Gå till innehåll

Lösenord & Säkerhet

w00d

Av w00d
i Datorsäkerhet

 Share

Recommended Posts

w00d Advanced Member

w00d

Postad
Postad

I väntan på att pokerbolagen ska införa kod-dosor likt de som används vid bankaffärer på Internet, så bör man väl se över sina lösenord och hanteringen av dem.

 

Detta inlägg är skapat för att vädra mina tankar om lösenordshantering.

Allt som har med ämnet Säkerhet inom Pokerspel online är välkommet i denna tråd.

 

Här är några alternativ för lösenordshantering:

 

Alternativ 1

Man har ett starkt lösenord som man använder på alla pokersidor. Ett lösenord klarar man av att komma ihåg och eftersom det är starkt ger det ett hyffsat skydd. Detta innebär ju dock att om man blir hackad på en sida blir man hackad på alla. Så oavsett hur starkt lösenordet är borde det här förmodligen vara en dålig lösning.

 

Alternativ 2

Man har starka och unika lösenord för varje pokersida (slumpgenererade t.ex.). Spelar man på mer än två sidor tvivlar jag på att man klarar av att hålla 10 * 3+ slumpade tecken i huvudet. (antagande: 10 tecken / lösenord) Även för två sidor borde detta vara jobbigt att klara av. Fördelen med detta alternativ är att man får ett bra skydd, men som sagt så är det nästan omöjligt att komma ihåg sina lösenord.

 

Alternativ 3

Man har ett starkt lösenord som man gör unikt för varje sida man spelar på genom att lägga till en extra del. Har man till exempel lösenordet abc123!"# som lösenordsbas och spelar på en pokersida med initialerna AB, bygger vi lösenordet abc123!"#AB och har på så vis gjort oss ett unikt lösenord. Man får unika lösenord för varje sida och det går att komma ihåg dem.

 

(Givetvis är det ingen bra idé att lägga till något så simpelt som sidans initialer efter lösenordet. Något mer avancerat krävs.)

 

• Vad använder ni er av för typer av lösenord?

• Har jag missat något alternativ som borde stå med ovan?

 

Av de tre ovanstående alternativen tycker jag alternativ 3 vore det smartaste, förutsatt att man gör det bra. Det jag söker är en metod / algoritm som på något sätt tar fram unika tillägg till vår lösenordsbas.

Säg att vi har en lösenordsbas på 8 tecken. Eftersom jag tror att vissa sidor har en maxgräns för lösenord på 12 tecken så vore det väl lämpligt att generera 4 tecken som tillägg. Ännu bättre kanske det vore med 7 + 5, men då tullar man ju mer på vad man klarar av att hålla i minnet.

 

• Finns det någon som har något bra förslag på en metod / algoritm för detta?

 

Jag vet att liknande saker har diskuterats. Jag vill minnas att det finns en artikel som berör ämnet skriven av Gdaily.

 

 

• En annan sak jag funderade på är användandet av USB-minnen. Kan man använda dessa på något sätt för att uppnå en högre säkerhet?

 

Säg att man krypterar sitt USB-minne och har ett masterlösenord (starkt givetvis) för att komma åt informationen på det. På minnet har man samtliga starka lösenord för alla sina pokersidor sparat i något smart format så det går att copy-pasta det till sina loginrutor för att undvika keyloggers. Vore detta en bra lösning?

Nackdelen är ju att ett USB-minne lätt kommer bort vilket gör det hela en smula jobbigt.

 

 

• Ytterligare en grej jag funderat på är om man kan använda sin befintliga kod-dosa för att generera stabila lösenord. Säg att den första sidan man spelade på är Party Poker, matar man då in 11111111 i sin koddosa så kanske man kan bygga vidare på det man får ut för att skapa ett stabilt lösenord. Detta skulle innebära att man kan ha slumpade lösenord som man slipper komma ihåg. Eftersom ett lösenord enbart innehållandes siffror inte kan räknas som starkt måste man på något sätt utöka / modifiera det man får ut från koddosan.

