Observera

Du läser en tråd som är taggad med Labmaster. Detta är en föråldrad och felkonstruerad apparat som inte ger ren sprit. Om du planerar ett nybygge se till att inte bygga en labmaster. Läs mer i dessa trådar Destillationsteori och teknik och Kolonnbrännartyper

Säkerheten på forumet..?

Saker som rör driften av forumet.
träpanel
Newbie
Inlägg: 2
Blev medlem: tor mar 06, 2014 16:18

Säkerheten på forumet..?

Inlägg av träpanel »

Hej.. Har en liten fråga angående säkerheten här på forumet.. Hur lagras lösenorden här? Såg att jag fick mitt lösenord skickat till mig i klartext efter att jag registrerade mig, därför jag undrar.. :)

Mvh
latmasken
Brygguru
Inlägg: 4506
Blev medlem: tor sep 30, 2010 11:57

Re: Säkerheten på forumet..?

Inlägg av latmasken »

Verkar vara ett känt "problem" med phpBB3. Håller med om att det ju inte alls är "best practise" idag...
Knox
Brygguru
Inlägg: 1505
Blev medlem: ons nov 25, 2009 21:22
Ort: Borås

Re: Säkerheten på forumet..?

Inlägg av Knox »

Har för mig att phpBB hashar lösenorden men mailet skickas med det du skrev in och inte från databasen
träpanel
Newbie
Inlägg: 2
Blev medlem: tor mar 06, 2014 16:18

Re: Säkerheten på forumet..?

Inlägg av träpanel »

Okok.. får hoppas på att pw databasen är skyddad på nåt sätt iaf:-)
Knox
Brygguru
Inlägg: 1505
Blev medlem: ons nov 25, 2009 21:22
Ort: Borås

Re: Säkerheten på forumet..?

Inlägg av Knox »

Ett tipps som gäller alla hemsidor, använd inte samma lösenord på flera sidor, speciellt inte det lösenordet ni har till er mail
Användarvisningsbild
stillton
Brygguru
Inlägg: 2400
Blev medlem: ons mar 04, 2009 18:20
Utrustning: välutrustad...

Re: Säkerheten på forumet..?

Inlägg av stillton »

Knox skrev:Ett tipps som gäller alla hemsidor, använd inte samma lösenord på flera sidor, speciellt inte det lösenordet ni har till er mail
precis. jag blir så jävla less på alla som predikar att man ska byta lösenord minst en gång per år. det är ett helt värdelöst råd som bara leder till att folk byter till samma dåliga lösenord till alla tjänster.

så hur väljer man ett lösenord?
börja med ett enkelt lösenord som du baserar på en ramsa, låttext eller liknande. ex: "Be Yourself; everyone else is already taken" försök att få in minst en versal, ett specialtecken och en siffra där.
BYee1@t
lägg nu till eller ändra tecken beroende på vad webadressen du besöker heter. exempelvis
B1Yee1@0t för att bryggforum har 10 tecken.
och B1Yee1@0tR2 för att det är det näst sista bokstaven och första tecknets motsvarighet till siffra i alfabetet i webbadressen.
Det går att komma på tusentals såna regler som gör ditt lösenord unikt, men du behöver bara komma ihåg ramsan och ett par tre regler som gäller för alla dina lösenord. Nu har du ett lösenord som är säkrare än 99% av alla dom som regelbundet byter lösenord.
Knox
Brygguru
Inlägg: 1505
Blev medlem: ons nov 25, 2009 21:22
Ort: Borås

Re: Säkerheten på forumet..?

Inlägg av Knox »

http://xkcd.com/936/ är ett annat exempel på hur man kan skapa lösenord med hög entropi
latmasken
Brygguru
Inlägg: 4506
Blev medlem: tor sep 30, 2010 11:57

Re: Säkerheten på forumet..?

Inlägg av latmasken »

Förr var det värre eftersom i många fall kunde lösenordet vara max 10 tecken eller nåt liknande, men idag kan lösenorden oftast vara långa så det är mycket bättre att ha ett långt "enkelt" lösenord.

GodJul2013OchGottNyttÅr2014! har t.ex. mycket högre entropi än B1Yee1@0tR2

Man kan testa sina varianter av lösenord t.ex. här
http://rumkin.com/tools/password/passchk.php

Observera dock att man aldrig ska använda skarpa lösenord för test, såna där sidor KAN ju vara skrivna för att logga lösenorden.


