Ser ofte anbefalinger om å bruke Lastpass o.l. Det er jo unektelig praktisk, men hvis man vil holde passordene sine trygge slår det meg som en ganske dårlig ide å samle alle på ett sted. Da holder det å hacke eller gjette passordet til Lastpass, så har man ALT.

Poenget er å ha forskjellige passord forskjellige stader, fordi passord kjem på avvege, gjennom dårleg sikra tenester.

Kontoen du har på freakforum er neppe katastrofe for deg å miste, men om du har samme passord overalt vil ein databaselekkasje på freak.no true e-postkontoen din, paypalkontoen din, også viare. Då kan det brått få kjipe konsekvenser.

Uten passordhandteringsverkty er det i praksis ikkje gjennomførbart å ha gode, unike, passord over alt. Lastpass støtter 2FA og, t.d. Yubikey, slik at passordet åleine ikkje er nok. Ting som keepass er ikkje skybasert, og ergo i teorien litt tryggare.

Så ja; passordhandteringsverkty er best practice per i dag.

Jeg bruker samme, eller lignende, passord på tjenester hvor sikkerhet ikke er så veldig viktig, type nettaviser og småspill på telefon. På email og nettbank og alt sånt bruker jeg forskjellige. Det er klart det er litt knot å holde styr på flere sterke passord, men da er det i det minste slik at hvis noen finner passordet mitt på gmail så vet de ikke samtidig passordet på jobbmail, nettbank, FB, osv osv. Det får de derimot hvis de klarer å hacke keepass osv. For å si det slik, om jeg var hacker, ville jeg satsa alt på å hacke en av passordhåndteringsprogrammene. Eller enda bedre, lage et håndteringsprogram med en bakdør.

Jo, men produkt som lastpass har sikkerhet som primærvirkeområde. Dei fleste andre bryr seg meir om å lage software, og mindre om at det er veldig trygt, noko alle lekkasjane har demonstrert. Det har heller ikkje vore store, systematiske, lekkajser frå slike verkty. Og om det er ei bekymring, så kan du bruke Keepass, som er opensource, og på din eigen PC.

Hovudproblemet i dag er gjenbruk av passord, og einaste løysinga av det er at folk kun har eitt passord (eller gjerne ei lang setning!) å halde styr på. Det er verdien av verktøy som U2F og Lastpass eller Keepass.

Men hvis en derimot istedet brukte energi på å huske alle passordkombinasjonene for hver enkelt side, heller brukte den energien på å huske et veldig bra passord til f.eks. LastPass. Så vil jeg påstå, at du er mye sikrere med LastPass. Du kan også ha et bra passord, sammen med at du fyller på med tegn i passordet, bare så det blir mange siffer.

La oss si at ditt passord = PaSsOrD (idiotisk dårlig passord, men greit nok her).

Når en bruteforcer passord, så vil dette passordet bli brutt fort. Tar du med "ordbok" også, veldig fort.

Men med å fylle på med tegn, så kan du f.eks. ta 0123456789PaSsOrD9876543210
Du kan bruke flere tegn også sammen med slikt som /*-+=?! og en del andre. Hvis du har med alle typer tegn i ditt passord, har du ca. 70-75 alternativer med ett siffer. Med det eksemplet ovenfor, så har du 27 siffer. For å regne ut alternativer, så er det f.eks. 70²⁷ = 6.5712362363534280139543*10⁴⁹ eller 65712362363534280139543000000000000000000000000000 alternativer. Da må en datamaskin gruble en god stund, om den skal gjette alle, før en treffer riktig. Selv om datamaskinen tygger igjennom 1 000 000 000 tall i sekundet. Det blir et antall år på 34 siffer, før den har klart å tygge igjennom alle kombinasjoner. Dette begynner å bli sikkert.

Bruker keepass og 2fa (hvor det støttes).

På mindre viktige sider bruker jeg bare «glemt passord» hver gang jeg skal logge inn. Kan godt si det er knot, men det er nå sin sak.

Er ofte bare logget inn via tlf på disse sidene. Tlf er igjen relativt sikker.