mboost-dp1
SXC - clix
Man håber de har været kloge nok til at bruge en salt i deres hashes :( (så de ikke er sårbare overfor rainbow tables) - og så skal hackeren også have salt'en, for at kunne prøve at gætte kodeord.
Med alle de indbrud, må man sige at det taler for at bruge f.ex. openid, hvor man kan - eller en password generator der laver et unikt kodeord til hvert website og husker det for én (findes plugins til firefox) :)
klavs.klavsen (2) skrev:Med alle de indbrud, må man sige at det taler for at bruge f.ex. openid, hvor man kan - eller en password generator der laver et unikt kodeord til hvert website og husker det for én (findes plugins til firefox) :)
Og når det så går ud over OpenID, så kan man komme ind overalt med samme kode?
klavs.klavsen (2) skrev:Med alle de indbrud, må man sige at det taler for at bruge f.ex. openid, hvor man kan - eller en password generator der laver et unikt kodeord til hvert website og husker det for én (findes plugins til firefox) :)
OpenID er en fantasktisk løsning, problemer er at det er meget få websites som understøtter det. Så vidt jeg ved har ingen af de websites, som har været brudt ind i de sidste 3 måneder, understøttet OpenID.
En password huske plugin vil kunne hjælpe, men kun på den computer hvor den bruges. Hvis man forsøger at tilgå en webside et andet sted fra, skal man stadig huske ens password selv.
Selv hvis password huskeren gemmer ens password online og kan bruge dem fra andre computere af, kræver det at den computer ,man bruger andre steder fra, bruger samme webbrowser og har den plugin installeret.
Mort (5) skrev:En password huske plugin vil kunne hjælpe, men kun på den computer hvor den bruges. Hvis man forsøger at tilgå en webside et andet sted fra, skal man stadig huske ens password selv.
Selv hvis password huskeren gemmer ens password online og kan bruge dem fra andre computere af, kræver det at den computer ,man bruger andre steder fra, bruger samme webbrowser og har den plugin installeret.
Forkert. Med Last pass kan du enten installerer deres plugin eller tilgå hjemmesiden, hvor du så kan få adgang til alle dine koder. Men du skal dog kunne huske din kode til Last pass (giver vel lidt sig selv i navnet).
En password husker er en pænt dårlig vane at få sig vil jeg mene.
Nu bruger jeg så også de første 5 forskellige computere, men passwords skal kunne huskes i hovedet. I nogle tilfælde har jeg dem til at ligge et sted i min e-mail som så har et unikt password, men igen et som kan huskes på.
At skrive ord i 1337 og den slags er en god måde at lave sig forsellige passwords på. Eller bare have 2-3 variationer af det samme password, så det begrænser hvor mange steder man skal ændre passwords hvis en side bliver ramt.
Og jeg må indrømme at jeg sjældent finder det vigtigt at ændre passwords. Hvis 250.000 passwords bliver stjålet fra en eller anden server, så stopper de jo gerne med at gennemgå dem indenfor de første par uger, for så bliver det en lang række brugere med ændrede passwords. Med mindre de kan få et script til at gennemgå dem. Det hjælper sikkert også hvis ens bruger ikke hedder Aaron eller 123hubert. Men jeg har det så også med at tage den slags beregnede risici for meget tror jeg.
Det har nu ikke ført til at jeg er blevet hacket, men det kan måske stadigt nå at ske hvis de er ihærdige nok dem som fangede den data, og prøver at bruge den på flere forskellige websteder.
Nu bruger jeg så også de første 5 forskellige computere, men passwords skal kunne huskes i hovedet. I nogle tilfælde har jeg dem til at ligge et sted i min e-mail som så har et unikt password, men igen et som kan huskes på.
At skrive ord i 1337 og den slags er en god måde at lave sig forsellige passwords på. Eller bare have 2-3 variationer af det samme password, så det begrænser hvor mange steder man skal ændre passwords hvis en side bliver ramt.
Og jeg må indrømme at jeg sjældent finder det vigtigt at ændre passwords. Hvis 250.000 passwords bliver stjålet fra en eller anden server, så stopper de jo gerne med at gennemgå dem indenfor de første par uger, for så bliver det en lang række brugere med ændrede passwords. Med mindre de kan få et script til at gennemgå dem. Det hjælper sikkert også hvis ens bruger ikke hedder Aaron eller 123hubert. Men jeg har det så også med at tage den slags beregnede risici for meget tror jeg.
