Forum för vetenskap och folkbildning

[Markus]

Förhoppningsvis inte relevant på VoF:s forum, men vad som troligen händer om man har jättefin säkerhet på något som någon vill nå..
xkcd.com/538

[Anders]

XKCDs exempel är dock istället sårbart för en dictionary attack

Nja, fyra slumpmässiga ord ger ändå ganska hög säkerhet mot dictionary-attacker. Det är inte lika säkert som ett precis lika långt lösenord med blandade gemener versaler siffror och skiljetecken, men det hade ju varit snudd på omöjligt att komma ihåg. Säkerheten här är ju n⁴, där n är precis alla ord i listan.

Det bästa är att hasha lösenorden med ett salt. Då kan man göra hur mycket dictionary attackar man vill.

[Anders]

Med anledning av detta Hackaren hotar: "Vi kommer att fortsätta" så undrar jag hur VoFs forum lagar sina lösenord?

- Klartextlösenord är helt förkastligt.
- Hashade lösenord är aningen bättre men kan idag knäckas relativt lätt
- lösenord hashade med ett salt är i princip omöjligt att knäcka om saltet är hemligt.

Sedan är det väl bra om databasen och admingränssnitten är skyddade, och att administratörerna har bra virusskydd och personliga brandväggar.

Helst ska access till admingrässnittet vara mycket svårt, helst någon form av dongle login. Med det är lite överkurs. Bra lösenord funkar.

[C-J]

Forumet är PHPBB 3 med ett minmalt antal moddar. Phpbb3 använder sig i grunden av http://www.openwall.com/phpass/ för att hasha och salta lösenord i databasen.

[Anders]

Forumet är PHPBB 3 med ett minmalt antal moddar. Phpbb3 använder sig i grunden av http://www.openwall.com/phpass/ för att hasha och salta lösenord i databasen.

Bra bra, då känner jag mig trygg.

[MBY]

Ett bra tips i sammanhanget är att använda ett "lösenordskassaskåp", ett litet program där du lagrar alla dina lösenord. Sådana program hjälper även att ta fram bra lösenord. Syftet är att man inte ens ska försöka lära sig alla lösenord. Lösenorden skyddas i en databas som (under förutsättning att din egna dator är säker) inte är tillgänglig på nätet. Databasen kan lagras på en USB-sticka.

KeePass och Password Safe är väl de mest kända. Själv använder jag Password Safe (som finns för både win och *nix, antagligen även för mac). På det sättet skapar jag så långa (slumpmässiga) lösenord som den aktuella sidan/banken/forumet medger utan att behöva memorera eller återanvända dessa.

[piotrr]

Ja, jag borde nog börja göra det. Snart. någon gång. Vill helst kunna öppna filen även på androidapparater, och synka via dropbox. Vi får se hur jag löser det.

[Vitnir]

Problemet med såna kassaskåp är att det inte hjälper om man får in ett virus i datorn. Och för mig som surfar lika mycket på nokian som på pc'n blir det struligt tycker jag.

[Mr Shark]

Ja, jag borde nog börja göra det. Snart. någon gång. Vill helst kunna öppna filen även på androidapparater, och synka via dropbox. Vi får se hur jag löser det.

Med KeePassDroid, funkar ursmidigt tillsammans med dropbox och KeePassX på Linuxburken.

Enda problemet jag haft var när jag öppnade databasen på luren, lade till ett lösenord och sparade. Jag kunde sedan inte få dropbox att uppfatta att filen var ändrad och ladda upp den. Funderar att testa med SparkleShare för att slippa Dropbox.

[MBY]

Problemet med såna kassaskåp är att det inte hjälper om man får in ett virus i datorn. Och för mig som surfar lika mycket på nokian som på pc'n blir det struligt tycker jag.

Har något eller någon fysisk access till burken, då är alla säkerhetsåtgärder "void". Ett virus är ett specialfall av "fysisk access" som inte är lika kraftfullt.

Så problemet existerar inte i den meningen. Ett virus kan vara specialskrivet för att lyfta lösenord från ett lösenordskassaskåp, men ett virus som snor lösenorden när du använder dem är bra mycket troligare, mer ändamålsenliga och mer förutsättningslösa. Virus eller fysisk access = slaget är redan förlorat. Vi talar inte primär säkerhetsteknik längre, utan skadereducering. Jag vågar påstå att typ Password Safe är bättre ur skadereduceringssynpunkt än att t.ex. alltid vara inloggad. Bäst är förstås om du har lösenorden på ett papper i fickan (som vanligt, fysisk access till din ficka och slaget är förlorat) och alltid ser till att bara logga in aktivt.

