Populær passordtjeneste hacket – Bytt passord nå

[Are]

Hvis du bruker felles grunnstamme flere steder, så har du gjort halve jobben for de som vil hacke deg, da vet de litt av det som skal til for å knekke resten av passordet. Da kunne du like gjerne droppet grunnstammen og bare brukt det etter grunnstammen.

[Simen1]

Alle eggene i én kurv - hvilken honningkrukke er ikke master-passordet for spioner og kriminelle?

Passwordstate er ikke den første og neppe den siste slike tjeneste som blir hacket.

[henrikwl]

Mange av dere har etter min mening alt for tunnelsyn på "sikkerhet" delen av ligningen. Det er ikke noe problem å finne en løsning som er sikrere – igjen, det logiske endepunktet for sikkerhet er å klippe ethernet-kabelen.

Men den andre delen av ligningen er faktisk bruk. For at Ola og Kari skal faktisk bruke noe så må det være enkelt. Den jevne mann og kvinne i gata kommer aldri til å lage seg et innviklet system med en passordstamme og salt basert på websiden eller appen man lager passord til. For den vanlige mannen i gata så er det to alternativer:

1. "passord1234" over alt fordi det er lettest å huske
2. Ett-klikks løsninger for "generer og fyll inn passord" for opprettelse og "fyll inn og logg inn" for innlogging, synkronisert over alle enheter.

That's it. Ikke noen passordstammer, ikke noen papirlapp i brannsikker safe med kopi i bankboks, ikke noe av det. Disse to alternativene er de rent faktiske.

Og av de to, så er nummer 2 langt sikrere enn nummer 1, og den er Sikker Nok™ for den jevne mannen i gata.

For bedriftsbruk, høyprofilerte mennesker som politikere eller andre interessepersoner er det andre vurderinger som må gjøres, men for Ola og Kari nordmann er tjenester som LastPass, 1Password og disse en av de beste sikkerhetsavgjørelsene de kan foreta seg.

Endret 27. april 2021 av henrikwl

[Aksjonauten]

PasswordState er som flere har nevnt ikke en skybasert tjeneste men en On Premise programvare man installerer lokalt hos bedriften.

Her kan man enkelt opprette en felles passorddatabase med ulike rettigheter for ulike brukere til ulike passord-lister.

Er man en bedrift med flere ansatte som bedriver drift og support mot ulike kunder er man avhengig av å ha et eller annet system for dette.

Problemet her er at oppdateringsserveren til passwordstate i en kort periode inneholdt en oppdatering med en bakdør, så de som oppdaterte i denne perioden har fått lekket dataene sine.

Dette forutsetter dog at man har gitt passwordstate-serveren direkte aksess mot internett..

Dette kunne enkelt vært unngått ved å plassere Passwordstate-serveren i et isolert nettverk uten muligheter for utgående kommunikasjon mot internett og gjøre manulle/offline oppdateringer.

Å ha en passordserver som fritt kan kommunisere med omverdenen og internett er en "accident waiting to happen"..

[Flin]

Problemet er vel at alt kan hackes og at ingen ting er helt 100% sikkert. Jeg tror de to beste løsningene er å skrive ned passord eller bruke en passordbehandler. De løsningene er ikke perfekte, men ingen ting er perfekt.

[Abel46]

En liten notisbok der man setter av en side for hvert sted som trenger passord. Her skriver man inn login-id og passordet. Så kan man med ujevne mellomrom bytte passord ved å stryke over det gamle og skrive inn det nye.

Notisboken kan man låse inn i pengeskrin eller safe. Om man ikke stoler på de man bor sammen med.

[Aksjonauten]

Det kan fungere fint til personlig bruk, PasswordState er definitivt ikke laget for personlig bruk

Når du har hundrevis av kunder og titalls konsulenter som skal ha ulik tilgang til ulike passord/saker på kunders infrastruktur

og gjerne styre denne basert på roller trenger man et system ala PasswordState.