 

 

Är det någon som har tankar, åsikter, kunskap eller erfarenheter inom något av det som nämnts ovan så är jag tacksam om ni kunde skriva loss i den här tråden =)

 

Det vore kul om Gdaily och Brainslicer kommenterade i tråden, men givetvis är allas svar varmt välkomna! =)

Länk till kommentar
Dela på andra webbplatser
raptorjr Advanced Member

raptorjr

Postad
Postad

Jag anser att det är enklast att använda sig av mönster. Då går det ganska lätt att få långa krångliga lösenord som är svåra att knäcka med brute force, men enkla att komma ihåg.

 

T.ex. om du spelar på Pokerstars så skulle du kunna tänka att du utgår från p på tangentbordet och knappar ett mönster på tangentbordet så långt som du vill ha lösenordet. Skulle kunna bli t.ex. p09oi87uy65tr43ew21q

Lägger man till att man håller ned shift på varannan tangent eller på de 5 sista eller nåt så skulle jag säga att det blir ett starkt lösenord. Går ju att utgå från vilken tangent som helst och skapa vilket mönster man vill. Men det viktiga är väl att man ska helst använda sig av shift på några tryckningar så man får med stora bokstäver och specialtecken också.

Länk till kommentar
Dela på andra webbplatser
Joeduck Advanced Member

Joeduck

Postad
Postad
Säg att man krypterar sitt USB-minne och har ett masterlösenord (starkt givetvis) för att komma åt informationen på det. På minnet har man samtliga starka lösenord för alla sina pokersidor sparat i något smart format så det går att copy-pasta det till sina loginrutor för att undvika keyloggers. Vore detta en bra lösning?
Nej. Keyloggers brukar läsa av vad som kopieras&klistras in. Se till att inte bli infekterad istället. Antar att det smarta är ren text o du använder standard m$ API för att kopiera+klistra in. (den som används när du ctrl+c/v:ar)
Länk till kommentar
Dela på andra webbplatser
Perli Advanced Member

Perli

Postad
Postad

Ett alldeles för vanligt problem är att man har ett starkt lösenord och sedan på sin s.k. säkerhetsfråga som man valt som "Vilken var din första bil?" så svarar man t.ex. Volvo och så är hela poängen med ett fint lösenord som bortblåst.

 

Jag har funderat en del runt hur det skulle vara att köra ett säkert operativsystem, förslagsvis OpenBSD och sedan köra en virtuell maskin gärna för varje klient med t.ex. VMplayer.. Är man paraniod så är man :shock:

Länk till kommentar
Dela på andra webbplatser
w00d Advanced Member

w00d

Postad
  • Författare
Postad
Jag anser att det är enklast att använda sig av mönster. Då går det ganska lätt att få långa krångliga lösenord som är svåra att knäcka med brute force, men enkla att komma ihåg.

 

T.ex. om du spelar på Pokerstars så skulle du kunna tänka att du utgår från p på tangentbordet och knappar ett mönster på tangentbordet så långt som du vill ha lösenordet. Skulle kunna bli t.ex. p09oi87uy65tr43ew21q

Lägger man till att man håller ned shift på varannan tangent eller på de 5 sista eller nåt så skulle jag säga att det blir ett starkt lösenord. Går ju att utgå från vilken tangent som helst och skapa vilket mönster man vill. Men det viktiga är väl att man ska helst använda sig av shift på några tryckningar så man får med stora bokstäver och specialtecken också.

 

Givetvis är det här ett väldigt bra sätt, men om hackarna börjar tänka i mönster också finns det en risk (om än väldigt liten) att det här lösenordet blir lättare upptäckt än ett totalt slumpartat lösenord.

 

Nej. Keyloggers brukar läsa av vad som kopieras&klistras in. Se till att inte bli infekterad istället. Antar att det smarta är en ren textfil o du använder windows API för att kopiera+klistra in..

 

Tjaa, eller ett program i c++ som skriver ut alla ens lösenord åt en. Men det känns ju som en dålig lösning givetvis.

 

Den där guiden tycker jag är helt ok...

http://www.microsoft.com/protect/yourself/password/create.mspx

 

Trevlig guide faktiskt. Även om det mesta är rätt basic så var den läsvärd. tyty =)

 

 

Det känns som att det bästa sättet, om man inte vill krångla till det alltför mycket, är att ha ett unikt starkt lösenord för varje sida man spelar på som man skriver ner på en lapp som man förvarar på ett säkert ställe.

