Hur ser erat system för lösenord + autentisering ut?

Har lösenorden nedskrivna i en journal. Journalen ligger i vapenskåpet som väger 195 kg, är bultat i betonggolvet i källaren.
Om någon lyckas stjäla den så har jag större problem än några lösenord.

Nextcloud kan du hosta själv, så då beror det på om du litar på dig själv :>

Var behöver du scrolla?

bara för att lägga till ett extra inlägg

Lösenordshanterare. 2FA när möjligt.

Kan systemet jag skall ha ett konto på inte hantera komplicerade lösenord (typ P5bg22$*V!Lqd8K#jV^sw ) så rapporterar jag det till de som har hand om det och undviker det. Går tyvärr inte alltid i jobbet.

Hatar sidor som kräver att man har krångliga tecken och skit i lösenordet. Jag kör lösenord på minst 16 tecken som är lätt att komma ihåg. Det är ju längden som spelar roll (höhöhö), inte om man använder Ak#"34aBQ.

Men jag kör 1Password och brukar låta den generera så behöver jag inte bry mig. Men där jag inte kan ha 1Password (typ AD på jobbet) så kör jag enkla men långa.

Mmm.. kör ibland pass phrases.. så får man typ 50 tecken eller mer, och det är inte "säkert nog" utan du ska behöva krångla med en massa fula tecken.

Mest för att ditt påstående inte ska får vara oemotsagt. Jo - det spelar roll att använda komplexa lösenord som inte består av ord jämfört med att endast ha vanliga ord i sitt lösenord.

Eftersom du är övertygad att det du gör funkar för dit så ska jag inte försöka övertala dig om motsatsen, men för alla andras skull så ska alla veta att det spelar roll att ha ett komplext lösenord jämfört med ett som består av ord (med samma längd).

Kan oxå vara så att du kör med repetition, till exempel - dåligt - ABBA, det kan då bli 44443333bbbbAAAA Det är förhållandevis lätthackat, även med 16 tecken enligt dina krav... men lätt att komma ihåg.

Dessutom, använder man "manuella" system i hur man sätter lösenord så kan det funka ett tag, men över tid blir det svårare att komma ihåg eller göra nya varianter. Vet inte hur andra har det, men för några år sedan städade jag ganska ordentligt och jag var uppe i över 400 inloggningar, varav säkert en tredjedel var till ställen jag inte använt på flera år.

Så kan det bli efter 30 år i databranschen... Med en lösenordshanterare behöver jag i princip bara minnas ett enda lösenord, alla andra kan vara typ XxN*n&M$Ruq5xQUot^#9zGg5U7A$zRWqF^CE5%BdrF*3Wc6u$p4ECMj%oNVRnFJC^53h!foj2@hRTC*o8BgKjv2jh4 om systemet tillåter det.

En annan variant som jag märker få system tänker på är att även använda ett komplicerat användarnamn/kontobeteckning. Då blir det genast två stycken, nåja, komplicerade saker att jobba fram. HemmaFixareJobbarenHomdax@Swe eller nått sånt, men du får kanske Redax spader, finns säker bättre varianter.

Med vanliga ord så behöver man inte ha "datainspektionen" typ, även om det är många bokstäver. Det jag menar är att du inte behöver ha ultrakomplexa. Du kan t.ex. lägga in lite punkter eller bindestreck här och där om du så vill.

Många sidor har min 6 eller 8 tecken med minst en stor bokstav, ett litet, ett konstigt tecken.

Jag tror ju mer på att "ExYZäta20!" finns med i något slags rainbow table (även om det går snabbt att knäcka utan table) än "Jag-Föddes-På-En-Gård-1970!", men du får gärna påvisa på vilket sätt mitt tänk är fel, det här är inte flashback.

Edit. Jag har gjort ett nytt inlägg till en annan person som gav lite mer insikt så jag ska förstå

Vinter2025 incoming!

Sen om folk vill repetera så är det ju upp till dom, folk skriver ju upp krångliga lösen på post-it med. Så oavsett val av lösenord så kommer någons lösenord inte vara säkert nog.

Som i fysiska nycklar typ Yubico?

Mjo. Det exemplet var dåligt. Ett bättre sådant är Zech-Glomplach-Achregh3-Mjölysch.

Saken är den att lösenordsfraser ska vara enkla att komma ihåg (som mitt första exempel), men de ska inte vara enkla för en mänsklig hacker att knäcka. Allt beror på vad för ord man väljer och hur bra minne man har. Många personer gillar dock inte att komma ihåg lösenord hit och lösenord dit. Och tyvärr är det inte många som använder lösenordshanterare för "då måste man ju komma ihåg ytterligare ett till lösenord". De ser såklart inte det fina med det.

Ser att du gett svar som jag undrade över.

Bråkdelen av en sekund?
Vad avses då att användas, brute force från start enbart med en viss datapata?

Du får gärna förklara mer så jag hänger med på vad som avses, för jag trodde i min enfald att det skulle vara bra nog med Sverige-...-exemplet.

"4 * log2(5) ≈ 9.3 bitar totalt"

Vad står 4:an för, antal ord/länder? och 5:an? Och vad menas med 9,3 bitar totalt? När jag läser bitar så tänker jag bitar som i 8 bitar blir en byte. Är det en sådan bit som avses? Om 4:an är antalet ord/länder, då kan man alltså använda sig av fler ord för att få upp antalet bitar, men längden behöver inte vara längre för att det ska bli bättre?

Om 4 = ord / länder:
Sverige-Finland-Danmark3-Norge = 4 * log2(5) ≈ 9.3 bitar (30 tecken)
På-En-Öde-Ö-Var-En-Man-I-Land = 9 * log2(5) ≈ 20.8 bitar (29 tecken)

Blir det senare säkrare för att det har fler ord men färre tecken? Om så, kan jag då påstå att man bör ha ett lösenord med många ord istället för ett långt med få ord?

Och då måste man ju även som "cracker" använda sig av den svenska ordlistan mot ens lösenord, är det troligt?
Då kan man ju använda rövarspråk så blir det än mindre troligt

Och vad händer om jag t.ex. byter ut alla min a:n till ett specialtecken, t.ex. ^ ? (förutsatt att jag använder några ord med a)

Tack på förhand.

Edit. Hittade denna post: https://www.reddit.com/user/atoponce/comments/186u5li/passwor...
Där fanns en intressant gist: https://gist.github.com/atoponce/a7715930ae6eb7d6b487f2f76b57...

Edit 2:
I gisten fanns en länk till en twitterpost där ett företag kör 448st RTX 2080:
https://x.com/TerahashCorp/status/1155112559206383616

Bland kommentarerna så nämer TS detta om längd på lösenord:

"We prefer max of 8 characters and stored as MD4 hash 😉

But if it's *security* you're after, yah, 12+ char random is the way to go. Adding special chars doesn't really add much."

Då förstår jag inte varför Sverige-Finland-Danmark3-Norge skulle vara osäkert? Nu är det inte random, men det är bra många tecken.

Edit 3:
Hittade att han skrev detta: "Only if the words are selected at random!" om ett inlägg kring det skojjiga "Well, I never... correct horse battery staple for evermore then!"

Hur menar du? Du kan ha Bitwarden på flera enheter och du kan ta fram lösenordet i Bitwarden appen/tillägget när som helst.

Lösenordsentropi uttrycks i termer av bitar. Ett lösenords entropi kan beräknas genom att hitta entropin per tecken, vilket är en loggbas 2 av antalet tecken i teckenuppsättningen som används, multiplicerat med antalet tecken.

• Ett lösenord som redan är känt har 0 bitars entropi.

• Ett lösenord som kräver som mest två gissningar för att hitta har 1 bitars entropi.

• Ett lösenord med n bitars entropi skulle kräva 2^n gissningar för att garantera att lösenordet hittas.

https://kodgeneratorn.se/vad-ar-ett-starkt-losenord

Personligen så kör jag Bitwarden och datorgenererade lösenord överallt där det går. Jag brukar köra 35 tecken med tre siffror och fem specialtecken som regler för mina lösenord. Kanske lite overkill men varför inte?

Jag orkar inte riktigt med lösenords-appar och har helt enkelt förlitat mig på tre lösenord/lösenordssystem

- Kritiskt lösenord: vilket enbart knutits till mitt huvudsakliga mail-konto, det använder 2-factor authentication och byts sällan då det enbart används på mailen i "säker miljö", Därefter har jag...
- Lösenord till tjänster: Där har jag ett som liknar mitt kritiska lösenord men samtidigt är det ganska kraftigt modifierat med ett system jag inte berättar, däremot använder jag de första två första-, och sista två bokstäverna av tjänstens namn insprängt i särskilda positioner i lösenordet, varannan av dessa bokstäver är små/stora, sist men inte minst har jag ett...
- Okritiskt lösenord till lätthackade forum: Där använder jag ett äldre högstadie-lösenord där jag bytt ut två bokstäver mot första och sista bokstaven i själva forumets namn.

För mig funkar detta bra. Jag kommer alltid ihåg grundformen till dessa lösenord samt deras system. har haft det så i 15år+ och minns alltid mina lösenord. Och även om ett forum-lösenord blir hackat så är lösenordet inte identiskt med andra forum, samtidigt är dessa lösenord inte i närheten av samma lösenord som större tjänster jag befinner mig på eller mitt kritiska mail-lösenord.

Vi skall kanske inte glömma att en hel del internationella system inte klarar av att hantera åÅäÄöÖÄüÜñÑ och så vidare. Visst det skall finnas inom ramen för UTF-8 men långtifrån alltid.

Du kan antingen ha lösenordshanteraren i telefonen, gå in på web-vault:en och du kan installera tillägget i webbläsaren för att logga in med huvudlösenordet. Glöm bara inte att logga ut