mboost-dp1

DropBox

Dropbox: 7 millioner lækkede brugerkonti stammer ikke fra os

- Via The Inquirer - , redigeret af Pernicious

Dropbox melder hus forbi, i den seneste sag om lækkede brugeroplysninger, hvor hackere siger de har fået fat i 7 millioner brugerkonti inkl. kodeord til Dropbox.

I følge Dropbox stammer oplysningerne ikke fra dem, men fra andre tjenester på nettet, der er blevet kompromitteret tidligere, hvor hackere efterfølgende har testet disse konti op mod populære tjenester.

Eftersom mange genbruger deres loginoplysninger til flere tjenester, kan et enkelt hack derfor nemt betyde, at mange andre tjenester end den hackede også kan tilgås.

Det anbefales derfor meget kraftigt, at man aldrig genbruger loginoplysninger på tværs af tjenester, for at forhindrer sager som denne. Bruger man mange tjenester, kan det være en god idé, at bruge en anerkendt passwordmanager-applikation, der kan synkronisere mellem flere enheder, ligesom brugen af to-faktor godkendelse anbefales de steder det understøttes, eksempelvis hos Dropbox.





Gå til bund
Gravatar #1 - lilleunivers
15. okt. 2014 10:08
Jeg har installeret og købt LASTPASS. Den kan autogenerere password for mig, som den også husker for mig når jeg tilgår siden igen.

Nu skal jeg kun huske ét password - til LASTPASS. Alt andet husker den for mig.

Det kan hurtigt blive uoverskueligt med alle de passwords, da jeg ikke bruger den samme kode.
Gravatar #2 - menace_dk
15. okt. 2014 10:39
lilleunivers>> kun en noob bruger sådanne ting


Brug MEGA www.mega.co.nz Alt bliver krypteret selv ens kode så har du glemt din adgangskode er du på den... Hos Dropbox får du 2gb til at starte på og hos MEGA 50 GB
Gravatar #3 - Nextnx
15. okt. 2014 10:46
Super fint med de tjenester, indtil de selv springer læk som det skete med lastpass, så er det måske en dobbelt nitte i sig selv.
Uanset imo, så gem aldrig dit password til dine email konti, bank, mm. hos et en 3rd party tjeneste.
Gravatar #4 - pote
15. okt. 2014 11:19
How NOT to store password:

Hvem end der har lækket de password burde se den video.
Gravatar #5 - Ulver
15. okt. 2014 11:48
De skriver at det er gamle passwords hvoraf de færreste virker.

Brugernavnene og kodeordene er desværre blevet stjålet fra andre internettjenester og brugt til at forsøge at logge ind på Dropbox-konti. Vi har tidligere opdaget disse angreb, og langt størstedelen af kodeordene, der er blevet lækket, har været udløbet i noget tid. Alle de resterende kodeord er ligeledes udløbet,« meddeler en talsmand fra Dropbox til Reuters.
http://www.b.dk/tech/hacker-haevder-at-have-stjaal...
Gravatar #6 - fusk
15. okt. 2014 15:11
Jeg bruger også lastpass, det er sgu bare nemmer end selv at skulle huske "!B47rNQwf%7S"
Men jeg har dog ikke købt det da alle funktionerne som er gratis bør være rigeligt til de fleste.
Gravatar #7 - kimmerrild
15. okt. 2014 16:30
onepassword bruger jeg her.

Det er et godt system, som kan huske alle dine passwords for dig, alt hvad du gerne vil have af noter meddelser mm bliver gemt på den.
selve den krypterede passwordfil liger på egen harddisk, så dine passwords ligger ikke i skyen.
Jeg syncer det sted hvor jeg gemmer min password fil til min NAS server, og den bliver så synced op i skyen hos Google.

Jeg var skeptisk før jeg prøvede en passwordhusker, men nu er jeg meget overbevist.
Der er dog et par muligheder som man skal holde øje med.
Hvis din computer bliver infeceret med en keyboardlogger, så vil den se dine tasteturtryk, og derved muligvis kunne stjæle alle dine kodeord på een gang, da de er samlet i en krypteret fil"som de lige fik adgang til" men det er ikke meget anderledes end hvis de havde adgang til hvis du tastede et nyt kodeord ind hver gang når man besøgte en ny side.

