Du må være registrert og logget inn for å kunne legge ut innlegg på freak.no
X
LOGG INN
... eller du kan registrere deg nå
Dette nettstedet er avhengig av annonseinntekter for å holde driften og videre utvikling igang. Vi liker ikke reklame heller, men alternativene er ikke mange. Vær snill å vurder å slå av annonseblokkering, eller å abonnere på en reklamefri utgave av nettstedet.
  11 1123
Da jeg stod opp idag fikk jeg ikke logget meg inn på facebook pga feil passord. Fant deretter ut at passord på både mail og fb var blitt endret en gang på natten. Fikk utover dagen se at flere tilfeldige innlegg ble likt av personen som hadde tilgang til brukeren min.

Har nå fått tilbake kontroll på fb ved at jeg sendte inn bilde av ID. Når jeg kom innpå stod det at jeg var innlogget på en mobil i Tysnes,men fikk logget av med en gang. mailen har jeg ikke klart å få tilbake, men ettersom det kun var fb mailen var brukt til gjør ikke det noe. Alt av passord er byttet.

Men hva i alle dager har skjedd her? Hva får personen utav å like tilfeldige innlegg? Trenger jeg gjøre noe mer enn å bytte passord? Jeg forstår virkelig ikke hvordan personen har fått tilgang og hva han fikk oppnådd.
Alge faen!
Alge's Avatar
Sitat av tobidass Vis innlegg
Men hva i alle dager har skjedd her? Hva får personen utav å like tilfeldige innlegg? Trenger jeg gjøre noe mer enn å bytte passord? Jeg forstår virkelig ikke hvordan personen har fått tilgang og hva han fikk oppnådd.
Vis hele sitatet...
Husker vi i vennegjengen dreit hverandre ut så det holdt på fb om vi fikk tak i en enhet der noen hadde glemt å logg ut. Innimellom så holdt det i massevis å like visse innlegg som "fornærmede" aldri i livet hadde trykt liker på selv, men det var jo på ingen måte "tilfeldige innlegg" som ble likt da vi kjente personen og viste hva som var kleint å like for den personen.. Poenget mitt er at om du går igjennom det som har blitt likt og bruker hue litt så er det kanskje mulig for deg å se om det er en tilfeldig person som har surra på kontoen din eller om det er noen som kjenner deg.

Trenger du å gjøre noe annet enn å skifte passord? Mye mulig! I verste fall så har vedkommende infiltrert data-en eller telefonen din og får til sendt alt av passord som du logger inn med, eller du har logget inn på en offentlig data som har vert infiltrert. Eller så kan det jo være mulig at personen har kommet seg inn på eposten igjennom dårlige sikkerhets spørsmål (eller hva det heter) og deretter har brukt eposten til å tilbakestille passordet på facebook. En siste mulighet er jo at vedkommende har gjettet passordet ditt om det var ett dårlig passord. Om personen har kommet igjennom med de 2 siste alternativene så er det sannsynlig at personen kanskje kjenner deg

Last ned virus program til pc og telefon, Avast er ett bra virus program som er gratis, scan igjennom å se om den finner noen virus. Enten det eller reformatere data-en og tilbakestill telefon om du skal være 110% sikker (litt styr da)... også naturligvis skift epost på FB. https://www.adlice.com/download/roguekiller/ Dette er også ett knall antivirus som du burde scanne med (til pc)

Ett tips er å aldri logge inn på enheter du ikke stoler på, f.eks offentlige datamaskiner som skole pc, nav osv.. eller på enheter til venner som du ikke stoler 100% på. Og velg alltid ett tilfeldig og sterkt passord med store og små bokstaver og tall og/eller tegn.

For å se alt som personen har gjort på kontoen din så går du inn på "Aktivitetslogg" på FB for å sjekke det (Du viste sikkert dette fra før men)
Sist endret av Alge; 1 uke siden kl. 22:48. Grunn: Automatisk sammenslåing med etterfølgende innlegg.
Trådstarter
73 3
Takk for utfyllende svar.