 

Dock så tyckte jag idén med kod-dosan var rolig och kanske ska försöka omvandla outputen från den till starka lösenord. Det tål att tänkas vidare på helt klart iaf =)

Länk till kommentar
Dela på andra webbplatser
raptorjr Advanced Member

raptorjr

Postad
Postad
Givetvis är det här ett väldigt bra sätt, men om hackarna börjar tänka i mönster också finns det en risk (om än väldigt liten) att det här lösenordet blir lättare upptäckt än ett totalt slumpartat lösenord.

 

Ingenting är omöjligt och allt går att knäcka med tillräckligt lång tid. Men att en hackare skulle tycka att det är värt att lägga ner tiden på att knäcka ett lösenord på kanske 20-25 tecken där jag suttit och hittat på ett mönster som är logiskt för mig, som använder alla 4 kategorier av tecken, ser jag som mindre chans än att han sätter igång och kör bruteforce för att knäcka ett helt slumpartat lösenord på 10 tecken eller mer. Kanske han har hjälp av en hög med slavdatorer på nätet också.

 

Men alla ramsor och lösningar är väl bra. Som sagt inget är säkert, det enda detta gör är att man känner sig säker på den metod man använder och att man kan komma ihåg ett svårt lösenord. Allt är ju bättre än lisa123.

Länk till kommentar
Dela på andra webbplatser
w00d Advanced Member

w00d

Postad
  • Författare
Postad
Jag kör alternativ två och har olika för precis alla siter, tycker det är jättelätt att minnas dem efter man skrivit dem 3-4 ggr.

 

Okej. Får man fråga hur många sidor du spelar på? Dvs. hur många lösenord måste du hålla i huvudet? Har du skrivit ner lösenorden nånstans utifall du skulle vakna bakfull o lyckats supa bort dom? ;]

Edit: Ja det hade du ^^

 

 

Känns som jag gräver alldeles för djupt i den här frågan, men jag hade tänkt ta säkerhetsfrågan på allvar och förnya mig om det behövs. Så om jag framstår som en paranoid tomte så får jag väl göra det. 8-)

 

 

Förresten, är det någon som har något mer skäl till att man inte bör använda "kom-ihåg"-funktionen i login-rutan mer än att det är katastrofalt om datorn blir stulen? Vad jag förstått ska det endast fungera för datorn det är ikryssat på och således bör det ju vara lugnt för hackerattacker, men man vet ju aldrig. Någon som vet nåt mer om detta?

Länk till kommentar
Dela på andra webbplatser
Joeduck Advanced Member

Joeduck

Postad
Postad
Tjaa, eller ett program i c++ som skriver ut alla ens lösenord åt en. Men det känns ju som en dålig lösning givetvis.

Det är ju såklart bättre. Det var framför allt "kopierings tekniken" jag tyckte var dålig. Ett program som sköter intryckningen åt oss är såklart bättre men då har du problemet att ifall någon installerat en keylogger för att komma åt framförallt lösenord på din dator så kommer trojanen med all sannolikhet scanna av det mesta så fort en ruta öppnas i din dator som det står "welcome xxx, please Login".

Jag är inte så insatt i "keyloggers", men jag tror nog de flesta har avancerade filter+keyboard/virtual key-hooks för att komma åt lösenord i program.

 

När jag sitter på en dator på ett Int_ernetCafe eller dyl. så brukar jag blanda bokstäverna när jag skriver in dem.

Alltså säg att jag har "asdf123" som lösen, då skriver jag t.ex "123asdf" o sen flyttar på dem i efterhand. Skriver helst in dem i något annat fönster o kopierar in med musen. (även om inte det hjälper ifall det ligger hooks som scannar av eller läser av clipboard) Bättre än inget, speciellt på Cafe me guest-konton.

Länk till kommentar
Dela på andra webbplatser
w00d Advanced Member

w00d

Postad
  • Författare
Postad
Det är ju såklart bättre. Det var framför allt "kopierings tekniken" jag tyckte var dålig. Ett program som sköter intryckningen åt oss är såklart bättre men då har du problemet att ifall någon installerat en keylogger för att komma åt framförallt lösenord på din dator så kommer trojanen med all sannolikhet scanna av det mesta så fort en ruta öppnas i din dator som det står "welcome xxx, please Login".