Hvis du mister kodeord filen, eller hvis du husker dit password - så er du fooked
howsecureismypassword.net

jeg fik 12trillioner år, selv hvis en supersomputer var 100.000.000 gange hurtigere ville det alligevel tage henad 10.000 år at dekryptere
Gravatar #8 - Athinira
15. okt. 2014 16:44
Jeg bruger keepass. Også anbefalelsesværdigt, selvom man dog skal sørge for at synkronisere manuelt til sine mobile enheder.
Gravatar #9 - lindysign
15. okt. 2014 16:58
En god idé kunne være, at man lærte sig selv et system til kodeord... Det er langt mere sikkert end at bruge programmer og stole på nogen som helst hjemmeside...

Et tip kunne være, at man f.eks. i en periode brugte et par tegn, og så de to første bogstaver af hjemmesiden, som en del af ens kode... Så kunne man f.eks. have en kode der så sådan her ud...

#ne¤lillebuller4DK

En temmelig sikker kode, hvor man skal huske de to tegn og systemet, samt f.eks. hundes navn...
ne står for newz, og så ender den på topdomænet med store bogstaver DK...

Der er tusindvis af måder at lave et system på, men det er enkelt, det er let at ændre, og det giver unikke kodeord for alle hjemmesider... Og det kan huskes... Når man så har lyst til at ændre det, så kan man vælge to andre tegn, eller flytte til de to sidste bogstaver i domænenavnet, eller altid bruge ! i stedet for i, og f.eks. 7 i stedet for L... osv. osv.
Gravatar #10 - Manofsciencemanoffaith
15. okt. 2014 18:17
#9

Dit system er kun godt hvis man bruger kodeordet regelmæsigt. Hvis der er et site du kun frekventerer hver 2. måned, kan det meget hurtigt knibe med hukommelsen. Desuden, hvis dine kodeord ligner hinanden pånær et par enkelte tegn, er det så som så med sikkerheden i at have forskellige passwords.

Jeg bruger selv KeyPass. Gratis, open source og findes til et hav af platfome. Fordi jeg ikke selv kan huske om det nu var "dfkirHfdsgiaovr73savjzpoocs" eller "sdoiigHeEAGvofpdnsljzfh98qodcnvE".
Gravatar #11 - milandt
15. okt. 2014 18:58
Athinira (8) skrev:
Jeg bruger keepass. Også anbefalelsesværdigt, selvom man dog skal sørge for at synkronisere manuelt til sine mobile enheder.


Du kan lægge din database i dropbox og sætte filen som favorit på dropbox app'en på mobilen - så er der automatisk to-vejs sync.
Gravatar #12 - lindysign
15. okt. 2014 18:58
#10

Når du har et system, så kniber det jo netop ikke med hukommelsen, for selv om du ikke kan huske koden direkte, så kan man regne den ud pga. systemet... Det er ganske enkelt, det virker... Jeg har haft både kunder og familiemedlemmer, som før brugte abc123 osv. koder, men som nu har komplicerede koder, og synes det er enkelt.

Og når det er variationer over samme kode, så skal en evt. hacker jo regne dit system ud, og det vil enten kræve en mega-god fantasi, eller at hackeren lige kan hacke 3-4 steder hvor du er, regne dit brugernavn ud alle stederne osv... Det er ikke sandsynligt, at det sker... overhovedet.

Jeg tror også du glemmer, at skulle en hacker gætte et kodeord, så er der stadig enormt mange variationer der skal prøves af... Vi snakker om millioner af variationer... Det bruger hackere ikke tiden på, med mindre du er præsident eller lignende.
Gravatar #13 - Taizun
15. okt. 2014 19:15
Alle jer som fortæller om diverse 3.-parts programmer/systemer som holder styr på jeres kodeord... Er I husmødre uden IT-erfaring?

Hold nu for helvede op med at bruge disse tjenester - lad aldrig andre/andet end DIG huske og gemme DINE kodeord. Så er jeg sådan set bedøvende ligeglad med om du er nødsaget til at bruge middel-svære kodeord, m.m., for at kunne huske dem - det er langt bedre end at lade JERES hemmeligheder gemme i andres hænder.

Når I mindst venter det, er I på røven, takket være disse "skønne og dejlige" dovenskabs-tjenester.
Gravatar #14 - HerrMansen
15. okt. 2014 19:55
#12 System eller ej - Jeg vil påstå du vil have svært ved at huske 400 brugernavne/kodekombinationer medmindre du er typen der tæller kort.

