Råd: Någon har kommit över mitt lösenord.

Råd: Någon har kommit över mitt lösenord.

Hej!

Jag fick mail igår natt att någon från England hade loggat in på mitt EA konto, så jag var snabb in och bytte lösenordet.
Men senare så var dom även inne på mitt Netflix konto och Instagram. dom loggar in både från Iran och England

Så min fråga är mest vad jag ska göra? Har bytt lösenord på dom ställen jag kommer ihåg att jag har. Men ska man göra något mer?

Och ja, jag har lärt mig läxan att man inte ska ha samma lösenord överallt...

Vet inte om jag la tråden på rätt ställe men provar här.

Det finns säkert många olika anledningar till att lösenord är på vift.
En klassiker är att många har samma lösenord överallt, därför är det enkelt att testa kända tjänster. Går det på ett ställe kör man vidare.

Ytterligare problem brukar vara att man kanske kör samma lösen till sitt gmail konto, då kan man även logga in där och byta lösen på tjänster. Men det märker du rätt snart.
Det verkar inte vara så här.

Mitt tips.

Byt lösenord på tjänster från en enhet du vet är "säkert" dvs patchad, inte en massa crapware, har virusskydd och som du vet med allt bondförnuft som IT-människa sannolikt är ok.
Slå sedan på 2FA/MFA på alla tjänster som stödjer det. Det är inte svårt och gör saker säkrare.
(varje gång någon loggar in på en ny enhet måste dom verifiera sig med en extra faktor).

Och sist men inte minst, använd inte samma lösenord överallt...

Med ditt nickname bör detta vara en lätt sak att lösa

@reverend benny: Som tur är är det enda kontot jag inte har samma lösenord på är min mail. 2FA har jag nu på dom flesta som jag bytt lösenord på i alla fall. Har tänkt att byta lösenord flera gånger men har tänkt att sånt händer inte mig.. klassiker

Finns det något bra gratis virus program som kan söka igenom efter spyware osv?

Skrivet av Mästaren:

@reverend benny: Som tur är är det enda kontot jag inte har samma lösenord på är min mail. 2FA har jag nu på dom flesta som jag bytt lösenord på i alla fall. Har tänkt att byta lösenord flera gånger men har tänkt att sånt händer inte mig.. klassiker

Finns det något bra gratis virus program som kan söka igenom efter spyware osv?

Malwarebytes or rätt ok. Inget antivirus utan verktyg mot rootkit, spywares etc.

Jag rekommenderar en lösenordshanterare som kommer ihåg ditt lösenord istället.

Skickades från m.sweclockers.com

skaffa 2-vägs inloggning

fick likande på ubiplay som jag knappt aldrig använder

Prova på https://haveibeenpwned.com/Passwords för din redan läckta passord och se ur många gånger det har förekommit i olika databas-läckor från olika site - också/eller om andra råka använda samma passord...

För passord du är rätt säker på att inte har läckt eller vart fall inte vill delge i sin helhet till en sådan tjänst - även om den är seriös site, så kan man köra proceduren enligt länken nedan för att testa den ändå om den finns i någon läcka utan att tala om passordet för använda site.

#17502437

___

Det som är lite bekymmersamt för många är att skapa SHA1-hashsumma av passordet man vill prova på rätt sätt - det är en kommandorad i en terminal ifrån på en linux/BSD/unix-hink men besvärlig att få till i windowsmiljö då de normalt inte har den supporten och även om det finns liknande att ladda ned i paket som mdstools från MS så är det bök att hantera.

En väg som fungerar _om_ man har "total commander" (om man är norton commander användare sedan DOS-tiden så är den essentiell verktyg i windows)

med knappen för anteckning i total commander (längs till höger på iconerna i regel)

skriver sitt passord _utan_ radslut observera!, spara filen där man kan hitta den igen

i total commandern letar fram filen man nyss sparade och ställer markören på filen, därefter sedan under 'Arkiv' i total commander väljer man funktionen "skapa checksummefiler" (eller motsvarande på engelska), ny meny öppnar - man väljer alternativ en checksumma för varje fil och markerar för SHA1 och så kör man.

