Den ultimata lösenordshanteringen  

Postat av rancor

Urban började med en bra liten artikelserie gällande lösenord i sin blogg Ubuntu för alla men jag kände att finalen saknades, nämligen den ultimata lösenordshanteringen. Här finns hans inlägg: här, här, här, här och slutligen här.

Precis som Urban skrev så är det viktigt att ett lösenord innehåller små, stora, siffror och tecken samt att lösenordet inte är för kort. Dock saknades en mycket viktig del och det är att ALDRIG återanvända ett lösenord, det skall endast användas på ett enda ställe och sedan är det förbrukat.

Anledningen är ganska enkel, du vet inte hur lösenorden lagras och även om det är lagrat i någon krypterad form så finns det regnbågstabeller som översätter haschen till lösenordet i klartext i många fall vilket gör att man aldrig kan gå riktigt säker. Om förövarna kommer över lösenordet så är du sårbar på alla andra ställen där du använt samma lösenord och det är tyvärr vanligt att hela databaser med användarnamn och lösenord kommer i fel händer, se bara Aftonbladet, Spray och Dataföreningen som ett par exempel.

Hur löser man då detta problem? Det går ju inte att komma ihåg varje enskilt lösenord som dessutom skall vara långt, specialtecken, stora och små bokstäver?!

Svaret är enkelt, man använder ett program som t.ex. Keepass som är en programvara för att lagra och organisera lösenord. Databasen är krypterad och som kan bäras med sig på ett USB-minne vilket gör att man endast behöver komma ihåg ett start lösenord, men kom ihåg att göra det STARKT!

Keepass är från börjat ett Windowsprogram men som finns i en linuxvariant som heter KeepassX. Databasen är kompatibel över plattformarna vilket gör att man alltid har sina lösenord tillgängliga men lagrade på ett säkert sätt.

Det finns klienter för mängder av operativsystem som t.ex. Windows, Linux, OSX, Windows Mobile, Symbian, iPhone och ett gäng andra plattformar.

Deras hemsida hittar du här: http://keepass.info, Linuxvarianten finns här: http://www.keepassx.org men installeras enklast i Ubuntu via Synaptic eller terminalen genom att skriva

sudo apt-get install keepassx
Det är sedan enkelt att skapa säkra lösenord till varje enskild hemsida/tjänst man har genom den inbygga lösenordsgenratorn som slumpar fram riktigt bra och unika lösenord.

3 kommentarer

StefanB   säger 14 februari 2009 kl. 08:58

Väldigt bra. Tack för tipset.

Anonym   säger 23 april 2009 kl. 16:52

För webbsiter så är openid det som man bör använda. Det ger en inloggning till flera siter, sk "single sign on".

Det gör att siteägaren inte behöver hantera lösenord (förlorade lösenord, dåliga lösenord etc).
Användaren slipper hitta på lösenord till massa websiter.

Optimalt så verifierar man inloggningen i openid på annan sätt än via http, exempelvis via sitt Jabber-konto.

Se:
OpenID:s website
OpenID och Jabber
Diverse OpenID-bloggarOpenID och Jabber

rancor   säger 24 april 2009 kl. 10:21

@ajxn

Jag håller inte riktigt med. Visst fungerar SSO på flertalet tjänster på Internet men det är mer en bekvämlighet än säkerhet jag ser en fara med dessa SSO-tjänster som t.ex. OpenID. Mina farhågor bekräftades under gårdagen då SANS skrev om en sårbarhet som jag väntat på skulle dyka upp:

Rapport:
http://isc.sans.org/diary.html?storyid=6244

Advisor:
http://oauth.net/advisories/2009-1

Förklaring:
http://www.hueniverse.com/hueniverse/2009/04/explaining-the-oauth-session-fixation-attack.html

I det stora hela är unika lösenord/certifikat till varje tjänst det bästa sättet att skydda sig. SSO-inloggning som t.ex. OpenID fungerar bra på mindre viktiga tillämpningar och OM man skall använda någon SSO-tjänst så kan jag rekommendera Yubikey tillsammans med claimID vilket ger dig en lösning som kräver unika engångsnycklar vid varje inloggningstillfälle.

// rancor

Skicka en kommentar

Senaste inlägg Äldre inlägg