Över 70 miljoner inloggningsuppgifter läckta i dataintrång

Jag har i alla fall kollat igenom alla mina lösenord, och de enda som finns med som läckta är gamla, simpla som jag skapat för att använda en gång i en nätbutik eller för nån annan enkel inloggning utan värde. Inga av de viktiga är med, så jag känner mig trygg.
Har även flera mejladresser jag använder för konton som inte finns med i läckor.

Aldrig att jag skulle ha mina lösenord på nätet, i datorn, telefonen eller använda en lösenordshanterare. Har tre små svarta noteringsböcker med mina lösenord i kod som är placerade på tre olika ställen och som jag uppdaterar månadsvis. Kommer en på något sätt bort finns två likadana kvar.
Har undrat över en massa konstiga mail och spam sedan en tid tillbaka på den mailadressen jag uppgett här på Sweclockers och nästan ingen annanstans, men nu förstår jag. Hade missat att att Sweclockers blivit hackat.

Det varierar säkert. Men ca hundra är iaf definitivt inget konstigt utifrån vad jag hört i andra diskussioner. Men visst, en del har färre (och andra fler, för den delen).
Är ju dock nästan alltid så att det är användarna av lösenordshanterare som öht har koll på vilka konton de har.

Blir det inte ännu mer problematiskt att kunna skriva in lösenorden då? Möjligt att jag inte förstått scenariot iofs.

Och visst, ofta finns ju "forgot password"-procedurer (som iofs inte sällan innebär enorma hål i tjänstens verkliga säkerhet), som väl kan vara till faktisk nytta i ett sådant läge.

Jag tänkte snarast lösningar i linje med webauthn/passkeys och initiativ i den riktningen (kryptografiska lösningar istället alltså). Där tjänsterna alltså inte behöver hålla någon hemlighet, bara en lista över vilka nycklar som skall släppas in.

Jag har 371 lösenord lagrade i Bitwarden. Många används, som du skriver, i princip aldrig. Men runt 100 används åtminstone varannan månad och ytterligare 50-60 stycken måste användas regelbundet men det kan gå ett år mellan att jag loggar in på vissa tjänster som har med jobbet att göra.

Bitwarden är en av mina viktigast appar på mobil och dator.

My bad, jag såg inte att Swec:s artikel inte länkar till Troy:s sida jag länkade till när jag tipsade om nyheten, utan länkar till Techspot istället av någon anledning.

Kommentarerna jag nämnde finns under artikeln här:
https://www.troyhunt.com/inside-the-massive-naz-api-credentia...

Bland annat,
"[...]we’d have to sit on *billions* of plain text passwords (among other personal info) and return that visitors with no more validation than control of a single email address. The risk is *huge*, both to us and people in breaches."

Alla(?) andra läckor hör ihop med specifika tjänster; en läcka <-> en tjänst.

Detta är ju någon skurks data som de snott från en massa olika användare, inte från någon specifik tjänst.
Dvs här verkar det vara: en läcka <-> sjukt många olika tjänster.

Och detta verkar Haveibeenpwned inte ha stöd för egentligen, så resultatet blir bara delvis hjälpsamt.

Se även tidigare svar:

Detta påminner mig om mitt första hotmailkonto där jag körde med ett lösenord på tre (3!) bokstäver.
Kontot är sedan länge, självvalt borta, men jag tänker på det varje gång det är dags att skapa lösenord.

Såg precis att Stadiums konton blivit hackade.
Det här med att hacka konton tycks vara det nya BankID.
Förresten har jag slutat med BankID för att logga in på banken och signera där. Har skaffat dosor istället. Enda undantaget är Handelsbanken där måste man använda dosan med BankID på kort ansluten med sladd till datorn för att signera. Har annars tre mobila BankIDn som jag bara använder till annat än bank om det inte går med lösenord.

Tycker att BankID ändå får anses vara "nykomlingen" jämfört läckta lösenord som sprids för vinden?

Det där är nog inte ett helt tokigt hack ändå, just ur perspektivet att försöka separera sina vanor mer.

Dock undrar jag om det finns något sätt att blockera inloggning med Bankid, just för att undvika scenarion som att användaren blir lurad att slentriansignera...?

Hur ofta bör man uppdatera sitt lösenord?

Jag tror snarare på en lösning i flera nivåer. De allra flesta lösenorden är ok att ha i sitt lösenordsvalv till en bra lösenordshanterare. Det viktiga är snarast att tvåfaktorsautentisera eller än bättre använda en hårdvarunyckel tillsammans med ett starkt lösenord för att skydda valvet.

