Hur ser erat system för lösenord + autentisering ut?

Permalänk
Medlem

Keepass med spridda backup-kopior.

Kan inte riktigt förstå de som bara har sina lösenord i en ickelokal molntjänst för lösenord och inga lokala backuper. Företag går under. Företag förlorar data. Företag blir hackade och får sin data krypterad. Osv.

Permalänk
Hedersmedlem
Skrivet av filbunke:

Keepass med spridda backup-kopior.

Kan inte riktigt förstå de som bara har sina lösenord i en ickelokal molntjänst för lösenord och inga lokala backuper. Företag går under. Företag förlorar data. Företag blir hackade och får sin data krypterad. Osv.

Nä, backuper är viktigt! Men alla vettiga tjänster har väl möjlighet till det (per definition i min åsikt -- de kan inte anses vettiga annars).
Däremot så skulle nog tjänsterna göra mera för att påminna om det.

Visa signatur

Asus ROG STRIX B550-F / Ryzen 5800X3D / 48 GB 3200 MHz CL14 / Asus TUF 3080 OC / WD SN850 1 TB, Kingston NV1 2 TB + NAS / Corsair RM650x V3 / Acer XB271HU (1440p165) / LG C1 55"
NAS: 6700K/16GB/Debian+ZFS | Backup (offsite): 9600K/16GB/Debian+ZFS

Permalänk
Medlem

Bitwarden, kör 2FA på så många platser jag kan. Dessa ligger i Bitwarden också.
Alla ägg i samma korg? Mja, men jag har två fysiska yubikeys som passkeys.

Tar backups i form av JSON var 3 månad ifall något händer med bitwarden.

Visa signatur

I7 12700K, Asus RTX 3080 TI, Alienware AW3423DW och annat smått o gott.

Permalänk
Medlem

Beror på men för känsliga saker - Keepass med backup och key fil på ett pinkodsskyddat usb minne (och ja det finns backup på den med).

Varför en pinkoddsskyddad usb + keyfil istället för en yubikey? Jag hade usbminnet redan ....

Visa signatur

Arbetsdator: HFX Mini. Ryzen 3600, GTX1650. Skärmar: Dell 2415

Permalänk
Medlem

Kör yubikey där det går annars använder jag mig av microsoft Authenticator, funderar på att testa bitwarden.

Visa signatur

X570 Asus Crosshair VIII Dark Hero/ Ryzen 5800X3D / 32GB 3200 MHz CL16/Noctua U12A/ 7800 XT Nitro + / Kingston KC3000 1TB x2, /Corsair RM850X V3/ 2x Asus 27GP850P/Fractel Design North

Soffdator: Macbook Air M3 16GB/256GB

Ljud : Qacoustics 3030i / AMP Emotiva TA1 / Sub SVS SB2000 Pro

Permalänk
Musikälskare

Bitwarden + Random password på 30+ tecken utan dubbletter + Two-Factor Authentication där det går

Orkar inte göra mer än så

Visa signatur

❀ Monitor: ASUS Swift 27" @ 1440p/165Hz ❀ CPU: Ryzen 7700X ❀ Cooling: Corsair H170i ELITE 420mm ❀ GPU: MSI 3080 Ti SUPRIM X ❀ Memory: Corsair 32GB 6000Mhz DDR5 Dominator ❀ Motherboard: ASUS Crosshair X670E Hero ❀ M.2: Samsung 980 Pro ❀ PSU: Corsair HX1200 ❀ Chassi: Corsair 7000X ❀ Time Spy: 19 340

📷 Mina fotografier
🎧 Vad lyssnar du på just nu?

Permalänk
Medlem

2FA till allt som går… så spelar det ingen roll vem som har knäckt mina lösenord. Synd att inte allt har stöd för 2FA.

Visa signatur

Amd o Apple

Permalänk
Medlem

Fan va skitnödiga ni är
Jag har kanske 4 olika lösenord.
Ett till viktiga saker som mail (skrivs aldrig in, alltid inloggad)
Ett till krypterade filer
Ett till gaming
Ett till platser där det inte spelar nån roll

Ingen kommer nånsin att kunna knäcka mina lösenord.
Om jag får en trojan så spelar inte era 49 tecken långa lösenord nån roll i alla fall.

