mboost-dp1
Digitaliseringsstyrelsen
#49 Altså over en periode på 20 år cirka, har jeg nok skulle skifte kode 4-5 gange. Nogle gange fordi de påstod de mistænkte min konto var blev hacket, måske fordi jeg havde brugt den i udlandet eller brugt VPN, og så har det nok også været et par gange hvor jeg glemte koden, fordi jeg altid har en kode på deres konti som jeg ellers ikke bruger.
Jeg synes ikke password managers virker smarte. Det er at samle alt på et sted, og lykkes det så at de får denne ene kode, har de alle dine logins. Så vil jeg hellere have 2-3 passwords, og så prøve at genbruge dem over det hele, og skifte dem hvis jeg skulle blive hacked. Bliver jeg hacked og det ikke er igennem en password manager, så ved de netop kun koden til en konto.
Men uanset vil jeg ikke være tvunget til at skulle bruge en ny kode hver gang. Måske jeg havde en rotation af passwords. Det havde jeg på mit sidste job hvor jeg havde et system med mine koder, og efter et år kunne jeg bruge koder igen som var over et år gamle. Det er ikke muligt hos Microsoft.
Kan da måske godt være at det kun gælder hvis jeg startede med Hotmail og ikke hvis jeg startede med Outlook, men efter hvad jeg har læst på deres forums, så gælder det ALLE MS konti.
Kan da også være fordi jeg har 3 tablets, 3 bærbare, 3 stationære, 3 mobiler og et par mini computere, f.eks. en projektor med Android og et par Raspberry Pis, og måske lidt andet, og skifter imellem det alt sammen en del, og det ticker måske ud i deres system.
Jeg synes ikke password managers virker smarte. Det er at samle alt på et sted, og lykkes det så at de får denne ene kode, har de alle dine logins. Så vil jeg hellere have 2-3 passwords, og så prøve at genbruge dem over det hele, og skifte dem hvis jeg skulle blive hacked. Bliver jeg hacked og det ikke er igennem en password manager, så ved de netop kun koden til en konto.
Men uanset vil jeg ikke være tvunget til at skulle bruge en ny kode hver gang. Måske jeg havde en rotation af passwords. Det havde jeg på mit sidste job hvor jeg havde et system med mine koder, og efter et år kunne jeg bruge koder igen som var over et år gamle. Det er ikke muligt hos Microsoft.
Kan da måske godt være at det kun gælder hvis jeg startede med Hotmail og ikke hvis jeg startede med Outlook, men efter hvad jeg har læst på deres forums, så gælder det ALLE MS konti.
Kan da også være fordi jeg har 3 tablets, 3 bærbare, 3 stationære, 3 mobiler og et par mini computere, f.eks. en projektor med Android og et par Raspberry Pis, og måske lidt andet, og skifter imellem det alt sammen en del, og det ticker måske ud i deres system.
kblood (51) skrev:
Jeg synes ikke password managers virker smarte. Det er at samle alt på et sted, og lykkes det så at de får denne ene kode, har de alle dine logins.
Sørg for koden du bruger til din password manager er tilstrækkelig stærk, det er den eneste du skal huske. Personligt bruger jeg et kodeord jeg ikke bør være bange for at det bliver brute-forced inden for nær fremtid, eller min levetid. Samtidig så bruger jeg en manager som ikke befinder sig i en central sky.
kblood (51) skrev:Så vil jeg hellere have 2-3 passwords, og så prøve at genbruge dem over det hele, og skifte dem hvis jeg skulle blive hacked.
Er det ikke lidt en modsigelse af den næste del du skriver?
kblood (51) skrev:
Bliver jeg hacked og det ikke er igennem en password manager, så ved de netop kun koden til en konto.
Hvis du genbruger samme 2-3 kodeord over alt, så har de jo netop adgang til ~33-50% af dine konti (antaget at koderne er brugt et ens antal gange). Eller misforstår jeg dig?
kblood (51) skrev:
Men uanset vil jeg ikke være tvunget til at skulle bruge en ny kode hver gang.
Problemet med ikke at bruge en hel ny kode, hvis din kode er lækket, er jo at den ikke bare er lækket nu, men også i al fremtid. Det er jo ofte at kodelæk først kommer mange år efter de faktisk er blevet stjålet.
Jeg bliver også ofte overrasket over hvor mange steder jeg faktisk har en konto ofte steder som jeg muligvis kun har brugt adgangen et par gange for nogle år siden. Hvis de bliver hacket, så er det meget usandsynligt at jeg ville vide det og dermed ville der være fri adgang til mine andre konti hvor har ville have genbrugt samme kodeord og brugernavn.