Finns det inte Password Safe till Android? Fast Nokia kanske kör med symbian?

[tanto]

Med KeePassDroid, funkar ursmidigt tillsammans med dropbox och KeePassX på Linuxburken.

Enda problemet jag haft var när jag öppnade databasen på luren, lade till ett lösenord och sparade. Jag kunde sedan inte få dropbox att uppfatta att filen var ändrad och ladda upp den. Funderar att testa med SparkleShare för att slippa Dropbox.

Använder också KeePass och rekommenderar den starkt. Lösenordsgeneratorn i programmet är riktigt bra. Skönt att kunna komma åt sina lösenord oavsett om man använder Windows, Linux eller sin Android-lur.

[HerrEkberg]

Ett potentiellt problem med kassaskåp (kontra avlyssnade inknappade lösenord) är att en angripare kan få tag på alla dina lösenord på en gång. Med det sagt så tycker jag ändå att det är en bra idé. Har inte alla moderna OS sådant inbyggt redan?

[Vitnir]

Password Safe verkar inte finnas till symbian^3. Det finns ett antal andra men har inte kollat om de finns till pc också.
Edit: Handy Safe Pro finns till symbian och kan synka till en desktop-version, kostar inte alltför mycket (20 kr).

[MBY]

Ett potentiellt problem med kassaskåp (kontra avlyssnade inknappade lösenord) är att en angripare kan få tag på alla dina lösenord på en gång. Med det sagt så tycker jag ändå att det är en bra idé. Har inte alla moderna OS sådant inbyggt redan?

Javisst, det är en risk, men jag tror inte den är stor. Dels så kan man med ett öppen källkods-kassaskåp vara tillfreds med att lösenordet till kassaskåpet hanteras väl (det rensas ur minnet och lagras aldrig på disk, etc), dels så måste viruset (om vi antar att det är ett sådant) vara specialskrivet för kassaskåpet. Det är inte heller säkert att en mjukvara klarar av att matcha lösenorden till rätt ställe utan mänsklig hjälp (även om det naturligtvis går om t.ex. webbadressen är inskriven). En vanlig keylogger fixar naturligtvis lösenordet, men kommer inte snappa upp de skyddade lösenorden eftersom de inte "passerar" tangentbordet). Om keyloggern vet om att det är ett Password Safe-lösenord kan den söka rätt på databasen och avkryptera den. Återigen, risken finns, men har någon fysisk access är som sagt slaget förlorat helt oavsett vad du gör. Endast fysiska skydd skyddar mot fysisk access.

Av alternativen "lagra i textfiler eller använda automatisk inloggning" och "kassaskåp" är "kassaskåp" ojämförligt bäst. Vi kan jämföra med "minnas alla lösenord utantill" vilket naturligtvis är ännu mer säkert, men det är opraktiskt och kommer leda till slapphänthet som återanvändning av lösenord.

Det viktiga är inte tekniken i sig (kryptering, etc), utan protokollen som skyddar mot slapphänthet eller andra oförsiktigheter. Många brukar säga att det är dumt att lagra lösenord på exempelvis post it-lappar. Ja, i en företagskontext där medarbetarna är hotet stämmer det, men inte annars. Det är helt okej att ha sina lösenord i plånboken och det systemet dukar bara under vid fysisk access (och keyloggers när man använder lösenorden).

Ett kassaskåp skyddar mot slapphänthet men inte fysisk access. Slapphänthet råkar också vara det största enskilda säkerhetshotet (större än potentiella hål i krypteringsalgoritmer [dålig implementation av dessa är en form av slapphänthet]).

[piotrr]

Enda problemet jag haft var när jag öppnade databasen på luren, lade till ett lösenord och sparade. Jag kunde sedan inte få dropbox att uppfatta att filen var ändrad och ladda upp den. Funderar att testa med SparkleShare för att slippa Dropbox.

Det beror väl på att standard-Dropboxklienten för Android inte egentligen synkar, utan visar dig en lista över filerna som finns tillgängliga och låter dig göra kopior av dem (nerladdningar). Det finns alternativ, program som synkar "på riktigt", men jag har inte testat dem ännu.

Tack för tips om KeePass.