Jeg er sgu glad for Lastpass. Bliver en af de uhyggeligt mange "amatør" fora jeg er på hacket så mister jeg kun en disposable email som videresender til min rigtige addresse og et password af volapyk som kun bruges der.

Selvfølgelig er Lastpass i sig selv en risiko, men alternativet er jo at man bruger f.eks. Chrome's egen database i praksis.

#13: Se ovenfor. Denne "husmor" har det helt fint med kun at have én masterkonto som er sårbar istedet for en million jeg selv skal holde styr på.
Gravatar #15 - lindysign
15. okt. 2014 20:07
#14

Jeg kunne huske 4000 brugernavne og kodekombinationer, eller meget mere... Hvad er der så svært ved at forstå, når man laver et system med sine koder, så behøver du blot huske systemet, og ikke koderne?

Gravatar #16 - Athinira
15. okt. 2014 21:07
milandt (11) skrev:
Du kan lægge din database i dropbox og sætte filen som favorit på dropbox app'en på mobilen - så er der automatisk to-vejs sync.


Bruger et sync program til det. Min kommentar var mere henvendt til at man netop selv skulle sørge for at den blev syncet. Hvordan man så ellers klarer det er op til en selv.

Taizun (13) skrev:
Alle jer som fortæller om diverse 3.-parts programmer/systemer som holder styr på jeres kodeord... Er I husmødre uden IT-erfaring?

Hold nu for helvede op med at bruge disse tjenester - lad aldrig andre/andet end DIG huske og gemme DINE kodeord. Så er jeg sådan set bedøvende ligeglad med om du er nødsaget til at bruge middel-svære kodeord, m.m., for at kunne huske dem - det er langt bedre end at lade JERES hemmeligheder gemme i andres hænder.
Når I mindst venter det, er I på røven, takket være disse "skønne og dejlige" dovenskabs-tjenester.


Eksempler som denne historie viser netop hvorfor man skal bruge sådanne tjenester.

Disse tjenester er ikke nødvendigvis usårlige, men der er en årsag til at det er sikrere end at huske nogle få kodeord (eller skrive dem ned på papir). Specielt hvis du selv står for sikkerheden, som med apps som KeePass (med tjenester som LastPass bliver du nødt til at stole på deres implementering, mens KeePass altid er en sikring for at dine data er krypteret før de bliver uploadet).

Kriminalitet handler om at score så mange penge (eller så meget opmærksomhed) så let som muligt, og tjenester som disse er netop ikke lette mål. Der er langt bedre måder at tjene penge på som kriminel end at gå efter adgangskodedatabaser. Derfor vi ikke har hørt om nogen brud på sådanne databaser endnu. Den dag næsten alle mennesker bruger sådanne databaser vil de kriminelle begynde at gå målrettet efter dem. Men indtil da er de langt langt sikrere end alternativet. At bruge sådanne apps handler netop ikke om dovenskab, men om sikkerhed. At genbruge de samme adgangskoder handler om dovenskab og reducerer sikkerhed.

Derudover kan man i mange tilfælde selv gå på Google og verificere de sikkerhedstiltag der bliver brugt ved hver tjeneste og vælge hvilke man tør stole på. Det ville vi faktisk have forventet at du havde gjort før du udtalte dig om dem, men husmødre er jo generelt ikke så gode til at støve information op selv, så du er undskyldt ;-)

lindysign (15) skrev:
#14

Jeg kunne huske 4000 brugernavne og kodekombinationer, eller meget mere... Hvad er der så svært ved at forstå, når man laver et system med sine koder, så behøver du blot huske systemet, og ikke koderne?


Hvad er der så svært ved at forstå at ikke alle mennesker er ens, og ikke alle ønsker eller har mentalt overskud til at lave sådan et system? :o)

Virker det for dig: fint. Tillykke med det. Det betyder ikke det virker for os andre. One size does not fit all.
Gravatar #17 - HerrMansen
15. okt. 2014 21:15
lindysign (15) skrev:
Hvad er der så svært ved at forstå, når man laver et system med sine koder, så behøver du blot huske systemet, og ikke koderne?


Variationerne selvfølgelig - Du har brug for en grundværdi af en eller art som du skal huske hver gang som du baserer dit password på-
Gravatar #18 - Cyberpunk
15. okt. 2014 21:43
Jeg bruger et Logitech G19 og laver en macro med mine koder. - Så skal jeg kun huske G-tast nummeret.

