mboost-dp1
Flickr - stefano girardi
Nummer to er et latterligt krav som NIST omsider også har erkendt.
https://nakedsecurity.sophos.com/2016/08/18/nists-...
Og så lige den obligatoriske:
correcthorsebatterystable
https://nakedsecurity.sophos.com/2016/08/18/nists-...
No composition rules. What this means is, no more rules that force you to use particular characters or combinations, like those daunting conditions on some password reset pages that say, “Your password must contain one lowercase letter, one uppercase letter, one number, four symbols but not &%#@_, and the surname of at least one astronaut.”
Let people choose freely, and encourage longer phrases instead of hard-to-remember passwords or illusory complexity such as pA55w+rd.
Og så lige den obligatoriske:
correcthorsebatterystable
#1 Korrekt - også omtalt her: Forfatter til retningslinjer for kodeord fortryder sine råd.
kblood (7) skrev:Åh nej... jeg håber ikke de lytter til dem. Hader når det ikke er mit valg hvor sikre mine koder skal være. En ret vigtig del af passwords er at man skal kunne huske dem.
Jeg har en adgangskodemanager, men visse passwords jeg har som jeg betragter som vigtige (fx mit Facebook-login, mit Google-login, diverse passwords til Full-Disc-Encryption på mine harddiske, koden til min adgangskodemanager) kan jeg alle i hovedet, på trods af at de alle er på minimum 15 tegn (nogen er på over 20) og alle indeholder random tegn, tal og store+små bogstaver.
Og mit nye kreditkort, som består af 27 tal jeg skal huske (kortnummer + udløbsdato + sikkerhedskode er 23, og PIN er 4) lærte jeg i hovedet på kun 2 gennemlæsninger.
Alle kan lave komplicerede passwords som er til at huske. Det kræver bare at man øver dem. Det du advokerer der er ikke andet end dovenskab som sætter dine konti på spil, og som koster virksomhederne en helvedes masse penge og besvær.
Det slog mig lige: Websites skal ikke stille krav om password-kvalitet. De skal slet ikke give lov til at deres brugere sætter deres passwords. I stedet for skal der autogeneres et password til dem. Så undgår man dårlige password. Men langt vigtigere så undgår man at passwords bliver genbrugt. Så kan man også droppe kravet om ekstra sikkerhed, ved X antal forsøg. Bare lav passwordet langt nok til at det er ligegyldigt.
https://xkcd.com/792/
https://xkcd.com/792/
CableCat (10) skrev:. De skal slet ikke give lov til at deres brugere sætter deres passwords.
Jeg er med på en række internetfora, hvor jeg sidder og kæfter op om mine holdninger til dit og dat. Det er da pisse ligegyldigt, hvad mit password er. Hvad så, om der er nogen der hacker det? Der er intet interessant at bruge mit alias til at udspy edder og forbandelser med. Hvorfor skulle der være et monster u-huskeligt password på den slags sider?
Jeg forstår fint på sider såsom netbank mv. men 90% af de sider jeg har en profil på, er fuldstændig harmløse.
CableCat (12) skrev:nwinther (11) skrev:Hvorfor skulle der være et monster u-huskeligt password på den slags sider?
Så du ikke bruge det samme password til noget der er vigtigt.
Men så skal "vigtige" sider, jo alene bede om de lange passwords. Brugervenligheden styrtdykker, hvis jeg skal sidde og rode med en password-manager, hver gang, jeg skal skrive et ligegyldigt (men selvstimulerende) indlæg på Nationen.
CableCat (10) skrev:Det slog mig lige: Websites skal ikke stille krav om password-kvalitet. De skal slet ikke give lov til at deres brugere sætter deres passwords.
Den løsning fungerer heller ikke af den simple årsag at det vil give en enorm mængde brugere som glemmer deres passwords.
Fra et økonomisk perspektiv betyder det at websiderne/firmaerne får store omkostninger i support, og fra et sikkerhedsmæssigt perspektiv flytter du bare sikkerhedsproblemerne fra 'password' til 'password recovery' - aka. "Jeg har glemt mit password"-proceduren.
Du får i sidste ende ingen sikkerhed ud af det. Så er 2-faktor bedre.
