Säkerhetsexpert från forumet tipsar – så surfar du säkert

Ja, det är väl just "aldrig" som gör det till en knepig uppmaning.

Gött! Jag skickar in en rättelse-begäran.

Hade tankar om flera av råden i artikeln (som inte nödvändigtvis stämmer med inlägget som låg som grund) så går igenom hela listan:

Håller med

Jag skulle utan att blinka gå steget längre och säga "återanvänd aldrig lösenord" istället.
Annars är man ju där ändå, i en snarlik situation där man inte vet vad man ska göra när något hänt.

Håller med

Skulle förorda att använda längre lösenord av ren princip. Längden dominerar fullständigt komplexiteten väldigt snabbt.

Detta oavsett om man slumpar tecken eller ord, båda går ju bra att göra. Om det är ett lösenord som behöver skrivas in (inte något som bara fylls i av lösenordhanteraren) så kan ju en serie slumpade ord vara att föredra.
Men man bör se till att ha tillräcklig många tecken respektive tillräckligt många ord.

(Notera slumpar, inte väljer!)

Ja, om man har den möjligheten så är det förstås bra...

Man kan få en viss fördel enklare genom att isolera vissa saker i en virtuell maskin. Inte lika robust förstås, men som sagt enklare.
Kan i sin enklaste form vara så enkelt som att köra igång "Windows Sandbox" (som följer med Windows) och göra något där i istället för direkt i den vanliga Windowsinstallationen.

Är väl bra att iaf tänka på, men skrivet så generellt att det säkert kan vara svårt i verkligheten ibland.

Problematiskt i verkligheten, men verkar inte heller ha varit det faktiska rådet i källinlägget. Där var det mer specifikt när detta råd skulle appliceras.

Här känner jag att rådet återigen bytt form mellan källan och artikeln. Vet inte riktigt vad artikeln avser, men det låter mycket bredare och förmodligen skadligt.

Ja, det är väl rimligt (tyvärr kanske, men mer eller mindre nödvändigt)

Lite farligt råd, känner jag. "Sunt förnuft" kommer betyda väldigt olika saker för olika personer, och vissas sunda förnuft kommer sätta dem på pottan.

Ja, det känns som enda rimliga vägen framåt för de allra flesta.
(Framförallt då givet unika lösenord till alla olika tjänster)

Håller med

Skulle säga "håll all mjukvara du inte valde att ta bort i föregående punkt uppdaterad". Det är mycket enklare att följa och skapar dessutom ett incitament att ta bort saker som borde tas bort.

På starka lösen brukar jag bara sätta ihop grejer jag gillar som exempelvis FinalFantasyX#Playstation5!XXXX sen byt ut XXXX till radom sifferkod. Inte den starkaste, men i lösen tester brukade lösen i den stilen hålla rätt bra och lite lättare att komma ihåg.
(Har ingen ps5, men tog som exempel).

Random lösen testare gav detta exempel lösen "Time to crack your password: 2 billion years" vilket duger för mig.

Edit:
Dock med Nordpass var "DragonsNeverEatCereals" så gott som lika starkt och då kan man skippa symboler och siffror. Så är bara längden som räknas och lättare med längre meningar än cRD934ucn# som många använder i dag enligt mig.

https://nordpass.com/secure-password/

Så borde gå att köra liknande lösen för olika sidor typ "NetflixNeverEatCereals" sen "SweclockersNeverEatCereals" dock är det en smart männsklig person som försöker ta sig in på ditt konto lär dom då se sambandet så fort ett lösen läcker.

Bra tips, men ja om den är någon som vet lite om en blir den genast mer osäker. Dock är jag nog inte i någon cirkel som får personer att aktivt gå efter mig. Så blir väll mer vad random dedikerade hackare hittar på internet som du säger. Så man får hålla sig till saker som inte finns om en på internet. Typ "BlueTeaMug-WithStrawberryFalvor!3435". Kört med sånna lösen i över 15 år och hittils har de fungerat bra hittils. Inga sidor med den typen av lösen har jag någonsin fått övertagna. Sen de allra viktigaste har ändå 2step eller bank id. Men börjar de misslyckas får man väll skaffa en lösenords hanterare. Såg nu att den nu ingår i nord vpn som jag ska förnya snart, så kanske blir den då bara för att. (För ja man vet ju aldrig om tekniken de använde mot LinusTT, där de snor alla lösen rakt från Chrome blir mer poppis heller).

