Google Chrome och Mozilla Firefox får stöd för lösenordsfri inloggning

Tackar för infon.

Då kommer 2 följdfrågor. Är det unika lösenord per sida/tjänst? (Om jag tex använder samma telefon/finger).

För... just detta är ju exakt va @JamesBanana vill ha sagt ovan... har du bästa lösenordet i världen, hjälper det föga om du ha det på flera ställen och ett blir hackat.

Förutom hur segt det är att skriva

Jag skriver ett komplext 12-15 tecken lösen fortare än 6 normala ord...

Om det gör detta, är jag nöjd. 100% säkert är det inte, då en bugg i Android och vips har du allt på vift, men den risken är ju något man får acceptera.

Det får mig att tänka på enklaste sättet att få "master lösenordet till folk".
E-mailen.
Få tillgång till MS/Google mailen de har...
Då de naturligtvis vill ha auto mail-koll på mobilen, finns det där och sänds över tex Wifi, eller ligger inlagt i webbläsaren.
Sen går du till varje site och begär lösenordsåterställning.... tada, "master lösenordet"

Som sagt, inget är starkare än sin svagaste länk.
Och just lösenordsåterställning är en otroligt svag punkt, om man inte skyddar e-mailen.

Yep... ett USB minne med Wifi, 3G/4G, GPS och 10 ton sårbarheter... what could go wrong?

Svårt att tro att någon du (ett generellt du) känner kommer att kunna knäcka ditt lösenord om du har en hund som heter Bosse och lösenordet är "jag-har-en-hund-som-heter-bosse". Att knäcka det genom brute force.... nä. Att man skall ha någon bekant som ägnar sig att bygga upp en social profil över ens liv och och försöker knäcka lösenordet den vägen? nä.

Skulle nog hävda att sannolikheten att hitta det i rainbow table eller ordlista eller minimal.
Lösenordet använder sig av felstavade svenska ord. Svenskan är ju inte det största språket, lägg sedan till att orden är felstavade....
Sen så skall antingen skall någon annan ha fått för sig att använda sig samma lösenord på en sida där lösenorden har blivit läckta, eller så skall någon ha ägnat sig åt att generera massiva rainbow tables med långa ordkombinationer med felstavade ord....

Detta gäller ju om inte någon hade använt det som ett exempel på ett bra lösenord här, är det något som gör det troligt att det hamnar i ett rainbow table, så är det ju det, inte det andra. Precis varför man inte skall använda sig av lösenordet i xkcd-strippen heller...

Kan inte Android kameran läsa det idag?

(Testade lite snabbt på lite QR koder med kameran... den känner igen dem direkt)

[quote postid="17353719" userid="166078" name="tBiorrith"]
Låter som att det är enklare att dem bara implenterar mobilt BankID som har denna funktion redan.

Hmm. Mobilt bankID är en fin produkt. Men den är framtagen av svenska banker för svenska kunder och marknadsförs mot svenska aktörer. Men bankID/mobils bankID marknadsförs inte och säljs inte till övriga världen och övriga kunder har ju inte ens svenska banker så de kan inte skaffa mobilt bankID.
Idén om att ta ut detta på global skala är fin. Men det kräver global marknadsföring och att man får banker i alla länder att hoppa på. Det är säkert inte omöjligt men antagligen är det väldans svårt. Både för att banksektorerna inte alltid är lika välutbyggda som i Sverige överallt och dels för att systemet bara blir bra om alla banker är med. Så i praktiken behöver man få alla banker i världen att hoppa på. Något jag inte tror svenska banker kommer orka med att försöka genomföra hehe.

Är din mobil en trådlös USBnyckel? Ja det kan man kanske säga på sätt och vis. Tvåfaktorsautentisering som används till exempelvis steam är ju om inte annat en snarlik lösning. Mobilt bankID är en annan typ.
Vidare kan man även använda mobilen precis som ett USBminne med filverifiering. Alltså att en specifik fil måste visas upp vid autentisering i exempelvis lastpass och då kan man ju använda en fil som man lagt i sin mobil. Kräver att man då ansluter telefonen med USBkabel till datorn men det är högst görbart.

Ja det är ju den delen då förstås ;).
Själv har jag lite svårare att komma ihåg 15 random tecken än 6 ord men visst är det smidigare att skriva 15 tecken, yes!

Jag tror inte det ens kan hända faktiskt. Android/osx har inte tillgång till fingeravtrycken heller vad jag förstått. Denna data ligger bara i biometrisystemet som är separerat. Det android/osx får reda på är typ om verifieringen godkändes av biometrisystemet eller inte, resten är i en black box.
Har beskrivit det mer utförligt här:
#17353669
Sedan om det verkligen fungerar så i alla lägen kan jag inte svära på.