Gravatar #19 - mrtb
16. okt. 2014 05:45
@Benytte et system til ens kodeord
Det er i teorien en meget fin idé, lige indtil man rammer en service der har nogle krav til kodeord, som ens system ikke overholder. Så skal man til at lave specialtilfælde, og så er man derude hvor man skal til at huske lidt ekstra udover systemet...
Vi snakker krav om længde, minimum antal specialtegn, begrænsning på antal gange man må benytte samme tegn osv.
Gravatar #20 - lindysign
16. okt. 2014 07:02
#16 du mener så ikke, at man skal have overskud til at sætte et program op, at holde det syncroniseret, samt huske en kode til dette program? Enig, vi er ikke alle ens, men at du kan mene, at man har overskud til at holde et program kørende og lære det, og ikke bruge 5 minutter på at lave et system som man kan bruge hele livet, det kan undre mig... :-)

#17 Netop, man huske en grundværdi, eller også kan man blot kalde det, at man husker et system... Husker man det ene system, så har du altid koden, du skal med andre ord ikke huske mere, end du allerede skal hvis du bruger en password-manager.

Det er okay at folk er skeptiske overfor metoden... Jeg kan se at både unge og gamle it-analfabeter har lært metoden på 5 minuttre, og elsker at bruge den, samt ikke har nogen problemer med den... Det taler for sig selv i min verden, og indtil videre, så har jeg ikke mødt den person der ikke kunne lave og bruge deres eget system. :-)
Gravatar #21 - OrangeNewton
16. okt. 2014 07:16
#20
Hvad gør du så med dit system når du skal lave en 3-5 nye kodeord hver 3. måned eller hvor tit det nu roterer og du aldrig må genbruge? Når der er sære krav til password (nej 9 tegn er for langt, hov hov ikke 2 ens bogstaver efter hinanden, nej nej det der ligner lidt et ord på hebraisk, mindst et specialtegn, hov hov ingen special tegn, etc.)
Systemer er fint men hver gang jeg har lavet et har it administratorer fundet på en mere sindssyg regel for at stoppe det. Det må være slut nu, et kompliceret password til min bærbar med et løbenummer (fordi fuck det med at skulle skifte konstant) og et meget langt og komplekst kodeord(bestående af stikord til en barndomshistorie som kun jeg kan huske) til min fil med alle mine andre passwords og så ellers synkronisering kun mellem enheder der er mine.
Det hjælper også når der tit er familie medlemmer der spørger: Hvad var det koden var til mit Apple id. Når jeg har formateret/fået nyt legetøj og lige skal have hele familiens wifi passwords. Eller i andre situationer hvor andre sætter en kode og bare forventer jeg husker den.
Gravatar #22 - Athinira
16. okt. 2014 08:11
lindysign (20) skrev:
#16 du mener så ikke, at man skal have overskud til at sætte et program op, at holde det syncroniseret, samt huske en kode til dette program?


Det kommer an på hvad ens kompetencer og lyster er. Personligt er det at sætte programmer op og specialisere/automatisere min computer en hobby for mig, og derved får jeg ekstra overskud ud af det.

Dit system har den forskel at man stadigvæk skal tænke hver gang man besøger et site (medmindre man lige kan huske koden), samt indtaste koden. Og det er bestemt ikke for at se negativt på 'tænkning', men jeg har andre ting at bruge min mentale energi på, og det er altså nemmere bare at skulle klikke i boksen for brugernavnet og vælge sit login (jeg bruger ikke auto-complete af sikkerhedsmæssige årsager). Derudover er fordelen her også at når først programmet er sat op, så virker det mere eller mindre for altid. Selv på tværs af formateringer/reinstallationer af Windows :-)
Gravatar #23 - ibyte_dk
16. okt. 2014 08:44
Aldrig har den været mere relevant :)
http://passwordstar.com/
Gravatar #24 - TrolleRolle
16. okt. 2014 10:21
#9 Selvom du tilsyneladene bliver ratet sjov... så bruger jeg netop sådan et system.
Det har fungeret fint i 13 år nu, og fordelen er netop at
selvom jeg kommer til et site hvor jeg ikke har været logget ind længe, så kan jeg altid "regne" mig frem til hvad passwordet nok må være.

