Nå er det ingen utviklere med respekt for seg selv som lagrer passordene i databasen.

Dagens "standard" bør være Bcrypt (eller tilsvarende), og med riktige innstillinger vil et Bcrypt-hash ta så lang tid å nøste opp i at det er uoverkommelig selv med et kortere passord.

Men det èr riktig som du sier, om du har ètt passord på 40 tegn så hjelper det deg overhodet ikke om du har samme passord overalt. Du er nærmest garantert at noen av dem lagrer passordene i ren tekst, og da er du (unnskyld språket) fucked.

Derfor er en passordløsning som lastpass/keepass/1password løsningen.

Passord i seg selv er ikke så ille, men gjenbruk av passord er. Hvis noen sitter på en database over eposter og passord fra et nettsted så har de allerede god kontroll over den nettsiden, og trenger ikke lenger passord for å få tilgang til ting på den siden. Problemer oppstår når man har registrert seg på så mange nettsteder at man ikke lengre klarer å bruke unike passord som man husker. Da tyr folk til å lage seg en 3-4 passord for sider med stigende viktighet, og så gjenbrukes disse overalt. Alternativt lager de passord som 1234freak.no, 1234facebook.com - og om noen knekker étt av disse - og vet konteksten - så er du like fucked.

Løsningen min er å bruke en passordmanager for alle disse tullenettsidene og generere tilfeldige passord for dem. Da trenger jeg bare å huske passordet for ting jeg kan finne på å aksessere utenom hjemmet (epost, facebook, steam). Disse tilbyr uansett 2-faktor autentisering, så selv om noen skulle snappe opp passordet mitt der med en keylogger så er det ikke trivielt å få brukt det til noe.

En ting jeg også reagerer på er at veldig få nettsider bruker moderne krypteringsalgoritmer eller teknikker for å behandle kundedata. Ofte ser man noen bannere som sier at Norton/Symantec har godkjent siden, eller at den er sikker for betaling pga SSL, men så lagres sannsynligvis kredittkortinfo og passord i klartekst i en eller annen loggfil et eller annet sted. Det burde finnes en slags sertifisering på nettsider som tilbyr login-systemer og browsertillegg som advarer deg om dårlig sikkerhet.

Nesh, flere slike passordprogrammer som allerede har funksjonalitet for å matche domenenavn mot passord. Har til og med sett mulighet til å generere ordlister ut fra URL der man kan velge antall sider som skal crawles og hvor mange hits som trengs før et ord skal registreres som potensielt side-spesifikt.

Ja, men 123steam er ikke noe domenenavn. Heller ikke 123FB, 123nff eller 123twittah, så selv om det er rimelig lett for folk som ser passordene å gjette seg til hvor de skal inn, er det så og si umulig for en maskin å gjøre det samme og enda vanskeligere å generere hele listen ut av bare ett passord.

$program = $_GET[programname]
$most_known_alias = array['fb', 'Face', 'fjesbok'
$password = "$program1234"
Osv osv

Hæ?

Men da er man tilbake til å huske unike passord, greit nok at fjesboka og damp er greit, men det vil garantert bli kluss med et sånt system ^^

Vi er dessverre ikke bygd for å huske 150+ url/passord kombinasjoner.

Akkurat med Facebook blir det noe annet.
Jeg bruker codegenerator (noe jeg antar flere her inne også gjør) som gjør at for å faktisk logge på facebook må jeg inn i facebook på mobilen for å få en kode som skal skrives inn (Kan også mottas på melding). Så selv om noen har passordet mitt vil de aldri komme inn.
Man får også beskjed om når noen har prøvd å logge inn, men ikke har bekreftelsekoden.

Kanskje det er en løsning som kunne blitt brukt oftere. Jeg føler meg veldig trygg når jeg bruker det.

Kan i teorien være sårbar for MITM-angrep som da sniker seg rundt 2-faktors autentisering. Men klart, er man på et wlan/ukontrollert nett så bør man jo også ta visse forhåndsregler.

Sa ikke at jeg ikke husket et eneste ett, jeg vil jo gjerne huske alle sammen.