Det har nu ikke ført til at jeg er blevet hacket, men det kan måske stadigt nå at ske hvis de er ihærdige nok dem som fangede den data, og prøver at bruge den på flere forskellige websteder.
lennyboy (7) skrev:Forkert. Med Last pass kan du enten installerer deres plugin eller tilgå hjemmesiden, hvor du så kan få adgang til alle dine koder. Men du skal dog kunne huske din kode til Last pass (giver vel lidt sig selv i navnet).
Hvis vi skal ud i at tilgå en webside og derfra copy/paste passwordet, bliver det for omstændigt til at være praktisk at bruge.
Skal det være så omstændigt kan man lige så godt printe alle passwordsne ud på et stykke papir og gå rundt med i sin pung eller have dem skrevet ned i et tekst dokument på sin mobiltelefon.
#8
Jeg vil også mene at på en side som Newz er jeg lige *pfffh* med min kode, for honestly - hvad kan der ske?
Derimod er der andre sider hvor jeg er lidt mere kritisk, og derfor kan jeg godt lide sider hvor login-navn != viste navn - det giver dig nemlig muligheden for at få et 1337-login navn og ditto kode, uden at du kommer til at hedde noget i stil med s3j3_p44$wørd
Oh - og det du skriver med 1337 er en god idé til forskellige passwords, fortjener næsten en reference til xkcd ;)
Jeg vil også mene at på en side som Newz er jeg lige *pfffh* med min kode, for honestly - hvad kan der ske?
Derimod er der andre sider hvor jeg er lidt mere kritisk, og derfor kan jeg godt lide sider hvor login-navn != viste navn - det giver dig nemlig muligheden for at få et 1337-login navn og ditto kode, uden at du kommer til at hedde noget i stil med s3j3_p44$wørd
Oh - og det du skriver med 1337 er en god idé til forskellige passwords, fortjener næsten en reference til xkcd ;)
På kort sigt er det en fornuftig løsning. På længere sigt er en forbedret protokol en bedre løsning. En protokol som kan autentificere uden at serveren ser password ville være den rigtige løsning.klavs.klavsen (2) skrev:Med alle de indbrud, må man sige at det taler for at bruge f.ex. openid, hvor man kan - eller en password generator der laver et unikt kodeord til hvert website og husker det for én (findes plugins til firefox) :)
På følgende side kan man læse om hvad der helt aktuelt foregår af standardisering: http://trac.tools.ietf.org/wg/httpbis/trac/wiki/Ht...
Jeg har selv kigget lidt på beskrivelsen af SCRAM. Den udgør et stort skridt i den rigtige retning. Men den er dog ikke perfekt.
Hvis du brugte samme password til alle sites med SCRAM ville du være sårbar overfor følgende angreb:
1. Databasen fra et af de sites du bruger passwordet til lækkes.
2. Et andet SCRAM site du anvender viser sig at være drevet af utroværdige personer som vælger at anvende de lækkede oplysninger næste gang du prøver at logge ind.
3. Da du logger ind med samme password har det andet site nu din nøgle baseret på første sites salt.
4. Det andet site afviser dog dit første forsøg og lader dig prøve igen med korrekt salt.
Det vil sige at efter en læk af databasen på første site er du alligevel nødt til at ændre dit password. Interessant nok er det dog tilstrækkeligt at ændre dit password til det samme password igen, da dette er nok til at ændre salt.
Ovenstående svaghed kunne undgås ved at udskifte en lille del af SCRAM med en offentlig nøgle algoritme i stedet for symmetriske algoritmer. Samtidigt ville det også blive mere sikkert at bruge SCRAM over http.
Et andet problem er at SCRAM så vidt jeg lige kunne se ikke specificerer hvordan man skifter sit password i første omgang. Hvis skift af password kræver at serveren ser passwordet, så er man tilbage i en situation hvor man er nødt til at anvende forskelligt password til hvert site.
Endeligt er brugerfladen meget vigtig. Det skal tydeligt fremgå af browserens brugerflade hvilken autentifikationsmetode der anvendes, ellers er det sårbart overfor phishing.