När man efter 20 år har lärt sig alla sabla kommandon i CMD, så kan man lära sig en sabla massa knäppa kombo

Som jag sa ovan... viktigaste är mailen... alla andra är lite... meh. För kommer du åt mailen, kan resten återställas till den.

Om det är som du beskriver där så, okej, så är jag med.
För problemet är ju att Android har fler hål i sig än en sil... och det är svårt som F för slutkund att säkra då tillverkare överger dem rätt fort.

Tja, skulle säga att på dom flesta hemsidor, så får man bara mellan 3 till 5 inloggningsförsök. Sen vist hackar man en hemsida kommer man åt en hashad (förhoppningsvis saltad också, om det inte är lagrad i klartext som har hänt på vissa sidor), så även om du har ett lösenord som tar 500 år att knäcka bör man ändå byta lösenord.

Det jag menar är att det är ingen idé att ta för säkert lösenord, om du ändå bör byta det om databasen läcker. Inte troligt att någon lyckas gissa på 3 försök till varken "S0mM@R!" eller "klapa-snel-hest".

3Gb data ser jag inte som enorm mängd (som jag ock många andra i min omgivning har i snitt) Flesta jag känner har inte över 10GB i surfpott, så det är ju inte konstigt om dom vill låna WIFI och det går fortare också.

Ja det ska fungera genom kameran om man har en QRläsar app. Eller fungerar det annat på din mobil?

Får se med oreo, har en sony och det kommer säkerhetsuppdateringar varje månad. Ska teoretiskt sätt vara enklare att lägga in custom rom utan sabba drivers (får se om det fungerar i praktiken).

Är en bra fråga. Jag har en barcode-scanner app, men det är inte via den jag kör via, den har bara hängt med sedan tidigare versioner. https://www.phonearena.com/news/How-to-scan-QR-codes-and-regu...

Tror det var Android 7 som denna funktion kom, och det beror kanske lite på model och kamera app antar jag.
Min Motorola G4 Plus som trots allt är rätt gammal, men kör Android 7 iaf gör det direkt i kameran, utan app. Jag kunde inte göra detta på Android 6 med den iaf, därav jag fick då använda app. Numera är det bara starta kameran.

Tror tom Chrome kan läsa det, även om jag inte vet hur bra.

Alltså, å andra sidan är det ju samma gamla trick som innan, folk är dumma som går på skiten. Banken kommer ALDRIG ringa dig, knappar du in ditt BankID får du fan skylla dig själv.

Hur då? Om man utifrån försöker knäcka ett lösenord, hur är "klapa-snel-hest" eller "no-step-on-snek" eller "vaker0bloma0i0krukan" och liknande lätta att knäcka?

Vill man inte ha just "-" så går det naturligtvis att byta ut mot vad man vill, som jag visade ovan. Poängen är att det ska vara enkelt att minnas men svårtforcerat.

Sen är det väl knappast så att det bara finns ett sätt att lagra biometri på. Ditt fingeravtryck genererar ju fortfarande en kod i backend, och det är den koden som är lösenordet, inte ditt fingeravtryck. Om man byter ut sättet som koden genereras på med jämna mellanrum, exembelvis genom att byta salt, så är ju den biten löst. Då blir det väldigt svårt att knäcka men väldigt smidigt för användaren.

Enda nackdelen jag ser är om man tycker att man är matcho för att man kommer ihår sitt "VadM@nligjagar$om|-|ar|attattm1nnas$\/aralos€n0rd"-lösenord. Men att ha lösenord som är krångliga att minnas har knappast något ändamån bortom just det.

Nu kan jag säga att Roberts fall ovan kan inte ske på min bank, om jag inte är en idiot flera gånger om iaf. Först det första så ser jag logga in... i SEB. (Samma som i detta fall)

För det andra måste samtliga överföringar/betalningar (utom mellan mina egna konton) och annat godkännas separat, där man ser exakt vad som ska ske, och summorna. Varför skulle jag godkänna detta?! Du ser då att pengarna håller på att skickas från dina konton till "någonstans", och avbryter det. Och sedan gå till bankens app, hemsida eller vf som helst... logga in själv. Detta kommer kasta ut den andra och höja varningsflaggor. Sen anmäl det.

Att nordea har ett gigantiskt hål i sitt säkerhetstänk, är uppenbart här dock.

Men i båda fallen ser jag inte Bank-ID som boven... utan användarna som inte förstår vad Bank-ID gör. Det är bokstavligt talat som att ta ett avtal, penna och skriva under. Alla idioter som skriver under ett avtal utan att veta vf man skriver under... tja... får förr eller senare problem kan vi säga.

