Över 70 miljoner inloggningsuppgifter läckta i dataintrång

Använder bitwarden, hur hittar jag denna funktionen?

Ja, det är sant! Kommer man över hash och ev salt så sker brute force lokalt och då blir det helt andra förutsättningar. Är det vanligt att man kommer över hashen och salt? Tänker att bara för att man kommer åt databasen så behöver man inte nödvändigtvis komma åt server koden, men visst, har man av någon märklig anledning sparat hash och salt i databasen så är det kört.

Edit : De e nog ganska vanligt att man kommer över iallafall hashen med tanke på att man troligen kommit åt inloggningen till databasen.

Du skall aldrig spara lösenord direkt i webbläsaren. Det är ett väldigt osäkert sätt!

Mycket relevant då att spara lösenord i webbläsarens minne är ej att rekommendera!

Attans, premiumfunktion

Du satte verkligen pricken över i:et. Det kommer att fortsätta, och det råder knappast något tvivel om detta så länge det är en bransch. Så länge de inte får personliga straff eller blir lagförda, kommer de administratörer som inte vet hur man skyddar en enkel databas och kör sina cPanel-kontroller, som vem som helst kan sätta upp inom två minuter, att fortsätta. Sedan lyckas de bli 'hackade' och får miljontals kunders uppgifter läckta. Det är i regel helt ofarligt, om vi ser till antalet som blivit bötfällda eller lagförda för att vara oaktsamma med kunders uppgifter, vilket gör det i regel helt lagligt. Så problematiken är enkel att förstå men verkar omöjlig att lösa med det som finns tillgängligt idag. Det kanske är möjligt med hårdvarunycklar, men de är fortfarande ganska dyra. Att kunna använda Bluetooth tillsammans med biometrisk data är en del av framtiden, tror jag personligen. Det är något som Google och Microsoft erbjuder i alla fall på vissa tjänster, och det är ett steg i rätt riktning och förhoppningsvis kan det bli någon ordning och reda. Känns rätt vemodigt att behöva köpa en Pixel telefon från Google för 5 siffrigt och sedan behöva lägga ut ytterliggare 500-1000kr för en hårdvarunyckel och det har dom väl fattat nu äntligen och det blir bara trist med alla utgifter för laddare, för att skydda sig mig senaste tekniken på telefonen + en extra key key när man kan hålla ordning åp en enhet som en telefon istället för att ha två enheter där det finns risk att tappa bort en och bli breached på det men detta kan diskuteras hur mycket som helst. Skulle jag få gissa rakt upp och ner så tror jag nog att 90-95% har blivit "hackade" eller fått uppgifter på vift av att någon admin slarvar och resterande 5-10% har fått sina uppgifter på vift av att någon fomme står oich tjuvkollar över axeln för att snika åt sig någons logins. Tror faktiskt det är extremt ovanligt med keyloggers osv på offfentliga platser med eller man "tappar" usb utanför banken så att någon tar upp den och testar detta, man kan nog gå ner till 3-5% på min teori faktiskt som blir drabbade av slarv.

Lika bra släppa allting fritt, använda guest nicks om man vill som en gästbok typ och vill man använda samma username så kan man göra det så enkelt för sig. Hur många loggar ens ut från alla sina appar te.x på telefonen? 1% kanske, site ägaren/admins eller vad det un är som styr siten som inte bryr sig nämvärt där heller det hade varit enkelt att släppa en session om man ville så admins admins admins, alla lösenord är lika bra tills det blir ordning och reda på andra sidan.

+1

Sist jag kollade mina mejladresser så var det lugnt, nu är ena mejlen drabbad i ett ”breach”.
Men jag fattar inte riktigt, vad ska man göra nu? Byta lösen överallt? Ta bort den mejlen helt? Försöker läsa om detta men kommer hittar inte några direkta svar..

Fick reda på detta genom att först få ett mejl från en sida jag inte varit inne på jag vet inte ens hur länge men flera år iaf, där det varit inloggningsförsök. Sen såg jag denna artikel/tråd så ser ju sambandet.
Men vad gör jag nu?

Värdera situationen, testar du att logga in som test:test eller guest:guest så kommer samma varning upp om du menar i webbläsaren beroende på sida om login lyckas dvs, annars kommer den inte upp därför är det få som märker det men där det fungerar så kommer de direkt upp "ditt lösenord har läckt..." och då behöver du kanske inte byta ut allting som har med dina privata uppgifter att göra om det fungerar med din security setup sedan tidigare online.