Jeg har ikke læst de andre forslag endnu, så jeg ved ikke om der måske er bedre bud end SCRAM.
Så længe et system kun er baseret på 0/1 - er det 'blot' et spørgsmål om ressourcer og tid, inden det i princippet er "hacket"/knækket.
Se evt. filmen "The Matrix", hvor 'maskinerne' prøver at 'knække' menneske-karakteren 'Morpheus' ved at sprøjte kviksølv/gift ind i hans blodårer ~ hvor længe går der inden han dør/over giver sig.
Godt de har "The One" i The-Matrix filmen til at stoppe forsøget, eller "Max. password tries" i vel-implementerede IT-systemer til at partout deny.
Se evt. filmen "The Matrix", hvor 'maskinerne' prøver at 'knække' menneske-karakteren 'Morpheus' ved at sprøjte kviksølv/gift ind i hans blodårer ~ hvor længe går der inden han dør/over giver sig.
Godt de har "The One" i The-Matrix filmen til at stoppe forsøget, eller "Max. password tries" i vel-implementerede IT-systemer til at partout deny.
Thoroughbreed (10) skrev:#8
Jeg vil også mene at på en side som Newz er jeg lige *pfffh* med min kode, for honestly - hvad kan der ske?
Derimod er der andre sider hvor jeg er lidt mere kritisk, og derfor kan jeg godt lide sider hvor login-navn != viste navn - det giver dig nemlig muligheden for at få et 1337-login navn og ditto kode, uden at du kommer til at hedde noget i stil med s3j3_p44$wørd
Oh - og det du skriver med 1337 er en god idé til forskellige passwords, fortjener næsten en reference til xkcd ;)
Din reference ser ellers ud til at være imod et password skrevet i 1337 :)
For mig ville det egentlig ikke være helt så nemt at huske 4 forskellige random ord, end det vil være at huske et ord skrevet med special tegn. Man skal bare sikre sig at man har et bestemt format man altid bruger når man skriver 1337. Du har sikkert set idéen siden du ser det som en god idé men for at give et eksempel:
Computer - C0mput3r!
Viser også lidt hvor få bogstaver jeg rent faktisk har det med at lave om til tal eller tegn. Ingen grund til at gøre det mere avanceret end højest nødvendigt. I ægte 1337 er t jo gerne et 7 tal, m består vidst af mere end et tegn osv. Hvis det ikke er noget man finder nemt at huske eller nemt giver mening imens man skriver det, så gør man sikkert slet ikke en uge efter. Og hvis man har sit eget 1337 system, så er det egentlig også en sikkerhed i sig selv.
Et andet trick til at huske passwords er at have en sætning som man kan huske på og derefter forkorte den til forbogstaverne. Men koden man får ud af det er måske ikke voldsomt god. Men det kunne måske være noget i stil med:
Min datter Dorte er født i 1992 på en lørdag
Som så kan forkortes til:
MdDefi1992pel
Som sikkert er en okay kode at have, så længe man får husket den sætning udenad. For koden i sig selv er ikke en man lige almindeligvis gætter.
Jeg er generelt imod koder på over 15 tegn, da jeg generelt ikke gider at bruge over 5 sekunder på at taste koden. Så det med at sætte 4 tilfældige ord sammen ville jeg ikke kunne finde på at bruge. Så hellere en kode med specialtegn, tal og store og små bogstaver.
Stofa har et navne system til sit WiFi password som ellers virker til at kunne have været godt til koder. Men kode systemet laver en tilfældig kode på omkring 15-20 tegn som er en blanding af små bogstaver og tal. Ville mene de burde have lavet koden på samme måde som navnet på det trådløse netværk.
Så er der Telenor, som jeg egentlig synes også har fat i noget. De laver en tilfældig kode som kun består af bogstaver, det tilfældige er at få bogstaver er store, men samtidigt at der er vokaler placeret så ordet kan udtales med ret stor sandsynlighed. Og det er faktisk ret nemt at huske på et ord så længe det kan udtales, selvom det ikke i sig selv giver mening. Og derefter skal man bare huske på hvilke bogstaver som er store og hvilke der er små.
Et eksempel kunne være:
jaRoovofat
Koden kan da brydes hvis der afsættes tid nok til det. Men jeg tror stadigt ikke det er noget der vil ske på under en uge, og så er spørgsmålet lige hvor meget man vil ligge i at bryde sådan en kode til en e-mail som måske og måske ikke indeholder noget brugbart.