Efter det har man en fil med extension .sha med samma namn som filen man körde på - öppna filen .sha med anteckningar igen och man ser tex.

"6367c48dd193d56ea7b0baad25b19455e529f5ee *password.txt" för filen 'password.txt'

som innehåller strängen "abc123" och sedan kan användas i ovanstående länk för att pröva sitt passord om den redan förekommer någon annanstans bland läckta databaser

ovanstående hashsumma för 'abc123' är kontrollerat att det fungerar även genererad från windows och ger att den används i 2855057 fall när jag kollade nyss, så ni som provar det, kan ha det som kontroll att er hashningsprocess fungerar på rätt sätt innan ni börja med era egna passord.

Senast redigerat 2019-10-12 12:05

@Mästaren:

Det ingår ju "gratis" antivirus i Windows 10, har du lagt på senaste uppdateringarna så täcker det in rätt mkt.
Sen så finns det ju program som är gratis, men hade kanske valt att offra en pizza om året för att köpa mig ett vettigt virusskydd om du vill ha ytterligare ett lager säkerhet.
Vet man med sig att man kanske är slarvig så kanske ett bra virsusskydd kan lindra fallet om man råkar klicka på en skadlig länk osv.

Men som med allt, då gäller det ju att man har alla skyddsfunktioner på.

Men börjar med att kolla hur ditt Windows 10 skydd ser ut.

Virusskydd räcker inte mot databaser som stjäls från olika site, bara (och kanske) mot keylogger och root-kit som eventuellt nästlar sig in i lokala datorn.

Skulle nog säga att i de flesta fallen när passord kommer på vift så beror det på att någon databas har blivit dränerad mha. SQL-injektion hos någon site man skapat konto på i historien då det är värdet för de som köper dessa listor är användarnamn, passord/passfras i plain eller hashad form och email-adressen. Passordet ensam i en lista är värdelös, utan köparen vill ha kombinationen av dessa.

Bara för att passordet är hashat så är det inte säker om man kör med för lättgissade passord- det finns jättestora riggar liknande BTC-riggar vars enda uppgift är att knäcka användar-hashar med de vanligaste använda passorden och lite varianter kring dessa och lyckade utfallet är löjligt högt.

tex. linkedin som släppte ifrån sig rätt många miljoner användare i en enda stöt och deras hashar är idag knäckta till 99.7% ungefär och man kan krasst säga att ingen passord uttänkt med mänsklig hjärna är att anses som säker - de 0.3% som är kvar hos linkedin-läckan är förmodligen passord som är maskinframslumpade eller använder sig av längre slumpframtagna passfraser - det är bara de som håller i längden.

@WestManiaC:
OT: när var detta? Jag fick ett mail i slutet på september om inloggning på ett ubiplay-konto jag inte visste jag hade. Tydligen reggat ett 2013 av nån anledning. Hittade att det var nåt intrång 2015, men fundersam på om det varit nåt ytterligare i närtid eller om knäckandet som @xxargs nämner kanske tagit 4 år för mitt lösenord. Inte heller orimligt.

5 år gammal läcka är ingen garant att datat i denna på något sätt skulle vara utdaterat, folk har sina konton och har kvar sina gamla passord längre än så...

sweclockers har ju haft en läcka av den typen för ett antal år sedan (1 April 2015 närmare bestämt med runt 250000 användare) - hur många har bytt sina passord efter den händelsen - alltså samtliga sina passord på alla sina site som delade samma passord som sweclockers efter händelsen??

---

Förmodligen är det en hel del som sitter och knäcker passord på en rad listors kvarvarande oknäckta passord - med jämna mellanrum samlar ihop skörden med kontonamn och emailadress eller bara 2 av dem och säljer till dem som skicka spam, utpressarbrev eller gör attack på olika site/konton för att komma åt skins, gamer-konton eller produktnycklar.

