Pedroboy Postad 13 September , 2007 Rapport Postad 13 September , 2007 Mer eller mindre alltid, kan man välja ett alternativ att spara ett lösenord. Var/hur spras alla dessa lösenord? Är det stor risk för en hackare att komma åt dessa sparade lösenord eller är det större risk att de använder en keylogger och på så sätt kommer åt ens lösenord? Citera
LilleKatt Postad 13 September , 2007 Rapport Postad 13 September , 2007 Mer eller mindre alltid, kan man välja ett alternativ att spara ett lösenord. Var/hur spras alla dessa lösenord? Är det stor risk för en hackare att komma åt dessa sparade lösenord eller är det större risk att de använder en keylogger och på så sätt kommer åt ens lösenord? Jag skulle tro att det blir svårare för keyloggers att kunna få lösenordet när det är sparat. Eftersom att du inte skriver, keyloggers kan se exakt vad du skriver! Lösenordet sparas i browserns cookie folder tror jag, men dom är inte läsbara skulle jag tro. Det dåliga är att andra som andvänder datorn kan då med ett enkelt tryck komma in på det lösenord skyddade kontot/sida. Men det är ingen risk om du har lösen till datorn och om du ständigt går ut från andvändaren varje gång du lämnar datorn för en lång tid. Jag säger att det är bättre att ha sparade lösenord. Men inte på alla sidor! De som är värdefullast först Citera
Kape Postad 13 September , 2007 Rapport Postad 13 September , 2007 Spara ALDRIG lösenord på datorn. Den funktionen är definitivt mer exploaterbar än risken att råka ut för en key logger. Om lösenorden finns på datorn så är hela datorn en motorväg in till dina konton. Citera
brainslicer Postad 13 September , 2007 Rapport Postad 13 September , 2007 Är det en dator som ingen annan har tillgång till tycker jag det är sak samma. Det viktiga är nog hur bete sig för att undvika att man råkar ut för nåndera... Citera
Pedroboy Postad 14 September , 2007 Författare Rapport Postad 14 September , 2007 Är det en dator som ingen annan har tillgång till tycker jag det är sak samma. Det viktiga är nog hur bete sig för att undvika att man råkar ut för nåndera... Vadå, du tycker det är skit samma. Det finns ju ett givet svar på vad som är säkrast, det är ingen åsiktsfråga. En kunnig inom data och säkerhet bör svara, om det finns någon sådan här. Citera
brainslicer Postad 14 September , 2007 Rapport Postad 14 September , 2007 Vadå, du tycker det är skit samma. Det finns ju ett givet svar på vad som är säkrast, det är ingen åsiktsfråga. En kunnig inom data och säkerhet bör svara, om det finns någon sådan här. Om du blir drabbad av malware kan du ju inte bestämma va du ska bli smittad av, så hur ska man kunna svara på det: keylogger, backdoor, trojan eller nåt annat otrevligt... Om spara lösenord var osäkert skulle ju inte den finnas som val, eller hur? Dom sparas ju inte i plaintext precis. Var dom sparas är väl beroende på programmet som sparar dom. Så säger PokerStars: http://www.pokerstars.com/sv/poker/room/features/security/passwords/ Använd inte alternativet "Spara lösenordet" på inloggningssidan om andra kan komma åt din dator. Det är särskilt viktigt på kontor och i studentkorridorer. Nackdelen med spara: smittad av backdoor: nån tar sig in o snor dom krypterade lösenorden. Nackdelen med att skriva: keylogger: snor allt man skriver i plaintext. (Sedan finns det ju andra sätt att sno dom, tex sniffa trafik, då spelar de ju ingen roll om man skrivit/sparat) Är det en offentlig dator så säger ju experterna att man absolut inte ska spara lösenord. Men min åsikt är att man aldrig ens ska använda offentliga datorer till att logga in på nåt, för man kan ju inte precis utsluta en keylogger heller på en okänd dator(detsamma gäller även öppna trådlösa nät). Sedan finns ju omständigheter som att slarva/bli bestulen på laptopen, då är det ju inte så bra om spara lösen varit använt, bara klicka på ok och logga in Citera
Pedroboy Postad 19 September , 2007 Författare Rapport Postad 19 September , 2007 Om du blir drabbad av malware kan du ju inte bestämma va du ska bli smittad av, så hur ska man kunna svara på det: keylogger, backdoor, trojan eller nåt annat otrevligt... Nackdelen med spara: smittad av backdoor: nån tar sig in o snor dom krypterade lösenorden. Nackdelen med att skriva: keylogger: snor allt man skriver i plaintext. Jo men det ena kanske är många gånger lättare och vanligare än det andra för en novis hacker att fixa. Jag förstår att båda är känsliga för olika saker men vad är värst. Ex 100 hackare försöker sig ge sig på mig utifrån. Av 100 hackare kan 1 bryta sig igenom hur säkert jag än har det. 90 kan bryta sig igenom om den utsatta datorn har valt spara lösenord. 9 kan klara av de datorer som inte sparar lösenord men där användaren skriver in lösenordet gång på gång. Om mitt exempel skulle vara sant så skulle jag välja att inte spara lösenord. Det kanske är omvänd fördelning på vem som klarar vad och då skulle jag välja att spara lösenordet. Är det 50/50 så kvittar det helt om jag sparar eller inte. Jag har svårt att tro att det är exakt lika känsligt båda metoderna. Så vad är säkrast.. spara eller inte spara. Citera