Det virket derimot ikke som at personen prøvde å drite meg ut. Det så egentlig ut som han bare hadde likt alt av innlegg som var på feeden. Forstår ikke hensikten med dette.

Søkte opp mailen på https://haveibeenpwned.com og fikk opp den var brukt på to sider som var breached. Passordet var dårlig og ikke byttet på lange tider så det er mye mulig de har komt inn på mailen på denne måten.

Får ta en skikkelig omgang med antivirus og formatering.
Hei tobidass!

Det var en middels suspect kar som startet denne tråden for ca. en måned siden. Kan det være du som er "offeret"?

https://freak.no/forum/showthread.ph...light=facebook

-utepaanordnes

EDIT:
Var passordet du brukte på sidene som var blitt "pwnd" det samme som passordet du brukte til mail?
Har søkt opp min egen mail, den var også blitt "delt" fra to sider, men passordet jeg brukte på de sidene er jo ikke det samme som det jeg bruker noen andre steder.
Sist endret av utepaanordnes; 1 uke siden kl. 19:24.
Trådstarter
73 3
Fikk med meg tråden da det pågikk og er enig i at det hele virket meget merkelig, men slik jeg forsto det ville han ikke ha kontroll over brukeren, bare hindre tilgang.

Det som er enda mer merkelig er at det samme som har skjedd meg har nå skjedd med 2 bekjente. En hel drøss tilfeldige likes. Ser ikke ut som noe annet har blitt gjort.

Sitat av utepaanordnes Vis innlegg

EDIT:
Var passordet du brukte på sidene som var blitt "pwnd" det samme som passordet du brukte til mail?
Har søkt opp min egen mail, den var også blitt "delt" fra to sider, men passordet jeg brukte på de sidene er jo ikke det samme som det jeg bruker noen andre steder.
Vis hele sitatet...
Det er mye mulig jeg hadde samme passord. Det var sider jeg ikke har brukt på flere år. Det var nok bare et spørsmål om tid før noe som dette skjedde.
Sist endret av tobidass; 1 uke siden kl. 22:51. Grunn: Automatisk sammenslåing med etterfølgende innlegg.
Limited edition
Moff's Avatar
Dette høres ut som et helt tilfeldig automatisert angrep. I korte trekk er det snakk om en robot som spiser seg rundt på internett og tester forskjellige kombinasjoner av brukernavn og passord på masse ulike tjenester (særlig sosiale medier og e-post). Brukernavn og passord som testes kommer stort sett fra database-lekasjer (haveibeenpwned.com og lignende, åpne kilder), samt ordbøker.

Hvis du har et "svakt" passord, altså et ord eller en frase som finnes i ordbøker, så vil et automatisert angrep få tilgang i løpet av veldig kort tid hvis ditt brukernavn tilfeldigvis blir plukket ut av roboten. Vi mennesker tror vi er gode på å generere tilfeldige og sikre passord, men nesten alle passord du klarer å tenke på som er vanskelige for folk å gjette, men samtidig lette nok til at du klarer å huske dem, de er gjerne barnemat for en robot å finne ut av. Robotene som brukes i dag klarer å se gjennom at du har erstattet i-er med 1-tall og t-er med 7, @ i stedet for a og så videre. De er programmert av mennesker som har interesse for datasikkerhet, og de vet alle triks du og jeg vet om - pluss mange flere.

Nå i dag så er den generelle anbefaling fra alle sikkerhetseksperter at du skal bruke en passord-manager, slik som KeePass eller LastPass. Dette er programmer som bruker et "master-passord" for deg, og så sørger den for å vedlikeholde et helt unikt og sinnsykt sterkt passord for hver eneste tjeneste du skal logge inn på. Jeg har passord-manageren min som en add-on i nettleseren og som en app på telefonen min. Hver gang jeg blir bedt om å logge inn så blir brukernavn og passord automatisk fylt ut av manageren. Disse programmene er også i stand til å automatisk skifte passord på populære plattformer for deg med jevne mellomrom, og du trenger aldri å tenke på det.