MEN, sen ska man ju då som sagt var tänka på att en del sajter kanske inte lagrar lösenordet krypterat eller att en hackare kan sniffa lösenordet. Så även om ett lösenord i stil med

ElektronikForumet2014!

har väldigt hög entropi så är det inte så himla bra att använda.
Knox
Brygguru
Inlägg: 1505
Blev medlem: ons nov 25, 2009 21:22
Ort: Borås

Re: Säkerheten på forumet..?

Inlägg av Knox »

Bäst är att använda långa lösenord med slumpmässiga tecken t.ex. egtropkOKr'0kLK##DgdHPAPldlpegp men inte en jävel kommer ihåg det så det är lättare att slå ihop några osammanhängande ord t.ex. PrydnadÖlPankaka2832 vilket är en lösenord som är svårt att få fram med bruteforce. Men detta gäller enbart om lösenorden är hashade med sha2 el bättre (md5 och sha1 duger inte)
latmasken
Brygguru
Inlägg: 4506
Blev medlem: tor sep 30, 2010 11:57

Re: Säkerheten på forumet..?

Inlägg av latmasken »

Knox skrev:Bäst är att använda långa lösenord med slumpmässiga tecken t.ex. egtropkOKr'0kLK##DgdHPAPldlpegp
Det är möjligen lite säkrare mot ordliste-attacker, men mot ren brute force är det inte så mycket bättre än ett långt lösenord byggt på vanliga ord.
Knox
Brygguru
Inlägg: 1505
Blev medlem: ons nov 25, 2009 21:22
Ort: Borås

Re: Säkerheten på forumet..?

Inlägg av Knox »

Sa jag något annat? Det är överlag bättre med en nyckel baserad på (sann) slump än en baserad på psedoslump(den mesta datorgenererade) eller sammansatta ord
latmasken
Brygguru
Inlägg: 4506
Blev medlem: tor sep 30, 2010 11:57

Re: Säkerheten på forumet..?

Inlägg av latmasken »

Jag är lite kinkig med hur folk använder begreppet "bäst":)

Ett rent slumpat lösenord KAN om man har otur vara enklare att knäcka, eftersom ur slumpens synvinkel är lösenordet 11111 precis lika slumpmässigt som lösenordet 37931.

Sen är det just det här med svårigheten att komma ihåg lösenordet som gör att det som är svårast att knäcka inte alltid är "bäst", eftersom ingen kedja är säkrare än den svagaste länken. Är lösenordet för svårt att komma ihåg så skriver folk ner det (vilket i många fall är värre än att ha ett lösenord som är lite lättare att knäcka).

Om det dessutom är ett lösenord som man måste skriva in 25 gånger under en vanlig arbetsdag så kan långa konstigt lösenord vara kontraproduktiva.

Så det som är "bäst" är ett lösenord som är "tillräckligt" långt, har "tillräckligt" hög entropi och är "tillräckligt" lätt att komma ihåg. Men hur mycket som är "tillräckligt" är betydligt svårare att säga.
Knox
Brygguru
Inlägg: 1505
Blev medlem: ons nov 25, 2009 21:22
Ort: Borås

Re: Säkerheten på forumet..?

Inlägg av Knox »

Olika lösenord är bra till olika saker t.ex. så är det, precis som du säger onödigt med en mycket komplext lösenord på mjukvara med låg konsekvens för säkerheten men handlar det om krypterad data så är det viktigt att nyckeln är lång och extremt slumpmässig. Sedan är det precis lika stor chans att en dator gissar strängen "latmasken" som "111111111" dvs de har lika hög entropi mot en attack som utförs med uttömmande sökning (brute force). Bruteforce är bara realistiskt att använda när man har datan eller skydden mot det är dåliga (avsaknande av captcha, antal inloggningsförsök per timma etc).
Summa sumarum: oviktiga lösenord behöver inte vara komplexa men gärna långa och osammanhängande
Viktiga: Viktiga lösenord, t.ex till bryggforums databas/adminkonton långa och komplexa
Skriv svar

Återgå till "Om forumet"

Vilka är online

Användare som besöker denna kategori: 1 och 0 gäst