Ett tips är bara att surfa till t.ex baidu.com kopiera ett kinesiskt tecken och om ett lösenord vanlgitvis knäcks så blir det ascii locales issues då dom flesta som inte har noto-cjk fonts installerat vilket man inte har i regel om man inte surfar på asiatiska sidor krävas för deras teckenspråk i webläsaren te.x. Då kommer nog ingen någonsin ta sig in då blir bara ett icke lästbart tecken för datorn samt verktygen som crackar/skriver ut lösenord blir också fel då dom flesta shells i regel heller inte skriver ut astiatiska tecken utan nästan alla är default beroende på vart man bor efter keymaps så då blir lösenordet kanske ett ! eller mellanslag i databasen men när man försöker logga in så är de egentligen en "bild" i form av ett tecken då allt i princip är i ljudform där, bara ett enkelt tips för att slippa få saker läckt här och där i onödan. Qwerty säger många suger men: "qwerty" här syns tecknet men annars inte, qwerty är troligtvis det säkraste lösenordet online tills någon hittar tecknet. 大MyPassword. Få publika wordlists med dessa tecken (eller bildfigur egentligen) vad jag vet.

Output från mitt inlägg här via curl på tre olika maskiner, notera hur de de skrivs ut: "qwerty&quot

Qwerty säger många suger men: "qwerty" här syns tecknet men annars inte, qwerty är troligtvis det säkraste lösenordet online tills någon hittar tecknet. 大MyPassword

Sedan finns det ju saker som "${u}" som betyder ingenting te.x hello${u}world i databasen blir helloworld men lösenordet hello world kommer inte fungera om man inte vet vart man placerat ${u} vid logins detta var aktuellt tidigare så de är enkelt att vara safe från breaches med lite fantasi IAF från breaches i den meningen att någon lyckas logga in på kontot av det som läckt i form av mail:lösen. Sen kan man ju inte styra över andras klantiga stil så läcks det så läcks det men ingen kan logga in, kan väl kalla det 3FA?

En sista sak jag provat som fungerade detta var på en stor svensk site och det var att använda "null" som lösenord, inte med tomma quotes aller sådär som vanligtvis används: "",'' eller ``utan just null och då blir löseord N/A, dvs inaktiverat permanent detta har jag inte provat på fler sidor men. Vem försöker logga in på ens konto med enbart mailen och sedan klicka enter? Få vad jag vet men det blev fel vid login för lösenkrävdes men klickade jag på logga in och F5 så var jag automatiskt inloggad därefter. slump att detta upptäcktes faktiskt. Tips för läsare som kanske söker inspiration och tröttnat på allt som har med lösenord att göra.

Tänk ha 4 kinesiska tecken på 1 macro som i ett ascii läge generar i form av 2-3 rader i form av visuella meningar om man tar något avancerat och mindre vanligt keycode då kina är väldigt speciellt med språk. Iå har man helt plötsligt förvandlat sitt keyboard och en knapp till den bästa password managern ever!

Detta är inte så offtopic lösenord som man kanske kan tro, detta är .education nivå i form av universitet av tekniska högskolor, te.x har vi Tekniska Högskolan i Lund som tar upp det men inga känner till det i regel och det är webutveckling av allra högsta grad: Visuella hemligheter i Sverige och Kina

Du beskriver KeePass - som är en lösenordshanterare utan risk för externa hack eller konkurser - fast så mycket mer också. KP med lösenord plus en nyckelfil är så säkert det går och är som din lösning fast troligen smidigare.

Ja alltså det inloggsvarning är från en sida som inte ens har lösenord, loggar in med bankid. Verkar lite skumt men inget har hänt på sidan eller något jag kan fortfarande logga in osv. Och om jag behövde ha ett lösen när jag skapade kontot vet jag inte och än mindre vilket lösen det isåfall skulle vara.

Men när jag kollade mejlen på sidan haveibeenpawned så stod det att något om att det är just mejlen som är ”breached”. Dock skulle detta vara en läcka från 2019. Fattar nada.. haha. Skickar med en skärmdump om någon blir klokare än mig på de där (om det funkar att bifoga, första gången jag testar)

.

Okej! Jaha då var det inget att hetsa upp sig över då mao.
Kontot kommer tas bort från sidan med inloggningsförsök så då bör allt vara frid o fröjd tills nästa grej dårå