Det betyr derimot ikke at man bør plassere denne serveren rett på internett eller gi den aksess til å sende data ut.

[hakontdal]

Hei, folkens!

Eg har løysinga (per april 2021):

1 - Lag deg ein regel som gjer om eit namn, domene, teneste til eit unikt passord du kan hugsa. Du lagar din regel som "konverterer" "facebook" til eit passord. Kanskje det blir "1122fa&%FFf", basert på f og a frå Facebook og faste 1122 og &% som alltid er med. Då blir "dnb" konvertert til 1122dn&%DDd, etc. Dette "passordet" brukar du som eit personleg salt.

2 - Bruk ei passordteneste som Bitwarden, etc. Ha eit eige, langt og unikt passord med fleire ord (som ein setning med personlege skriveleif). Bruk 2FA, etc (gjerne YubiKey, etc.). Lagre *ALDRIG* passordet til, eller infomrasjon om passordet til Bitwarden (eller kva du går for)-kontoen _i_ passordtenesta! Bruk passordtenesta til å generera og lagre unike lange passord for alle siter du brukar.

3 - Passordet til siten er ein kombinasjon av det som er lagra i passordtenesta og ditt personlege salt. Du bestemmer om saltet skal før, etter eller på ein fast plass inni passordet (kanskje etter dei tre første symbola i passordet frå passordtenesta.

Dette er tungvindt, ja.

Så lenge du skal bruka løysinga med personleg salt, kan ikkje passordtenesta automagisk logga deg inn. Men den kan fylla ut passordet _for deg_.

Før du loggar inn, må du tasta inn saltet ditt.

Eksempel: Sei at du har lagra passordet JSiX1yjshxmhSGgtLW9Kzy1aeiHuAT for din Facebook-konto, at du gjekk for personleg salt etter dei tre første symbola, og at du gjekk for løysinga i punkt 1. Då fyller passord-tenesta inn passordet for deg, og så skriv du inn 1122fa&%FFf bak den 3. karakteren i passordet.

Ditt Facebook-passord skal mao. vera: JSi1122fa&%FFfX1yjshxmhSGgtLW9Kzy1aeiHuAT

Løysinga fungerer veldig godt om du må bytta passord.

Så lenge ditt personlege salt forblir det du har bestemt deg for, kan resten av passordet endrast korti som helst, utan at det bryt med innloggingsrutina di.

Dette er forresten ikkje løysinga for "folk flest", men for deg som tenker at det er *GALSKAP* å bruka passord-tenester fordi det gjer deg sårbar.

Lykke til!

[Drogin]

Kan man ikke ha ett halvsikkert passord man bruker på "diverse" der det ikke er så farlig å bli hacket, og eget sikkert passord på Google og Banken?

Endret 27. april 2021 av Drogin

[tommyb]

12 hours ago, Drogin said:

Kan man ikke ha ett halvsikkert passord man bruker på "diverse" der det ikke er så farlig å bli hacket, og eget sikkert passord på Google og Banken?

Gitt at det virkelig ikke er farlig å bli hacket, og at de passordene ikke sier noe om hvilket passord du har på de sikre sitene, så skjønner jeg rasjonalet ditt. 

Men så var det hvor det er farlig å bli hacket, da. Alle plassene som lagrer kredittkortinformasjon eller kan bli manipulert til å sende deg varer for eksempel, altså alle nettbutikker og betalingstjenester. Alle plassene der du har gitt ut personnummer eller annet som kan brukes til å manipulere ut mer informasjon om deg. Hva med alle tjenestene som logger dine interesser og bruksmønstre? Du må se på hva som egentlig er greit for deg ikke bare direkte, men også etter dataaggregering. 

Edit: Her lever jeg ikke etter eget råd, som så mange andre har jeg gamle medlemsskap med gamle og ikke-unike passord. Men jeg kjenner det igjen som godt råd når jeg får det fra andre og alle nye tjenester de siste ti årene har unikt passord :-g 

Endret 28. april 2021 av tommyb