Men en god kode vil jeg mene helst gerne skal virke godt både imod computere og mennesker. Og så længe den er tilfældig så burde den også være det.
Men det vigtigste er jo at det er et system som man kan vænne sig til, og som giver mening både på kort og lang sigt. Jeg kan ofte gætte mine egne koder da jeg har det med at bruge systemer til dem. Og så siden jeg har 5-6 koder på arbejde og mindst lige så mange til personlige ting, så bruger jeg to forskellige systemer.
Tag for eksempel det læk der var fra linkedin for ikke så lang tid siden. Tre af de lækkede passwords var:kblood (13) skrev:Din reference ser ellers ud til at være imod et password skrevet i 1337
CorrectHorseBatteryStaple
m0c.nideknil
lsw4linkedin
Og de tre blev åbenlyst brudt selvom den lækkede password database var hashet. Nogle af ovenstående havde måske overlevet hvis der havde været salt. Men det ændrer ikke på at alle de tre nævnte passwords er for svage.
Jeg vil ikke argumentere for at der er noget galt med udregningerne af entropien i de pågældende tilfælde. Jeg vil derimod argumentere for at 44 bits entropi stadigvæk er i underkanten. Personligt bruger jeg ingen passwords med mindre end 70 bits entropi og til nye passwords går jeg helt op til 130 bits entropi.
#14
Men det er igen også kun fordi at de fik fat i selve hashet. Hvis man bygger alle sine passwords på baggrund af at det ikke skal kunne brydes hvis hackeren har hashet af ens kode, så er det jo som jeg skrev at man skal til at bruge over 5 sekunder bare på at taste en enkelt kode.
Og det begynder først at være rigtigt øv så hvis den kode så skal skal skiftes.
Selv til sider med penge overførsler og e-mails ville jeg da aldrig spille tid på at lave koder med en 70 bits entropi eller derover. Hvis de lader hackere få fat i hashet af min kode, så må de også erstatte mine tab. Når det gælder LinkedIn, så har jeg vidst rent faktisk en bruger der. Hvad de lige vil misbruge den til ved jeg så ikke, medmindre de kan bruge den til at hacke min Facebook. Igen kan jeg ikke helt se hvordan de vil bruge det imod mig, da den ikke kan skaffe dem adgang til mine personlige e-mails eller konti der har med penge at gøre.
Så 70 bits entropi kræver godt nok at det er data bag som for alt i verden ikke må vides af andre før jeg ville begynde at overveje så voldsom en kode. Så hellere en simpel kode som kan udskiftes uden nogen større hovedpine.
Men det er igen også kun fordi at de fik fat i selve hashet. Hvis man bygger alle sine passwords på baggrund af at det ikke skal kunne brydes hvis hackeren har hashet af ens kode, så er det jo som jeg skrev at man skal til at bruge over 5 sekunder bare på at taste en enkelt kode.
Og det begynder først at være rigtigt øv så hvis den kode så skal skal skiftes.
Selv til sider med penge overførsler og e-mails ville jeg da aldrig spille tid på at lave koder med en 70 bits entropi eller derover. Hvis de lader hackere få fat i hashet af min kode, så må de også erstatte mine tab. Når det gælder LinkedIn, så har jeg vidst rent faktisk en bruger der. Hvad de lige vil misbruge den til ved jeg så ikke, medmindre de kan bruge den til at hacke min Facebook. Igen kan jeg ikke helt se hvordan de vil bruge det imod mig, da den ikke kan skaffe dem adgang til mine personlige e-mails eller konti der har med penge at gøre.
Så 70 bits entropi kræver godt nok at det er data bag som for alt i verden ikke må vides af andre før jeg ville begynde at overveje så voldsom en kode. Så hellere en simpel kode som kan udskiftes uden nogen større hovedpine.
Det kan jeg overhovedet ikke se noget problem i. Det er selvfølgelig et problem, hvis man skal taste sin kode for tit. Men det er så et design problem man bør fokusere på at løse. At bruge korte passwords som workaround for dårligt design er ikke en løsning.kblood (15) skrev:man skal til at bruge over 5 sekunder bare på at taste en enkelt kode.