Jag är inte så insatt i "keyloggers", men jag tror nog de flesta har avancerade filter+keyboard/virtual key-hooks för att komma åt lösenord i program.

 

Okej. Så vi kan alltså dra slutsatsen att man inte ska hamna i den situationen att en keylogger scannar av ens dator :]

En bra brandvägg och ett bra antivirus-program är förmodligen A och O vad gäller säkerhet i största allmänhet.

Länk till kommentar
Dela på andra webbplatser
Matfrid Advanced Member

Matfrid

Postad
Postad
Jag har själv använt det där programmet och det fungerar mycket bra. Men det känns ändå som att papper och penna är en säkrare metod, som det t.ex. stod i Brainslicers länk.

 

Vet inte hur det ska vara säkrare.

 

Det blir ju så många konton med tiden, jag har ett par hundra olika att hålla reda på. Keepass klarar det bra, jag låter det generera knepiga lösen, sätter dem att upphöra efter sex månader och skapar också lösen för fåniga säkerhetsfrågor.

 

Att förvara databasen på ett usb-minne kan vara praktiskt, men gör det aldrig utan backup.

Länk till kommentar
Dela på andra webbplatser
brainslicer Advanced Member

brainslicer

Postad
Postad
Vet inte hur det ska vara säkrare.

 

Det blir ju så många konton med tiden, jag har ett par hundra olika att hålla reda på. Keepass klarar det bra, jag låter det generera knepiga lösen, sätter dem att upphöra efter sex månader och skapar också lösen för fåniga säkerhetsfrågor.

 

Att förvara databasen på ett usb-minne kan vara praktiskt, men gör det aldrig utan backup.

 

 

mmm, papper kan stjälas eller förstöras, liksom usbminnen eller andra lagringsmedia...så de e väl sak samma, vad man känner sig mer bekväm med antar jag

Länk till kommentar
Dela på andra webbplatser
okocha Advanced Member

okocha

Postad
Postad
Jag kör alternativ två och har olika för precis alla siter, tycker det är jättelätt att minnas dem efter man skrivit dem 3-4 ggr.

 

Ja, glömde säga att jag skriver ner alla på ett papper också men som sagt, efter ett par ggr lär man sig även alfanumeriska lösenord.

 

Jag gör precis likadant, dock hade jag inte skrivit ner mitt neteller id någonstans, jag kunde ju det liksom, sen blev mailen hackad och jag kom inte ihåg mitt neteller id, var ett jäkla tjafs med neteller som inte jag orkade med så det hela slutade med att jag bojkottade neteller. Så skriv ner lösenord och liknande på en lapp så ni inte glömmer.;-)

Länk till kommentar
Dela på andra webbplatser
Jakelamotta Advanced Member

Jakelamotta

Postad
Postad
mmm, papper kan stjälas eller förstöras, liksom usbminnen eller andra lagringsmedia...så de e väl sak samma, vad man känner sig mer bekväm med antar jag

 

Känns ändå som ett papper är säkrare än något man förvarar på datorn för de flesta. Är inte direkt orolig att ngn ska bryta sig in i min lägenhet och sno mitt lösenordspapper.

Länk till kommentar
Dela på andra webbplatser
Perli Advanced Member

Perli

Postad
Postad
Känns ändå som ett papper är säkrare än något man förvarar på datorn för de flesta. Är inte direkt orolig att ngn ska bryta sig in i min lägenhet och sno mitt lösenordspapper.

 

Och det är väl inget som säger att man inte kan kryptera texten på pappret oxå :roll:

Länk till kommentar
Dela på andra webbplatser
Loveless Advanced Member

Loveless

Postad
Postad
Det är ju såklart bättre. Det var framför allt "kopierings tekniken" jag tyckte var dålig. Ett program som sköter intryckningen åt oss är såklart bättre men då har du problemet att ifall någon installerat en keylogger för att komma åt framförallt lösenord på din dator så kommer trojanen med all sannolikhet scanna av det mesta så fort en ruta öppnas i din dator som det står "welcome xxx, please Login".