Igen, noget af det vigtigste med passwords er at de kan huskes. Selvfølgelig er sikkerheden også vigtig, men alt er relativt. Det giver ikke den store mening at top sikre et tilfældigt forum.
Det værste jeg nok har oplevet er Microsoft som husker alle ens passwords man har brugt uden nogen tidsgrænse, og så oven i det, kommer den engang imellem og tvinger en til at skifte koden fordi den mistænker at det kunne være blevet hacket. Så lige nu har min Hotmail nok det mindst sikre kodeord jeg har brugt til en mail. Flere af de koder holdt ikke engang en dag fordi jeg ret hurtigt blev bedt om at taste koden og ikke kunne huske den nye kode, så den tvang mig til at skifte efter nogle forsøg... igen.
Så jeg er i gang med at skifte væk fra Hotmail / Outlook eller hvad de vælger at kalde den. Jeg holder mig generelt fra steder der har den slags krav til kodeord. Nå ja.. Apple. Apple sucks når det gælder kodeord. De har en hel del ligegyldige ekstra sikkerheds krav til deres koder, så hver gang jeg skal logge ind på min Apple konto er jeg nød til at nulstille den. Bare endnu en grund til at holde sig fra Apple.
Det værste jeg nok har oplevet er Microsoft som husker alle ens passwords man har brugt uden nogen tidsgrænse, og så oven i det, kommer den engang imellem og tvinger en til at skifte koden fordi den mistænker at det kunne være blevet hacket. Så lige nu har min Hotmail nok det mindst sikre kodeord jeg har brugt til en mail. Flere af de koder holdt ikke engang en dag fordi jeg ret hurtigt blev bedt om at taste koden og ikke kunne huske den nye kode, så den tvang mig til at skifte efter nogle forsøg... igen.
Så jeg er i gang med at skifte væk fra Hotmail / Outlook eller hvad de vælger at kalde den. Jeg holder mig generelt fra steder der har den slags krav til kodeord. Nå ja.. Apple. Apple sucks når det gælder kodeord. De har en hel del ligegyldige ekstra sikkerheds krav til deres koder, så hver gang jeg skal logge ind på min Apple konto er jeg nød til at nulstille den. Bare endnu en grund til at holde sig fra Apple.
#16
Hvis du skal nulstille hver gang, så er du en skovl ¯\_(ツ)_/¯
Jeg har aldrig haft problemer med det endnu. :)
Hvis du skal nulstille hver gang, så er du en skovl ¯\_(ツ)_/¯
Jeg har aldrig haft problemer med det endnu. :)
Tvinger Apple dig til at bruge en kode du ikke ellers bruger? Underligt. De har aldrig brokket sig over at mit login til Newz er det samme som mit Apple ID ;)kblood (18) skrev:#17 Jeg bruger den jo bare ikke ofte nok, men samtidigt kræver de at jeg bruger et kodeord jeg ikke ellers bruger. Det er jo en dårlig kombo.
Gør det mig til en skovl? Jeg tror nu mest at det gør at jeg bare sjældent bruger Apple.
PHP-Ekspert Thoroughbreed (19) skrev:Tvinger Apple dig til at bruge en kode du ikke ellers bruger? Underligt. De har aldrig brokket sig over at mit login til Newz er det samme som mit Apple ID ;)kblood (18) skrev:#17 Jeg bruger den jo bare ikke ofte nok, men samtidigt kræver de at jeg bruger et kodeord jeg ikke ellers bruger. Det er jo en dårlig kombo.
Gør det mig til en skovl? Jeg tror nu mest at det gør at jeg bare sjældent bruger Apple.
Så er det nok fordi din standard kode overholde de ekstra krav Apple stiller for koder...
kblood (20) skrev:Så er det nok fordi din standard kode overholde de ekstra krav Apple stiller for koder...
De forlanger altså ikke andet end så mange andre. Minimum 8 tegn, og selvfølgelig et tal.
Men jeg kan godt se, i forhold til NemID så stiller Apple store krav.
PHP-Ekspert Thoroughbreed (21) skrev:De forlanger altså ikke andet end så mange andre. Minimum 8 tegn, og selvfølgelig et tal.kblood (20) skrev:Så er det nok fordi din standard kode overholde de ekstra krav Apple stiller for koder...
Men jeg kan godt se, i forhold til NemID så stiller Apple store krav.
