Helgsnack: Hur ofta byter du lösenord?

Alldeles för sällan. Använder Bitwarden och slumpmässiga lösenord överallt så någorlunda säker bör man ju vara

För ofta. Jag har tjänster där man får logga in med en användare och lösenord, därefter måste man logga in med en helt annan användare och ett nytt lösenord. Dessa lösenord måste hela tiden bytas.
Tanken är bra. I praktiken så tror jag inte användarna har 2st lösenord av typ b6HGm¤p6vhdSOsilarXW0n"Sh37RNEtZUw|ET7sw3mtNbDmXx#8voZ2G/QdJ11+RY5ajj6IqgnWNiBb&bSa34KNavhDdEjr6Wrjb1NwW8e
endast i huvudet och skapar helt nya efter den korta lösenordstiden har gått ut.

Det jobbas på hur man ska hantera inloggning för fullt, många pratar om att lösenord är förlegat.

*edit*
Flera konton med olika användare och lösenord för att komma in på något är supervanligt. Pelle 8år som vill kunna logga in på sin dator från skolan kan sätta upp en VPN server och sedan när han är inne på sitt nätverk, så behöver han ett annat konto för att komma åt sin dator.

Typ aldrig. Jag byter ut de jag kommer på som har "osäkra" lösenord mot slumpgenererade i bitwarden, men jag tror liksom inte att det är någon risk att någon hittar dem. Eventuellt om jag läser om någon läcka då. Men med säkra lösenord och 2FA känner jag att jag inte drar på mig mer risk än vad jag tycker är rimligt.

Aldrig är att gå till överdrift. Men många tjänster idag skickar ut meddelande om någon ny slags enhet har loggat in, jag pratar om helt vanliga tjänster som gmail. Lägger man till 2FA på denna tjänst så blir det ganska säkert.

Så sällan som möjligt. Kör med långa och okomihågbara via lösenordshanterare på de flesta, lättihågkombara och usla på andra, och de viktigaste (mail till telefon osv) har jag 10+ långa som inte är nerskrivna någonstans med variation av bokstäver, siffror, specialtecken.

Jag är egentligen inte så rädd att någon ska gissa, eller lista ut, mitt lösenord. Funderar mer på om något program man har installerat blir uppköpt/hackat och skjuter ut en uppdatering med keylogger eller liknande. Så min mail koms åt. Då kan ju en del andra lösenord återställas, osv. När vi får fler AI-drivna hackertools är vi väl rökta om något är på vift.

Sporadiskt, emellanåt, har ingen regel för hur ofta.
Ibland gör jag "ryck" och byter så gott som alla samma dag.

Ytterst sällan.

Tänk om arbetsgivaren kunde förstå detta istället för att tvinga på en att uppdatera varannan månad

Byter i princip aldrig lösenord, kör med lösenordshanterare och långa slumpmässiga lösenord överallt plus 2FA på det när det finns tillgängligt.

Så byter bara lösenord om det har varit något mögligt intrång där uppgifter har läckt ut.

I princip aldrig. Endast om jag får reda på att nån sajt som blivit hackad, annars är de 20+ tecken långa pass phrases jag har i bitwarden som jag en gång skapat. Har naturligtvis 2FA (TOTP mest då det är så snabbt och enkelt med Bitwarden) på de få ställen som erbjuder det.
Sämsta lösenorden jag använt var på jobbdatorn när företaget krävde att man skulle byta lösenord varannan månad. Då blev det med tiden typ sommar19, vinter19, hösten19, våren19 och liknande. Som tur är slutade de med tramset när de insåg hur osäkert det blev.

Informera din IT-avdelning om detta. Jag gjorde det för min arbetsgivare var 90:e dag (när jqg var tvungen att byta). Efter ett par år bytte de policy för runt 20-tusen anställda. Om min återkommande kritik bidrog kommer jag aldrig få reda på. Det borde i vart fall flyttat fram tanken hos IT-folket att följa morderna standarder på IT-mötena.

Så sällan som möjligt. Finns inte mer än tiotalet tjänster som jag faktiskt bryr mig om. På dem har jag unika lösenord. Finns mina kortuppgifter på den kan jag dessutom dra till med 2fa (om de har sms eller mail som alternativ). Men om mitt konto på någon random sida hackas bryr jag mig inte nämnvärt.

När jag har en anledning, vilket i praktiken är nästan aldrig för de allra flesta kontona.

I never lose nörd

Lösenordsbyte är en fråga där praktik och teori skiljer sig åt en hel del.
NISTS rekommendationer förändrades 2017(!) till att premiera långa lösenord över korta, och att inte tvinga användare att byta dem med mindre än att det finns anledning att tro att de läckt. Så långt allt väl. Men deras rekommendation är också att den tjänst som kräver inloggning ska validera lösenord så de inte är svaga; där begreppet "svag" innefattar kända och vanliga lösenord.

Och ärligt talat: Hur många som driftar en gammal hederlig Windowsdomän på jobbet har tagit sig tiden att implementera en valideringsbackend som exempelvis hämtar lösenordslistor från HaveIBeenPwned (eller i realitid slår upp mot samma tjänst) och jämför användarnas önskade lösenord mot dessa? Hur många som skriver en webbtjänst i .Net gör samma sak? Hur många arbetsgivare bekostar lösenordshanterare för sina anställda så de kan hantera sina jobbrelaterade hemligheter på ett säkert sätt?

Alltså bryter säkerheten ihop rejält så fort man blandar in komplikationer som människor - både de som driftar och de som använder system - i sin säkerhetsekvation.

Det "de flesta" bör göra, är att använda en synkroniserande lösenordshanterare med välrennomerad backend, och slumpa fram - definitivt inte hitta på - alla lösenord de använder. Det finns ett fåtal lösenord man behöver kunna i huvudet: Hur tar du dig in i datorn eller telefonen? Hur tar du dig in i din mail? Hur öppnar du din lösenordshanterare?
Även där: slumpa fram lösenord/-fraser inte kortare än 12 tecken (eller 5-6 ord i stora och små bokstäver och med valfria separationstecken - bonus för felstavningar). Dessa specifika lösenord bör skrivas ut och förvaras på en säker fysisk plats i händelse att man skulle glömma bort dem.

Idag får man - om man vill - otroligt mycket hjälp av operativsystemet eller av webbläsaren. Använd den hjälpen om du inte har tredjepartsprogram du litar mer på. Allt är bättre än vad du kan hålla i minnet själv.

Och naturligtvis: Använd passkeys eller annan MFA överallt där detta stöds.

Alltför sällan men har numera 2FA på alla viktiga konton.

Egentligen bara om lösenord går ut, det är inget jag självmant brukar tänka på. Men jag använder 1Password så alla lösenord är i alla fall starka och unika.

Har på senaste börjat byta ut mina lösenord från mina gamla vanliga till Bitwarden. Men annars har jag generellt haft en fyra fem stycken som jag haft till olika ställen och bytt ca en gång per år eller efter läckor.

Blir skönare nu då man bara behöver byta de som läckt samt att jag har tvåfaktor överallt det går.

Jag önskar bara att det var smidigare med Bitwarden ibland och att man kunde använda den som auktoriserade med mobilen till datorn.