2FA alltid där det går.

PS. Jag memorerade 154 decimaler av PI på 28 minuter så har inga problem att komma ihåg lösenord DS.

PSS. Inte meningen egentligen att låta dryg DSS.

Permalänk
Medlem

Är det till diverse webbsidor som man alltid ska skapa meningslösa konton till så kör jag antingen med lösenordshanteraren in browsern (kör Edge och den funkar fint) alternativ ett lösenord jag återanvänder. Det spelar inte mig någon roll om denna typ av konton skulle hackas då jag inte har något av värde där. Brukar inte ange mitt riktiga namn eller min vanliga e-mail mm så finns ingen info där alls någon kan missbruka.
I princip är det inte så många viktiga konton man faktiskt har utan det känns som 95% av alla är "skräpkonton". Det är två mailkonton och ett par sidor i övrigt som är viktiga för mig och där har jag lösenord jag helt enkelt kommer ihåg.

Permalänk
Medlem

Bitwarden!

Visa signatur

Utan spaning, ingen aning.

Permalänk
Medlem
Skrivet av Conqvistadoren:

Är det till diverse webbsidor som man alltid ska skapa meningslösa konton till så kör jag antingen med lösenordshanteraren in browsern (kör Edge och den funkar fint) alternativ ett lösenord jag återanvänder. Det spelar inte mig någon roll om denna typ av konton skulle hackas då jag inte har något av värde där. Brukar inte ange mitt riktiga namn eller min vanliga e-mail mm så finns ingen info där alls någon kan missbruka.
I princip är det inte så många viktiga konton man faktiskt har utan det känns som 95% av alla är "skräpkonton". Det är två mailkonton och ett par sidor i övrigt som är viktiga för mig och där har jag lösenord jag helt enkelt kommer ihåg.

Exakt min poäng

Permalänk
Medlem

Kör med Bitwarden, inget att klaga på. Gick över från lastpass när de var i blåsväder

Visa signatur

.:Main:.
Windows 11 | Fractal design Define R6 TG | LG OLED C3 48" | ASUS PRIME Z690-P | i7-12700k | ASUS STRIX GeForce RTX 4090 | DDR5 32GB@5200mhz | Samsung 980 PRO M.2 NVMe
.:Hackintosh Mini-ITX:.
macOS Monterey | Cooler Master NR200P | Intel i7 6600k | AMD 5500 XT | 16GB

Permalänk
Hedersmedlem
Skrivet av Sunix:

Ingen kommer nånsin att kunna knäcka mina lösenord.
Om jag får en trojan så spelar inte era 49 tecken långa lösenord nån roll i alla fall.

Det lättaste sättet att ett lösenord blir knäckt är väl att man själv har trojan/keylogger eller (mer sannolikt?) att en sida man är medlem på inte har bra koll på säkerhet och lagrar i klartext, eller lagrar krypterat (till skillnad från korrekt hashat). Om då ett av dina viktiga lösenord läcker ut så är alla sidor som använder det lösenordet också automatiskt körda.

Om man har ett lösenord per sida och en sida med dålig säkerhet blir hackad så är det enbart den sidan som påverkas. Vilket är precis varför man vill ha ett lösenord per sida.
Får man en trojan/keylogger eller liknande så skyddar fortfarande 2FA om man håller det separat från resten, och inte lagrar det i lösenordshanteraren eller i övrigt på samma enhet.

Men har de tillgång till filer på datorn så kan de sno session cookies istället, vilket är en stor fara som förhoppningsvis kan bättras på i framtiden. Det var t ex så LTT blev hackade.

Visa signatur

Asus ROG STRIX B550-F / Ryzen 5800X3D / 48 GB 3200 MHz CL14 / Asus TUF 3080 OC / WD SN850 1 TB, Kingston NV1 2 TB + NAS / Corsair RM650x V3 / Acer XB271HU (1440p165) / LG C1 55"
NAS: 6700K/16GB/Debian+ZFS | Backup (offsite): 9600K/16GB/Debian+ZFS

Permalänk
Medlem
Skrivet av Sunix:

Fan va skitnödiga ni är

Det där löse sig när du får mailen hackad första gången, sen slår du på 2FA överallt. Så det var för mig.