Passordene mine ser slike ut: L^9rSve02lnDCuONS*56*%@VtK7Hl#o@

Selv en robot med tilnærmet ubegrenset kapasitet vil bruke flere hundre år på å knekke dette, fordi det er fullstendig tilfeldig og ikke har rot i noe som helst kjent mønster.

Det er mer hassle å bruke passord-managere enn å bare huske passordet sitt selv. Det skal jeg ikke feie under teppet. Særlig hvis du må logge inn fra noen andres maskin (men jeg gjør som regel aldri dette nettopp fordi jeg ikke aner hvor trygg denne maskinen er. Jeg bruker heller bare mobilen min eller nettbrettet, hvor manageren min fungerer). Men om du har lyst til å være på den sikre siden, så er det absolutt verdt å ta det i bruk. Du må også huske på at hvis du bruker en online manager, slik som LastPass er, så er passordene dine lagret et sted i skyen, og det følger selvsagt med sårbarheter knyttet til det. Hvis LastPass gjør en gedigen tabbe og klarer å bli hacket, så kan det gjøre mye skade. Er det mer sannsynlig at det skjer, sammenlignet med at noen klarer å få fysisk tilgang til dine enheter, tekstfila hvor du har skrevet ned passordene dine eller at du logger på fra en virus-infisert maskin? Nei. Jeg stoler mer på en moderne passordmanager enn på mine egne rutiner.

Punkt 2; 2FA (to-faktor-autentisering). Du bør bruke 2FA på alle tjenester som tilbyr dette, særlig de du bryr deg om, som e-post og Facebook. Dette går ut på at du mottar en kode du må skrive inn på for eksempel SMS eller i en 2FA-app. Hensikten er at selv om en hacker eller robot har brukernavn og passord, så kommer de ingen vei uten å samtidig ha fysisk tilgang til din ulåste mobiltelefon - og det skal veldig, veldig godt gjøres. Alle seriøse tilbydere av tjenester i dag støtter 2FA, og som regel trenger du bare én app for å sette det opp, slik som Google Authenticator eller Authy.

2FA er derfor også en relativt god beskyttelse mot at informasjon blir stjålet fra virus-infiserte enheter du bruker underveis.

Når det kommer til motivasjonen for slike angrep så er det som regel så enkelt som at kontoen din (eller PC-en din, hvis hele maskinen på ett eller annet vis blir infisert) blir en del av et bot-nettverk. Over hele verden står det millioner av datamaskiner og mobiltelefoner som er "zombier" i slike bot-nettverk, uten at eieren vet om det. Disse nettverkene kan da brukes til å utføre oppgaver, som å like en Facebook post, en YouTube-video eller et Instagram-bilde, med den hensikt å få løftet posten opp til "trending" eller tilsvarende status. Dette kan brukes til å spre politisk propaganda under valgkamper, spre reklame for et produkt eller i verste fall utføre tjenestenekt-angrep mot noen ved å overbelaste en tjeneste med alt for mange forespørsler samtidig. For tjenesteleverandører så er det utrolig vanskelig å se forskjell på slike zombier og normal trafikk, fordi kontoen din har startet som en helt normal, organisk konto og deretter blitt tatt over av en robot. Det vil ta lang tid før slike kontoer gir noe utslag i statistikk som tyder på at det er robotstyrt, særlig hvis eieren er helt uvitende og bruker kontoen samtidig. Det finnes mange kontoer som blir opprettet av slike roboter også, men disse blir som regel raskt stengt ned igjen fordi det er "relativt" lett å se at det ikke er et menneske som står bak fra starten av.