At personer kan finde på at vælge et kort password bare fordi de ikke gider bruge 5 sekunder på at indtaste det er et fænomen som man bør have med i overvejelserne når man designer sine systemer.
Man kan f.eks. lade antallet af hash iterationer afhænger af længden af passwordet. Hvis hvert sekund brugeren sparer på at taste passwordet resulterer i at brugeren skal vente to sekunder længere på at hashværdien beregnes, så slipper man for at brugere vælger for korte passwords af den grund.
Derudover vil jeg sige at kombination af store og små bogstaver ikke nødvendigvis er mere effektivt. Det tager tid at trykke på shift tasten, og hvis man taster for hurtigt kommer man nemt til at trykke på den eller slippe den på det forkerte tidspunkt og dermed ændrede man et tegn ved siden af.
Hvis man skal bruge 25% længere tid på at taste et stort bogstav fordi man skal trykke på shift og sikre sig at man trykker og slipper på det rigtige tidspunkt, så havde det været bedre at holde sig til små bogstaver og lave sit password 20% længere end man ellers ville have gjort.
kblood (13) skrev:Din reference ser ellers ud til at være imod et password skrevet i 1337 :)
For mig ville det eg........ med at bruge systemer til dem. Og så siden jeg har 5-6 koder på arbejde og mindst lige så mange til personlige ting, så bruger jeg to forskellige systemer.
Well, billedet var skam også ment som pro lange kodeord :)
Jeg bruger selv en 1337-udgave af et normalt ord (f.eks hamster der bliver til h4m$73r) hvor jeg erstatter tegn for tegn - dvs 4 = a, 3 = e osv.
Men som jeg også før skrev, så skal man huske at tænke lidt med hvor man bruger sin kode ..
Jeg gider f.eks ikke bruge 10 sekunder+ for at logge på Newz - men omvendt så må min netbank gerne være lidt mere sikker :)
#16
Mht store/små bogstaver, så er et det jo en af de ting NemID er fuldstændig ligeglade med - jeg troede det var løgn indtil jeg selv prøvede det :)
Mht store/små bogstaver, så er et det jo en af de ting NemID er fuldstændig ligeglade med - jeg troede det var løgn indtil jeg selv prøvede det :)
indtil videre er mine adgangskoder ikke blevet stjålet endnu, men i kraft af alle de seneste tyverier har jeg omsider taget springet og fået mig en password manager i form af KeePass, samt at jeg har skiftet næsten samtlige adgangskoder til alle websites jeg besøger med tilfældigt genererede koder af KeePass. Kun min G-mail og min NemID-kode er koder jeg har lavet om til noget jeg skal kunne huske i hovedet.
Tager altid backup af min KeyPass database, samt at jeg har den med på en USB overalt så jeg også kan benytte mine adgangskoder på andre computere. Programmet kan kraftigt anbefales.
Tager altid backup af min KeyPass database, samt at jeg har den med på en USB overalt så jeg også kan benytte mine adgangskoder på andre computere. Programmet kan kraftigt anbefales.
Athinira (19) skrev:backup af min KeyPass database, samt at jeg har den med på en USB overalt
Overalt?
#19
Nu ved jeg ikke med din arbejdsplads, men på min er brug af USB nøgler øjeblikkelig fyringsgrund. Ikke at det slet ikke sker alligevel, men det ændre ikke på at der egentlig er gode grunde til at reglerne er sådan.
Men vil det så også sige sig at du generere nøgler med den på over 20 tegn? Jeg formoder stærkt at du så ikke har 10+ forskellige sider at logge ind på så, eller at mange af dem deler kode. Ellers er det da godt nok noget rod, selv med en password manager.
Nu ved jeg ikke med din arbejdsplads, men på min er brug af USB nøgler øjeblikkelig fyringsgrund. Ikke at det slet ikke sker alligevel, men det ændre ikke på at der egentlig er gode grunde til at reglerne er sådan.
Men vil det så også sige sig at du generere nøgler med den på over 20 tegn? Jeg formoder stærkt at du så ikke har 10+ forskellige sider at logge ind på så, eller at mange af dem deler kode. Ellers er det da godt nok noget rod, selv med en password manager.
#21
En af de bedste password-managers er imho Firefox' indbyggede :P
Skriv noget volapyk på de forskellige sider, og brug Firefox-sync ..
