Över 20 miljoner lösenord hittar ut på webben efter rekordstor läcka

Tror du missförstod min post. Pluginen genererar inte lösenord, den kollar om de lösenord du redan använder har läckt och låter dig byta. Exakt samma som om du manuellt skulle kolla varje lösenord genom att knappa in dem på troyhunt.com men du slipper webbläsaren.

Tråden handlar ju om en läcka av lösenord, inte om att försöka ta sig in i ett system via login sidan....

Det första går _mycket_ snabbare att göra än det andra.

Man gör det första långsammare genom att välja krypteringsfunktioner som tar tid och krypterar om lösenordet ett antal gånger. Och lägger till ett salt.

Är nog bara i Hollywoodfilmer där man ägnar sig åt att ta sig in genom att lyckas gissa ett loginlösenord...

password har bara 3 645 804 hits 😄

Skickades från m.sweclockers.com

Medans jag gillar idéen som sådan, kan ju lära vissa att inte använda hur enkla lösenord som helst, så installerar jag inte några plugin till keepass som vill komma åt nätet. Även om jag uppenbart kan (och delvis har) kollat på koden.

Kör man keepass, så är det bara att ha en tillräckligt långt huvudlösenord (ett antal ord, kanske något felstavat, eller en siffra), och sen generera långa slumpmässiga lösenord med deras lösenordsfunktion, chansen att ett 15 tecken långt slumpmässigt lösenord skall vara knäckt är ju rätt så minimal... Tror nog att det var det som @Baxtex menade.

Aha, smart.

Håller med, man vet inte om de kommer i orätta händer. Även att testa sina lösenord manuellt på haveibeenpwned känns inte bra, har bara kontrollerat min e-post

Det spelar ju ingen roll vad du har för lösenord om det nu har läckt. Du måste ändå på något sätt veta vilket av dem som läckt så du kan byta det, om du nu inte vill leva med ovissheten att någon kanske kan komma åt ditt konto. Det är en bättre lösning än att manuellt knappa in det i en webbläsaren eller att använda andra lösenordshanterare med stängd kodbas med samma funktionalitet. Alternativet är väl annars att ha unika användarnamn/mejladresser på varje sida och söka manuellt på dem istället.

Ska man vara 100% paranoid så finns det helt enkelt ingen bra lösning för att kontrollera vad som läckt eller ej.

Det är ju ganska otroligt att det är 2019 och vi vet hur vi ska bete oss för att skydda oss och ändå sitter det folk med sina barns namn eller favoritlag som lösenord. Kunskapen finns, men tyvärr inte hos folk där den gör mest nytta.

Unika lösenord. Använd inte samma lösenord på mailen som hos en webbutik med hela sidan full av comic sans och blinkande knappar.
Password manager om den används rätt. Samma sak med att skriva upp lösenorden, det är ok så länge de förvaras korrekt. Lokala attacker är extremt ovanliga och ingen i Kina eller Ryssland kan läsa lappen som ligger i ditt skrivbord.
Långa lösenord eller passphrases.
Framförallt: randomiserade lösenord. Diceware exempelvis.
Avsaknad av policy för lösenord. "Minst en stor bokstav och minst en siffra" ökar inte säkerheten, det gör att man vet att lösenordet är på ett visst sätt men framförallt irriterar det användarna som då väljer dåliga lösenord som uppfyller kraven istället.

Själva lösenordet ska inte vara den svaga länken, det är som att ha ståldörrar och skottsäkra fönster men man har ett dagbokslås på dörren.

Låt folk attackera krypteringen istället, den är välkänd, välstuderad och "säker". Vanligtvis.

Kör lastpass med minst 14 tecken i mina lösenord. Tog en stund att byta på alla ställen man var reggad på men nu är det bättre är skivat bröd! Särskilt nu när det är bra integrerat i iOS. 🙂

Skickades från m.sweclockers.com