Krönika: Så småningom blir vi alla hackade

Det går ju dock att argumentera för att lösenordshanteraren i sig är skyddad med tvåfaktorsinloggning om man satt upp sin lösenordshanterare på det sättet. Om man kan stjäla ett lösenord så skyddar inte lösenordshanteraren dig längre, det finns liksom ingen integration på det sättet.

BankID funkar inte så, det finns inget du kan "stjäla" med mindre än att hacka din telefon på ett väldigt grundligt sätt.

Säkert? Jag förutsätter ju lite att appen mest är ett glättigt lager runt din RSA-nyckel (eller vad de nu använder för krypto).

Hur fungerar faktiskt bankid? Vad är själva kärnan i det hela om det inte är som jag förutsätter att själva grejen är att du har en privat nyckel på din enhet som skyddas där, och som hör ihop med ett certifikat utfärdat av Bankid?

Om mitt antagande däremot stämmer så finns det ju absolut något att stjäla, dvs själva nyckeln. Och då fungerar jämförelsen jag gjorde rätt bra.

Ja, det är ju åtminstone bättre än lösenord på en rad sätt.
Dock fungerar det annorlunda, och för att det ska bli succé behöver förstås hanteringen både vara säker och fungera på ett rimligt sätt för användaren både i tjänsterna man loggar in på och i klientmjukvaran.

Det verkar väl slutligen börja lösa sig att man inte behöver bli helt inlåst i någons ekosystem (gällande klientmukvarans funktion då), mycket tack vara tredjepartslösningar... men det är ju inte självklart att detta lyckas.

Hela situationen är ju lite "help us passkeys/webauthn, you're our only hope" i nuläget dock.

Lite gammal artikel men kändes relevant att dryfta igen:
https://www.wired.com/2016/06/clever-attack-uses-sound-comput...

Det går inte att bli 100% säker som nämnt, men man kan göra det otroligt komplicerat för de som försöker. Det och att ha en funktion som aktivt letar efter pågående intrång.

Bankid är ju egentligen en andra faktor, problemet är bara att du kan göra bankärenden direkt på samma enhet, så då är det två faktorer på samma enhet, inte riktigt samma säkerhet som en bakdosa eller om ena aktiviteten skulle vara på datorn

Har märkt att iaf två tjänster blivit hackade då jag blivit notifierad att mitt lösenord har bytts utan att jag har något att göra åt saken. Ena var Steam och andra var Facebook, eftersom min epost har annat lösen så kunde jag åtgärda saken men man märker av när företag blir hackade.

Ett nationellt ID kort fungerar med

Du behöver bara ett fungerande bankid för att göra ett nytt. Men det krävs fysiskt tillgång så det minskar ju risken iallafall.

Är Trezor, Ledger lika praktiska och "säkra" som t.ex. Yubikey och fungerar de i princip likadant? Vad skulle du säga beträffande antivirusprogram idag - räcker det egentligen bara med Windows Defender + brandvägg så länge man inte surfar på "udda" webbplatser? Kan det finnas värde då också i att köra PeerBlock på den där känsliga datorn om man ändå bara ska utföra simplare nätuppgifter?

Tack för ditt svar på förhand!

Mvh,
WKL.

Så länge inte mjukvaruleverantörer hålls ekonomiskt ansvariga för hackerattacken lär inget bli bättre, fattar ännu inte varför inte lagstiftare på högsta nivå ställer detta krav. Enklaste lösningen.

Det ger inte någon nämnvärt bättre säkerhet egentligen. Det skyddar mot att sidorna inte kan se din IP-adress, och gör att din internetleverantör inte kan avlyssna din trafik. Däremot så kan istället VPN-leverantören avlyssna din trafik.

På publika (okrypterade) Wi-Fi-nätverk kan det ha vissa fördelar, men inte lika många som förut, innan HTTPS blev standard, och inloggningar ofta skickades okrypterat över internet.

Mina 2 cent, hackad känns väldigt diplomatiskt, idag blir de flesta lurade mha social engineering. Folk förstår inte hur någon annan än en kompis kan ha en profil som ser ut likadan. Mycket mer long-game som pågår nu med nätverk av lättlurade personer.

Tvinga dina lättlurade bekanta att använda lösenordshanterare med slumpvisa lösenord (olika på varje tjänst) samt 2-faktorsautentisering på allt viktigt.

Många går också på den enkla, ditt konto har blivit hackat, byt lösenord nu, och en länk som går till en kopia av sajten.

Jag har gjort bort mig rejält en gång, samma lösenord på linked in som TeamViewer som jag precis testat att sätta upp för fjärråtkomst. Alla lösenord sparade i webbläsaren såklart, språket på PayPal var ändrat till kinesiska. Som tur var fick jag en notis i min PayPal-app på telefonen att jag betalat 300 dollar till två personer och PayPal hjälpte mig fixa/stoppa. Intressanta var att utbetalningarna var till två personer i USA med ickekinesiska namn.

Yubikey och t.ex. Trezor är två olika teknologier.
Yubikey är en 2-faktor autentiserings "nyckel" som ger dig ett nummer på samma sätt som en Bankdosa.
Trezor och Ledger är två exempel på små mikrodatorer med minne som kan på själva enheten bevara och kryptera dina nycklar. Dom är ofta använd till att spara Krypto nycklar på samma sätt.

Windows Defender räcker bra, så länge du håller den uppdaterat så är du ganska säker. Du behöver inte ett antivirus program längre då Defender utfyller detta syfte.

Om du är extra paranoid, kan du köra Glasswire på din dator, så ser (och styr) vilka programmen som får kommunicera med omvärlden eller inte, det kan du styra och kolla enkelt med detta program.

Jag behöver då inte vara rädd för ransomwareattacker eftersom jag backar upp alla filer på dokument, bilder och liknande med jämna mellanrum. Sedan tycker jag fortfarande att det är oerhört svagt att det överhuvudtaget går att låsa filer hos en användare från en annan dator. Så går det när man förlitar sig på Microsofts produkter.

Underligt. Funkade för mig för typ 2-3v sen. Men som du säger, kanske olika beroende på bank. Gjorde detta på Swedbank.

Backar du upp det offline då? Ransomwareattacker kan ta hela nätverket om man har otur.

Ja, det är en annan viktig lärdom som jag fått med mig de senaste veckorna.

Så är det!

Låter vettigt, kan dessvärre inte säga att jag är bekant med 3-2-1 modellen, vad går den ut på?