Kanske räcker med en träff per 10000 för att det skall löna sig för alla parter i kedjan...

Det betyder att gamla 'synder' alltid kan dyka upp förr eller senare om man fortfarande använder samma passord som för 1-10 år sedan på sina olika konton/site, särskilt om de är av mer lättgissade naturen att man får träffar i HIBP om man vågar att kolla...

Det har ju varit ett antal rätt stora breaches med över kvarts miljard användare (som myspace med mer än 350 miljoner användare) och det börja också komma ut 'collection' där den största är på över 750 miljoner användare - inte sällan (stulna?) från de som håller igång spambotarna själva där härkomsten av innehållet är oklar och med antal procent unikt material som inte kommer ifrån de kända läckorna - med andra ord från site som förmodligen än idag själva inte vet att de är hackade och tömda på användarinformation eller att locket på detta är hårt åtskruvat...

@DavidtheDoom: Hur fungerar en lösenordshanterare? Ger man ett program/företag alla sina lösenord? Gick ut på Dashlanes sida men kunde inte läsa om det bara citat som "Miljontals litar på det" och Skaffa Dashlane nu..

@xxargs: Kollade min mail där och den har varit med 10 breaches och 2 paste :S Det med lösenordet var lite för avancerat för mig.

@reverend benny: Windows antivirus är alltid uppdaterad och har sökt igenom men inget där, testat Malmwarebytes men inget där heller.

Man har ju köpt en del saker över internet dom senaste åren. Även där ska man ska konton osv. Skulle dom kunna logga in där och ändra leveransadress och beställa på faktura? Helt omöjligt och komma ihåg alla sidor som man har konto på. Har ju som sagt varit väldigt slarvig med att köra olika lösenord på X antal år..

Jätte bra svar i tråden för övrigt!

Skrivet av Mästaren:

@DavidtheDoom: Hur fungerar en lösenordshanterare? Ger man ett program/företag alla sina lösenord? Gick ut på Dashlanes sida men kunde inte läsa om det bara citat som "Miljontals litar på det" och Skaffa Dashlane nu..

@xxargs: Kollade min mail där och den har varit med 10 breaches och 2 paste :S Det med lösenordet var lite för avancerat för mig.

@reverend benny: Windows antivirus är alltid uppdaterad och har sökt igenom men inget där, testat Malmwarebytes men inget där heller.

Man har ju köpt en del saker över internet dom senaste åren. Även där ska man ska konton osv. Skulle dom kunna logga in där och ändra leveransadress och beställa på faktura? Helt omöjligt och komma ihåg alla sidor som man har konto på. Har ju som sagt varit väldigt slarvig med att köra olika lösenord på X antal år..

Jätte bra svar i tråden för övrigt!

Det finns olika, både remote och lokala. Remote är enklare och vanligare men ja, det finns ju minimal risk att även det företaget frivilligt, ofrivilligt, lämnar ut dina lösenord. Personligen kör jag Keepass vilket är en lokal databas på min egen maskin.

Du kan googla och kolla youtube, finns massor om information på ämnet.

Numera har jag 32 bitars långa random lösenord på allting, så hackas en är det andra säkert.

Det finns en del olika lösenordshanterare.
Keepass och Bitwarden är poppis hos många av mina IT-kunniga vänner, men det finns en uppsjö som alla har för och nackdelar.
Keepass är fritt att använda och Bitwarden kostar en liten slant.

Skrivet av Mästaren:

@DavidtheDoom: Hur fungerar en lösenordshanterare? Ger man ett program/företag alla sina lösenord? Gick ut på Dashlanes sida men kunde inte läsa om det bara citat som "Miljontals litar på det" och Skaffa Dashlane nu..

Har för mig att de tjänsterna som har en webbtjänst ofta kan hjälpa dig byta lösenord på tjänster utan att själv manuellt gå till sidan. Lite bättre synkning och integration i mobiltelefon etc.