Jag är inte så insatt i "keyloggers", men jag tror nog de flesta har avancerade filter+keyboard/virtual key-hooks för att komma åt lösenord i program.

 

Nja, har du fått in en keylogger som är så kompetent som du beskriver spelar det ju ingen roll hur du förvarar lösenorden så att säga att det är en anledning till att rata hans idé är fel. Jag har inte själv grottat mig ner i den magiska världen av hooks när det gäller tangentbordet men jag tror att klipp och klista använder en annan metod. Dvs, om du använder klipp och klistra så kan det finnas chans att keyloggern missar detta. Detta gäller speciellt om du har trådlöst tangentbord då du slipper tänka på att säkra upp den signalen.

 

Jag tycker iden med VMWare låter intressant om man har installerat den korrekt. Det man ska tänka på här är att se till att den virtuella maskinen skyddas ifrån värden så att man inte får in en massa skräp den vägen. Sen tar man och installerar sitt OS, patchar som behövs och hämtar hem de klienter som man vill använda. När detta är gjort (och innan man börjar logga in på klienterna) så skapar man en "snapshot" av installationen. Sedan så återgår man helt sonika till denna snapshot varje gång man startar upp datorn. Om en klient eller operativet behöver uppdateras gör man detta och tar sedan en ny snapshot. Avinstallera helst allt övrigt internettjafs ifrån den virtuella maskinen.

Länk till kommentar
Dela på andra webbplatser
raptorjr Advanced Member

raptorjr

Postad
Postad

Fast VMWare hjälper ju knappast om du startar igång den på din smittade windows dator som är full med keyloggers. Då fångar dom ju ändå upp alla dina tangenttryckningar.

Isåfall får man installera t.ex. ubuntu server på nån dator som sedan bara kör WMVare. Då är det ju ingen risk att värdsystemet är smittat. Sen får man live boota t.ex. vanlig ubuntu och ha WMVare konsolen där så man kan koppla upp sig mot sin virtuella Windows installation. Då kan man börja känna sig säker.

Länk till kommentar
Dela på andra webbplatser
Perli Advanced Member

Perli

Postad
Postad
Fast VMWare hjälper ju knappast om du startar igång den på din smittade windows dator som är full med keyloggers. Då fångar dom ju ändå upp alla dina tangenttryckningar.

Isåfall får man installera t.ex. ubuntu server på nån dator som sedan bara kör WMVare. Då är det ju ingen risk att värdsystemet är smittat. Sen får man live boota t.ex. vanlig ubuntu och ha WMVare konsolen där så man kan koppla upp sig mot sin virtuella Windows installation. Då kan man börja känna sig säker.

 

Det var precis därför jag rekommenderade att köra OpenBSD i grunden som är kännt som ett av de säkraste operativsystemen där ute. Dom jobbar stenhårt på att gå igenom koden för att hitta möjliga exploits något som gett resultat..

"Only two remote holes in the default install, in more than 10 years!"

 

Kom igen när MS kan säga samma sak ;)

Länk till kommentar
Dela på andra webbplatser
Loveless Advanced Member

Loveless

Postad
Postad

Nu är jag inte någon hacker, så vet inte om det finns smartare sätt att skriva en keylogger. Hursomhelst, jag implementerade denna exempelkod http://www.codeproject.com/KB/DLL/keyboardhook.aspx i ett dll-projekt, skapade ett program som kopplar upp hooken.

 

Resultat?

 

Text skriven för hand (som denna) hamnar i resultatfilen. Text som kopieras via ctrl-c ctrl-v hamnar endast som "c" och "v" i filen. Text kopierad med musen hamnar inte alls i filen (behövs en annan hook för mus-events).

 

Text skriven i VMWare hamnar inte alls i min logg.

Länk till kommentar
Dela på andra webbplatser

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Gäst
Svara i detta ämne...

×   Du har klistrat in innehåll med formatering.   Ta bort formatering

  Endast 75 max uttryckssymboler är tillåtna.

×   Din länk har automatiskt bäddats in.   Visa som länk istället

×   Ditt tidigare innehåll har återställts.   Rensa redigerare

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Gå till ämneslista
×
×
  • Skapa nytt...