Visa signatur

Amd o Apple

Permalänk

Lastpass, 2FA och passkeys på allt som går.

Visa signatur

Intel Core Ultra 7 265K | Asus ROG Strix Z890-E | Kingston 128GB DDR5 5200Mhz | Gigabyte RTX 4090 | LG OLED C4 42" 144Hz | M.2 NVMe SSD 14TB | Corsair HX1500i | Phanteks Eclipse G500A | EK Water Blocks EK-Nucleus AIO 360 | OS Windows 11 Pro

Permalänk
Medlem

Använder Bitwarden + Vaultwarden f.d Bitwarden_RS hostad från en Raspberry pi (som docker container) som kör på en headless Ubuntu (loggas in via SSH + 4096 bit passphrase) och enkel bash script som är i princip in tidur, den stänger av Raspberry PI'n nätverkskort från och till en viss tidsram (Air Gap ) och 2FA (Microsoft Authenticator) och Reverse Proxy + Nginx och SSL Certifikat från Certbox. Den fungerar bra tills ny uppdatering kommer och man bli nojjig och MÅSTE uppdatera och få massa kompabilitets problem. Har min och dotterns roblox konto där och annat inlogg som egentligen inte behöver den typen av säkerhet. Men det var ett rolig projekt

Permalänk
Medlem

Kör Bitwarden som lösenordshanterare med Authy som 2FA, samt yubikey som säkerhetsnyckel för vissa saker.

Authy är dock sådär pga deras ägare och jag borde byta, men tjänsten gör sitt jobb.
Körde också Lastpass innan som lösen hanterare och det var ju ett stort jävla misstag

Permalänk

Använder den inbyggda lösenordshanteraren i webbläsaren Firefox.

Permalänk
Medlem

Kör lösenordhanterare och sen maxar längden av bokstäver som den klarar av, vilket är lite olika längd av någon anledning.

Märkt dock att det är förvånande mycket hemsidor som har en lösenordsgräns på typ 32 tecken.

Visa signatur

.:Cpu:. AMD Ryzen 9 5950x 3.4GHz:. .:Motherbord:. Asus ROG strix X570-I .:Ram:. 32 GB .:SSD M.2 1TB .:Gpu:.ASUS GeForce RTX 2070 SUPER 8GB ROG STRIX GAMING OC 2560 x 1440 (144Hz), .:OS:. Windows 10 Pro 64-bit .:Chassi:. BitFenix Prodigy M .:Skräm:. Main Acer 24" Predator XB241YU Second Viewsonic VX2268wm 120Hz

Permalänk
Medlem
Skrivet av Moriquende:

Kör Bitwarden som lösenordshanterare med Authy som 2FA, samt yubikey som säkerhetsnyckel för vissa saker.

Authy är dock sådär pga deras ägare och jag borde byta, men tjänsten gör sitt jobb.
Körde också Lastpass innan som lösen hanterare och det var ju ett stort jävla misstag

Jag körde med Authy fram tills tidigare i år, då bytte jag till 2FAS Auth. Fungerar bra för mig. Jag körde också med LastPass innan jag bytte till Bitwarden

Visa signatur

Stationär PC: Chassi: Phanteks Enthoo EVOLV ATX MB: MSI B550 Gaming Plus CPU: AMD Ryzen 7 5700X Kylning: Noctua NH-U12S GPU: MSI GeForce GTX 1060 Gaming X 6 GB RAM: Corsair Vengeance LPX Black 32GB 3600MHz NVMe: 2st Kingston A2000 SSD: Intel 520 180GB och Intel 530 240GB HDD: WD Green 1TB, Toshiba 640GB samt fler HDD PSU: Corsair RM750X. Mobila enheter Mina Androidenheter och Dell Latitude 5400. Citera om du vill ha ett garanterat svar från mig

Permalänk
Medlem

Inbyggda lösenordshanteraren i Firefox/Edge sen 2FA med Authenticator eller Email sen orkar ja inte mer.