#10 Problemet med om sådan et system giver ens passwords har jeg bare løst ved at have 3 "områder":
Arbejde (Intet system. Et password som skiftes hver 3. måned. Det kan jeg huske.)
Seriøst privat (Et system med specialtegn osv. skiftes en gang i mellem. Jeg husker selv de individuelle små "seeds" til systemet. Så de 5-10 passwords er ikke ens på nogen måde.)
Useriøst privat (Et system som nærmest autogenerer passwords ud fra site/service. De skal nærmest aldrig skiftes.)

Det er klart at hvis man fik fat i 2-3 af mine passwords til "useriøst privat"... som jo indeholder langt de fleste af mine passwords... så vil man nok kunne genkende systemet. Men det gør ikke noget. Om en person gætter mit logon til min ligegyldige upersonlige profil på dr.dk og så også kan bruge det på min ligegyldige upersonlige profil på tv2.dk det gør sgu ikke noget.

De to andre områder indeholder kun så få passwords at jeg snildt kan huske dem. Bla. fordi det jo så netop er services jeg bruger tit.


Da mit system indeholder både tal og specialtegn har jeg aldrig nogensinde være ude for at mit forslag til password ikke har fungeret.
De sølle sites som ikke accepterer specialttegn klares også nemt ud fra systemet. Her bliver passwordet bare naturligvis ikke så godt.


Jeg fatter ikke hvordan nogen kan anbefale at bruge de password-huske-services. Det er jo MULIGVIS netop steder som dem som er skyld i læk ala det som artiklen handler om.
Og hvis det ikke er... så er det jo blot et spørgsmål om tid før vi ser første sag.
Gravatar #25 - HerrMansen
16. okt. 2014 10:53
#24 Spekulation - Det samme kan jo siges om dit system. Har man først regnet systemet ud er alle dine koder i det åbne.
Gravatar #26 - Nagelfar^^
16. okt. 2014 11:03
TrolleRolle (24) skrev:

Da mit system indeholder både tal og specialtegn har jeg aldrig nogensinde være ude for at mit forslag til password ikke har fungeret.
De sølle sites som ikke accepterer specialttegn klares også nemt ud fra systemet. Her bliver passwordet bare naturligvis ikke så godt.


Der er til gengæld flere sider der ikke tillader for lange adgangskoder hvilket kan være et problem. Jeg mener microsoft accounts har et limit på 15 karakterer.

Gravatar #27 - Slettet Bruger [3482646562]
16. okt. 2014 11:07
Nagelfar^^ (26) skrev:
Der er til gengæld flere sider der ikke tillader for lange adgangskoder hvilket kan være et problem. Jeg mener microsoft accounts har et limit på 15 karakterer.


PayPal på 20. Hvilket var et problem da jeg lavede et system der lå på minimum 28 tegn.
Gravatar #28 - zeonos
16. okt. 2014 11:59
Nagelfar^^ (26) skrev:


Der er til gengæld flere sider der ikke tillader for lange adgangskoder hvilket kan være et problem. Jeg mener microsoft accounts har et limit på 15 karakterer.


Rejsekort kræver også et brugernavn på 7+.

Origin kan vidst ikke bruge tegn. eller. det kan du nogen steder med din EA konto, men så kan du bare ikke logge på origin.

er utroligt hvorfor det skal være så svært at blive enige om en standard.

Jeg bruger selv lastpass, men selv der er jeg nød til hele tiden at skifte på den form for password jeg genere. Så det for langt, så må der ikke være tegn, Så skal der være store/små/tegn/tal, så må samme tegn ikke gå igen osv osv...
Gravatar #29 - Athinira
16. okt. 2014 13:03
TrolleRolle (24) skrev:
Om en person gætter mit logon til min ligegyldige upersonlige profil på dr.dk og så også kan bruge det på min ligegyldige upersonlige profil på tv2.dk det gør sgu ikke noget.


Det har så faktisk en sikkerhedsrisiko. Stort set alle sites har en password-recovery-politik, som ikke bare er et system ('Send et reset link til min mail'), men faktisk inkluderer at man kan kontakte deres kundeservice. Dermed åbner man døren for spearpishing, og spearpishing kan faktisk foretages ved hjælp af personlige informationer (kreditkortcifre, fødselsdato etc.) som muligvis er udtrukket fra et site hvor man har 'en eller anden ligegyldig profil'.