Jeg har betydeligt mere tro på at en kriminel ikke får adgang til mit meget lange kodeord, min key storage fil og min key fil på samme tid da de opholder sig på meget få enheder - end at alle online tjenester jeg har en bruger på har tilstrækkelig sikkerhed, samt at de faktisk ved hvornår deres tjeneste er blevet hacked. Desuden, hvis de skulle få fat i min key storage fil uden mit kodeord, så har jeg stadig tiltro til AES256 som krypteringsalgoritme.
Det er jo set et utal af gange at en online tjeneste er blevet hacket og inden de har oplyst om det og brugerne har fået sikret dem selv, så er credentials allerede blevet misbrugt på andre tjenester.
Uanset hvordan du bærer dig ad, så vil du have et svagt led et eller andet sted og jeg vil hellere have et svagt led hvor jeg har kontrol end et svagt led, mange steder, hvor jeg ikke har kontrol.
#52 De har jo kun adgang hvis de ved hvilke steder jeg har konti, og de prøver den kode alle de steder. Med en password manager og de sniffer koden, så er det ligegyldigt hvor stærk koden er, og så ved de ALT. Hvor jeg har konti, og hvad brugernavn og logins er.
Dine krypterings algoritme kan være på 2048 bit , men som en video sagde det så godt, så er det oftest ikke brute force og sådan at hackere de brugere. Det er enten at lokke adgangen ud af en anden person, true sig til den, eller få en keyboard logger til at opfange den.
Selvfølgelig så hjælper det en hel del hvis din password manager også kræver en krypteringsfil som ikke kan skaffes med login kodeordet online og at de passwords kun opbevares lokalt. Så skal det nok helst ikke være på din telefon det opbevares, men igen, hvis det ikke er på din telefon, så gå du igen og ikke har dine koder klar medmindre du har din computer med.
Dine krypterings algoritme kan være på 2048 bit , men som en video sagde det så godt, så er det oftest ikke brute force og sådan at hackere de brugere. Det er enten at lokke adgangen ud af en anden person, true sig til den, eller få en keyboard logger til at opfange den.
Selvfølgelig så hjælper det en hel del hvis din password manager også kræver en krypteringsfil som ikke kan skaffes med login kodeordet online og at de passwords kun opbevares lokalt. Så skal det nok helst ikke være på din telefon det opbevares, men igen, hvis det ikke er på din telefon, så gå du igen og ikke har dine koder klar medmindre du har din computer med.
kblood (53) skrev:#52 De har jo kun adgang hvis de ved hvilke steder jeg har konti, og de prøver den kode alle de steder. Med en password manager og de sniffer koden, så er det ligegyldigt hvor stærk koden er, og så ved de ALT. Hvor jeg har konti, og hvad brugernavn og logins er.
Min uvidenskabelige antagelse er at kriminelle er mest interesserede i de store medier (for spam og phishing) og websteder der har med penge at gøre. Hvis man ved hvad man cirka er interesseret i, så er det ikke det helt store problem at lave en webcrawler der bare prøver alle kendte brugernavne/e-mails med kodeord på de valgte mål. Her i blandt Amazon, E-bay, Facebook, Google, Twitter osv. Så bare fordi de ikke ved at du har en konto et sted, så skal du ikke føle dig sikker.
Tilgengæld er det oftere lettere at opnå adgang til dine oplysninger fra mindre websteder. Ofte fordi de hverken har resourcer til sikkerhedsviden eller tilstrækkelig monitorering mod angreb.
kblood (53) skrev:Dine krypterings algoritme kan være på 2048 bit
Key length af krypteringsalgoritmer har ikke direkte noget med styrken at gøre, nej. F.eks. er 512-bit RSA absolut ikke mere sikker end 256-bit AES. Det er selvfølgelig også to vidt forskellige algoritme kategorier.
kblood (53) skrev:men som en video sagde det så godt, så er det oftest ikke brute force og sådan at hackere de brugere. Det er enten at lokke adgangen ud af en anden person, true sig til den, eller få en keyboard logger til at opfange den.
Mht. phishing vil jeg at præcist at en password manager giver en stor styrke der. Af 2 grunde:
1. Du har unikt kodeord til hver tjeneste. Så selv hvis de faktisk får et kodeord ud af dig, så er det kun et sted det kan bruges.