Og til slutt, hett tips for de som ikke vil ha passord-manager: Ikke bruk et ord, bruk heller en setning som du forkorter, slik at du tar forbokstaven i hvert ord og danner et passord ut i fra det. Det vil være mye bedre enn et ord eller en hel setning, fordi det fremstår som mye mer tilfeldig.

Tilfeldig eksempel på et slikt passord som jeg vil være i stand til å huske: .i4A5b1D,7@t9D8o4W6-

Huskeregel:
- Punktum først.
- Skriv setningen "I am become death, the destroyer of worlds" med kun forbokstaver, annen hvert ord med stor og liten bokstav og start med liten.
- Mellom hver bokstav, skriv inn ett siffer fra telefonnummeret mitt. (Spoiler, dette er ikke mitt telefonnummer.)
- @ midt inni.
- Bindestrek til slutt.

Resultatet er 20 tall, bokstaver og tegn i en tilsynelatende helt tilfeldig rekkefølge som vil være svært vanskelig for en robot å knekke.
Gyps africanus
vidarlo's Avatar
Sitat av Moff Vis innlegg
Og til slutt, hett tips for de som ikke vil ha passord-manager: Ikke bruk et ord, bruk heller en setning som du forkorter, slik at du tar forbokstaven i hvert ord og danner et passord ut i fra det. Det vil være mye bedre enn et ord eller en hel setning, fordi det fremstår som mye mer tilfeldig.

Tilfeldig eksempel på et slikt passord som jeg vil være i stand til å huske: .i4A5b1D,7@t9D8o4W6-
Vis hele sitatet...
Kan du hugse 150-200 av dei der?

Ha unike passord. Over fuckings alt. Største trusselen i dag er at passord havner på avvege frå ein database, og om det passordet kun er brukt den eine plassen er følgeskader av det minimal.
Sitat av Moff Vis innlegg
Og til slutt, hett tips for de som ikke vil ha passord-manager: Ikke bruk et ord, bruk heller en setning som du forkorter, slik at du tar forbokstaven i hvert ord og danner et passord ut i fra det. Det vil være mye bedre enn et ord eller en hel setning, fordi det fremstår som mye mer tilfeldig.

Tilfeldig eksempel på et slikt passord som jeg vil være i stand til å huske: .i4A5b1D,7@t9D8o4W6-
Vis hele sitatet...
Men du vil ikke huske mange varianter av de. Og det er omtrent like sikkert som “JegHarIngenPassord”

Vil man ikke bruke en passordmanager er dette det beste tipset: https://www.clasohlson.com/no/b/Kont...pir/Notatblokk

Det er langt mindre risiko for at noen stjeler notatblokken din enn at passord lekket fra én tjeneste kan brukes hundre andre steder

https://nsm.stat.no/blogg/passordrad/
Sist endret av liasis; 1 uke siden kl. 11:16.
Limited edition
Moff's Avatar
Nå ble dette tatt litt ut av kontekst; Jeg støtter fullt og helt bruken av passord-managere, bruker dem selv, og fraråder å ha ett passord for alle tjenester. Det jeg skriver er det jeg mener er best-practice for folk som på død og liv ikke vil bruke passord-managere, og dermed er bundet til å ha det samme eller svært like passord på alle tjenester, fordi de ikke klarer å huske mange av dem.

Å skrive ned passord på et ark fungerer hvis du stoler fullt og helt på de du eventuelt bor sammen med, og du ikke logger inn fra offentlige steder hvor alle forbipasserende vil kunne se notatarket ditt.
Sitat av Moff Vis innlegg
Nå ble dette tatt litt ut av kontekst; Jeg støtter fullt og helt bruken av passord-managere, bruker dem selv, og fraråder å ha ett passord for alle tjenester. Det jeg skriver er det jeg mener er best-practice for folk som på død og liv ikke vil bruke passord-managere, og dermed er bundet til å ha det samme eller svært like passord på alle tjenester, fordi de ikke klarer å huske mange av dem.

