15 minutt i fengsel etter 3 feil passord, er det nødvendig?

[SveinHa]

Tittelen sier vel det meste... Dette er ikke verdensbankens gullbeholdning en logger inn på så en kan vel lempe litt på sikkerheten...

 

Nå er jo passord blitt såpass vanskelige at jeg har endt opp på 16 tegn passord med store/små bokstaver, tall og spesialtegn på alle mine interne enheter og på eksterne greier har jeg et par standard passord som samtlige modifiseres etter noen relativt faste regler (som må endres i ny og ne) så å huske alle er ikke alltid like enkelt og dermed blir der lett noen bommerter...

[cat0]

Bitwarden er løsningen. Extensions i nettleseren(e) og app på telefonen. Med ett masterpassord kan resten være så kryptiske de bare vil.

[SveinHa]

Har brukt LastPass i årevis og gått over til Bitwarden  for et år siden og er helt avhengig av slike program men så er det disse gangene at en setter opp en ny PC, jobber på en annens PC, internetkafè e.l. og trenger et eller annet fra f.eks. dette forumet og plutselig sitter du i fengsel for et kvarter...

[psv021]

Lange, super-kryptiske passord er vel ikke nødvendigvis sikrere (?) De er i alle fall nesten håpløse å bruke når passordet befinner seg på en annen enhet, f.eks på mobilen. Vanlige ord er derimot mye mer kompatible med kortidshukommelsen, og man "parser" det på brøkdelen av et sekund.

 

Eksempler sjekket med Bitwarden sin passordsjekker:

23knef3_dj)h1:2 ("strong", >10 år å knekke)

er dette lett å huske? ("strong", >10 år å knekke)

mine 4 tilfeldige ord ("strong", >10 år å knekke)

nittenseksti 1960 ("strong", >10 år å knekke)

 

Den eneste forskjellen mellom de er at det kryptiske er vanskeligere å lese for et menneske. Men det er ikke så relevant. Så jeg påstår at ved å velge kryptiske passord så gjør man egentlig bare seg selv en bjørnetjeneste. Det gjør livet litt vanskeligere, og påvirker ikke sikkerheten.

 

Man kan evt gjøre noen egne vurderinger om hvor avanserte passord man vil ha på ulike tjenester. Dersom man selv vurderer f.eks. hjemmeautomasjon som ikke særlig kritisk, så står man jo fritt til å velge et lettere passord.

 

Jeg tipper den 15-minutters karantenen primært er et tiltak mot boter, ikke mennesker.

[SveinHa]

psv021 skrev (4 minutter siden):

Den eneste forskjellen mellom de er at det kryptiske er vanskeligere å lese for et menneske. Men det er ikke så relevant. Så jeg påstår at ved å velge kryptiske passord så gjør man egentlig bare seg selv en bjørnetjeneste. Det gjør livet litt vanskeligere, og påvirker ikke sikkerheten.

Ja, helt enig i det men mange systemer KREVER lange passord med alskens krøll og derfor endte jeg på mitt 16 tegn lange passord i håp om at det ikke trenger endres på noen år. Dette brukes kun på mine interne systemer og skulle noen klare å hacke det så er det ikke så farlig.

 

De aller fleste av mine passord burde jeg greit klare å gjette men det krever altså noen forsøk av og til... og plutselig sitter jeg i spjeldet og tvinner vindskit...

 

Linux hadde en gang for mange år siden en passordgenerator som produserte lesbare kompliserte passord men har ikke sett noe til den på et par tiår... Vet ikke om den eksisterer eller om den er brukende i dagens omgivelser...

[sbarmen]

Jeg tenker det er helt nødvendig. Det er kritisk viktig at man har en eller annen mekanisme for å begrense brute-force av passord. 

 

Password manager burde være en obligatorisk del av alles kjernesoftware, like viktig som antivirus (nesten).