NemID er også det eneste retarderede system, hvor der ikke er forskel på store og små bogstaver. Men siden de nu alligevel giver mulighed for at det kan være en 4-cifret PIN, så er det i praksis ligegyldigt.
PHP-Ekspert Thoroughbreed (21) skrev:kblood (20) skrev:Så er det nok fordi din standard kode overholde de ekstra krav Apple stiller for koder...Ekstra krav? Medmindre de har lavet deres krav om, så forlanger de nu ikke mere end så mange andre.
De forlanger altså ikke andet end så mange andre. Minimum 8 tegn, og selvfølgelig et tal.
Men jeg kan godt se, i forhold til NemID så stiller Apple store krav.
Tjaa... jeg vil ikke sige hvilket krav det er de har som andre ikke har, men det ødelægger det for de fleste af mine kodeord, og kravet er ret dumt ift. sikkerhed.
Må sige at jeg ikke aner hvilket krav du tænker på - så kan ikke give dig ret i om det er dumt ellet ej.kblood (23) skrev:Tjaa... jeg vil ikke sige hvilket krav det er de har som andre ikke har, men det ødelægger det for de fleste af mine kodeord, og kravet er ret dumt ift. sikkerhed.
Synes bare ikke at jeg er stødt på noget "nyt" siden 2010-ish, hvor de gik fra "skriv en kode" til "du skal have mindst 8 tegn og et tal"
Fruen kunne nemlig nøjes med 7 tegn hvor jeg var tvunget til 8 (hvilket er irrelevant, da mit alligevel er 11)
kblood (25) skrev:#24 De har et krav om tegn ikke må gentages.
Kan du præcisere dette? Vil "Relevant" være ugyldigt fordi der er to E i samme ord? Vil "Hallo" være ugyldigt fordi der er to L efter hinanden, eller hvor mange gentagelser snakker vi om?
dub (27) skrev:#26 Det er 3 bogstaver lige efter hinanden. Så LOLOL er tilladt men LLLOLLL er ikke.
Jamen hvem bruger også tre gentagne tegn i en kode?
Pasword111 >_<
#28 Det mindsker jo netop ikke sikkerheden.
En kode som
aaaBBB333444EEEfff
er da mere sikker end aaBB3344EEff
for eksempel. Så er det ikke mere et spørgsmål om hvorfor man ikke skulle tillade det? Selvfølge kan man da argumentere at det mindste sikkerheden hvis man både holder sig på 8 tegn men samtidigt gentager mere end 3 tegn efter hinanden, men derudover vil jeg mene at der ikke er meget grund til at prøve at stoppe det.
En kode som
aaaBBB333444EEEfff
er da mere sikker end aaBB3344EEff
for eksempel. Så er det ikke mere et spørgsmål om hvorfor man ikke skulle tillade det? Selvfølge kan man da argumentere at det mindste sikkerheden hvis man både holder sig på 8 tegn men samtidigt gentager mere end 3 tegn efter hinanden, men derudover vil jeg mene at der ikke er meget grund til at prøve at stoppe det.
CBM (30) skrev:#29: min kode til alting er 1234123412341234 ...ssshhhhh
Iflg. de universelt vedtagne retningslinjer for kodeord så bør du tilføje et stort og et lille bogstav, så hvis du nu tilføjer aA til slut så er sikkerheden helt i top.
Det er rigtigt nok - men hvornår har du sidst set en kode - manuel eller autogenereret - der indeholder 3 tegn efter hinanden? Jeg har aldrig. Ja, det kan godt være at det er nemmere at huske, og i teorien vil zzzzZZZZ være en relativ sikker kode, da Z ligger sidst i bruteforce tabellerne - men come on.kblood (29) skrev:#28 Det mindsker jo netop ikke sikkerheden.
En kode som
aaaBBB333444EEEfff
er da mere sikker end aaBB3344EEff
for eksempel. Så er det ikke mere et spørgsmål om hvorfor man ikke skulle tillade det? Selvfølge kan man da argumentere at det mindste sikkerheden hvis man både holder sig på 8 tegn men samtidigt gentager mere end 3 tegn efter hinanden, men derudover vil jeg mene at der ikke er meget grund til at prøve at stoppe det.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund