Säkerheten på forumet..?
Säkerheten på forumet..?
Hej.. Har en liten fråga angående säkerheten här på forumet.. Hur lagras lösenorden här? Såg att jag fick mitt lösenord skickat till mig i klartext efter att jag registrerade mig, därför jag undrar..
Mvh
Mvh
Re: Säkerheten på forumet..?
Verkar vara ett känt "problem" med phpBB3. Håller med om att det ju inte alls är "best practise" idag...
Re: Säkerheten på forumet..?
Har för mig att phpBB hashar lösenorden men mailet skickas med det du skrev in och inte från databasen
Re: Säkerheten på forumet..?
Okok.. får hoppas på att pw databasen är skyddad på nåt sätt iaf:-)
Re: Säkerheten på forumet..?
Ett tipps som gäller alla hemsidor, använd inte samma lösenord på flera sidor, speciellt inte det lösenordet ni har till er mail
Re: Säkerheten på forumet..?
precis. jag blir så jävla less på alla som predikar att man ska byta lösenord minst en gång per år. det är ett helt värdelöst råd som bara leder till att folk byter till samma dåliga lösenord till alla tjänster.Knox skrev:Ett tipps som gäller alla hemsidor, använd inte samma lösenord på flera sidor, speciellt inte det lösenordet ni har till er mail
så hur väljer man ett lösenord?
börja med ett enkelt lösenord som du baserar på en ramsa, låttext eller liknande. ex: "Be Yourself; everyone else is already taken" försök att få in minst en versal, ett specialtecken och en siffra där.
BYee1@t
lägg nu till eller ändra tecken beroende på vad webadressen du besöker heter. exempelvis
B1Yee1@0t för att bryggforum har 10 tecken.
och B1Yee1@0tR2 för att det är det näst sista bokstaven och första tecknets motsvarighet till siffra i alfabetet i webbadressen.
Det går att komma på tusentals såna regler som gör ditt lösenord unikt, men du behöver bara komma ihåg ramsan och ett par tre regler som gäller för alla dina lösenord. Nu har du ett lösenord som är säkrare än 99% av alla dom som regelbundet byter lösenord.
Re: Säkerheten på forumet..?
http://xkcd.com/936/ är ett annat exempel på hur man kan skapa lösenord med hög entropi
Re: Säkerheten på forumet..?
Förr var det värre eftersom i många fall kunde lösenordet vara max 10 tecken eller nåt liknande, men idag kan lösenorden oftast vara långa så det är mycket bättre att ha ett långt "enkelt" lösenord.
GodJul2013OchGottNyttÅr2014! har t.ex. mycket högre entropi än B1Yee1@0tR2
Man kan testa sina varianter av lösenord t.ex. här
http://rumkin.com/tools/password/passchk.php
Observera dock att man aldrig ska använda skarpa lösenord för test, såna där sidor KAN ju vara skrivna för att logga lösenorden.
MEN, sen ska man ju då som sagt var tänka på att en del sajter kanske inte lagrar lösenordet krypterat eller att en hackare kan sniffa lösenordet. Så även om ett lösenord i stil med
ElektronikForumet2014!
har väldigt hög entropi så är det inte så himla bra att använda.
GodJul2013OchGottNyttÅr2014! har t.ex. mycket högre entropi än B1Yee1@0tR2
Man kan testa sina varianter av lösenord t.ex. här
http://rumkin.com/tools/password/passchk.php
Observera dock att man aldrig ska använda skarpa lösenord för test, såna där sidor KAN ju vara skrivna för att logga lösenorden.
MEN, sen ska man ju då som sagt var tänka på att en del sajter kanske inte lagrar lösenordet krypterat eller att en hackare kan sniffa lösenordet. Så även om ett lösenord i stil med
ElektronikForumet2014!
har väldigt hög entropi så är det inte så himla bra att använda.
Re: Säkerheten på forumet..?