Værste eksempel:
http://www.wired.com/2012/08/apple-amazon-mat-hona...
Gravatar #30 - lindysign
16. okt. 2014 13:26
#21 - så laver jeg nye kodeord. Og jeg har aldrig stødt på en side, der ikke tillader over 9 tegn i et kodeord. Jeg er stødt på sider, der kræver mindst 8 tegn, men det er ikke noget problem.

Og alle de ting du der nævner, jeg støder ikke på de begrænsninger på kodeord, så jeg må bruge nogle helt andre sider/systemer end dig...

#22 - nu siger jeg heller ikke du SKAL bruge mit system, jeg siger det er en mulighed, som netop fjerner sikkerhedsrisikoen ved at gemme sine kodeord på sin computer eller i skyen. Selv en krypteret db sikre ikke mod keyloggers f.eks., eller sniffere, hvis man f.eks. bruger trådløst tastetur.

Men hvis dit system virker, så brug det da... Jeg ville bare dele en nem og sikker metode som jeg har haft meget glæde af, og som både venner, familie og kunder har haft glæde af. :-)

#24 - Nye idéer bliver ikke altid vel mødt, men det er fint. Håber dit system fungere lige så fint som mit. Hygge. :)
Gravatar #31 - TrolleRolle
16. okt. 2014 19:49
Mit system er sgu ikke så fast igen at det løber på problemer med sites som har begrænsninger i længde eller hvilket tegn der må bruges.

System og system... måske er det mere nogle huskeregler for hvordan jeg plejer at konstruere mine passwords.
Det gør at jeg altid kan huske mine koder, også selvom jeg ikke har besøgt et sted i årevis. Måske skal der lige et par forsøg til, men jeg gætter det som regel i første eller andet forsøg.

Et eksempel kunne være at jeg normalt ville bruge et %-tegn.. men tillader sitet så ikke det, så kommer der bare et "p" i stedet.

De fleste passwords jeg finder på er 8-10 bogstaver lange. Kræves der et længere, så giver mit system mig et forslag til hvad jeg så nok fandt på at forlænge koden med.



#25 Læste du overhovedet hvad jeg skrev? 90% af mine logins er jeg komplet ligeglad med om andre får adgang til. Det er her jeg bruger de useriøse.

Problemet er at mange folk bruger samme password til vigtige ting, og til ligegyldige ting.
Og fordi der netop er hundredevis af koder man skal huske, så er det ene password de så vælger alt for nemt.

Det undgår man med et system.

Man skulle fanme tro det var en flok kvinder man diskuterede med. I forsvarer selv brugen af passwordhuskerne ved at skrive at "folk er forskellige", men samtidig kan I ikke acceptere at nogle folk sagtens kan have et system som gør at de kan huske hundredevis af kodeord... som stadig lever op til forskellige krav, og samtidig ikke er nemme at gætte.

Jeg kan afsløre at mine seriøse passwords ofte bygges ud fra en eller anden stemning jeg er i og gerne en hændelse som skete den dag jeg skal lave passwordet.
Måske er det bare mig, men mit hoved er skruet sammen således at jeg altid kan huske hvor jeg var og hvad jeg lavede på meget specifikke tidspunkter... så for mig er det nemt at genskabe mine passwords lang tid efter, for jeg kan huske den første dag jeg loggede ind på... f.eks. newz.

Netop pga at det er et system så bliver jeg husket på hændelserne/humøret hver gang jeg logger ind på netop det sted... og effekten er derfor selvforstærkende.

Jeg har meget svært ved at se at du #25 skulle kunne gætte mine passwords til andre sites bare fordi du har set 1 eller 2 af mine seriøse passwords. For på papiret er der intet system. Det er kun i mit hoved de er kædet sammen.
Gravatar #32 - HerrMansen
17. okt. 2014 06:14
TrolleRolle (31) skrev:
Jeg har meget svært ved at se at du #25 skulle kunne gætte mine passwords til andre sites bare fordi du har set 1 eller 2 af mine seriøse passwords. For på papiret er der intet system. Det er kun i mit hoved de er kædet sammen.