2. Du indtaster kun dit kendte kodeord ét sted. Det er altid i din password manager. For mig ville jeg jo aldrig indtaste den på en hjemmeside på min computer, da jeg kun har desktop klient til at tilgå min password manager fra min computer. Dermed ville jeg aldrig indtaste min kode på et websted.
Mht. til keylogging, så bruger min password manager Windows Secure Desktop som f.eks. også bruges til UAC og indtastning af administrator kodeord på Windows. Det er en af de features de bruger til at modstå brede key logger forsøg. Men, en keylogger er ikke nok, hvis noget, så skal min password manager specifikt målrettes for at have mulighed for at få både nøglefil, password storage og kodeord.
kblood (53) skrev:
Selvfølgelig så hjælper det en hel del hvis din password manager også kræver en krypteringsfil som ikke kan skaffes med login kodeordet online og at de passwords kun opbevares lokalt.
Ud over det, så kræver det også specielle credentials på min computer at tilgå både nøglefil og password manager. Og jeg kører ikke med administrator rettigheder på Windows på den konto jeg bruger til daglig, det kræver at ting køres med en anden konto.
Du har ret at det hele giver lidt besvær, men det har jeg det OK med.
Så du går efter at undgå at løse problemet? Jeg er glad for at jeg ikke er din arbejdsgiver.kblood (42) skrev:Ja, men for at undgå dette, hvis du læste hvad jeg skrev, så må det derfor ikke fungere som et brugernavn til ens konto, og skal på ingen måde være en del af ens login på nogen central server.
#55 Ved du overhovedet hvad du kommenterede på? Hvis din arbejdsgiver bruger fingeraftryk som en del af deres sikkerhed, enten som login eller som godkendelse, så er det et hul i deres sikkerhed.
Så det er ikke noget med at prøve at undgå at løse problemet. Det ER en løsning. det er nemlig IKKE en løsning at opbevare fingeraftryk centralt for at bruge dem som login eller godkendelse. Spørg enhver sikkerheds virksomhed der er værd at bruge.
#54 Jeg undrer mig stadigt over hvad du så gør når du er på farten? Din mobil husker bare alle dine passwords? Og hvis den løber tør for strøm eller dens Internet ikke virker, så er du fucked? Det er da sikkert en fin sikkerhed hvis din password manager er lokal og også er godt krypteret lokalt. Hvis den kode de giver dig er til din password manager og de har din computer, så virker det nu stadig til at være noget ligegyldigt med alt det sikkerhed? Selvfølgelig kræver det så mere end bare at hacke dig. Men en key-logger og efterfølgende adgang til din computer virker da stadigt til at kunne bryde din sikkerhed også?
Jeg må indrømme at det niveau af sikkerhed undgår jeg med vilje. Selvfølgelig så er man ret fucked hvis de stjæler ens identitet, men ellers så er det at blive hacked et mindre problem som banken oftest dækker hvis det sker og derudover kan rettes op på nogenlunde nemt. Det værste jeg har prøvet er nok at jeg mistede min Steam konto i 3-4 måneder, ved ikke hvorfor det tog Steam så lang tid at få den tilbage til mig, men det var det eneste der skete. Jeg bruger ikke en kode og en e-mail til alle hjemmesider, så hvis de skulle have en dum crawler ville den ikke hjælpe så meget. Der er da steder som bruger samme e-mail og password, men så skal de stadigt have denne crawler til først at skaffe det login, og derefter komme til det i sin database. Så længe man tager almindeligt gode forbehold, så sker det ikke at de får fat i ens password og login. Ja, der er da det med mindre sikre hjemmesider, men chancen for at de hacker alle de konti som det ene password og login virker til på en gang virker noget lille. Hvis de gør det er det jo ret sikkert forskellige crawlers til hvert website.
Så det er ikke noget med at prøve at undgå at løse problemet. Det ER en løsning. det er nemlig IKKE en løsning at opbevare fingeraftryk centralt for at bruge dem som login eller godkendelse. Spørg enhver sikkerheds virksomhed der er værd at bruge.
#54 Jeg undrer mig stadigt over hvad du så gør når du er på farten? Din mobil husker bare alle dine passwords? Og hvis den løber tør for strøm eller dens Internet ikke virker, så er du fucked? Det er da sikkert en fin sikkerhed hvis din password manager er lokal og også er godt krypteret lokalt. Hvis den kode de giver dig er til din password manager og de har din computer, så virker det nu stadig til at være noget ligegyldigt med alt det sikkerhed? Selvfølgelig kræver det så mere end bare at hacke dig. Men en key-logger og efterfølgende adgang til din computer virker da stadigt til at kunne bryde din sikkerhed også?
