Lösenordet 123456 är vanligast på internet

Undersöker man var de används?

T ex, här på forumet känner inte jag något behov av ett starkt lösenord, men mailen osv är ju en helt annan sak.

När en lösenordstjänst ska marknadsföras är bedyrandet ”and now it is better than ever” inte till någon fördel för företaget i mitt tycke...

Tycker funktionen att spar lösenord för webbtjänster och till appar inte fungerar helt ok. Förstår att folk vill ha lösenordet i huvudet. 1Password är bökigt att använda.

Spar lösenord för webbtjänster är väl bekvämt? vad är det som inte fungerar ok för dig?

Ett stort steg framåt vore ju om Nyckelringen fungerade bättre. Idag är det för många sidor och appar det inte fungerar på. Likaså ligger gamla lösenord kvar i ”samlingen”. Tex har jag tre, eller fyra, sparade för 99.se. Fungerar det att logga in och man går in för att kontrollera lösenordet blir man bara trött.

Undersökningar kommer oftast från hackade sidor där lösenordsdatabasen med alla hashar läckt.
Sedan knäckar man det som går, och oftast är de som man klarar att knäcka de mest populära också.

Därför man bör använda en helt annan systematik i sina lösenord. Det är jättebra att kunna spara dem någonstans så man slipper ha allt i huvudet.
Men lösenord som man slår in ofta (och inte är en gång om året eller liknande) kan göras både enkla och starka.

Ta 4 "långa ord" och slå ihop dem: VinterSkidåkningFiskarTavlor.
Det är 28 tecken långt lösenord, och rätt enkelt.
Vill man försvåra detta lite, stava gärna fel på orden så ingen kan försöka göra mer komplicerade dictionary-attacker mot det: VinnterSkjidåkningFisskarTavlorr.

Använd unika lösenord överallt, har man dessa "meningar" i en lösenordsdatabas i mobilen behöver man inte skriva av lösenordet. Det är bara titta på meningen och sedan har man det i huvudet.

Som ett exempel, vi knäcker för svaga lösenord på jobbet för att se till att folk använder bättre lösenord.
Med ett Nvidia 980-grafikkort kan vi knäcka NTLM-hashar (De som används i ett Microsoft Active Directory) upp till 8 tecke med vilka tecken som helst då under en dag. Och 9 tecken tar bara några dagar till, 10 tecken tar nästan ett halvår och 11 flera år. Det är då inklusive specialtecken.

Så det spelar ingen roll att ha upp till 10 tecken, för oavsett kombination så knäcker man det. Och bara för att det är svårt för en människa att komma ihåg betyder inte det att det är svårt för en dator.

Ett vanligt scenario är att folk återanvänder lösenord och stoppar på löpnummer och specialtecken sist eller först i sina lösenord.
Detta hjälper inte. Det är så lätt att använda "standardalgoritmer" för att ta [ord][löpnummer][specialtecken] och samma sak för att byta ut tex ett A mot 4 etc.

I teorin låter det bra. Men jag har lösenord till över 100 olika webbsidor. Och att då ha alla unika, men 4 ordsmeningar, plus mailkonton osv. Det är inte lätt. Så därför har jag unika på de viktigaste (mailkonton plus känsliga sajter), och ett annat enklare att komma ihåg, till alla andra sajter där ingen hemlig info finns (olika forum etc).

Man måste ju såklart värdera hur mycket lösenordet är värt.
Såklart det går bra att ha samma, men då måste man komma ihåg att läcker det på ett så ryker alla andra också potentiellt. Och hur "ont" gör det.
Med tanke på hur otroligt "lata" många utvecklare är och ogenomtänkt säkerhet många sidor har är det mycket sällan sidor lagrar lösenord med något vettigt salt eller bra hashalgoritmer.

I en värld där attackerna ökar, och integrationerna blir större så är det en växande risk. Och jag tror att hitta ett bra workflow som både är säkert och ger mervärde är vägen framåt. Tex lösenordstjänster som integrerar bra i sitt eget workflow.

Men jag tror inte att man klarar sig utan lösenordshanterare egentligen.
Men en strategi är precis som du gör, att ha unika för viktiga, och dela mellan mindre viktiga. Men det förutsätter att de mindre viktiga är så pass oviktiga att om någon tar över ditt konto där spelar det ingen roll för dig.
Nackdelen med den strategin är att i många fall tas konton över för att påverka andra så det är faktiskt inte så ofta man själv blir lidande.
Utan man använder folks tilltro till vänner/bekanta som gör det lättare att hitta andra mål för helt andra attacker.

I slutändan tror jag att ju mer sådant sker ju mindre kan folk tro/använda tjänster på internet. Och mer och mer av det folk börjar använda är mer "säkra" tjänster som tyvärr kommer ligga hos stora jättar på internet.