När det rör sig om hur man konstruerar lösenord så är det bästa att använda sig av en lång slumpmässig mening för saker man använder ofta och som inte fungerar jättebra i praktiken att ha i en lösenordshanterare. Exempel:
"På tvättlinan hänger 5 par strumport och två par byxor", det lösenordet är väldigt säkert och det hittade jag på nu genom en simpel observation av min omgivning. Meningen är alldeles för generisk för att kunna bli enkel att identifiera genom kunskap om mig. Samtidigt ett extremt enkelt lösenord att komma ihåg såvida man använder det någorlunda regelbundet.

Hur hindrar man att lösenordshanterare blir hackade precis som webbsidor blir då och då? För lösenordet sparas ju i datorn någonstans?

Det kan du tyvär inte förhindra, men det är inte speciellt lätt att hacka.
Använd ett starkt master lösenord + Yubikey är väl min rekommendation.

Vet ej hur säkert detta är men att hosta en egen bitwarden och lägga in lösenorden.
Sen "spara" det offline och stänga av servern och starta den när du behöver lägga till fler lösenord.
Någon kommer säkert hugga mig för detta tipset

Om man ändå kör med 2FA vad spelar då lösenordet för roll egentligen?

Hehe jag kör 100 tecken långa lösenord med min lösenordshanterare. Men tyvärr så stöter man ibland på sidor som bara stödjer 16 eller 32 tecken. 😅

Ingenting är 100% säkert. Men kör du keepass så har du kontrollen själv. Då kan du spara din lösenordsdatabas offline om så önskas. Bitwarden och andra providers har förhoppningsvis krypterat lösenorden så en offline attack blir svår. Men du bör givetvis ha ett bra lösenord dit och ha MFA.

Om man bara har lösenord + kod via mail/sms/authenticator är det bra, utifall din tex din e-post blir exponerad. Det skadar liksom aldrig att ha ett starkt lösenord. Man använder ju lösenordshanterare hur som helst, så det blir inte direkt jobbigare med ett bra lösenord.

Det bästa och smidigaste enligt mig är att använda sig av YubiKeys där de går, det ökar säkerheten rejält då onda aktörer måste ha fysisk tillgång till den, användarnamn/e-post och ditt lösenord. Bitwarden stödjer Yubikeys, så med ett starkt lösenord + YubiKey bör dina sparade lösenord med zero-knowledge kryptering sitta ganska tryggt där, även om Bitwarden själva skulle få dataintrång. Men som sagt, man ska inte luta sig tillbaka och tro att man är 100% skyddad.

Jag kan dock tillägga att jag inte är en säkerhetsexpert, så det är möjligt att jag blir roastad av de som verkligen vet vad som gäller.

För att 2FA inte är bombsäkert det heller. Särskilt inte när det finns appar och tillägg som kan stjäla ens sektionsdata. Då räcker det med ditt lösenord.

Absolut, det är väl i princip det normala sättet att skapa lösenord om man väl börjat använda en lösenordshanterare.

Två (minst) mobiler?

Observera att det som hände där skyddades inte av lösenordshanterare eller MFA. Utan det var slarv, avsaknad av processer och human error. Och nått som det pratas för lite om, tjänster som tillåter nästan allt utan att fråga användaren om autentisering. Nått man själv kan göra väldigt lite mot.

Normala människor kan inte lägre komma ihåg unika och komplexa lösenord till allt som behövs. Man får sätta sitt tillit till nått. Men vissa är ju mer öppna med hur de funkar än andra. Men generellt så håller väl de flesta högstandard när det kommer till att säkerhets ställa att ingen kan komma åt din data. Du kan inte göra recovery om du tappar bort inloggning, de använder moderna skydd mot offline attacker etc. Se tex på lastpass som läckte data utan nån synbar effekt direkt efter.

Då slutar det väl vara 2FA (en andra faktor). Hela poängen är att ha ett till sätt när det första går fel. Säkerhet handlar alltid om lager.