Håndtering av passord - på tide å sikre seg

Med de siste dagenes oppslag om passord som er lekket, så har jeg fått en påminnelse om at det er på tide å sikre seg litt bedre.

Men hva er det beste systemet for å håndtere 10-12 innlogginger uten at passordene blir like? Finnes det noen apper (for iOS) som kan brukes og er pålitelige og brukervennlige?

Jeg bruker KeePass for det meste på data, og da har jeg én fil (styrt av meg) som passer på passordene mine på mange forskjellige steder. Den kan brukes på Android også. jeg bruker Google Disk for å lagre min database, da den gir tilgang til samme fil fra alle enhetene mine. Ser det finnes apper som støtter DropBox også.

Jeg er veldig fornøyd med keeper, det koster litt å bruke, men nettopp med tanke på sikkerheten, så synes jeg det er det verd. Appen er simpel å bruke ganske intuitiv, funker greit med fingertrykk og faceID.

Keeply, tar bilde av den som ikke klarer å bruke riktig kode på app'en, uten at det var det som dro beslutningen i den retningen...

KeePass2 er freeware og OSI-sertifisert, og det er det vi bruker i jobbsammenheng (jeg jobber mye med Cyber Security)

Jeg er langvarig bruker av LastPass. 1Password er et alternativ, om du bare bruker Apple.

KeePass gjør også susen, men er mye mer tungvint.

1. Lag et skikkelig master password. Diceware er beste praksis.
2. Bruk tofaktor, f. eks Google Authenticator eller Yubikey.
3. *Generer* nye og unike passord for alle tjenstene du bruker. Minst 20 tegn.
4. Jeg holder et par passord unna, sånn i tilfelle alt skulle gå galt. Det gjelder eposten alle tjenstene er registrert på, BankID og jobb.

-Jon Are, sikkerhersarkitekt

Masse gode tilbakemeldinger her til en som ikke har peiling. Skal prøve å sette meg litt inn i de forskjellige variantene

Hvis du bruker lange passord på 16 tegn eller mer med store og små bokstaver og spesialtegn, så lar de seg ikke knekke av systemer (i din levetid). Og så må det selvsagt være noe helt tilfeldig, så det ikke noen med kunnskap om deg, kan bruke det til å hjelpe systemet. Bruker du tøysesetning med blanding av flere språk og konstruerte ord er det ikke vanskelig å huske passord på 30 tegn.
F.eks. iAmSostiligsyklist!^>grawk
Hvor g etter > står for Google, og så kan den byttes ut for andre nettsteder.

Et slikt sikkert passord må du da kun bruke på sider du vet har høy sikkerhet, slik at passordet neppe kommer på avveie (passordet du bruker her på forumet må f.eks. ikke være samme som gir tilgang til noe av verdi annet sted, siden sikkerheten her er hakket over en post-it-lapp med kortkoden på), som Gmail, iCloud osv. Passord kan alltid snappes opp når du skriver de inn på usikrede nettverk e.l., men disse sikre sidene får du jo typisk mail fra hver gang det logges inn fra ny enhet osv. Og hva som er varianten på en annen side er jo ikke rett fram. Og så skifter man jo ut alle steder hvis et sted blir hacket e.l.
Stadig flere og vel alle de store der vi legger mye informasjon tilbyr jo også tofaktorautentisering.

Butikker og nettsteder hvor du ikke legger kort eller annen sensitiv informasjon kan du bruke enklere passord til og om samme brukes flere steder betyr jo heller ikke noe - hvis det bare er navn, adresse e-post og noe fjas de finner.

1Password finnes for Windows, Linux og android og. Har aldri testet noe annet enn mac/iOS-varianten.

Om du kun har Apple-produkter finnes det en helt OK innebygget passord-håndterer innebygget i os-et

Ref. artikkel på NRK, https://nrkbeta.no/2018/10/04/nrkbeta-forklarer-passord-lekket-pa-nett-igjen/

De viser til en side, som de ikke vil gjengi, som passord for e-postadresser. Noen som har link til denne? Hadde vært greit å sjekket. Send gjerne på PM

Jeg bruker denne som utgangspunkt:

Du kan sjekke
https://gotcha.pw/
https://haveibeenpwned.com/

Men virkelig bare 10-12 passord? Jeg har noen hundre innlogginger lagret i min 1password...

