Krönika: Så småningom blir vi alla hackade

3 kopior av alla viktig data
2 olika lagringsmedia
(Minst) 1 backup offsite

Fast folk är väldigt oense av vad olika media betyder. Vissa ser det som att om du har två kopior på HDD så måste den tredje vara t ex band, CD/DVD eller något annat.

Mitt system uppfyller den rent tekniskt då jag bara har SSD i min dator, och både NAS och offsite-backup är på HDD, men jag känner inte att det skulle göra någon direkt skillnad om alla var på HDD.

Ok, toppen. Stort tack för att du delar med dig!

Olika media tolkas olika av olika människor

Jag skulle säga att om hårddiskarna är av olika batcher/tillverkare så bör de inte gå sönder exakt samtidigt. Är väl mer sånt det handlar om. Och såklart om man vill att informationen ska leva väldigt länge är det ju att median ska kunna spelas upp eller kopplas in, men det är nog mer av en kontinuerlig process

På ett sätt är det väl bra att det är enda alternativet. Om man inte hade kunnat enas om en standard hade vi vart i ännu värre läge. Nu finns momentum iaf och vi kan alla hoppas att det slår.

Men som du säger är det många delar som måste anpassa sig. Men stora fördelning är väl att man själv kan bestämma nivå från mjukvara utan nån hårdvara alls via sync i moln till hårdvarunycklar.

Tekniskt handlar det om att förhindra MITM attacker som teoretiskt kan att ta kontroll över t.ex. dina banktransaktioner. Dessa sofistikerade angrepp är komplicerade och kostsamma så det är sällan riktade mot personer som inte förmodas ha mycket pengar på sina konton. Sannolikheten att bli utsatt för en indier som lyckats lura dig att låta han ympa in sin AnyDesk på din dator som en dold tjänst och sedan vänta på att du ska utföra en banktransaktion så kan kan injicera sin html och dns spoofade adresser är dock mikroskopisk skulle jag vilja påstå.
Att ha en VM är i vissa fall säkrare än en separat PC eftersom då är det ytterligare ett lager som angripare måste forcera.

Som tidigare nämnts är bra password något som maskingenereras - inte någon hittepå från huvudet - det ironiska är att en del passwordsregler faktiskt kan rejekta fullt valida slumpässigt genererade password då att få en sekvens som saknar symbol, siffror eller inte blandar stor och små tecken är faktiskt rätt stor - och reglerna som införs minskar passwords möjliga entropi just för att man styr hur det skall utformas.

Själv kör jag på https://www.passwordcard.org/en och utskrivna i kreditkortformat (dubbelsidigt med och utan symboler och flera stycken inklusive rena nummerserie för numeriska pinkoder att välja mellan) och inplastat som källa när jag behöver får fram en slumpsekvens för password som inte är tillverkad av en hjärna och ändå 'har den kvar' om något skulle strula senare. att kunna sådana saker utantill är orimligt utan man låter browsern eller en passwordshanterar hantera detta.

det är flera gånger jag har fått byta rad/kolumn just för att 'passwordseglerna' rejektar sekvens för att de inte uppfyller kraven fast det är fullt valida och lika möjliga slumpvisa teckenserier rent etropimässigt.

För tjänster man kan göra reset på så låter jag ofta browsern själv generera passordet och komma ihåg detta..

för mer viktiga password som till sin huvudsakliga mailbox och bör kunna lära sig utantill så använder jag av mig passfraser genererade av

https://diceware.rempe.us/#swedish

6 ord med skiljetecken mellan orden ger styrka för motsvarande 3000 års angreppstid med 1000 miljard försök per sekund. och är det keystretching i funktionen som tar emot passwordet även med bara några tusen iteringar så blir det snabbt orimligt att försöka göra attack på det även med väldigt stor budget - inte minst kostnaden för energiförbrukning för angreppet...

Dessa har jag också skrivit ut i excel och dubbelsidigt på samma sätt som passwordcard gjort en stor antal rader att välja mellan på båda sidor och man bestämmer själv vilken rad, kolumn, flera korta rader, diagonalt, några från varsin sida etc. vilken man faktiskt använder, vilket gör att en sådan upphittat kort så är det fortfarande svårt att kunna användas av någon annan då man också måste veta vad som används till vilken situation. Med andra ord nål i höstacksprincipen att vet man inte var nålen är placerad så är det mycket att leta.

Rent matematiskt har du ju helt rätt att entropin minskar att tvinga in teckenklasser, men gör det där verkligen nytta i praktiken?

Om vi säger att någon försöker bruteforce:a ett lösenord, så är väl en av inställningarna vilka tecken som ska användas för sökningen. Om lösenordet slumpmässigt blir ett med bara bokstäver så kan det ju bli knäckt när de kör brute force med A-Za-z och inget mer, vilket inte skulle ske om lösenordet hade siffror eller specialtecken.

Tror rätt många inte förstår vad tvåstegsverifiering är.

Tvåstegsverifiering är när två oberoende metoder pekar till samma slutsats.

Ta exempel vis en enkel dörr med portkod.

För att komma in krävs en fyrsiffrig kod. Om någon lyssnar så kan man få veta koden. Krävs däremot även ett passerkort så måste man ha tillgång till båda för att komma in.

Applicerar vi detta till Bank-ID så krävs både Pinkoden och den specifika enhet där Bank-ID är installerat.

Jämför vi med kryptering där två nyckelpar används så är principen ungefär samma sak.

Du vill ha något som är hemligt. Du skickar därför en skattkista till den som skickar det hemliga innehållet. Mottagaren kan låsa kistan och skicka tillbaka den, men kan inte själv öppna den. Det är där du har det andra nyckelparet som kan öppna kistan.

En annan metod är negativ identifiering. Exempelvis när man loggar in på en sida som en användare. Egentligen är det inte du som loggar in på sidan. Det är sidan som verifierar sig mot dig. Det vanligaste misstaget man gör är att tro att Pelle Petterson loggar in på en hemsida exempelvis. Men det är sidan snarare som bekräftar sig för Pelle Petterson. Hur vida Pelle Petterson är Pelle Petterson eller inte spelar ingen roll då Pelle Petterson är en skapad identitet på sidan.

Det du ska se till är att din identitet inte är känd av andra för det är när flera personer kan använda samma Pelle Petterson som det blir osäkert.

Applicerar vi det här på skattkistan så vet du att det är identiteten Pelle Petterson som har skickat sakerna då det är Pelle Petterson som begär kistan, inte du.

Skillnaden mellan den fysiska värden och logiken med krypteringen är att i fysiska värden kan man bryta upp en dörr eller en kista medans man i den digitala logiken inte kan det. Finns det ingen dörr på väggen finns inget att öppna.

På en vanlig vägg kan du spränga ett hål. Men på en digital vägg är det omöjligt.

Det är våra tillkortakommanden och alltför enkla gissningar som möjliggör intrång.