839 läst ·
27 svar
839 läst
27 svar
Hur välja lösenord och komma ihåg det?
Ditt jobb har en ok policy - dock bör det idag vara minst 16 tecken och i övrigt med sådan komplexitet och oregelbundenhet som du nämner... för vanliga användarkonton. Om kontot har admin rättigheter så bör du ha minst 32 vill jag minnas...U Utsliten och utdömd skrev:
och alltid alltid alltid MFA
Verkligen, hela idén med komplicerade långa lösenord utgår från att den krypterade lösenordsdatabasen har läckt. Dvs, IT avdelningen har fuckat upp sin del av säkerheten, och låter användare preemptivt betala för det varje dag.S Svavelsyra skrev:
Med korrekt uppsatt databas med unikt salt för varje användare så fungerar inte dictionary attacks heller, så även om databasen läckt kommer man ha ganska gott om tid på sig att be folk byta lösenord, om man inte fuckat upp ytterligare och inte ens vet om att den läckt..
Det är vetenskapligt bevisat att ett långt lösenord baserat på vanliga ord utan konstiga tecken är säkrare än kortast möjliga med specialtecken och siffror.rampante skrev:
Så de IT-avdelningar som fortfarande står fast vid att det måste vara komplext och konstiga tecken har sämre säkerhet...
Handlar nog snarare om att man antagit vedertagna riktlinjer/rekommendationer som t.ex.:useless skrev:
https://learn.cisecurity.org/cis-password-policy-guide-passphrases-monitoring-and-more
Kan själv!
· Trelleborg
· 19 713 inlägg
Har säkert berättat om den förr, men här kommer den igen.
Tydligen hade en säljare eller liknande klickat på en dum länk i ett mail och använt sina användaruppgifter på fel ställe, således hittade hackare in och krypterade allt de kom över.
CSOn kom då fram till att en av säkerhetsåtgärderna skulle vara att alla skulle byta lösenord var 60e dag, varav jag svarade med en länk om att det var ett väldigt dumt beslut då det sänker säkerheten, och dessutom hjälper det inte mot Phising. Jag fick ett goddag-yxskaft-svar 🙃
Tydligen hade en säljare eller liknande klickat på en dum länk i ett mail och använt sina användaruppgifter på fel ställe, således hittade hackare in och krypterade allt de kom över.
CSOn kom då fram till att en av säkerhetsåtgärderna skulle vara att alla skulle byta lösenord var 60e dag, varav jag svarade med en länk om att det var ett väldigt dumt beslut då det sänker säkerheten, och dessutom hjälper det inte mot Phising. Jag fick ett goddag-yxskaft-svar 🙃
En gång i forntiden när man kunde välja vad skit som helst som lösenord, fick jag ett tips. Ett felstavat könsord, gärna riktigt grovt. På den tiden innan avancerade skurkar, var problemet oftast att folk lånade ut sina lösenord eller skrev dem på en synlig postit. Den risken försvann ju i alla fall för de flesta om lösenordet var något man skämdes över.
Vi byte oregelbundet 1-2 månader.
Har bokstäver, siffror och ett tecken.
En av bokstäverna byter jag ut efter alfabetet, under 12 års tid har jag gått runt alfabetet flera gånger, alltså haft samma lösen flera gånger men med några års mellanrum, det har funkat fint. Noterar bara datum och vilken bokstav, resten kan jag utantill.
Typ
Aba12345678*
Abb12345678*
Abc12345678*
OSV
Har bokstäver, siffror och ett tecken.
En av bokstäverna byter jag ut efter alfabetet, under 12 års tid har jag gått runt alfabetet flera gånger, alltså haft samma lösen flera gånger men med några års mellanrum, det har funkat fint. Noterar bara datum och vilken bokstav, resten kan jag utantill.
Typ
Aba12345678*
Abb12345678*
Abc12345678*
OSV
Gamla riktlinjer/rekommendationer, hänger man med så är det nya som gäller från t.ex NIST.C cpalm skrev:
https://cybersecuritynews.com/nist-rules-password-security/
Fast det blir ju ännu säkrare om man har långa lösenord och har med specialtecken och siffror...
Minns en kollega som var tvungen att få kundens lösenord och kunden var lite generad över att behöva ge ut det, han hade kanske fått samma tips för det var på det temat...Hep skrev:
En gång i forntiden när man kunde välja vad skit som helst som lösenord, fick jag ett tips. Ett felstavat könsord, gärna riktigt grovt. På den tiden innan avancerade skurkar, var problemet oftast att folk lånade ut sina lösenord eller skrev dem på en synlig postit. Den risken försvann ju i alla fall för de flesta om lösenordet var något man skämdes över.
Alltså i var och varannan större incident där förövarna varit ute efter information och inte bara lösensumman, (Inte lösenordsdatabasen explicit utan på en mer övergripande nivå att viktig data har läckt) då brukar det inte sällan ta lång tid innan det upptäcks. I vissa fall upptäcks det inte förrän förövarna tycker att de har fått allt de vill ha och bestämmer sig för att på något sätt förstöra miljön, det kan ibland vara många månader efter att de tog sig in.A ajn82 skrev:
Nja, förvisso "fräscht" av NIST att droppa de rekommendationer som i praktiken är nonsens, men läser man t.ex. CIS ser man att de har i princip samma resonemang men landar i en mer "konservativ" slutsats.N Nyikåk skrev:
Båda anses vara "aktuella" rekommendationer. Det är inte så det funkar att man hela tiden byter regelverk så fort någon släpper något nytt. Åtminstone inte inom större organisationer.
Klicka här för att svara