Permalänk
Medlem

Keepass som syncar mellan enheter via Mega samt Aegis på mobilen. Har två Yubikey liggandes hemma men har inte börjat använda dessa, men jag ska snart...

Permalänk
Medlem
Skrivet av DwarF:

Märkt dock att det är förvånande mycket hemsidor som har en lösenordsgräns på typ 32 tecken.

Långt mer än tillräckligt för helt slumpmässiga teckensträngar.

Visa signatur

Moderkort: Gigabyte X570 Aorus Master | CPU: AMD Ryzen R9 5900X | CPU-kylare: Noctua NH-D15 chromax.black | RAM: Corsair Vengeance LPX 64 GB (4x16) DDR4-3600 CL18 | GPU: Gigabyte RTX 4080 Eagle OC | SSD: 2 x Samsung 970 EVO Plus 1 TB NVMe + Kingston A400 480 GB + Samsung QVO860 1 TB | PSU: EVGA SuperNOVA G2 1000 W Gold | Chassi: Lian Li O11 Dynamic XL | Skärm: BenQ PD3200U @ 3840x2160 + ASUS ROG Strix XG32VQ @ 2560x1440 | Tangentbord: Corsair K68 RGB Cherry MX Red | Mus: Logitech MX Master 2S

Permalänk

Bitwarden

Visa signatur

| AzireVPN | Protonmail | Anonym filuppladdning: ? |

Permalänk
Medlem
Skrivet av Thomas:

Så starka lösenord till Bitwarden och mailkonton som jag memorerar

Livsfarligt! Forskning har gång på gång bevisat att människominnet inte är så tillförlitligt som man tror. "Äh, jag kommer aldrig att glömma det" är lika naivt som att skippa cykelhjälmen eller bilbältet bara för att "Äh, jag har aldrig krockat ändå".

Snälla, skriv ner dina lösenord (båda Bitwarden master password och email lösenord) och göm lappen på ett säkert ställe. Du har väl Bitwarden recovery code nerskrivet?! Annars får du inte bort 2FA-skyddet ifall du förlorar din telefon vilket inte är extremt osannolikt (tappa bort eller stöld).

Värt att upprepas: Bitwarden är designat på det sättet att man aldrig kommer in på sin vault utan sitt master password, oavsett hur mycket man bönar och ber inför Bitwardens support. Om det fanns något sätt, så hade hackarna redan knäckt det.

Bra inlägg som berör ämnet:
https://www.reddit.com/r/Bitwarden/comments/143zktj/you_need_...

Permalänk
Hedersmedlem
Skrivet av cyklonen:

Långt mer än tillräckligt för helt slumpmässiga teckensträngar.

Jo, folk tar i lite väl mycket med 64 och ännu längre. Jag brukar köra 32 som standard men är fullt medveten om att det är en överdrift även det; mera "varför inte?" samtidigt som det GÅR att skriva manuellt om det skulle behövas.

Enligt denna sidan som SweC citerade i en nyhet förra året så är 11 tecken gränsen där det tar åratal att knäcka (356 år om man tillåter tecken osv). 30000 år för 12 tecken, 2 miljoner år för 13 tecken.

Har man stora och små bokstäver (A-Z), siffror och 10 möjliga tecken är det 72 möjligheter per tecken. Är de ordentligt slumpade (dvs inte "slumpade" av en människa) blir det 72 gånger fler möjliga kombinationer per tecken man lägger till.

Om ett lösenord på säg 10 tecken skulle ta 1 år att knäcka så räcker det med att gå upp till 16 tecken för att det istället ska ta längre tid än universums nuvarande ålder (lite under 14 miljarder år) att knäcka med samma mängd datorkraft.
Även med tanke på att datorer blir snabbare så är 32 tillräckligt att räcka mer än resten av livet, även om man räknar med att skulle bli många gånger snabbare varje enstaka år.

