Våre regler
Hvis du leser innlegg på VGD du mener er i strid med våre regler (les reglene her) kan du trykke på dette symbolet over det aktuelle innlegget. VG Nett vil vurdere om innlegget skal fjernes.

Hvorfor passordhelvete ?

NYTT TEMA
inspector
inspectorInnlegg: 9497
15.03.20 16:35

Noterte nylig alle passord og brukernavn som jeg trenger i mitt daglige virke og antallet ble stort. Passord som må endres med ulike intervaller og som har forskjellige innholdskrav. Heldigvis noterte jeg dem på en lapp slik at alle applikasjoner kan brukes fra hjemmekontoret.

Hvorfor må det være slik ? Sikkerheten blir jo ikke akkurat imponerende når huskelapper med passord ligger på alle arbeidsplasser.....

hillebillys
hillebillysInnlegg: 10006
15.03.20 17:02

Det kommer av at noen i ledelsen, og endel itkonsunlenter.

 

 

 

Trur att jo oftere pw må endres jo tryggere er det..

Teorien er jo riktig her.
Problemet er att hvergang pw må endres, så blir det ett enklere pw.

Har jobbet steder hvor alle hadde samme pw..  I mai hadde dem Mai2017.. Så når pw skulle skiftes i overgang til juni. Så blei det Juni2017...  Alle sammen...  Selvsagt ingen som hadde blitt enige om det.  Men det var slik det blei.

Dette kommer jo att folk flest husker ikke nytt pw hver eneste mnd, så da blir det mnd og året..  

Annen løsning er som du gjør. lapper med pw notert...   

Poenget med pw er jo da selvsagt helt borte...

(Innlegget ble redigert 15.03.20 17:03)

inspector
inspectorInnlegg: 9497
15.03.20 19:02

Må også tidvis legge inn brukernavn pga ustabil lagring.

I forrige uke så jeg at kollegaen i ren frustrasjon, hadde navnet snarveien med passord og brukernavn. 

It-konsulentene lever åpenbart i sin egen verden.....

(Innlegget ble redigert 15.03.20 19:02)

TheBracket
TheBracketInnlegg: 40800
15.03.20 19:07

Pålogging med selvvalgte passord på systemer og epostkontoer hvor det er lagret sensitiv informasjon, er like avleggs som Minidisc og årelating. 

(Innlegget ble redigert 15.03.20 19:07)

oknext
oknextInnlegg: 4076
16.03.20 08:53
TheBracket: Pålogging med selvvalgte passord på systemer og epostkontoer hvor det er lagret sensitiv informasjon, er like avleggs som Minidisc og årelating.

Utfordringen for oss IT konsulenter er at bedriftene sjelden ønsker å bruke penger på slikt.


Men jeg skal være enig i at ikke alltid skogen sees for trær og at fokuset er feil, selv om tankegangen er riktig eller motsatt.

inspector
inspectorInnlegg: 9497
16.03.20 19:25

Etter en ferie eller annet fravær fra pc'n må du nesten regne med plunder og heft før alt fungerer som det skal.

Innenfor en trygg Citrix e.l.  burde være mulig å redusere dette problemet evt med fingeravtrykkslesing.

(Innlegget ble redigert 16.03.20 19:26)

inspector
inspectorInnlegg: 9497
17.03.20 09:38

I tillegg og for sikkerhets skyld driver it-avdelingen oppgraderinger, endringer og vedlikehold av dataløsningene midt i coronakaoset. Årsak må være at dagens arkitektur mangler både robusthet, dimensjonering og kvalitet som takler unormale situasjoner. Kort sagt altfor mye laget av datanerder og for datanerder.


Og sånn går no dagan.....

petterG
petterGInnlegg: 9684
17.03.20 09:47
inspector: Etter en ferie eller annet fravær fra pc'n må du nesten regne med plunder og heft før alt fungerer som det skal.

Etter 35 år med PC har jeg ingen erfaringer som tilsier at dette stemmer...

inspector
inspectorInnlegg: 9497
17.03.20 10:15

PetterG:


Noen av oss benytter noen flere applikasjoner enn bare standard Office....

petterG
petterGInnlegg: 9684
17.03.20 12:54
inspector: Noen av oss benytter noen flere applikasjoner enn bare standard Office....

Jøss, OK...


Faren min er forresten sterkere enn faren din.

Speciale
SpecialeInnlegg: 6520
17.03.20 14:22
TheBracket: årelating.

Når har det blitt avleggs? Jeg årelates hver 6.uke, året rundt, resten av livet.

inspector
inspectorInnlegg: 9497
17.03.20 18:38

Er det forresten noen it-folk her på vgd som kan gi oss løsninger som fungerer og som ikke krever programmeringskompetanse ?

ehall
ehallInnlegg: 21785
17.03.20 20:55
inspector: Etter en ferie eller annet fravær fra pc'n må du nesten regne med plunder og heft før alt fungerer som det skal.

Lederen hos oss sa at hvis du husker passordet når du kommer tilbake fra ferie, har du ikke hatt en ordentlig ferie :)


Jeg lar browser huske passord på jobben. Tror det er sikkert nok med det vi ellers har av løsninger


Privat er det Apple som huske alle mine passord, jeg stoler på at Apple ikke lekker ut de. Stoler også på at Apple har sikkerhetsløsninger som gjør at jeg ikke kan hackes (som iPhone).


Hadde huskelapper før men det ble rett og lett for slitsomt, kanskje IT folk tenker isolert på sitt eget system og ikke at brukeren har en haug å forholde seg til. Og at passord tross alt er bare en inngang for å gjøre jobben, det er ikke jobben som det er for IT folk.

petterG
petterGInnlegg: 9684
17.03.20 23:53

Skriv opp passordet på en lapp og lagre det i lommeboken eller lagre det i telefonen. Jeg gjør det slik - metoden er 99,99 % sikker. 


Skal forklare i morgen.

Trenberth
TrenberthInnlegg: 4634
18.03.20 10:57
oknext: Utfordringen for oss IT konsulenter er at bedriftene sjelden ønsker å bruke penger på slikt.

Det er helt riktig. Det finnes løsninger som kan implementeres som gjør det langt enklere og sikrere for sluttbrukeren.


Men det koster penger og dette blir ofte nedprioritert.


 

Sevens7ar
Sevens7arInnlegg: 864
18.03.20 16:15
inspector: Noterte nylig alle passord og brukernavn som jeg trenger i mitt daglige virke og antallet ble stort. Passord som må endres med ulike intervaller og som har forskjellige innholdskrav. Heldigvis noterte jeg dem på en lapp slik at alle applikasjoner kan brukes fra hjemmekontoret. Hvorfor må det være slik ? Sikkerheten blir jo ikke akkurat imponerende når huskelapper med passord ligger på alle arbeidsplasser.....

Det er overhodet ingen grunn til å endre et sikkert passord som ikke har blitt kompromittert. At passord liksom har en utløpsdato er en ulogisk og grunnløs tanke som dessverre har festet seg og spres videre, typisk med uheldige konsekvenser som det hillebillys beskriver.

På sider som Have I Been Pwned kan man kontrollere om kontoer, passord eller tjenester man benytter har blitt kompromitterte.

Passordmanagere som KeePassXC eller Bitwarden er til stor hjelp for å håndtere alle kontoer og passord man har, inkludert mulighet for å generere svært lange og sikre passord.

Ellers er det mye riktig i det petterG sier òg: Å skrive ned passord på papir, ikke digitalt, er egentlig en veldig sikker metode. Særlig hvis man noterer dem på en måte som gjør det vanskelig for uvedkommende å identifisere konkret hvilken tjeneste de forskjellige passordene tilhører. Husk bare å ha en kopi liggende i tilfelle du skulle miste den ene. Sjansen for å bli ranet er liten, og ransmenn er som regel ikke ute etter passordene dine.

petterG
petterGInnlegg: 9684
18.03.20 17:33

Her er mitt utgangspunkt for et trygt passord(eksempel):

«D*2+eT3&/r%Pdef//DT5#g?»

Ut av dette plukker jeg bokstavene til et selvvalgt ord, her fjerner jeg bokstavene i «PetterG», og sitter igjen med «D*2+3&/%df//D5#?».

Alt jeg trenger å huske nå er koderordet mitt(PetterG) og hvordan det skrives(store/små bokstaver). Selve passordet(hele greia) har jeg på en lapp i lommeboka og som et bilde på telefon. 

Dette kan utvides og utvikles i det uendelig og vil være nær 100 % sikkert. Mitt private kodeord er litt mer komplisert enn eksempelet her.

Jeg klarere ikke å se noen brist i dette. Anyone?

(Innlegget ble redigert 18.03.20 17:35)

F.R.O.G
F.R.O.GInnlegg: 13965
19.03.20 09:00
inspector: Noterte nylig alle passord og brukernavn som jeg trenger i mitt daglige virke og antallet ble stort. Passord som må endres med ulike intervaller og som har forskjellige innholdskrav. Heldigvis noterte jeg dem på en lapp slik at alle applikasjoner kan brukes fra hjemmekontoret. Hvorfor må det være slik ? Sikkerheten blir jo ikke akkurat imponerende når huskelapper med passord ligger på alle arbeidsplasser.....

Bruk programmet "lastpass" dette har jeg brukt i mange år og det tar vare på alle passord. Du trenger bare et "masterpassord" for å logge inn der, alt du trenger å huske. Dette er stort sett helt sikre ordninger. De er forsøkt hacket en gang, og da gikk det melding ut til alle at de måtte skifte "masterpassordet" sitt. Dette er jo langt tryggere en å skrive det ned på papirlapper. Men ingenting er 100% sikkert.

petterG
petterGInnlegg: 9684
19.03.20 09:52
F.R.O.G: Dette er jo langt tryggere en å skrive det ned på papirlapper.

Papirlapper er stort sett 100 % sikkert, så lenge man ikke tar dem med ut av hjemmet...

b0lle
b0lleInnlegg: 13741
19.03.20 12:43
petterG: Skriv opp passordet på en lapp og lagre det i lommeboken eller lagre det i telefonen. Jeg gjør det slik - metoden er 99,99 % sikker.

Alternativt så er det jo slik at du kan hente ut alle passord som lagres i nettleser ved å benytte passord for innlogging på PC/Mac. De fleste operativsystemer har jo også egne apper for å huske passord, enten det er desktop eller mobil.

 

Jeg har i motsetning til TS aldri opplevd dette som et problem. 

(Innlegget ble redigert 19.03.20 12:43)

PeakOfEternaILight
PeakOfEternaILightInnlegg: 600
20.03.20 23:08
petterG: Jeg klarere ikke å se noen brist i dette. Anyone?

Ingen brist. Passordet kan neppe knekkes. Men passordet kan lekkes om en side det brukes på har elendig sikkerhet og kryptering. Derfor bør man bruke forskjellige passord på alle sider, spesielt de du ikke vil at uvedkommende skal ha tak i. Et passord med lengde over typ 8 tegn som inneholder tall og spesialtegn kan, med dagens prosessorkraft, neppe knekkes med brute force. Derimot, om det inneholder vanlige ord og tallsekvenser/datoer kan det være sårbart for dictionary-attack. I ny og ne breaches også store databaser med passord, og disse listene med passord blir brukt i angrep. Derfor er det lurt å sjekke om passordet ditt har blitt lekket, som Sevens7ar nevner.


Uansett, det finnes ingen grunn til å ikke bruke en passordmanager som f.eks. LastPass. Her trenger du å huske ett eneste passord, så husker den resten for deg. Det eneste passordet du trenger ellers er innlogging til PC-en. Disse anerkjente passordmanagerne bruker svært sikre metoder for å hashe og salte innloggingsinformasjonen, og er til å stole på.

return_of_drakkar
return_of_drakkarInnlegg: 25798
21.03.20 17:47
TheBracket: Pålogging med selvvalgte passord på systemer og epostkontoer hvor det er lagret sensitiv informasjon, er like avleggs som Minidisc og årelating.

Tror ikke akkurat det.
Ofte har man jo 2-stegs identifisering slik som:


bruker og passord + microsoft authentication på mobilen.

return_of_drakkar
return_of_drakkarInnlegg: 25798
21.03.20 17:48
hillebillys: Annen løsning er som du gjør. lapper med pw notert... Poenget med pw er jo da selvsagt helt borte...

Farene er vel først fremst utenfra, og helst ikke innenfra.
Så lapper i seg selv er kanskje ikke det verste.

return_of_drakkar
return_of_drakkarInnlegg: 25798
21.03.20 17:51
inspector: I tillegg og for sikkerhets skyld driver it-avdelingen oppgraderinger, endringer og vedlikehold av dataløsningene midt i coronakaoset. Årsak må være at dagens arkitektur mangler både robusthet, dimensjonering og kvalitet som takler unormale situasjoner. Kort sagt altfor mye laget av datanerder og for datanerder.