Sen duger inte det till allt. För känsligare inlogg är hårdvarubycklar bättre.

För riktigt känsliga saker är lösenord aldrig ett bra alternativ om inte du är låst till det alternativet. Du vill ju egentligen aldrig behöva ange hela den hemlighet som behövs för att autentisera dig för känsliga tjänster.

Ja, samtliga är sämre ur användarsynpunkt. De må vara säkrare, men man kan uppnå fullgod säkerhet med enbart lösenord, för de behov en vanlig privatperson normalt har. För väldigt speciella behov där man behöver en extrem säkerhet kan det vara aktuellt med andra metoder, men det är inte det vi diskuterar här.

Det finns en tendens hos säkerhetsfolk att gå i "bäst är bättre än gott nog"-fällan. Jag som användare vill ha det enkelt. Lösenord är enkla. Att ha komplexa säkerhetslösningar som är knutna till fysiska föremål, som kanske inte ens finns till handa när man behöver dem, är raka motsatsen till användarvänlighet och bekvämlighet. Jag svär och stönar varje gång jag måste resa mig från datorstolen för att gå och hämta mobilen för att nån sajt tycker sig vara så förbannat viktig att den kräver bank-ID. Jag köper att kravet finns för banker och sjukvård, men där går gränsen.

Detta är en mycket säkrare autentiseringametod än lösenord. Jag tror tyvärr att det är svårt för många att använda då det kan tyckas mindre intuitivt. Lösenord har ju en fin analogi med att viska lösenord eller liknande.

Själv kan jag onte sedan den dag jag började använda mig av kryptografiska autentiseringsmetoder vända om. Var antagligen genom nyckelbaserad SSH-inlogg jag började. Här är det ju väldigt tysligt när man lägger till giltiga nycklar och ger god förståelse för vad som händer.

Jag tror att man kan tycka olika om detta. Man måste inte välja den säkraste metoden men använder man endast lösenord, hur starka de än må vara är ju den säkerheten värd noll vid en databasläcka utan hashade lösenord. Sen kan man ju dra det längre och mena att allmänheten har ett ansvar för att öka (buzzword) cyberresiliens.

Blickar vi framåt kan man inte ogrundat anta att man genom att träna AI på publik data om dig, säg Facebook eller dylikt kan minska rummet av lösenord att testa för en given individs inlogg vesäntligt. Människan är ju notoriskt dålig på att generera slumpade lösenordsfraser av egen maskin.

Jag håller helt med dig om att det är en användarvänlighet/bekvämlighet kontra säkerhetsfråga. Jag tror dock de flesta upplecer BankID smidigt och själv har jag exempelvis en hårdvarunyckel permanent i en port på min desktop-maskin. Galet lätt att logga in genom att peta på den vid inlogg. Jag tror verkligen en majoritet hade tyckt det var smidigare än lösnord. Att så få gör detta är nog snarare en kunskaps- och till viss del kostnadsfråga än något annat.

Jag genererar mina lösenord slumpat från en teckenuppsättning som är 93 lång (versaler, gemener, siffror, specialtecken) och använder normalt ca 30 tecken långa lösenord. Finns inget AI i världen som listar ut det.

Typ:

xt4]O%oL/g[@7IYT._/6GUX#uJ#w.~KW
LQ0~a>BkQ~2^!8dzRyeN,V=hSESf[Ab^
w4e}BRo00NH(<N&.bU+|HwNe0pa@K#!)
)~{&m2zZXB/^$pMO,JZdC<RXmbUuO8AR
tB3ANouGcz!eR^+7*jJW/7Ch':{XPuIm
aZ.aKhaTJ3J&gvevy>LV6'iTx;Z%AG>B
$)1F~_fK>To#T_!nvVW)O"UDLh<GZ.K3

Jag behöver inte memorera dem. Jag har i princip aldrig behov av att skriva in lösenord utanför hemmet. Lösenorden finns i hemmet.

Nej, jag skriver in dem manuellt. Sen är jag automatiskt inloggad överallt där det går. Ingen lösenordshanterare behövs.

Jo, för att alla andra alternativ är låsta till fysiska enheter. Det är inte lösenord.

Eftersom jag är automatiskt/permanent inloggad på nästan alla ställen går det oftast flera år mellan gångerna jag behöver skriva in lösenord, så det är ett minimalt bekymmer jämfört med alternativen.