Säkerhetsexpert: "Att periodiskt byta lösenord är en säkerhetsrisk"

TACK!

Personligen rekommenderar jag Lastpass (för den som vill ha synkronisering mellan dator, mobil och surfplatta) eller Keepass (för den som vill ha lokal lagring eller hantera sitt lösenordsarkiv själv). Lastpass stöder tvåfaktorsautentisering. Ingen lösenordshanterare är 100 % perfekt. Lastpass, som jag använder själv, har haft brister. Företaget bakom har alltid varit duktiga på att åtgärda de funna bristerna och de har varit transparenta med händelseförloppet. De har upprätthållit deras förtroende hos mig.

Den enda riktigt stora funna bristen i Lastpass var i Lastpass webbläsartillägg. Att ha en lösenordshanterare som ett tillägg i sin webbläsare medför säkerhetsrisker. Jag har trots detta Lastpass i min webbläsare, eftersom det ger större säkerhetsfördelar än säkerhetsrisker. En lösenordshanterare luras inte att fylla i användarnamn och lösenord på fejkade webbplatser vars domännamn avviker förrädiskt lite från det riktiga domännamnet. För den stora allmänheten tror jag också att webbläsarintegrationen är avgörande för att de ska använda lösningen överhuvudtaget.

Låt mig avsluta med bevingade ord från Troy Hunt (skaparen av Have I been pwned): Password managers don't have to be perfect, they just have to be better than not having one.

Läs mer om bristen i Lastpass webbläsartillägg: https://blog.lastpass.com/2017/03/security-update-for-the-las...

Läs Troy Hunts artikel: https://www.troyhunt.com/password-managers-dont-have-to-be-pe...

Det finns ett svenskt företag som heter Covr Security. De försöker åstadkomma just detta (fast utan bankernas involvering). Läs mer på deras webbplats om du är nyfiken. https://www.covrsecurity.com/.

Jag tror själv mycket på SQRL som en framtida ersättare till lösenord. Läs mer om den på https://www.grc.com/sqrl/sqrl.htm eller lyssna på podden Security Now med SQRL:s uppfinnare Steve Gibson.

Mjaa. Där håller jag nog inte med dig riktigt. Jag tycker inte det är en bra indikation eller mått på säkerhet.
För banker kan också göra dåliga avväganden. Själv har jag inte stött på några banker som gör som du beskriver men jag har ett exempel på när man inte ska gå på bankes råd vad gäller säkerhet.

Det gäller Avanza som iaf tidigare hade användarnamn och lösenord som inloggningsalternativ utan krav på 2faktorsautentisering. I min mening inte rätt nivå av säkerhet för banklösningar. De hade bankiD som alternativ inloggning men det gick inte att som kund själv välja att stänga av det enkla inoggningsättet med bara användarnamn/lösenord.
Det här har jag kivat lite med dem om och de var själva nöjda med sin lösning då man faktiskt inte kunde skicka ut pengar från deras bank till andra banker utan extra verifiering med bankID. Sant, men själv tycker jag ju att man ska lägga säkerheten på en sådan nivå att andra inte ens ska kunna logga in på ens bankkonton eller handla aktier vilket man ju faktiskt kunde komma åt...
Ja det var en soppa där men de har väl skärpt sig tror jag.
Hade jag nu bara gått på att det banken gör är rätt så hade jag sagt att enkom användarnamn och lösenord är en bra säkerhetslösning för banker. Men det tror jag ju inte riktigt är sant här.

Aja. Vi får väl se om det dyker upp några mer explicita exempel på varför mobilt bankID inte duger.

Du lyfter en bra poäng: säkerheten ska anpassas efter situationen. Den som inte vill använda en lösenordshanterare bör välja lösenord efter webbtjänstens säkerhetsbehov. Inloggningsuppgifter till kommentarsfältet på en blogg är inte lika viktiga som inloggningsuppgifterna till e-postkontot. E-postkontot (och den eventuella lösenordshanteraren) är känsligast i och med att den som har tillgång till ens e-postkonto kan återställa alla andra lösenord.

Men… jag rekommenderar ändå att använda unika lösenord överallt och att ha en lösenordshanterare.

en på mitt gamla jobb där man var tvingad att byta lösenord varje månad hade originallösen och sen .,!"#%&/()=?` nytt tecken för varje gång han var tvungen att byta

Du är mao inte kund hos Swedbank

Swedbank hade ju "personlig kod" som inloggningsalternativ, men har numera avskaffat den (jag tror det var någon organisation/myndighet som tryckte på). Däremot så används nog fortfarande den personliga koden för att "verifiera" att man är den man påstår sig vara om man ringer in till dom.

Det lär väl dyka upp vad det lider. Personligen anser jag att de gamla hederliga bankdosorna (utan koppling till dator) är säkrare, även om dom inte är lika bekväma som mobilt BankID.

Men det där betyder ju inget, bara för att ditt företagsnamn inte nämns i artiklen så nämns du i artiklen med bild och allt. Du har även själv deltagit i tråden och klickar man på din profil så är det rätt svårt att inte lägga märke att du har en hemsida som går, just det, till ditt företag och här sitter du och blånekar att det inte handlar om en sponsrad post? Jomenvisst! Lura någon annan.

Klokt! Företag måste få upp ögonen för lösenordshanterare. Annars hamnar lösenorden på post-it-lappar och i okrypterade excelark (eller som jag såg på ett apotek: på laminerade A4-papper). Det absolut bästa är om företagen också implementerar single sign-on-lösningar på så många ställen som möjligt så att de därigenom kan styra användarrättigheterna, men där det inte går måste användarna få hjälp av lösenordshanterare.