Jeg må indrømme at det niveau af sikkerhed undgår jeg med vilje. Selvfølgelig så er man ret fucked hvis de stjæler ens identitet, men ellers så er det at blive hacked et mindre problem som banken oftest dækker hvis det sker og derudover kan rettes op på nogenlunde nemt. Det værste jeg har prøvet er nok at jeg mistede min Steam konto i 3-4 måneder, ved ikke hvorfor det tog Steam så lang tid at få den tilbage til mig, men det var det eneste der skete. Jeg bruger ikke en kode og en e-mail til alle hjemmesider, så hvis de skulle have en dum crawler ville den ikke hjælpe så meget. Der er da steder som bruger samme e-mail og password, men så skal de stadigt have denne crawler til først at skaffe det login, og derefter komme til det i sin database. Så længe man tager almindeligt gode forbehold, så sker det ikke at de får fat i ens password og login. Ja, der er da det med mindre sikre hjemmesider, men chancen for at de hacker alle de konti som det ene password og login virker til på en gang virker noget lille. Hvis de gør det er det jo ret sikkert forskellige crawlers til hvert website.
#57 Hvis du ikke ser det som et problem, så er det vidst ikke mig der har et problem. Du kunne ligeså bare skrive at du ikke ved hvad du snakker om:
http://www.tomsguide.com/us/single-username-risks,...
http://www.tomsguide.com/us/single-username-risks,...
#58
Ok. Mit fingeraftryk er offentligt kendt. Hvordan vil du kunne udlede mit navn ud fra mit fingeraftryk? Mig bekendt findes der ikke offentligt tilgængelige databaser som forbinder fingeraftryk med brugernavne, mails eller andre oplysninger.
Især når Toms Guide advarer på basis af at mange har samme brugernavn mange steder og brugernavnet har noget med din rigtige identitet at gøre.
I øvrigt hæfter jeg mig ved at en sikkerhedsekspert i din artikel giver følgende råd: John K. Smith may use "jksmith456" as his username for both Amazon and Netflix, for example, but he should make his passwords different for each – for example, "sH4zB4t_b00ks!" and "sH4zB4t_m0v13z!"
Som jeg læser artiklen i øvrigt, så er et offentligt kendt brugernavn intet problem sålænge man ellers benytter sig af god passwordskik og 2FA. I tilfældet med MitID vil 2FA naturligt være en del af produktet.
Ok. Mit fingeraftryk er offentligt kendt. Hvordan vil du kunne udlede mit navn ud fra mit fingeraftryk? Mig bekendt findes der ikke offentligt tilgængelige databaser som forbinder fingeraftryk med brugernavne, mails eller andre oplysninger.
Især når Toms Guide advarer på basis af at mange har samme brugernavn mange steder og brugernavnet har noget med din rigtige identitet at gøre.
I øvrigt hæfter jeg mig ved at en sikkerhedsekspert i din artikel giver følgende råd: John K. Smith may use "jksmith456" as his username for both Amazon and Netflix, for example, but he should make his passwords different for each – for example, "sH4zB4t_b00ks!" and "sH4zB4t_m0v13z!"
Som jeg læser artiklen i øvrigt, så er et offentligt kendt brugernavn intet problem sålænge man ellers benytter sig af god passwordskik og 2FA. I tilfældet med MitID vil 2FA naturligt være en del af produktet.
#59 Jeg ved ikke lige hvordan du kan læse artiklen på den måde, for den kommer jo igen og igen ind på hvordan et brugernavn som bliver brugt igen og igen kan bruges imod personen, netop fordi det giver en chance for at kæde forskellige konto til denne ene person. Det er jo omdrejningspunktet for hele artiklen.
Hvis du læser paragraffen lige efter det stykke tekst du fandt, så nævner det jo LIGE EFTER den bid tekst at næste trin er også at have forskellige brugernavne.
Det opsummeres meget godt her:
"Any account that holds sensitive information, such as a banking or other financial account, should have a unique username and password. Ideally, each should have a unique email address as well."
At have forskellige passwords til alle konti er en god idé, men det ændre ikke på at det er bedre sikkerhed at OGSÅ have unikke brugernavne og unikke e-mails til hver konto.