Jag kör själv Keepass (2), då har jag koll på vart allt hamnar, även om webbtjänsterna troligen är säkra. Problemet för mig är "troligen".

Skrivet av Baxtex:

Numera har jag 32 bitars långa random lösenord på allting, så hackas en är det andra säkert.

4 tecken långa lösenord? jag skulle föreslå lite längre, de flesta sidor brukar kräva åtminstone 6-8...

En regel numera är minst 15 tecken 'slumpmässiga' tecken i passordet - då helst maskinframslumpad. - det som inte går att lära sig utantill är ett bra passord! - de som är lätt att lära sig är de dåliga. - och då det är i stort sett omöjligt att komma ihåg passord av bra kvalitet så kan man använda sig av

https://www.passwordcard.org/en

och det är inget fel att ha kortet där man har sina andra sina viktiga små lappar (som kreditkort och pengar) och man kanske har ett eget ord i slutet av vald sekvens vilket då gör tappat kort värdelös för någon annan.

den andra passordet för typ email mm. där det verkligen är viktigt att ingen annan kapar det så kan passfraser vara ett alternativ då de är lättare att lära sig utantill

https://www.rempe.us/diceware/#swedish

välj språk och tryck fram ett antal av dessa, skriv upp den ordföljden du tycker fungerar - 6 ord med skiljetecken är dagens krav för att ha anständig attackmotstånd med dom beräkningsresurser som finns idag.

Som andra redan nämnt passordmanager är ett sätt att hantera många olika passord till olika site - många webbrowser kan också hantera inloggningar och gömma dessa oläsbart för alla andra med en huvudlösenord - dock skall man ha beredskap att göra ofta kopior av databasen och den dagen när det inte fungerar...

Skrivet av thu:

@WestManiaC:
OT: när var detta? Jag fick ett mail i slutet på september om inloggning på ett ubiplay-konto jag inte visste jag hade. Tydligen reggat ett 2013 av nån anledning. Hittade att det var nåt intrång 2015, men fundersam på om det varit nåt ytterligare i närtid eller om knäckandet som @xxargs nämner kanske tagit 4 år för mitt lösenord. Inte heller orimligt.

Skrivet av xxargs:

En regel numera är minst 15 tecken 'slumpmässiga' tecken i passordet - då helst maskinframslumpad. - det som inte går att lära sig utantill är ett bra passord! - de som är lätt att lära sig är de dåliga. - och då det är i stort sett omöjligt att komma ihåg passord av bra kvalitet så kan man använda sig av

https://www.passwordcard.org/en

och det är inget fel att ha kortet där man har sina andra sina viktiga små lappar (som kreditkort och pengar) och man kanske har ett eget ord i slutet av vald sekvens vilket då gör tappat kort värdelös för någon annan.

den andra passordet för typ email mm. där det verkligen är viktigt att ingen annan kapar det så kan passfraser vara ett alternativ då de är lättare att lära sig utantill

https://www.rempe.us/diceware/#swedish

välj språk och tryck fram ett antal av dessa, skriv upp den ordföljden du tycker fungerar - 6 ord med skiljetecken är dagens krav för att ha anständig attackmotstånd med dom beräkningsresurser som finns idag.

Som andra redan nämnt passordmanager är ett sätt att hantera många olika passord till olika site - många webbrowser kan också hantera inloggningar och gömma dessa oläsbart för alla andra med en huvudlösenord - dock skall man ha beredskap att göra ofta kopior av databasen och den dagen när det inte fungerar...

Vad är passwordcard för något? Vad är det bra för?

Tror inte det är nämnt men förutom att byta lösenord så skall du självklart se till att sedan logga ut alla enheter som använder tjänsten/erna du bytt lösen på så de inte fortsatt är inloggade.

Skrivet av Klappa:

Vad är passwordcard för något? Vad är det bra för?