Då är min fråga, varför skrev du inte själv en gäst artikel då du har trots allt skrivit för SweC förr? Jag menar, det hade framstått som jävligt mycket mindre suspekt än något som skriker sponsrat?

Haha. Ja, man kan ju undra hur de som sätter en lösenordspolicy som din nämnda kan efterleva den själva. Förhoppningsvis börjar exempelvis Microsofts nya rekommendationer bli mer gällande. Dessa sju punkter är ur Microsoft Password Guidande (https://www.microsoft.com/en-us/research/wp-content/uploads/2...). Jag gillar dem starkt (förutom nummer ett)!

Azure Active Directory and Active Directory allow you to support the recommendations in this paper:
1. Maintain an 8-character minimum length requirement (and longer is not necessarily better).
2. Eliminate character-composition requirements.
3. Eliminate mandatory periodic password resets for user accounts.
4. Ban common passwords, to keep the most vulnerable passwords out of your system.
5. Educate your users not to re-use their password for non-work-related purposes.
6. Enforce registration for multi-factor authentication.
7. Enable risk based multi-factor authentication challenges.

Skulle inte vilja ha bankid över allt, den har idag säkerhetsbrister och troligen ploppar fler upp om man låter den sprida sig i större skala. Sen mörka dom säkerhetsbrister dom fixar (som kräver medias påtryckningar), att privatpersoner klagar biter inte.

Jag har aldrig riktigt förstått detta med att byta periodiskt heller.

Det enda ett periodiskt byte i min mening kan avhjälpa är ju om någon fått tag på ditt lösenord? Ett byte gör ju då att angriparen -slutar- få access till systemet, men skadan är ju redan skedd.

Jag kör ju en siffra i slutet som jag inkrementerar överallt där man måste byta, och har förstått att detta är relativt vanligt (här trodde man att man varit riktigt smart och kommit på ett grymt system)

Problemet med det är ju att även en angripare rätt lätt fattar att om ”password5” slutat funka så kanske det inte är sååå far fetched att testa ”password6”.

Det bästa i min mening är ju att kombinera med en 2-faktor, t ex Google token eller ett fysiskt system om det är i företagsmiljö, man ser ju ofta att anställda har t ex ett passerkort med chipp som måste in i en läsare.

Helt enkelt, ”forcera byte av lösenord” är i min mening bara ett tecken på att man istället borde se över en bättre lösning.

Smart, än ändå dum regel. Nu knäcks inte varje bokstav utan går efter ordlistor (så lösenordet blir rätt lätt att knäcka).

Men stora frågan är varför ha så säkert lösen? För flesta vettiga hemsidor blockar efter 3 till 5 misslyckade försök.

Frågan är hur lätt det är att kringgå dessa chippläsare.

Sen som jag skrev ovan, enda gången du egentligen har glädje av säkert lösenord är när databasen läcker ut (om inte hackaren lyckas kringgå spärren på hur många misslyckade försök du kan göra).

Därför är det enligt mig rätt meningslöst byta lösenord konstant (mer än att servern på den hemsidan är lätt att ta sig in i så fall, då kan byte ofta vara lönsamt).

Vet en hemsida, där jag hade starkt lösenord. Men ändå lyckades dom ta sig in och byta lösenord utan mail bekräftelse.

Senast jag kollade byggde Mobilt BankID på att du vinner ett "race condition", det vill säga att du hinner först. Om någon vet/gissar att ditt personnummer använder Mobilt BankID är det bara att skicka massor med inloggningsförsök tills de lyckas träffa i glappet mellan ditt riktiga inloggningsförsök och att din app godkänner det.

Själva telefonen kan vara hur säker som helst, det spelar ingen roll med en så klantig design. Men när vi ändå är inne på det är det väldigt få telefoner utöver Nexus/Pixel som får säkerhetsuppdateringar inom rimlig tid. Det räcker med att någon hackare av den egoistiska sorten kommer på att Mobilt BankID är ett mål värt jobbet, särskilt nu med Meltdown (som ARM har sagt drabbar Cortex-A15, -A57, -A72 och -A75) och Spectre.

Skickades från m.sweclockers.com

Din Password Manager lagrar lösenordsfilerna (med krypterat innehåll) lokalt på din dator så det kräver ju att någon måste först hacka sig in på ditt lokala nätverk, sen leta upp och sno den filen. Sedan leta upp dina key-pair och sedan försöka dekryptera ditt centrala lösenord som används för att låsa upp dina andra krypterade lösenord.

Sannolikheten för det måste vara rätt mycket lägre än andra risker?

Har nya sony från höstas och den har släppt uppdateringar varje månad (troligen säkerhetsuppdateringar).

Är just den inbyggda "bekvämligheten" i bankid som är stor bov, fattar inte att den inte kollar så bankid ansluts på rätt enhet (lägga till betrodda ip adresser/dator och/eller efter webbläsare). Det får man göra i steam, och gmail t.ex. Loggar du in t.ex från din webbläsare som är inställd på inte spara kakor behöver du verifiera dig.

Annat problem, är (i alla fall min bank) har friskrivit sig från ansvar om man installerat internetbanken på mobilen (speciellt som i min, där man kan spara användare). Något man måste om förenklad inloggning ska fungera (ändra det i en uppdatering). Det är galet enligt mig, hur många har sådan säkerhetskontroll på sin mobil?