Angående fingeraftryk, så hvis der er nogen som er begyndt at gå efter at få dit fingeraftryk, så vil jeg mene der er en god chance for at de også er gået efter at have fået fat i dit navn / brugernavn og sådan. Problemet er jo hvor meget større chancen er for at kæde dit fingertryk med din identitet den er hvis man bruger den som en del af ens online sikkerhed, og brugernavn / login er en del af den sikkerhed om du vil indrømme det eller ej.
Hvis du læser paragraffen lige efter det stykke tekst du fandt, så nævner det jo LIGE EFTER den bid tekst at næste trin er også at have forskellige brugernavne.
Det opsummeres meget godt her:
"Any account that holds sensitive information, such as a banking or other financial account, should have a unique username and password. Ideally, each should have a unique email address as well."
At have forskellige passwords til alle konti er en god idé, men det ændre ikke på at det er bedre sikkerhed at OGSÅ have unikke brugernavne og unikke e-mails til hver konto.
Angående fingeraftryk, så hvis der er nogen som er begyndt at gå efter at få dit fingeraftryk, så vil jeg mene der er en god chance for at de også er gået efter at have fået fat i dit navn / brugernavn og sådan. Problemet er jo hvor meget større chancen er for at kæde dit fingertryk med din identitet den er hvis man bruger den som en del af ens online sikkerhed, og brugernavn / login er en del af den sikkerhed om du vil indrømme det eller ej.
#60
Et af de største problemer for John Smith var, at hans email og brugernavn var de samme, samt at hans navn var del af email-adressen. Hvordan er det lige at et fingeraftryk skal være en del af email-adressen?
Igen, mig bekendt findes ikke en central database som kobler fingeraftryk sammen brugernavne eller email-adresser.
Et af de største problemer for John Smith var, at hans email og brugernavn var de samme, samt at hans navn var del af email-adressen. Hvordan er det lige at et fingeraftryk skal være en del af email-adressen?
Igen, mig bekendt findes ikke en central database som kobler fingeraftryk sammen brugernavne eller email-adresser.
#61 Du mener jo at fingeraftryk er godt at bruge hvis det kun er som login navn, men hvis flere stedet begynder at gøre det, så behøves det jo netop ikke at kobles sammen.
Desuden kan det tage identitets tyveri til et højere niveau.
Eller fatter du slet ikke hvad debattens omdrejningspunkt var? Der blev foreslået at bruge finger aftryk som brugernavn. Det ville ikke engang være nødvendigt at fingeraftrykket skulle være en del af brugernavnet i e-mail adressen. Alt dette var jo så heller ikke den eneste begrundelse til at have forskellige brugernavne alle steder.
Jeg har lidt svært ved at tro på at du ikke selv kan se problemet med dine påstande.
Desuden kan det tage identitets tyveri til et højere niveau.
Eller fatter du slet ikke hvad debattens omdrejningspunkt var? Der blev foreslået at bruge finger aftryk som brugernavn. Det ville ikke engang være nødvendigt at fingeraftrykket skulle være en del af brugernavnet i e-mail adressen. Alt dette var jo så heller ikke den eneste begrundelse til at have forskellige brugernavne alle steder.
Jeg har lidt svært ved at tro på at du ikke selv kan se problemet med dine påstande.
#62
Jeg kan ikke se problemet ved at benytte noget permanent som brugernavn, nej. Ligesom jeg ikke kan se problemet i at stå opført i en telefonbog med både postadresse og telefonnummer. For bare fordi folk kender min adresse betyder det ikke at det gør det lettere eller sværere for dem at bryde ind i mit hus.
Jeg kan ikke se problemet ved at benytte noget permanent som brugernavn, nej. Ligesom jeg ikke kan se problemet i at stå opført i en telefonbog med både postadresse og telefonnummer. For bare fordi folk kender min adresse betyder det ikke at det gør det lettere eller sværere for dem at bryde ind i mit hus.
#63 Ja, du fatter det ikke. Jeg har dokumenteret det og du kan ikke se det. Det kan nok ikke ændres på.
Hvis folk finder ud af at du ejer noget værdifuldt i dit hjem, så vil det at kunne finde din adresse i en telefonbog gøre det en hel del nemmere at kunne stjæle hvad end det er. Det giver åbenbart ikke mening for dig, men sådan må det jo være.
Hvis folk finder ud af at du ejer noget værdifuldt i dit hjem, så vil det at kunne finde din adresse i en telefonbog gøre det en hel del nemmere at kunne stjæle hvad end det er. Det giver åbenbart ikke mening for dig, men sådan må det jo være.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund