U Utsliten och utdömd skrev:
Är det ens möjligt? På mitt jobb ska vi ha 12 tecken, minst en versal, en gemen, en siffra och ett specialtecken som inte får va mellanslag
Ditt jobb har en ok policy - dock bör det idag vara minst 16 tecken och i övrigt med sådan komplexitet och oregelbundenhet som du nämner... för vanliga användarkonton. Om kontot har admin rättigheter så bör du ha minst 32 vill jag minnas...

och alltid alltid alltid MFA
 
S Svavelsyra skrev:
Det helt klart viktigaste för att göra lösenord säkra är att förneka offline testning utav lösenord samt se till att du inte kan göra mer än typ 100 lösenordsförsök per dag eller så.
Då spelar det inte så stor roll om du har 10 eller 15 tecken i lösenordet.
Verkligen, hela idén med komplicerade långa lösenord utgår från att den krypterade lösenordsdatabasen har läckt. Dvs, IT avdelningen har fuckat upp sin del av säkerheten, och låter användare preemptivt betala för det varje dag.
Med korrekt uppsatt databas med unikt salt för varje användare så fungerar inte dictionary attacks heller, så även om databasen läckt kommer man ha ganska gott om tid på sig att be folk byta lösenord, om man inte fuckat upp ytterligare och inte ens vet om att den läckt..
 
rampante rampante skrev:
Ditt jobb har en ok policy - dock bör det idag vara minst 16 tecken och i övrigt med sådan komplexitet och oregelbundenhet som du nämner... för vanliga användarkonton. Om kontot har admin rättigheter så bör du ha minst 32 vill jag minnas...

och alltid alltid alltid MFA
Det är vetenskapligt bevisat att ett långt lösenord baserat på vanliga ord utan konstiga tecken är säkrare än kortast möjliga med specialtecken och siffror.

Så de IT-avdelningar som fortfarande står fast vid att det måste vara komplext och konstiga tecken har sämre säkerhet...
 
  • Gilla
fribygg och 4 till
  • Laddar…
Har säkert berättat om den förr, men här kommer den igen.

Tydligen hade en säljare eller liknande klickat på en dum länk i ett mail och använt sina användaruppgifter på fel ställe, således hittade hackare in och krypterade allt de kom över.

CSOn kom då fram till att en av säkerhetsåtgärderna skulle vara att alla skulle byta lösenord var 60e dag, varav jag svarade med en länk om att det var ett väldigt dumt beslut då det sänker säkerheten, och dessutom hjälper det inte mot Phising. Jag fick ett goddag-yxskaft-svar 🙃
 
En gång i forntiden när man kunde välja vad skit som helst som lösenord, fick jag ett tips. Ett felstavat könsord, gärna riktigt grovt. På den tiden innan avancerade skurkar, var problemet oftast att folk lånade ut sina lösenord eller skrev dem på en synlig postit. Den risken försvann ju i alla fall för de flesta om lösenordet var något man skämdes över.
 
U Utsliten och utdömd skrev:
Är det ens möjligt? På mitt jobb ska vi ha 12 tecken, minst en versal, en gemen, en siffra och ett specialtecken som inte får va mellanslag
Precis. Så komplext så att man MÅSTE skriva upp det på en lapp, som nån sedan kan hitta...
 
U
Cruzze Cruzze skrev:
Precis. Så komplext så att man MÅSTE skriva upp det på en lapp, som nån sedan kan hitta...
Nej jag ringer IT support varje måndag för att få ett nytt
 
  • Haha
SågspånPappspikEternit och 1 till
  • Laddar…
Vi byte oregelbundet 1-2 månader.
Har bokstäver, siffror och ett tecken.
En av bokstäverna byter jag ut efter alfabetet, under 12 års tid har jag gått runt alfabetet flera gånger, alltså haft samma lösen flera gånger men med några års mellanrum, det har funkat fint. Noterar bara datum och vilken bokstav, resten kan jag utantill.
Typ
Aba12345678*
Abb12345678*
Abc12345678*
OSV
 
C cpalm skrev:
Handlar nog snarare om att man antagit vedertagna riktlinjer/rekommendationer som t.ex.:
[länk]
Gamla riktlinjer/rekommendationer, hänger man med så är det nya som gäller från t.ex NIST.
https://cybersecuritynews.com/nist-rules-password-security/

Fast det blir ju ännu säkrare om man har långa lösenord och har med specialtecken och siffror...

Hep Hep skrev:
En gång i forntiden när man kunde välja vad skit som helst som lösenord, fick jag ett tips. Ett felstavat könsord, gärna riktigt grovt. På den tiden innan avancerade skurkar, var problemet oftast att folk lånade ut sina lösenord eller skrev dem på en synlig postit. Den risken försvann ju i alla fall för de flesta om lösenordet var något man skämdes över.
Minns en kollega som var tvungen att få kundens lösenord och kunden var lite generad över att behöva ge ut det, han hade kanske fått samma tips för det var på det temat...
 
A ajn82 skrev:
om man inte fuckat upp ytterligare och inte ens vet om att den läckt
Alltså i var och varannan större incident där förövarna varit ute efter information och inte bara lösensumman, (Inte lösenordsdatabasen explicit utan på en mer övergripande nivå att viktig data har läckt) då brukar det inte sällan ta lång tid innan det upptäcks. I vissa fall upptäcks det inte förrän förövarna tycker att de har fått allt de vill ha och bestämmer sig för att på något sätt förstöra miljön, det kan ibland vara många månader efter att de tog sig in.
 
C
N Nyikåk skrev:
Gamla riktlinjer/rekommendationer, hänger man med så är det nya som gäller från t.ex NIST.
Nja, förvisso "fräscht" av NIST att droppa de rekommendationer som i praktiken är nonsens, men läser man t.ex. CIS ser man att de har i princip samma resonemang men landar i en mer "konservativ" slutsats.

Båda anses vara "aktuella" rekommendationer. Det är inte så det funkar att man hela tiden byter regelverk så fort någon släpper något nytt. Åtminstone inte inom större organisationer.
 
Alltför frekventa byten är kontraproduktivt.
Tyvärr finns det företag/organisationer som lever kvar i en förlegad policy vad gäller byten.
 
Klicka här för att svara
Vi vill skicka notiser för ämnen du bevakar och händelser som berör dig.