Så problemet är väl snarare att vi använder Bank-ID på så många ställen, så nonchalant som vi gör, utan att inse hur extremt riskabelt det är. Vill du säkra det mer? Använd det endast på banken och statliga sidor... skippa samtliga 3:e part tjänster som använder, använd det inte för att "legitimera dig" över telefon och tro inte på att banken ringer dig en sen kväll ffs...

Just det har jag funderat på också. Maskininlärning och big data... både MS, Google och andra siter samlar in användarmönster, och kombinera det med lösenord, kan man rätt snabbt "smalna ner" vilket typ av lösenord personen har.

Redan nu vet ju hela Internet, alla sökmotorer och Internets arkiv att både @Söderbäck och @Ozzed har denna typ av lösenord. De vet mao att bruteforce inte är aktuellt. Tar de Sweclockers gamla hackade databas kan de få iaf en av deras E-mails och testa principen med.

Sedan kan de ta SVT tjänst, eller andra tjänster där du kan kolla om din E-mail är hackat på andra ställen. Sen kan du gå in på större siter och kanske få tag i fler ex. Desto fler siter och tjänster de får info om dig... desto enklare är det. Så allt som spårar dig, lagrar info om dina vanor eller telemetri... är yum yum data för dessa.

Sen går du in på siter du misstänker de använder och försöker registrera samma e-post... och får felmeddelande. Och sedan är det bara att börja....

Så, din poäng ovan att man inte kan göra det lätt... är skrämmande, men mycket troligen sant idag. Som sagt, lägg all fokus på din e-post, för den är master-key. Så mailen ska ha det svåraste lösenord du kan tänka dig, och det får inte lagras mer än i ditt huvud.

Alla andra siter... oavsett... får du välja om du ska bry dig eller inte. Men om dina lösenord är lätta att komma ihåg, är de också lätta för någon som vet hur du tänker, att klura ut. Är då en risk man får ta... ska man acceptera att det kan hackas? Vad förloras?

Enda jag har på mina mails är just Sweclockers... där är den hackad. Så jag blev tvungen att skifta e-posten på flera ställen efter det. Tur man har en mailtjänst där man kan byta alias på typ 2 min.

EDIT: Hmm.. Tydligen hade jag missat att Disqus också fubarat sig:

Disqus logo

Disqus: In October 2017, the blog commenting service Disqus announced they'd suffered a data breach. The breach dated back to July 2012 but wasn't identified until years later when the data finally surfaced. The breach contained over 17.5 million unique email addresses and usernames. Users who created logins on Disqus had salted SHA1 hashes of passwords whilst users who logged in via social providers only had references to those accounts.

Compromised data: Email addresses, Passwords, Usernames

Yahapp... får väl byta den med :=/

Är det så väldigt konstigt att användarna efterfrågar smidighet i dagens samhälle där stress och ångestrelaterade sjukdomar är på en rekordhög nivå?

Det vanligaste sättet att sno lösenord på remote är fortfarande brute-force, vilket fingeravtryck hjälper mot, och att dumpa hela databasen, vilket ett starkt salt hjälper mot. I båda fallen är det den som designar säkerhetslösningen som måste vara den som tänker, och användaren slipper.

@anon127948: Fast du lämnar inte ditt fingeravtryck överallt. Fingeravtrycket finns enbart i fingeravtrycksläsaren i den enhet du använder för att logga in.

Tror det han menar är att allt vi tar i lämnar kopior på våra fingeravtryck. Finns ju till och med fingeravtyck på telefonen så behandlas det rätt så står ofta "lösenordet" tryckt på den låsta enheten. Det är en rimlig poäng och det är ju en brist.
Följdfrågan är hur stort problem det egentligen är. Vanligen sker intrång/attacker i dagsläget utifrån norpade databaser/phising och där är man ju safe med fingeravtrycken som du är inne på.

Hehe... nej, inte alls konstigt

Problemet är hur otroligt många databaser som faktiskt läckt redan. Och när de har den kan de använda alla medel för att knäcka det, helt utan att du ens vet om att det lyckas/försöker. Och har man rutiner på hur man skapar lösenord, eller ännu värre, samma på fler ställen, kommer problemen snabbt.

Det jag stör mig mest på dock, om vi tar ovan nämnda ångest/stress i åtanke, är varför alla sabla siter som ofta är totalt meningslösa, måste ha dig registrerad. Detta konstanta behov för att samla in användare, och sedan lägger du det med en totalt meningslös, usel, säkerhet bakom, och blir hackad.

Hade man sluppit ha konto på 9/10 ställe, hade också ångesten för att ha "bra lösenord" försvunnit.

Min logik senaste tiden är att de ställen jag fullständigt skiter i, tar jag ett helt slumpmässigt lösenord, totalt jibberish, och copy-paste, och bryr mig inte ens om att spara det. Nästa gång jag behöver komma in där, tar jag återställ lösenord istället. Det sparar mycket huvudvärk och idiotiska konton på alla nätbutiker osv. Och lösenordet är typ 12-20 tecken långt, full slump, och totalt meningslöst då det inte används mer än en gång.