fhaugen Postad 19 September , 2007 Rapport Postad 19 September , 2007 Jag har svårt att tro att det är exakt lika känsligt båda metoderna. Så vad är säkrast.. spara eller inte spara. Hur skulle det kunna vara säkrare att spara? Citera
brainslicer Postad 19 September , 2007 Rapport Postad 19 September , 2007 100 hackare försöker sig ge sig på mig utifrån.Av 100 hackare kan 1 bryta sig igenom hur säkert jag än har det. 90 kan bryta sig igenom om den utsatta datorn har valt spara lösenord. 9 kan klara av de datorer som inte sparar lösenord men där användaren skriver in lösenordet gång på gång. Tja... för den normala användaren är väl att inte spara bäst(eftersom du inte behöver bete dig på olika vis beroende på vilken dator du är på). Själv spara jag men då är det en dator som ingen annan använder, (detta gäller ju inte andra burkar). Det finns "kloka" malwares som studerar vad som kan exploateras och efter det uppdaterar sig själva för att passa den situationen(kan tex hämta en Neteller updatering). Och många gör både och och lite till...skickar först iväg alla sparade lösen, kortnummer osv... sedan keyloggar som skickas iväg. Vad som är vanligast/sårbarast ändras fortare än vad man byter strumpor ibland. Är ju inte precis nån hacker som gör det aktivt, det kan vara resultat av att du besökt en hackad sajt med sårbarhet tex(dvs besöket räcker, du behöver inte acceptera/ta emot nån fil) Edit: säger ju inte att spara är säkrare än inte spara på en dator ingen annan använder(ser ingen större skillnad i säkerheten i det fallet ), bara bekvämare...så fort andra använder datorn ska man ju inte spara. Citera
Loveless Postad 19 September , 2007 Rapport Postad 19 September , 2007 Utger mig inte för att vara någon expert, men med ett gäng år som applikationsutvecklare så har jag ett hum om vad som är "säkert". Att spara lösenord fungerar bra, men lita inte på det. Hade en klient (var en av de stora, party eller microgaming) som sparade lösenordet som plaintext. Var iofs några år sedan så de kan ju ha bättrat sig. Problemet med att skriva in lösenordet är ju som sagt keyloggers, men det går att komma runt. Tror t.ex. att en vanlig klipp och klistra ifrån en textfil inte fångas upp av en keylogger (andra rutiner som används). Givetvis kan trojanen även kontrollera efter urklippen så 100% säkert är det inte. Problemet är att du då måste ha en källa att klippa ifrån, plus att flera klienter inte tillåter inklistring i lösenordsfältet (antar att de tror det ska stoppa bottar ifrån att logga in). Själv använder jag en krypterad databas för att lagra lösenorden i och vill man vara ännu säkrare så lagrar man databasen på ett externt media (typ usb minne). Det program jag använder har också den fördelen att den rensar utklipps-arean efter en minut så att ett eventuellt lösenord inte ligger kvar där onödigt länge. Extra fördelen är ju också att du kan ha bättre lösenord eftersom du inte behöver komma ihåg var och ett av dem. Andra faktorer att tänka på är att om möjligt ha en dator dedicerad åt säkerhetskrävande tjänster, som poker, bankärenden osv. Denna dator ska inte ha mer program installerade på sig än nödvändigt, så inga torrent-klienter eller IM program och ha en så ren webbläsare som möjligt utan en massa tillägg. Installera ett bra antivirus och gärna en brandvägg satt på paranoia. Teoretiskt sett skulle denna maskin kunna installera en ren installation varje gång den startas upp för att minska risken att något elakt program har smugit sig in. Gällande sniffning av datatrafiken, jag skulle tro att alla klienter krypterar sin trafik vilket gör det nästan omöjligt att få ut information ur denna. Det går att avkryptera denna information, men det tar tid, så vill man skydda sig mot det så rekommenderar jag att man byter lösenord ofta, då spelar det ju ingen roll att de lyckas komma över informationen då det ändå är ett gammalt lösenord de får fram. Är detta 100% säkert? Nej, men tillräckligt för att mödan som krävs ifrån en hacker för att komma åt pengarna är för stor, speciellt om det finns lättare objekt att ge sig på. Citera
brainslicer Postad 19 September , 2007 Rapport Postad 19 September , 2007 Andra faktorer att tänka på är att om möjligt ha en dator dedicerad åt säkerhetskrävande tjänster, som poker, bankärenden osv.Precis, en ren burk(med alla säkerhets uppdateringar) är så gott som omöjlig att hacka. Hålen kommer med webläsartillägg, plugins, scripts, andra mjukvaror som installeras. OT om pokerklinter: Nån annan som märkt att B2B klienterna installerar en gammal sårbar java version? Sun Java JRE 1.5.x/5.x 5.0.60.5 (vart outdated länge redan, men hade glömt bort det tills jag installerade en B2B klient förra veckan o varnings program började tjafsa om sårbar version. Citera
MrZingo Postad 19 September , 2007 Rapport Postad 19 September , 2007 B2B sparade lösenorden i plain text för inte så länge sedan, vilket gav stort rabalder här på forumet. Citera
_mowmow Postad 19 September , 2007 Rapport Postad 19 September , 2007 Hur skulle det kunna vara säkrare att spara? keylogger Citera
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.