190 her...

Min telefon (Apple) husker jo password’ene for meg, er ikke det sikkert nok?

Bruker mobilen eller iPad 99% av tiden når jeg skal på internet og logge inn.

Jo, jeg mener at for de fleste er denne sikker nok. Men husk at om telefonen eller iPaden kommer på avveie, så er det kun låsen på denne som beskytter passordene dine. Har du fire-sifret kode er den ikke veldig trygg.

Etter tre feil forsøk så låser den seg jo...

Det er lett å se hvilken kode man taster om man kikker over skulderen når du taster. Og den låsingen kommer man uansett rundt om man virkelig vil. Så får det bli opp til deg å vurdere trusselsituasjonen: Er det noen som helst mulighet for at noen kan finne på å snappe til seg telefonen din for å få tak i informasjon du har på den? Jeg ville f.eks. aldri beskyttet en telefon som jeg bruker i jobbsammenheng med bare 4-sifret pin-kode. Men jeg har vurdert at fingeravtrykk (på iOS) + en lenger låsekode med bokstaver er godt nok.

Har 6 siffer kode (er jobb tlf).
Det er jo det beste Apple tilbyr.

Du kan ha akkurat så lang kode, og med så mange bokstaver og spesialtegn du vil.

Gud, det ante jeg ikke.
Men ser jo nå at det er noe som heter Passcode options.
Takk for tips.

Hei Jon Are og andre sikkerhetsnisser

Hvorfor trenger jeg et masterpassord fra helv^^^•* når jeg bruker tofaktor?

I LastPass brukes det som en del av nøkkelutledningen for krypteringen av passorddatabasen. Om LastPass skulle lekke den, så lønner det seg med et passord med nok entropi til at slubberter ikke klarer å gjette seg fram til det, og dermed dekryptere passordene dine.

Et annet godt råd er å ikke logge inn på LastPass på enheter du ikke stoler på, som på nettkafeer o.l.

Den forutsetter dessverre at du er god til å velge tilfeldige ord. Det er du ikke. https://en.wikipedia.org/wiki/Diceware er beste praksis. Gjør man det helt etter boken, får man passfraser med beviselig entropi.

...terninger og den slags er selvsagt mer styr enn de fleste av oss gidder, men å ha en ordliste tilgjengelig kan nok være god inspirasjon for å unngå de mest vanlige variantene. Variasjoner, kombinasjoner, skrivefeil og nonsens kan også være hendig. Her er noen flere vurderinger: https://security.stackexchange.com/a/62911

Ingen av disse er den siden de viser til i artikkelen, som altså skal oppgi det "lekkede" passordet til epost adressen du taster inn.

Gotcha sier at jeg er trygg.
HIBP sier "Oh no — pwned! Pwned on 3 breached sites and found no pastes (subscribe to search sensitive breaches)"

Hva betyr pwned og breached? forklart på norsk til en som heller nerder på sykkelstæsj enn data.

Kan jeg nå med sikkerhet anta at noen har både e-post og passordet mitt, eller betyr dette noe annet?

En annen god grunn til å bruke passord-manager-programvare er at den kan generere gode tilfeldige passord for deg. Så slipper du å gjøre det selv. 1pw kan også generere passord som er lette å huske, om det er behov for det.

Her var det snakk om masterpassordet til manageren.

Tror det er denne sida nrkbeta refererer til:

https://ghostproject.fr

Takk, det gir mening. Og fremmede enheter ville jeg bare brukt om det virkelig var krise.

Jeg forstår entropi og diceware. Ref Ars tror jeg det ikke er nok. Artikkelen er fra 2013, og jeg tror verktøykassa til de flinke er bedre i dag. Slubberter vil nok streve, så det er vel en risikoavveing opp mot «godt nok». Mitt LastPass master passord er mellom 30 og 40 lang passphrase, men med dårlig entropi. Det burde stoppe en del, men ikke alle. Og jeg tror ikke er interessant nok, så det burde holde. Jeg tror jeg tenker riktig ...

/jeg jobber med IT, men ikke infosec