Något du kan ha i plånboken - när det är dags för att skriva ett passord för någon ny site - välj en rad, linje eller en grupp - oavsett vad du väljer så är det passord av bra kvalitet med mycket liten risk att någon skall kunna hacka denna med gissningar.

ha lite strategi vilken hörn, kant, mitt du har för spel eller för jobb

till detta har du en papperskopia ifall de elektroniska passordmagerna inte skulle fungera eller dess databas skulle bli korrupt och detta är en lapp (inplastad! - och likadan lapp med annan kod på baksidan också att välja mellan ) som du håller reda lika bra som ditt kreditkort och är lappen borta så vet du att lösenorden är på vift och det är dags att göra en ny och byta på alla viktiga ställen, upphittaren har inte speciellt lätt att gissa ut vilka som faktisk används, till vilken site eller vem.

Dessa använder man egentligen inte för daglig inloggning utan för att mata en ny site med en stark passord utan att försöka hitta på något själv med huvudet - för allt du tänker ut med huvudet är det automatisk svagt i passordsväg - och det vet dom som attackerar, för våra hjärnor funkar på ett visst sätt och undviker en del kombinationer som maskinslump använder sig av obehindrat.

---

Skall du ha något du faktiskt vill lära dig utantill så föreslår jag passfraser - som den andre länken pekade till en generator som slumpas fram ordföljder (passfras) Observera skiljetecken eller mellanrummen mellan orden är väsentliga för dess attackmotstånd - packa inte ihop orden.

du kommer att finna att efter lite träning så kommer du kunna skriva orden väldigt fort, förmodligen fortare än att knacka in 12-16 slummpässiga tecken som du aldrig lyckas lära dig utantill från lappen med slump-passord.

Ett _bra_ passord behöver man inte byta speciellt ofta, bara när man vet att den kan ha läckt... du kan ha samma passord i åratal...

Använder LastPass till mina lösenord. Ett master-pass, multi auth med google auth/authy samt sms ifall även min authy skulle försvinna.

Skrivet av xxargs:

Något du kan ha i plånboken - när det är dags för att skriva ett passord för någon ny site - välj en rad, linje eller en grupp - oavsett vad du väljer så är det passord av bra kvalitet med mycket liten risk att någon skall kunna hacka denna med gissningar.

ha lite strategi vilken hörn, kant, mitt du har för spel eller för jobb

till detta har du en papperskopia ifall de elektroniska passordmagerna inte skulle fungera eller dess databas skulle bli korrupt och detta är en lapp (inplastad! - och likadan lapp med annan kod på baksidan också att välja mellan ) som du håller reda lika bra som ditt kreditkort och är lappen borta så vet du att lösenorden är på vift och det är dags att göra en ny och byta på alla viktiga ställen, upphittaren har inte speciellt lätt att gissa ut vilka som faktisk används, till vilken site eller vem.

Dessa använder man egentligen inte för daglig inloggning utan för att mata en ny site med en stark passord utan att försöka hitta på något själv med huvudet - för allt du tänker ut med huvudet är det automatisk svagt i passordsväg - och det vet dom som attackerar, för våra hjärnor funkar på ett visst sätt och undviker en del kombinationer som maskinslump använder sig av obehindrat.

---

Skall du ha något du faktiskt vill lära dig utantill så föreslår jag passfraser - som den andre länken pekade till en generator som slumpas fram ordföljder (passfras) Observera skiljetecken eller mellanrummen mellan orden är väsentliga för dess attackmotstånd - packa inte ihop orden.

du kommer att finna att efter lite träning så kommer du kunna skriva orden väldigt fort, förmodligen fortare än att knacka in 12-16 slummpässiga tecken som du aldrig lyckas lära dig utantill från lappen med slump-passord.

Ett _bra_ passord behöver man inte byta speciellt ofta, bara när man vet att den kan ha läckt... du kan ha samma passord i åratal...

Tack det var väldigt välformulerat bra svar.