Å skrive ned passord på et ark fungerer hvis du stoler fullt og helt på de du eventuelt bor sammen med, og du ikke logger inn fra offentlige steder hvor alle forbipasserende vil kunne se notatarket ditt.
Vis hele sitatet...
Er ikke dette da litt som å råde folk til å bruke refleksvest hvis de absolutt skal spille slåball på E6 om natten? Det er jo teknisk sett sikrere, men er det relevant?

Det sagt, så er jeg ærlig talt ikke sikker på om jeg er enig i at algoritmen din lager spesielt sikre passord overhode. Si at jeg er ute etter å pwne deg, og at jeg vet at du lager dine passord etter dette mønsteret. Da vet jeg at bokstaver som E og S vil være vanlige i passordet ditt, mens Q og Z er sjeldne. Faktisk, jeg kan bare telle antall ord under hver bokstav i ordlista, og dermed få en sannsynlighetsfordeling. Jeg vet ca. hvor du liker å plassere tegn. Det hjelper meg en del. Videre, dette med å velge kjente fraser - det er jo galskap. Hvor mange kjente sitater finnes det? Ikke spesielt mange! Det forenkler søkerommet betraktelig. Dessuten bemerker jeg at du valgte et interessant eksempel i så måte: Det var Oppenheimer som udødeliggjøre de ordene da han så den første atomprøvesprengningen. Du har skrevet mye realfaglig her inne opp gjennom årene, så dette er saker jeg vet at du vet! Men er det like sannsynlig at du ville valgt et sitat av Jesus? Neppe. Det er det derimot ganske sannsynlig at sognepresten ville gjort. Poenget mitt er at jo mer jeg vet om deg som person, jo mer sårbart er passordet ditt. Det er en egenskap passordet helst ikke burde ha. Dersom jeg i tillegg har tilgang på ett av dine tidligere brukte passord, så er det veldig lett å finne sannsynlige kandidater for andre plasser. Jeg ville heller gått for diceware da. Det er langt enklere å bruke, langt sikrere og lettere å huske. Generelt bedre på alle måter. Selv om angriperen din vet at du lager passordene slik, så vil ingen verdens kunnskap om deg som person hjelpe de en millimeter på veien.
Sist endret av Myoxocephalus; 1 uke siden kl. 17:59.
Gyps africanus
vidarlo's Avatar
Sitat av Moff Vis innlegg
Nå ble dette tatt litt ut av kontekst; Jeg støtter fullt og helt bruken av passord-managere, bruker dem selv, og fraråder å ha ett passord for alle tjenester. Det jeg skriver er det jeg mener er best-practice for folk som på død og liv ikke vil bruke passord-managere, og dermed er bundet til å ha det samme eller svært like passord på alle tjenester, fordi de ikke klarer å huske mange av dem.

Å skrive ned passord på et ark fungerer hvis du stoler fullt og helt på de du eventuelt bor sammen med, og du ikke logger inn fra offentlige steder hvor alle forbipasserende vil kunne se notatarket ditt.
Vis hele sitatet...
Nei, det er nettopp det som er poenget. Rådet ditt er det vi har prøvd i 30-40 år. Det funker ikkje, og det forhindrer ikkje den viktigaste angrepsvektoren, som er passordlekkasjer. Problemet er ikkje folk som shouldersurfer passordet ditt. Problemet er lekkasjer.

Forbipasserande vil jo sjølvsagt ha små sjanser til å memorere eit av fleire passord på eit ark når dei går forbi... Det er langt tryggare å ha eit slikt opplegg, enn felles passord for fleire tenester.

Dessutan er best practice for folk som ikkje vil bruke programvare for passordstyring omtrent som å ha best practice for folk som insisterer på å køyre i fylla...
Trådstarter
73 3
Takk for mange gode tips. Tok en god gjennomgang kort tid etter og byttet alt av passord ved hjelp av LastPass.