Just like encryptions...
Gravatar #33 - Pernicious
17. okt. 2014 13:10
Til jer som har jeres egene systemer, så kan det være fint nok, den største svaghed er blot, at det er noget i selv har fundet på.
Det jeg mener er, at hvis du kan tænke det, så kan en specialist i at knække adgangskoder nok også. Er muligt at du kan tænke meget abstrakt, men langt de fleste mennesker har jo netop behov for, at der er et system i deres system, hvilket er svagheden.

Skulle undre mig meget om ikke der findes et hav af dictionaries derude, som netop tager udgangspunkt i sådanne "systemer" og programmer som selv udregner variationer af disse.
Gravatar #34 - ThorbjornDeele
23. okt. 2014 10:52
Tag et kig på KeePass.

* Det virker på alle platforme.
* Det er meget stærkt Krypteret.
* Kan selv genererer nye Passwords. (Som Lastpass)
* Mulighed for plugin i Chrome, Firefox osv.
* Databasen kan evt. lægges på dropbox ell. lign. Så du har koderne med på farten.
* Kopier kode uden at vise denne, så du kan indsætte i PW felt. (Godt hvis der er andre tilstede...
* Sidste - Open Source = Gratis.

Jeg har brugt dette program i 10 år, og det bliver løbende vedligeholdt.
Gravatar #35 - Slettet Bruger [3482646562]
23. okt. 2014 11:26
#34
Jeg er lige hoppet på KeePass og jeg er blevet ganske tilfreds. Det virker skide godt og er lige til at gå til. Jeg elsker at kunne lave attachments til entires. Personligt bruger jeg BitTorrent Sync til at synkronisere databasen mellem mine enheder og samtidig, så har jeg en key-file jeg distribuere over sneakernet. Man bliver hurtigt overrasket over hvor sjældent man faktisk har brug for at åbne KeePass og dermed giver det rig grund til at lade den låse hurtigt og have et godt langt og skærkt kodeord på databasen. Thumbs up for det program.
Gravatar #36 - Manofsciencemanoffaith
23. okt. 2014 12:56
ThorbjornDeele (34) skrev:
* Kopier kode uden at vise denne, så du kan indsætte i PW felt. (Godt hvis der er andre tilstede...


På Windows kan det også genere virtuelle tastetryk, så dit komplicerede, "non-sensical" kodeord også kan indtastes i felter der ikke tillader paste via ctrl-v.
Gravatar #37 - Chewy
24. okt. 2014 18:23
@ #34
Det virker på alle platforme.


Så vidt jeg kan se er der ingen officiel Android app...
Og så er man ude i om man kan stole på den person der har lavet appet...
Gravatar #38 - Athinira
27. okt. 2014 21:47
lindysign (30) skrev:
Selv en krypteret db sikre ikke mod keyloggers f.eks., eller sniffere, hvis man f.eks. bruger trådløst tastetur.


En krypteret DB beskytter da lige netop mod sniffere mod trådløse tastaturer (bortset fra det øjeblik du åbner databasen, medmindre du benytter nøglefiler)? :-)

Dit system desuden også sårbart over for alle disse trusler. Det eneste sted dit system er mere sikkert er mod malware som er målrettet imod det program som bruges og som kan hente alle adgangskoder på en gang.

Selv KeePass har faktisk indbygget sikkerhed imod generiske keyloggers i form af muligheden for at indtaste databaseadgangskoderne i UAC-mode og muligheden for Two-Channel Auto-Type Obfuscation. Derudover beskytter browser-plugins også mod generiske keyloggers, da de henter data direkte fra adgangskodedatabasen (med mulighed for at afvise hentningen, samt at kommunikationsvejen mellem dem er krypteret af en delt AES-nøgle).

Chewy (37) skrev:
@ #34

Så vidt jeg kan se er der ingen officiel Android app...
Og så er man ude i om man kan stole på den person der har lavet appet...


Den som hedder Keepass2Android har både en online og en offline-udgave. Sidstenævnte har ikke internetadgang da den ikke kræver det via Androids tilladelser ved installation. Programmet kommer samtidigt med sit eget tastatur som muliggør indtastning af koder uden at du skal igennem copy-paste manøvren, hvilket sikrer imod apps som frit kan læse dit clipboard.

Alternativt kan man (med Root) også blokere for internetadgang for apps. Avast Mobile Security har bl.a. en indbygget Firewall til enheder med root.
Gravatar #39 - Manofsciencemanoffaith
28. okt. 2014 08:09
Chewy (37) skrev:
Så vidt jeg kan se er der ingen officiel Android app...
Og så er man ude i om man kan stole på den person der har lavet appet...