IT-avdelinger begår ofte "statskupp" og er de som styrer skutene.
De er ikke for de andre . men de andre er for dem :)-

return_of_drakkar
return_of_drakkarInnlegg: 25798
21.03.20 17:55
petterG: Jeg klarere ikke å se noen brist i dette. Anyone?

Ikke så enkelt å huske noe slikt i alle fall :).

Det er vel også nå slik at det anbefales andre typer passord, slik som hele setninger på en måte a la (selvsagt fiktiv).
Bemerk at spacene her bare er for vise typen, ivirkleigheten der ikke der:

jeg liker vgd men det kan jeg ikke si til noen in the YEAR 2525

 

(Innlegget ble redigert 21.03.20 17:55)

InnocentBystander
InnocentBystanderInnlegg: 9747
21.03.20 17:58
Sevens7ar: På sider som Have I Been Pwned kan man kontrollere om kontoer, passord eller tjenester man benytter har blitt kompromitterte.

Det er vel litt naivt? I angrep på bedriftar vil eg nok anta at den som har passord vil holda dei for seg sjølv. Så spørsmålet blir då korleis ein veit om passordet er kompromittert?


No vil eg ikkje ha for sterke meiningar om kor ofte passord bør byttast, men mine mest jobbkritiske passord blir bytta daglig. Fordi vi ikkje kan vita om dei har blitt kompromittert av intrengarar.

PeakOfEternaILight
PeakOfEternaILightInnlegg: 600
21.03.20 18:00
return_of_drakkar: Ikke så enkelt å huske noe slikt i alle fall :). Det er vel også nå slik at det anbefales andre typer passord, slik som hele setninger på en måte a la (selvsagt fiktiv).
Bemerk at spacene her bare er for vise typen, ivirkleigheten der ikke der: jeg liker vgd men det kan jeg ikke si til noen in the YEAR 2525

Det er ingen grunn til å ikke ha med space i passordet. Det trenger heller ikke å være så langt. Men allikevel, et slikt passord kan være sårbart for dictionary-attack. Naturligvis ganske usannsynlig, men for å gardere seg mot dette, kan man legge til et spesialtegn eller tall eller lignende midt i ett eller flere av ordene. Som f.eks.

 

Jeg li_ker vgd m*en

(Innlegget ble redigert 21.03.20 18:02)

PeakOfEternaILight
PeakOfEternaILightInnlegg: 600
21.03.20 18:16
InnocentBystander: Det er vel litt naivt? I angrep på bedriftar vil eg nok anta at den som har passord vil holda dei for seg sjølv. Så spørsmålet blir då korleis ein veit om passordet er kompromittert?
No vil eg ikkje ha for sterke meiningar om kor ofte passord bør byttast, men mine mest jobbkritiske passord blir bytta daglig. Fordi vi ikkje kan vita om dei har blitt kompromittert av intrengarar.

Det stemmer nok, antar det er passord fra foreløpig kjente breach som etter hvert havner i databasen på den siden. Om du blir utsatt for phishing på jobbmailen og gir ifra deg passordet vil nok ikke det havne der med det første.

 

Men bruker dere ikke tofaktorautentisering på deres systemer på jobben? Det er litt merkelig, høres veldig lite praktisk ut å bytte passord hver dag.

(Innlegget ble redigert 21.03.20 18:16)

return_of_drakkar
return_of_drakkarInnlegg: 25798
21.03.20 18:24
PeakOfEternaILight: Det er ingen grunn til å ikke ha med space i passordet.

Det blir en smaksak.
Hva som også er lettest å taste inn.
Noen har at passordet må ha minst så så mange tegn totalt.
Jeg er enig om spesialtegn, men for noen systemer bør man faktisk ikke ha det - men brukere skal jo ha instruks om spesielle forhold og forholdene generelt (forhold=krav)...


 

return_of_drakkar
return_of_drakkarInnlegg: 25798
21.03.20 18:27
Sevens7ar: Det er overhodet ingen grunn til å endre et sikkert passord som ikke har blitt kompromittert. At passord liksom har en utløpsdato er en ulogisk og grunnløs tanke som dessverre har festet seg og spres videre, typisk med uheldige konsekvenser som det hillebillys beskriver.

Mange systemer krever at passord byttes etter x antall dager.
Og at man ikke kan gjenbruke f.eks x antall sist brukte.

Om det motsier ditt utsagn skal jeg ikke hevde noe som helst om.

(Innlegget ble redigert 21.03.20 18:30)

Klikk for å gå tilbake til toppen

Siste innlegg