Det är näst bästa efter lösenordshanterare, som annars bör vara bästa balansen mellan smidighet och säkerhet, även om jag inte ens där i hade lagt e-mail lösenordet.

PS. Och vanligaste sättet att sno lösenord idag är att få dumma personer att själv ange det... mycket enklare. Titta bara på hur många som går på E-mail scams eller telefon bedrägeri idag... största svagheten är hur lättlurade folk är. Står där/eller de säger de är från MS, Banken eller något annat... så litar de blint på det. För att?

Det här är en bra poäng. Det behövs fortfarande riktiga huvudlösenord för att få till en funktionell och säker tjänst.
Jag vet inte hur det hela är tänkt, men jag tänker mig att det är tänkt att fungera ungefär som att ha keepass i telefonen samt att man då som alternativ även kan låsa upp sitt kodbibliotek även med en lokal biometrisensor.
En sådan lösning kräver visserligen att man även behöver komma ihåg ett ordentligt masterpassword. Och det är väl delvis i detta masterpass som svagheten då istället kommer ligga. Relevant poäng för en del kommer ju slarva även med dessa lösen vilket ju är en fara.

However. Sätter man ett säkert lösenord där så har man ju byggt en säker OCH lättanvänd tjänst som faktiskt förenklar en hel del. Jag vill påstå att det går att göra saker enklare än hur många gör idag och samtidigt öka säkerheten. Att göra det hela totalt idiotsäkert är väl däremot mer av en utopi ;). Men utymme för förbättring finns vilket både vanliga lösenordshanterare kan erbjuda och även en smidigare inloggningsväg med biometri för att komma in i dessa.

Sedan finns ju alternativet att man bygger en lösning som kan föra över fingeravtryck mellan enheter. Det låter som en dålig lösning på flera sätt. Jag stänger inte dörren för det helt då det är möjligt att det finns säkra och smarta alternativ för det här också som jag inte tänkt på. Men ja, med nuvarande kunskap jag har i området så låter det som en ordentligt dålig väg att gå så det varken hoppas/tror jag på att de valt.

Edit:

Det här behöver inte vara helt sant. Vårt minne fungerar inte riktigt likadant som en dators minne gör. Vissa saker är enklare att komma ihåg än andra. Så som en logisk mening. "Betong kan man väl inte äta?".Den mening är lätt att komma ihåg men är skyddad mot ordlistsattacker. För många möjliga ordkombinationer på 6 ord ;). Försvåra gärna med specialtecken, felstavningar, böjningsformer och fler språk.
Det är klart att 15 slumpvis valda tecken också är toksäkert och dessutom helt saknar mönster, men det är också svårare att komma ihåg för många.

Jag kanske borde varit tydligare med att jag menar sätt att stjäla lösenord på som inte kräver interaktion med lösenorsinnehavaren, men ja visst har du rätt i att det är så, och mot den typen av knäckning så hjälper bara utbildning.

Sen tycker jag vi kan lösa resten med att lagstadga om viten till företag med otillräcklig säkerhet. Detta kommer få siter som registrerar dig "bara för att" att låta bli, och siter som faktiskt har behov av din användardata att se till att de har adekvata säkerhetslösningar som gör att en dumpad databas inte är värd något.

Var det inte så att de största aktörerna dubblat surfpotten på alla abonnemang det senaste året eller så? Fortare går det ju definitivt! Jäklar vad slött 4G kan vara ibland.

Fast alltsååå... Ordlistsattacker i kombination på 6 ord är ju också en form av bruteforce. Istället för att testa igenom alla kombinationer av tecken så behöver man testa igenom alla kombinationer av ord. Med tanke på hur många ord det finns så blir det omöjligt att testa alla kombinationer av ord om man valt ett gäng sådana på precis samma sätt som att det är omöjligt att testa alla kombinationer av tecken
Ordlistsattacker är effektiva... om enstaka ord används. Men kombinerar man ett gäng ord blir det ändå bruteforce som behöver användas om än på ett lite annat sätt.

För övrigt kan jag säga att jag använder lösenordshanterare vilket jag också nämnt i tråden så de flesta lösenorden jag har består ändå av mängder av random tecken som jag slipper komma ihåg ;).

Den här delen bygger på att man återanvänder lösenord. Det är dumt att göra oavsett vad ens lösenord består av så där gör det ingen skillnad om det är slumpvis tecken, första bokstaven på varje ord i en sång, förvrängda ord eller enkla meningar.
Summan av kardemumman är att aldrig återanvända lösenord. Vettigt, yes.