De mest brugte sider på fremmede computere (YouTube, Facebook, Newz) kan jo så være noget man kan huske :D
Og når det så er sagt, så har jeg følgende princip:
Class 1 sider: (Netbank, domæner etc.) = stærkt kodeord (15+ tegn, 1337-speak)
Class 2 sider: (Facebook - hvis jeg havde sådan en, FTP-server) = medium kodeord (11 tegn, sjældent 1337)
Class 3 sider: (Whatever-forum) = 7-11 tegn (sjældent 1337)
Og ja, på class 3 sider er min kode ens alle steder - for der kan ikke ske noget særligt ved at den bliver kompromitteret
En af de bedste password-managers er imho Firefox' indbyggede :P
Skriv noget volapyk på de forskellige sider, og brug Firefox-sync ..
De mest brugte sider på fremmede computere (YouTube, Facebook, Newz) kan jo så være noget man kan huske :D
Og når det så er sagt, så har jeg følgende princip:
Class 1 sider: (Netbank, domæner etc.) = stærkt kodeord (15+ tegn, 1337-speak)
Class 2 sider: (Facebook - hvis jeg havde sådan en, FTP-server) = medium kodeord (11 tegn, sjældent 1337)
Class 3 sider: (Whatever-forum) = 7-11 tegn (sjældent 1337)
Og ja, på class 3 sider er min kode ens alle steder - for der kan ikke ske noget særligt ved at den bliver kompromitteret
#22
Ja, vi har faktisk langt om længe fået tilladelse til at installere browsere som Firefox og Chrome.
De prøvede rent faktisk at bruge begrundelsen for ikke at måtte bruge Firefox eller Chrome at det ville skadeligt for sikkerheden.
Det ville give noget mere mening hvis ikke vi kørte med IE7 på det tidspunkt. Og det var også noget med at man skulle bede om speciel tilladelse for at få IE7 installeret så man kunne bruge tabs, for de så helst man brugte IE6 som de fleste interne web applikationer var designet til.
Heldigvis er der ved at være blevet ryddet op i den slags.
Ja, vi har faktisk langt om længe fået tilladelse til at installere browsere som Firefox og Chrome.
De prøvede rent faktisk at bruge begrundelsen for ikke at måtte bruge Firefox eller Chrome at det ville skadeligt for sikkerheden.
Det ville give noget mere mening hvis ikke vi kørte med IE7 på det tidspunkt. Og det var også noget med at man skulle bede om speciel tilladelse for at få IE7 installeret så man kunne bruge tabs, for de så helst man brugte IE6 som de fleste interne web applikationer var designet til.
Heldigvis er der ved at være blevet ryddet op i den slags.
kblood (21) skrev:Men vil det så også sige sig at du generere nøgler med den på over 20 tegn? Jeg formoder stærkt at du så ikke har 10+ forskellige sider at logge ind på så, eller at mange af dem deler kode. Ellers er det da godt nok noget rod, selv med en password manager.
KeePass har en auto-type funktion (samt at plugin som kan virke sammen med flere forskellige browsers så passwords automatisk udfyldes så længe password-databasen er låst op/dekrypteret).
Jeg vil anbefale dig at prøve programmet af, også selvom du ikke har tænkt dig at benytte det. Det har virkeligt mange avancerede funktioner og konfigurationsmuligheder, inkl. metoder til at bekæmpe keyloggere :o)
#28
Det lyder smart, men jeg har bare ikke problemer med at huske mine passwords, og det mest sikre jeg har har er der hvor jeg så kan finde mine passwords igen hvis jeg skulle mangle dem.
Egentlig er det at den selv kopiere passwords vidst egentlig effektivt imod keyloggere i sig selv. Den ser jo efter tastetryk, og det er ikke så godt imod en nøgle der bliver kopieret.
Hvis jeg så først begyndte at bruge sådan et program, så ville jeg hurtigt begynde at glemme mine koder efterhånden som de blev fornyet. Den er sikkert meget effektiv, men selve det at vænne sig af med at bruge sine koder ser jeg lidt som et problem i sig selv.
Det lyder smart, men jeg har bare ikke problemer med at huske mine passwords, og det mest sikre jeg har har er der hvor jeg så kan finde mine passwords igen hvis jeg skulle mangle dem.