Sådan er det vel med alle programmer?
Gravatar #40 - gramps
29. okt. 2014 11:02
Nextnx (3) skrev:
Super fint med de tjenester, indtil de selv springer læk som det skete med lastpass, så er det måske en dobbelt nitte i sig selv.


Lastpass sprang læk? Ikke et eneste password er blevet lækket. Hvilken episode snakker du om?

Athinira (16) skrev:
(med tjenester som LastPass bliver du nødt til at stole på deres implementering, mens KeePass altid er en sikring for at dine data er krypteret før de bliver uploadet).


Jeg stoler fuldt ud på Lastpass' implementering: http://blog.tinisles.com/2010/01/should-you-trust-...

Kort sagt, så krypteres databasen lokalt, sendes op til LastPass' server og ligger der krypteret. Det er kun (!) adgangskode og brugernavn som bruges til kryptering, og bloggen skriver helt specifikt:

The server is sending down our encrypted details, and relying on the client to decrypt everything.

So, yes – you CAN trust lastpass.com with your passwords! Don’t just take my word for it; fire up Fiddler, and compare the hashed/encrypted values with what you expect.


Glem ikke at du kan aktivere to-faktor sikkerhed til din LastPass-konto.

Nagelfar^^ (26) skrev:
Der er til gengæld flere sider der ikke tillader for lange adgangskoder hvilket kan være et problem. Jeg mener microsoft accounts har et limit på 15 karakterer.


16 karakterer. Det er mit kodeord i hvert fald på. Det minder om, men er ikke, 7XP8lzmVULz8CbWf. Dertil har jeg to-faktor login.
Gravatar #41 - Slettet Bruger [3482646562]
29. okt. 2014 11:59
#40
Bruger LastPass AES-ECB til kryptering?
Gravatar #42 - Athinira
29. okt. 2014 12:14
IT-ekspert Yvossen (41) skrev:
#40
Bruger LastPass AES-ECB til kryptering?


Ud fra hans link ser det sådan ud. Det er ikke ligefrem hvad jeg vil kalde en specielt smart implementering.

Derudover ser det ud til at LastPass heller ikke skjuler hvilke felter der er hvad. Så du ved måske ikke hvad brugernavnet og adgangskoden er, men du ved hvilken krypteret string der er brugernavnet og adgangskoden. Det gør det lettere at udføre offlineangreb på databasen og verificere om angrebet har været succesfuldt.

Det er bl.a. på sådan et område at KeePass skal have ros for deres implementering. De bruger AES-CBC og genererer en ny IV hver gang databasen bliver gemt.
Gravatar #43 - gramps
29. okt. 2014 12:16
#41
LastPass bruger SHA256, kombineret medBKDF2. (The number of iterations for my account is over 9000!!!)

https://helpdesk.lastpass.com/security-options/pas...
Gravatar #44 - Athinira
29. okt. 2014 12:28
gramps (43) skrev:
#41
LastPass bruger SHA256, kombineret medBKDF2. (The number of iterations for my account is over 9000!!!)

https://helpdesk.lastpass.com/security-options/pas...


Nu var det ikke det han spurgte om.

SHA256 er blot hashalgoritmen som bruges til at udlede nøglen fra adgangskoden. AES-ECB er måde hvormed AES bruges til at kryptere data (en krypteringsalgoritme kan bruges på mange måder, med forskellige fordele og ulemper), og ECB er altså nu engang bare ikke en særligt sikker krypteringsimplementering, uanset hvilken algoritme der så bruges.

Vi siger ikke det er direkte usikkert, men det er heller ikke særligt smart at bruge ECB :-) Se min forklaring i #42.
Gravatar #45 - gramps
29. okt. 2014 13:33
#44
Ah. Så meget har jeg heller ikke sat mig ind i kryptering.

Ifølge en 'hacker', så bruger LastPass både ECB og CBC:

http://www.martinvigo.com/a-look-into-lastpass/ skrev:
Our next target was to figure out how it was encrypted and see if we could decrypt it. With the help of our script, we understood that the database was encrypted using 2 different encryption modes: AES256 CBC and ECB. I am not sure why they support ECB and we did not bother finding out or how the choice to use on or another was made.


Det er kun undersøgt for dem, der gemmer deres LastPass-kodeord.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login