er spesielt interessert i akkurat meg, som jeg regner med er ganske langt ned på prioriteringslista. Da har jeg sannsynligvis større problem enn å bytte passord likevel.  

For å ikke støte fra seg nybegynnerlesere, det viktigste i alt dette er alltid: ikke bruk samme passord på flere tjenester. For de som allerede har lært det, er det neste å sjekke om du har vært involvert i breaches av og til. 

[mads1153]

Det er ikke spesielt smart å ha et hovedpassord, også for brukerkonto hvis det lekkes før det blir gitt tilgang til resten av passordene som blir brukt til å logge inn på diverse nettsider i passordhåndteringstjeneste. Ville ikke stolt på LastPass som også har blitt rammet av hacking og KeePass. Er usikker på Bitwarden og 1Password om det er verdt å bruke.

Det er også litt problematisk med sikkerheten på biometrisk innlogging når nettside har kun vanlig pålogging for mer innstillinger mens app har biometrisk innlogging. Det er også for om at nettleserutvidelse for passordhåndteringstjenester er god nok eller ikke. Tviler litt også på USB-passordnøkler som FIDO2/YubiKey fordi det kan endre på standarden når som helst med for eksempel fra USB-C til USB-D og en ny enhet har kun USB-D som gjør at du ikke kan bruke USB-passordnøkkelen lenger som er kun USB-C og ikke har USB-D.

Så derfor bruker ikke passordhåndteringstjeneste, så jeg foretrekker litt forskjellige passord til hva som er viktige tjenester.

Endret 26. april 2021 av mads1153

[henrikwl]

tommyb skrev (10 minutter siden):

Ja, det er et godt poeng, men kanskje man ikke trenger alle passordene tilgjengelig på bussen og i mørke bakgater?

Trenger ikke være bussen og mørke bakgater en gang. Jeg vil gjerne kunne logge meg inn i ting på mobilen der jeg sitter i sofaen eller på ramma eller hvor det nå er uten å måtte gå til kontoret og fyre opp PC-en der inne for å kunne logge meg på steder.

tommyb skrev (11 minutter siden):

En betalt skytjeneste er og forblir et enormt fristende single point of attack og staters etterretningstjenester har mandat, lovhjemmel, kompetanse og prioritert arbeidstid til å ta seg inn der.

Greia med kryptering er at det driter litt i hvem som prøver å ta seg inn, den eneste måten man realistisk sett kan bryte moderne kryptering på er enten ved social engineering eller svakheter i toolchainen rundt selve hvelvet, eller dersom man antar at algoritmene har government backdoors innebygget. Det er i så fall et nivå av skepsis som jeg personlig opplever gjør min hverdag totalt sett dårligere enn å stole på at min leverandør (jeg bruker 1Password, som så vidt jeg klarer å huske i farta er en av få leverandører som ikke har hatt noen større brister) er så sikker mot innbrudd som man med rimelighet kan forvente.

tommyb skrev (14 minutter siden):

For å ikke støte fra seg nybegynnerlesere, det viktigste i alt dette er alltid: ikke bruk samme passord på flere tjenester. For de som allerede har lært det, er det neste å sjekke om du har vært involvert i breaches av og til.

Dette er utvilsomt sant, og er også nettopp grunnen til at jeg er tilhenger av disse skytjenestene. Fordi de er så enkle i bruk er det lett for hvermannsen å ta dem i bruk og i sum være sikrere enn nær sagt alle andre løsninger som finnes. Din løsning fungerer antakelig utmerket for deg, da du åpenbart er langt over gjennomsnittet bevandret i dette domenet, men Ola og Kari Nordmann driver ikke og manuelt synkroniserer passordhvelv til telefonen sin – da faller de heller tilbake til å bruke passord123 over alt fordi det er lettere.

[Are]

I dette angrepet (slik jeg leser det) gjelder et et program man har lokalt på sin PC (og som er ment å synkronisere passord etc opp i skyen). Dermed kan de like godt fange opp 2FA-kodene du taster inn på tastaturet - riktignok måtte de brukt kodene innenfor et tidsvindu (hvis tidsbasert 2FA). Du kunne like gjerne lastet ned en oppdatering av Word eller en PDF-fil med makroer som ville utløst samme problem.

[Snowleopard]

henrikwl skrev (7 timer siden):

Det er i praksis noe av det tryggeste du kan gjøre, fordi alternativet er i realiteten at man har ett passord i hodet som man bruker på flere steder.

Ideelt sett så hadde man hatt forskjellige, lange passord alle steder man logger seg inn og husket dem alle i hodet. Det er dog veldig sjelden man får til. Den naive løsningen på det, nemlig å skrive alle passordene på et papir har jo åpenbare svakheter det også, så det å ha passordene lagret kryptert i en tjeneste som er designet for det er i mange tilfeller det beste kompromisset mellom sikkerhet og anvendelighet.

Jeg har enda ikke sett noen bedre løsning som ikke forutsetter urealistiske forventninger til menneskelig oppførsel.

Som flere skriver, det er ikke nødvendig å ha ett passord overalt, man kan ha flere passord, der man gjør en liten endring fra en "grunnstamme". Og så bruker man de forskjellige grunnstammene for f.eks. type tjeneste.

Selv bruker jeg forskjellig ut fra om det er privat eller via jobb, i tillegg til at jeg varierer på om det er en tjeneste det er mer eller mindre kritisk om blir avslørt. Dermed er det færre steder jeg bruker en variant, slik at kritiske passord er enda vanskeligere å få tak i.

Om de "knekker" koden hos f.eks. komplett.no, så er det ikke nødvendigvis så lett å finne passordet jeg har hos banken, som dessuten er tilleggsbeskyttet med 2-faktor-autentisering.

Må dog sies at jeg i langt mindre grad legger igjen kortinfo, men fjerner haken for å huske kortet, der denne står på som standard. Jeg synes ikke det er veldig tungvint å dra frem kortet for hver gang jeg skal betale noe, og jeg bruker ett kort for netthandel som ikke går til hovedkonto.

Dermed er det og begrenset hvor mye som kan "stjeles" før kortet er tomt. Som ekstra sikkerhet har jeg generelt lite penger stående på den kontoen, men fører heller over summen som trengs, når jeg er klar for å handle.

Dessuten, papirlappen krever at man fysisk får tilgang til deg og/eller der lappen ligger.  Det krever altså fysisk tilgang. Passordene man har hos en online tjeneste, er utsatt for angrep fra andre verdensdeler, og derved langt flere potensielle angripere, som dessuten kan bruke koordinerte angrep, og/eller utnytte regnekraft fra tusentalls av maskiner, ofte fra hackede maskiner der eierne ikke vet de er en del av "angrepsstyrkene".

Intet system er perfekt, men det er forskjellig risiko ved alle, og man kan gjøre mye for å redusere denne risikoen uten å bli ekstrem, for å beskytte seg selv. Mitt valg er derfor å ikke bruke passordsafer annet enn den jeg har på jobb som jeg ikke kan velge bort. Men der er det mange brukere på forskjellige tjenester, der man ikke har tilgang til annet enn det som er relevant for ens rolle på jobb. Der har jeg derfor stor sans for å bruke en slik tjeneste, så lenge "banken" ligger lokalt, og ikke tilgjengelig utenfor egen sone.