Egentlig er det at den selv kopiere passwords vidst egentlig effektivt imod keyloggere i sig selv. Den ser jo efter tastetryk, og det er ikke så godt imod en nøgle der bliver kopieret.
Hvis jeg så først begyndte at bruge sådan et program, så ville jeg hurtigt begynde at glemme mine koder efterhånden som de blev fornyet. Den er sikkert meget effektiv, men selve det at vænne sig af med at bruge sine koder ser jeg lidt som et problem i sig selv.
Mnc (28) skrev:#27
Man kunne også bruge sin hukommelse. Den oppe i hovedet.
kblood (27) skrev:#28
Det lyder smart
http://fc06.deviantart.net/fs71/f/2011/326/b/0/pro...
Mnc (28) skrev:#27
Man kunne også bruge sin hukommelse. Den oppe i hovedet.
Det kan godt være, at du kan huske over 60 koder i hovedet, men de fleste kan ikke. Slet ikke hvis de ikke bruges hver dag.
Manofsciencemanoffaith (30) skrev:Mnc (28) skrev:#27
Man kunne også bruge sin hukommelse. Den oppe i hovedet.
Det kan godt være, at du kan huske over 60 koder i hovedet, men de fleste kan ikke. Slet ikke hvis de ikke bruges hver dag.
Det var så formålet med at have et password system, som så kan bruges til at lave enten et password til mange sider, eller flere passwords som har så meget til fælles at man vil kunne gætte dem igen. Passwords til forums f.eks., ikke meget grund til at lave et password på 15+ tegn til et forum hvor det værste der kan ske hvis koden bliver brudt er at ens posts bliver slettet, ændret eller der laves posts som får ens bruger låst.
kblood (31) skrev:ikke meget grund til at lave et password på 15+ tegn til et forum hvor det værste der kan ske hvis koden bliver brudt er at ens posts bliver slettet, ændret eller der laves posts som får ens bruger låst.
Hele ideen med at have forskellige passwords til forskellige sider er at hvis nogen får fat i dit password fra en side (enten fordi de ikke er hashet eller at de er hashet uden salt) så kan de ikke benytte det på en anden side hvor du har brugt samme password.
De lange passwords er mere en "Why not" funktion. Siden jeg benytter programmet til at taste adgangskoderne for mig, så er der ingen grund til at benytte korte adgangskoder og forringe sikkerheden på den måde :)
Plus at det beskytter dig imod sites som hasher dit password uden brug af salt.Athinira (32) skrev:De lange passwords er mere en "Why not" funktion. Siden jeg benytter programmet til at taste adgangskoderne for mig, så er der ingen grund til at benytte korte adgangskoder og forringe sikkerheden på den måde :)
Et langt password hashet en enkelt gang med en middelmådig hashfunktion uden brug af salt er mere sikkert end et kort password hashet en million gange med salt og en stærk hashfunktion.
#32
Det er sikkert også meget nyttigt. Min pointe var også at forums ikke er det største problem at få hacket. Og der er så mange af dem at de da næsten fortjener at hacke ens forums accounts hvis de kan finde dem. Forums er der jo tusindvis af. Medmindre ens brugernavn så kan Googles og spores til disse andre brugernavne, så er det lidt som at lede efter en nål i en høstak.
Og hvis du altid bruger det program, så giver det da god mening. Så håber jeg bare at du har en backup plan hvis du pludselig står uden det program og ikke kan huske nogen af dine passwords fordi du ikke går op i at lave koder du kan huske. For jeg ser det da som dårlig sikkerhed hvis du heller ikke selv kan bryde den.
Det er sikkert også meget nyttigt. Min pointe var også at forums ikke er det største problem at få hacket. Og der er så mange af dem at de da næsten fortjener at hacke ens forums accounts hvis de kan finde dem. Forums er der jo tusindvis af. Medmindre ens brugernavn så kan Googles og spores til disse andre brugernavne, så er det lidt som at lede efter en nål i en høstak.
Og hvis du altid bruger det program, så giver det da god mening. Så håber jeg bare at du har en backup plan hvis du pludselig står uden det program og ikke kan huske nogen af dine passwords fordi du ikke går op i at lave koder du kan huske. For jeg ser det da som dårlig sikkerhed hvis du heller ikke selv kan bryde den.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund