Inlägg

Hehe. Ja, det blir lite konstigt. Jag tänkte först uttala det precis som du skriver, men jag ändrade mig då jag insåg att det hade låtit mer som ”iMesh”.

@PsyCor: Hej. Jag beklagar, men nu har den sålts.

@PsyCor: Den är inköpt 2013-11-28 på Hifi-klubben i Helsingborg. Jag skannar alla kvitton, så jag har det lagrat digitalt.

Sonos Connect gör din befintliga stereoanläggning eller hembio till en del av ditt Sonos-system. Connecten kopplas till din receiver via digital koaxial (SPDIF), Toslink (SPDIF) eller traditionell analog ljudingång. Connecten kan även användas för att skicka in en analog ljudsignal och få den distribuerad till resten av Sonos-systemet. Läs mer på https://www.sonos.com/sv-se/shop/connect.html.

Aktuellt nypris: 3790 kr (enl. Prisjakt 2018-02-15). Säljes för 2000 kr (frakt inom Sverige ingår). Levereras utan förpackning men med strömkabel, analogt ljudkablage och nätverkskabel (stöder även trådlös anslutning).

Läs hela annonsen här

I kvällens Rapport fortsätter SVT att sprida föråldrade lösenordsrekommendationer. De säger: "enligt en ny Sifo-undersökning innebär det en stor risk att använda samma lösenord för länge". Se inslaget här: https://www.svtplay.se/video/16909090/rapport/rapport-11-feb-... (börjar 15.11). Jag har kontaktat SVT, igen.

Passphrase skulle jag snarare översätta till lösenfras. Det som skiljer mellan det jag kallar lösenstrunt och, det mer etablerade, lösenfras är att lösenstrunt ska innehålla minst ett ord som inte finns i ordlistor. På så sätt skyddas lösenordet bättre mot ordlisteattacken som jag pratade om i en tidigare kommentar.

Jag skulle vilja nominera din kommentar till trådens bästa kommentar. Att tvinga medarbetarna till periodiska lösenordsbyten gör mer för att den ansvarige ska känna att han/hon har gjort något för att höja säkerheten än för säkerheten i sig. Det är en policy som är systematiskt lätt att införa och i teorin är det ju ingen dålig idé. Idén blir först dålig när följdkonsekvenserna uppstår. Jag tror också att nästintill alla som läser denna tråd har gjort som du beskriver och haft en inkrementell siffra på slutet (inkl. undertecknad). Visst är det fantastiskt att vi till och med envisas med att sätta siffran på slutet?

Du satte verkligen huvudet på spiken med din avslutande mening: "forcera byte av lösenord" är i min mening bara ett tecken på att man i stället borde se över en bättre lösning.

Jag tror att XKCD:s seriestripp om lösenord har gjort mer för lösenordssäkerheten än någon annan enskild instruktion eller publikation!

Det finns dock en attack som vi måste ha i åtanke när vi följer XKCD:s rekommendation. Att XKCD inte lyfte denna aspekt i seriestrippen är inte så konstigt, eftersom alla aspekter inte kan få plats i några enstaka serierutor. Attacken som jag tänker på är ordlisteattacken. När vi använder ord som förekommer i ordlistor, kan den som vill knäcka vårt lösenord göra det enklare än genom att testa varje enskild teckenkombination. Vi kan samtidigt göra ordlisteattacken orimligt svårt att genomföra genom att välja ett tillräckligt långt lösenord. Det är alltså en god idé att följa XKCD-rekommendationen, så länge det totala lösenordet blir långt.

Det som jag förespråkar i artikeln, "lösenstrunt", är en variation på XKCD-rekommendationen. Genom att använda totalt nonsens (t.ex. primhoppiwestapoffopaff, läs prim-hoppi-westa-poffo-paff) får vi långa lösenord där inte varje enskilt delord förekommer i någon ordlista. Givetvis går det även att gå en kompromissväg mellan totalt lösenstrunt och XKCD-modellen.

Är lösenstruntmodellen helt säker då? Måste attackeraren testa varje enskild teckenkombination för att knäcka ett lösenstrunt? Nej. Inte ens lösenstruntmodellen är så säker. I och med att vi kan läsa upp lösenstruntet följer det våra språkliga regler för kombinationer av bokstäver. Om det finns ett system som vi kan kombinera ihop bokstäver efter när vi bygger lösenstruntet, finns det också ett system som attackeraren kan kombinera ihop bokstäver för att knäcka lösenstruntet.

En omdiskuterad funktion i lösenordshanteraren Lastpass är möjligheten att skapa lösenord (lösenstrunt) som är uttalbara. Då kombinerar Lastpass ihop en nonsenssträng som ändå blandar vokaler och konsonanter på att uttalbart vis. När Lastpass har ett system för att kombinera ihop lösenstruntet, finns det också ett system för att knäcka det.

Detta innebär dock inte att uttalbara lösenstrunt är dåliga. Så länge vi kan skapa tillräckligt långa lösenstrunt blir de fullständigt oknäckbara i praktiken. Längden är det viktiga. Den enda gången jag inte använder lösenstrunt är på undermåliga webbplatser där jag enbart kan ange exempelvis tolv tecken. Då genererar jag i stället en totalt slumpmässig teckenkombination. Annars använder jag alltid långa lösenstrunt.

Haha. Ja, man kan ju undra hur de som sätter en lösenordspolicy som din nämnda kan efterleva den själva. Förhoppningsvis börjar exempelvis Microsofts nya rekommendationer bli mer gällande. Dessa sju punkter är ur Microsoft Password Guidande (https://www.microsoft.com/en-us/research/wp-content/uploads/2...). Jag gillar dem starkt (förutom nummer ett)!

Azure Active Directory and Active Directory allow you to support the recommendations in this paper:
1. Maintain an 8-character minimum length requirement (and longer is not necessarily better).
2. Eliminate character-composition requirements.
3. Eliminate mandatory periodic password resets for user accounts.
4. Ban common passwords, to keep the most vulnerable passwords out of your system.
5. Educate your users not to re-use their password for non-work-related purposes.
6. Enforce registration for multi-factor authentication.
7. Enable risk based multi-factor authentication challenges.

Klokt! Företag måste få upp ögonen för lösenordshanterare. Annars hamnar lösenorden på post-it-lappar och i okrypterade excelark (eller som jag såg på ett apotek: på laminerade A4-papper). Det absolut bästa är om företagen också implementerar single sign-on-lösningar på så många ställen som möjligt så att de därigenom kan styra användarrättigheterna, men där det inte går måste användarna få hjälp av lösenordshanterare.

Du lyfter en bra poäng: säkerheten ska anpassas efter situationen. Den som inte vill använda en lösenordshanterare bör välja lösenord efter webbtjänstens säkerhetsbehov. Inloggningsuppgifter till kommentarsfältet på en blogg är inte lika viktiga som inloggningsuppgifterna till e-postkontot. E-postkontot (och den eventuella lösenordshanteraren) är känsligast i och med att den som har tillgång till ens e-postkonto kan återställa alla andra lösenord.

Men… jag rekommenderar ändå att använda unika lösenord överallt och att ha en lösenordshanterare.

Det finns ett svenskt företag som heter Covr Security. De försöker åstadkomma just detta (fast utan bankernas involvering). Läs mer på deras webbplats om du är nyfiken. https://www.covrsecurity.com/.

Jag tror själv mycket på SQRL som en framtida ersättare till lösenord. Läs mer om den på https://www.grc.com/sqrl/sqrl.htm eller lyssna på podden Security Now med SQRL:s uppfinnare Steve Gibson.

Personligen rekommenderar jag Lastpass (för den som vill ha synkronisering mellan dator, mobil och surfplatta) eller Keepass (för den som vill ha lokal lagring eller hantera sitt lösenordsarkiv själv). Lastpass stöder tvåfaktorsautentisering. Ingen lösenordshanterare är 100 % perfekt. Lastpass, som jag använder själv, har haft brister. Företaget bakom har alltid varit duktiga på att åtgärda de funna bristerna och de har varit transparenta med händelseförloppet. De har upprätthållit deras förtroende hos mig.

Den enda riktigt stora funna bristen i Lastpass var i Lastpass webbläsartillägg. Att ha en lösenordshanterare som ett tillägg i sin webbläsare medför säkerhetsrisker. Jag har trots detta Lastpass i min webbläsare, eftersom det ger större säkerhetsfördelar än säkerhetsrisker. En lösenordshanterare luras inte att fylla i användarnamn och lösenord på fejkade webbplatser vars domännamn avviker förrädiskt lite från det riktiga domännamnet. För den stora allmänheten tror jag också att webbläsarintegrationen är avgörande för att de ska använda lösningen överhuvudtaget.

Låt mig avsluta med bevingade ord från Troy Hunt (skaparen av Have I been pwned): Password managers don't have to be perfect, they just have to be better than not having one.

Läs mer om bristen i Lastpass webbläsartillägg: https://blog.lastpass.com/2017/03/security-update-for-the-las...

Läs Troy Hunts artikel: https://www.troyhunt.com/password-managers-dont-have-to-be-pe...

Som så ofta måste vi gå en balansgång mellan säkerhet och användarvänlighet när det kommer till hanteringen av lösenordshanterarens krypterade lösenordsarkiv. Om vi gör användning av lösenordshanterare för omständligt kommer färre att använda sådana. Vad som passar bäst (molnlagring, egen synkronisering eller helt lokal lagring) beror på användaren och känsligheten på arkivet.

Jepp. Jag rekommenderar alla att använda en lösenordshanterare (oavsett hur de ser på periodiska lösenordsbyten). Det är med i slutet av artikeln.

Hej Nocy123.

Transparensnotis: jag arbetar på Kjell & Company.

Jag ser att du redan har fått hjälp av den fantastiska Sweclockers-communityn, men jag tänkte ändå passa på att ge svar på frågan (som jag tyckte var väldigt bra och gärna tar med i ett kommande Hur funkar det?-poddavsnitt). Eftersom problemet är löst, skriver jag ett allmänt svar om någon skulle ha en liknande fråga i framtiden.

Vid användning av en passiv Displayport-till-HDMI-kabel (som den inledningsvis länkade) använder du ditt grafikkorts funktion för att skicka ut en HDMI-signal från Displayport-kontakten. Funktionen kallas DP++ (eller Dualmode-displayport) och förekommer i flera olika versioner. Detta kan jämföras med en aktiv adapter som tar emot Displayport-signalen och omvandlar den till en HDMI-signal.

Den passiva adapterkabeln som du länkade är lämplig för att bära signal motsvarande den som en HDMI 1.4-källa kan leverera som bäst. Vid 1920x1080 innebär det upp till 120 Hz. Det finns dock två parametrar som gör att du eventuellt inte kan få ut den signalen. För det första måste grafikkortet kunna leverera signalen som en HDMI-signal från Displayport-kontakten. Bara för att ett grafikkort kan leverera den högfrekventuppdaterade signalen som en Displayport-signal, betyder det inte att det kan leverera signalen som en HDMI-signal (vid användning av en aktiv omvandlare spelar denna punkt ingen roll). För det andra måste skärmen kunna ta emot HDMI-signalen. Många skärmar kan enbart ta emot högupplösta och/eller högfrekventuppdaterade signaler via Displayport.

Min allmänna rekommendation är att alltid försöka ansluta så mycket som möjligt med Displayport-signal på Displayport-kabel eller USB-C-kabel. Om så inte är möjligt är adaptrar lämpliga att använda. Skulle en adapter inte fungera (t.ex. på grund av begränsningar i grafikkort eller skärm) ger Kjell & Company 30 dagars öppet köp.

Glad midsommar!

/ Nikka