Bäst är att använda långa lösenord med slumpmässiga tecken t.ex. egtropkOKr'0kLK##DgdHPAPldlpegp men inte en jävel kommer ihåg det så det är lättare att slå ihop några osammanhängande ord t.ex. PrydnadÖlPankaka2832 vilket är en lösenord som är svårt att få fram med bruteforce. Men detta gäller enbart om lösenorden är hashade med sha2 el bättre (md5 och sha1 duger inte)
Re: Säkerheten på forumet..?
Det är möjligen lite säkrare mot ordliste-attacker, men mot ren brute force är det inte så mycket bättre än ett långt lösenord byggt på vanliga ord.Knox skrev:Bäst är att använda långa lösenord med slumpmässiga tecken t.ex. egtropkOKr'0kLK##DgdHPAPldlpegp
Re: Säkerheten på forumet..?
Sa jag något annat? Det är överlag bättre med en nyckel baserad på (sann) slump än en baserad på psedoslump(den mesta datorgenererade) eller sammansatta ord
Re: Säkerheten på forumet..?
Jag är lite kinkig med hur folk använder begreppet "bäst":)
Ett rent slumpat lösenord KAN om man har otur vara enklare att knäcka, eftersom ur slumpens synvinkel är lösenordet 11111 precis lika slumpmässigt som lösenordet 37931.
Sen är det just det här med svårigheten att komma ihåg lösenordet som gör att det som är svårast att knäcka inte alltid är "bäst", eftersom ingen kedja är säkrare än den svagaste länken. Är lösenordet för svårt att komma ihåg så skriver folk ner det (vilket i många fall är värre än att ha ett lösenord som är lite lättare att knäcka).
Om det dessutom är ett lösenord som man måste skriva in 25 gånger under en vanlig arbetsdag så kan långa konstigt lösenord vara kontraproduktiva.
Så det som är "bäst" är ett lösenord som är "tillräckligt" långt, har "tillräckligt" hög entropi och är "tillräckligt" lätt att komma ihåg. Men hur mycket som är "tillräckligt" är betydligt svårare att säga.
Ett rent slumpat lösenord KAN om man har otur vara enklare att knäcka, eftersom ur slumpens synvinkel är lösenordet 11111 precis lika slumpmässigt som lösenordet 37931.
Sen är det just det här med svårigheten att komma ihåg lösenordet som gör att det som är svårast att knäcka inte alltid är "bäst", eftersom ingen kedja är säkrare än den svagaste länken. Är lösenordet för svårt att komma ihåg så skriver folk ner det (vilket i många fall är värre än att ha ett lösenord som är lite lättare att knäcka).
Om det dessutom är ett lösenord som man måste skriva in 25 gånger under en vanlig arbetsdag så kan långa konstigt lösenord vara kontraproduktiva.
Så det som är "bäst" är ett lösenord som är "tillräckligt" långt, har "tillräckligt" hög entropi och är "tillräckligt" lätt att komma ihåg. Men hur mycket som är "tillräckligt" är betydligt svårare att säga.
Re: Säkerheten på forumet..?
Olika lösenord är bra till olika saker t.ex. så är det, precis som du säger onödigt med en mycket komplext lösenord på mjukvara med låg konsekvens för säkerheten men handlar det om krypterad data så är det viktigt att nyckeln är lång och extremt slumpmässig. Sedan är det precis lika stor chans att en dator gissar strängen "latmasken" som "111111111" dvs de har lika hög entropi mot en attack som utförs med uttömmande sökning (brute force). Bruteforce är bara realistiskt att använda när man har datan eller skydden mot det är dåliga (avsaknande av captcha, antal inloggningsförsök per timma etc).
Summa sumarum: oviktiga lösenord behöver inte vara komplexa men gärna långa och osammanhängande
Viktiga: Viktiga lösenord, t.ex till bryggforums databas/adminkonton långa och komplexa
Summa sumarum: oviktiga lösenord behöver inte vara komplexa men gärna långa och osammanhängande
Viktiga: Viktiga lösenord, t.ex till bryggforums databas/adminkonton långa och komplexa
Vilka är online
Användare som besöker denna kategori: 2 och 0 gäster