SweClockers drabbas av dataintrång

Många gör dessvärre det, men det är tyvärr inte möjligt att fortsätta driva siten utan reklam idag. Det är en svår situation och vi funderar på alternativ. Under tiden är vi (och alla andra som uppskattar att ta del av såväl redaktionens arbete som allt som diskuteras i forumet) väldigt tacksamma för er som låter reklamen synas på sidan.

Rimlig pernumeration för att slippa all reklam FTW.

Jag hade nog hoppat på detta.

Har aldrig använt lösordshanterare utan kör med penna, papper och slumpade långa starka löserord. Det hindrar inte ev tjuv eller farbror blå från hitta dem men risken är minimal (en kopia på en annan plats då även brand skulle ställa till andra problem, ingen login alls på en himla massa siter)

Penna, papper och osynligt bläck i random bok i bokhyllan kanske är framtiden

Om man har enhet där det saknas möjlighet att installera saker, Funkar det även där?

Sen är också frågan om man vill lagra alla lösenord hos ett företag, men det är mer konspirationstänk.

Varför är det okej att mobba på tjockisar nu också? När allt annat är så PK, så man inte ens får kalla kakor vad man vill. Nej, lägg ner dina stereotyper.

Det finns ju organisationer som gärna vill bryta den relativa anonymitet som finns på siter som Flashback, Sweclockers mm. De gillar att sitta och lägga pussel för att räkna ut vem Du eller jag är, så att de kan sälja uppgifterna vidare till tex Expressen eller Aschberg, ifall du har sagt något som de inte gillar, så får du besök hemma sedan. Så det kan finnas flera "goda" anledningar till att hacka tex Swec.

Dettta är ett argument för att använda slumpade, unika, långa lösenord, vilket är mer eller mindre omöjligt opraktiskt om man inte använder en lösenordshanterare. Återanvändning av lösenord på olika ställen är ett minst lika stort problem som uselt korta lösenord — återigen så hjälper lösenordshanterare till med båda dessa saker.

Som ett mätvärde så har jag vid en snabbkoll > 100 unika slumpade lösenord för olika ändamål lagrade i min lösenordsbank för tillfället. Skulle ett av dessa komma på vift så är det lätt som en plätt att uppdatera lösenordet i denna bank, och sedan är allt frid och fröjd igen (och det propagerar till exempelvis min laptop och andra enheter jag kontrollerar). Själva lösenordsbanken är lagrad i en fil på mina egna datorer, krypterad med ett långt och starkt lösenord, som är det enda jag egentligen behöver kunna utantill.

KeePassX, KeePass, LastPass är några exempel på vanliga sådana tjänster. Den sistnämnda lagrar lösenorden i "molnet" (dvs "på någon annans dator") vilket många ser som en dealbreaker, men det är en avvägning mot smidighet.

Det finns ett par olika operationslägen för Yubikey (även beroende på modell). Det enklaste är att USB-nyckeln helt enkelt innehåller ett starkt lösenord som skrivs in på datorn när man trycker på en fysisk knapp. Detta lösenord kan du använda direkt på en extern sida, eller än hellre för att låsa upp en lokal lösenordsbank.

Känner man sig mer trygg med ovanstående operationsläge så är det helt OK, men i praktiken är det ett mycket starkare skydd att använda de mer avancerade operationslägena som kontaktar fjärrservrar, då det genererar engångslösenord för inloggning, vilket gör att en användare vid nästa autentisering direkt upptäcker ifall någon (mot all förmodan) skulle ha lyckats knäcka nyckelns säkerhet. Generellt så kan man ha nytta av båda dessa operationslägen för olika ändamål.

Google är en av de aktörer som jobbar mest öppet med tvåfaktorsautentisering och nya lösningar för säkerhet på nätet. Det var som exempel Google som initialt tog fram standarden för U2F som numera används av FIDO Alliance (som inkluderar Google, Facebook, Microsoft, Paypal, Visa, Mastercard, …), som med låga odds är den framtida ledande standarden för säker autentisering över nätet.

Kritiken brukar snarare ligga i att Googles idé är att det är de som ska ha informationen hellre än någon annan, men en grundbult för detta är att användare känner sig trygga nog för att våga lämna ut så mycket information som möjligt i Googles ekosystem. Hög användarsäkerhet (vilket inte nödvändigtvis är samma sak som användarintegritet) är direkt i linje med deras affärsidé — en användare som inte känner sig säker skulle exempelvis aldrig använda Google Wallet, och för varje Google-tjänst en användare inte vill använda så blir de mindre beroende av Google, och mindre benägna att använda Googles produkter generellt, vilket är vad de tjänar pengar på.

Google jobbar också nära exempelvis just Yubico (företaget bakom Yubikey) vad gäller säkra autentiseringslösningar. Denna artikel dök upp i mitt RSS-flöde så sent som idag.

Jag listade några lösenordsbankssystem ovan som går att använda helt lokalt om man så vill. Det tar en del tid att sätta upp systemet till en början när man behöver lägga till alla existerande användarkonton, men därefter sparar det mer eller mindre dagligen tid, samtidigt som det ger en trygghet som inte är möjlig utan ett sådant system. En tidsinvestering som ger återbäring .

Som jag nämnde ovan så är användarintegritet en annan fråga än användarsäkerhet. Man skulle snarare kunna argumentera för att det är större säkerhet i att låta några få enstaka stora aktörer hantera inloggningen snarare än att lägga ut tilliten på många mindre tjänster, vilket också är en av tankarna bakom OpenID (vilket generellt är det som används bakom kulisserna när man kan "logga in med Google/Facebook/Twitter/etc.") — sannolikheten att Google/Facebook/Twitter fått säkerhet "rätt" är större än att "Hasses Bilelektriskas webbshop" följer alla "best practices".

Det finns ett par olika operationslägen för Yubikey (även beroende på modell). Det enklaste är att USB-nyckeln helt enkelt innehåller ett starkt lösenord som skrivs in på datorn när man trycker på en fysisk knapp. Detta lösenord kan du använda direkt på en extern sida, eller än hellre för att låsa upp en lokal lösenordsbank.

Känner man sig mer trygg med ovanstående operationsläge så är det helt OK, men i praktiken är det ett mycket starkare skydd att använda de mer avancerade operationslägena som kontaktar fjärrservrar, då det genererar engångslösenord för inloggning, vilket gör att en användare vid nästa autentisering direkt upptäcker ifall någon (mot all förmodan) skulle ha lyckats knäcka nyckelns säkerhet. Generellt så kan man ha nytta av båda dessa operationslägen för olika ändamål.

@Teddis: Bytyder egentligen bara att de kan göra fler försök. Så 100000 lösenord/sec och det skulle fortfarande ta 5½år att knäcka det lätt ihågkomna lösenordet. Tvivlar starkt att någon är så intresserad att ta reda på ditt lösenord till sweclockers att de ens lägger ner den tiden. Tänk även på att de måste lägga ner den tiden per användare så ja om alla hade ett långt lösenord hade det varit bättre.

A PC running a single AMD Radeon HD7970 GPU, for instance, can try on average an astounding 8.2 billion password combinations each second, depending on the algorithm used to scramble them.