Visa signatur

Asus ROG STRIX B550-F / Ryzen 5800X3D / 48 GB 3200 MHz CL14 / Asus TUF 3080 OC / WD SN850 1 TB, Kingston NV1 2 TB + NAS / Corsair RM650x V3 / Acer XB271HU (1440p165) / LG C1 55"
NAS: 6700K/16GB/Debian+ZFS | Backup (offsite): 9600K/16GB/Debian+ZFS

Permalänk
Hedersmedlem
Skrivet av Dave1080:

Livsfarligt! Forskning har gång på gång bevisat att människominnet inte är så tillförlitligt som man tror. "Äh, jag kommer aldrig att glömma det" är lika naivt som att skippa cykelhjälmen eller bilbältet bara för att "Äh, jag har aldrig krockat ändå".

Snälla, skriv ner dina lösenord (båda Bitwarden master password och email lösenord) och göm lappen på ett säkert ställe. Du har väl Bitwarden recovery code nerskrivet?! Annars får du inte bort 2FA-skyddet ifall du förlorar din telefon vilket inte är extremt osannolikt (tappa bort eller stöld).

Värt att upprepas: Bitwarden är designat på det sättet att man aldrig kommer in på sin vault utan sitt master password, oavsett hur mycket man bönar och ber inför Bitwardens support. Om det fanns något sätt, så hade hackarna redan knäckt det.

Bra inlägg som berör ämnet:
https://www.reddit.com/r/Bitwarden/comments/143zktj/you_need_...

Jodå, jag har koll på allt det och har dem nedskrivna på ett (tillräckligt) säkert ställe, både alla kritiska lösenord och alla recovery codes (utöver backups på 2FA-datan på datorer och diskar på olika fysiska platser).
Men det är väldigt bra att påminna folk om detta -- risken att bli utlåst är inget att bortse ifrån. Speciellt inte med 2FA på mobilen som sagt!

Att jag har recovery codes nedskrivet nämnde jag i det första inlägget. Nämnde dock inte att jag har lösenorden också.

Visa signatur

Asus ROG STRIX B550-F / Ryzen 5800X3D / 48 GB 3200 MHz CL14 / Asus TUF 3080 OC / WD SN850 1 TB, Kingston NV1 2 TB + NAS / Corsair RM650x V3 / Acer XB271HU (1440p165) / LG C1 55"
NAS: 6700K/16GB/Debian+ZFS | Backup (offsite): 9600K/16GB/Debian+ZFS

Permalänk
Medlem
Skrivet av Thomas:

Jodå, jag har koll på allt det och har dem nedskrivna på ett (tillräckligt) säkert ställe, både alla kritiska lösenord och alla recovery codes (utöver backups på 2FA-datan på datorer och diskar på olika fysiska platser).
Men det är väldigt bra att påminna folk om detta -- risken att bli utlåst är inget att bortse ifrån. Speciellt inte med 2FA på mobilen som sagt!

Att jag har recovery codes nedskrivet nämnde jag i det första inlägget. Nämnde dock inte att jag har lösenorden också.

Grymt. Ja, mitt inlägg var riktat till alla egentligen

Permalänk
Medlem

Jag kör en lokal pw/pin hanterare på min mobil, ingen molnlagring av pw/pin utan endast manuellt sparade backups av databasen som även är krypterade, tror dock den endast finns till Android.
https://play.google.com/store/apps/details?id=com.lemo.codegu...

Sen kör jag även 2FA på dom flesta ställen det är möjligt.

Permalänk

Håller med de flesta här att lösenordshanterare är bra.

Du nämnde dock att du är orolig för att om någon kommer åt den så kommer de åt alla dina lösenord. En lösning på det kan vara att "salta" sina lösenord med en enkel memorerbar sträng som du lägger till i slutet. så om din sträng är "sweclocker" och det genererade lösenordet är "abcdefghijklmno123456" så låter du lösenorsdhanteraren fylla i fältet med det och sen skriver du helt enkelt bara sweclocker i slutet (så det blir abcdefghijklmno123456sweclocker) så har du ett säkert lösenord som blir svårknäckt även om de lyckas få åtkomst till din lösenordshanterare. Lägg på 2FA på det så är du nog rätt hemma.

Går ju även att printa ut alla lösenord från tex bitwarden så kan du ha dem på ett papper på något säkert ställe om du skulle låsa ute dig själv

Visa signatur

*Windows said Reboot. I said no. Windows reminded me who's in control*