w00d Postad 21 April , 2008 Rapport Postad 21 April , 2008 I väntan på att pokerbolagen ska införa kod-dosor likt de som används vid bankaffärer på Internet, så bör man väl se över sina lösenord och hanteringen av dem. Detta inlägg är skapat för att vädra mina tankar om lösenordshantering. Allt som har med ämnet Säkerhet inom Pokerspel online är välkommet i denna tråd. Här är några alternativ för lösenordshantering: Alternativ 1 Man har ett starkt lösenord som man använder på alla pokersidor. Ett lösenord klarar man av att komma ihåg och eftersom det är starkt ger det ett hyffsat skydd. Detta innebär ju dock att om man blir hackad på en sida blir man hackad på alla. Så oavsett hur starkt lösenordet är borde det här förmodligen vara en dålig lösning. Alternativ 2 Man har starka och unika lösenord för varje pokersida (slumpgenererade t.ex.). Spelar man på mer än två sidor tvivlar jag på att man klarar av att hålla 10 * 3+ slumpade tecken i huvudet. (antagande: 10 tecken / lösenord) Även för två sidor borde detta vara jobbigt att klara av. Fördelen med detta alternativ är att man får ett bra skydd, men som sagt så är det nästan omöjligt att komma ihåg sina lösenord. Alternativ 3 Man har ett starkt lösenord som man gör unikt för varje sida man spelar på genom att lägga till en extra del. Har man till exempel lösenordet abc123!"# som lösenordsbas och spelar på en pokersida med initialerna AB, bygger vi lösenordet abc123!"#AB och har på så vis gjort oss ett unikt lösenord. Man får unika lösenord för varje sida och det går att komma ihåg dem. (Givetvis är det ingen bra idé att lägga till något så simpelt som sidans initialer efter lösenordet. Något mer avancerat krävs.) • Vad använder ni er av för typer av lösenord? • Har jag missat något alternativ som borde stå med ovan? Av de tre ovanstående alternativen tycker jag alternativ 3 vore det smartaste, förutsatt att man gör det bra. Det jag söker är en metod / algoritm som på något sätt tar fram unika tillägg till vår lösenordsbas. Säg att vi har en lösenordsbas på 8 tecken. Eftersom jag tror att vissa sidor har en maxgräns för lösenord på 12 tecken så vore det väl lämpligt att generera 4 tecken som tillägg. Ännu bättre kanske det vore med 7 + 5, men då tullar man ju mer på vad man klarar av att hålla i minnet. • Finns det någon som har något bra förslag på en metod / algoritm för detta? Jag vet att liknande saker har diskuterats. Jag vill minnas att det finns en artikel som berör ämnet skriven av Gdaily. • En annan sak jag funderade på är användandet av USB-minnen. Kan man använda dessa på något sätt för att uppnå en högre säkerhet? Säg att man krypterar sitt USB-minne och har ett masterlösenord (starkt givetvis) för att komma åt informationen på det. På minnet har man samtliga starka lösenord för alla sina pokersidor sparat i något smart format så det går att copy-pasta det till sina loginrutor för att undvika keyloggers. Vore detta en bra lösning? Nackdelen är ju att ett USB-minne lätt kommer bort vilket gör det hela en smula jobbigt. • Ytterligare en grej jag funderat på är om man kan använda sin befintliga kod-dosa för att generera stabila lösenord. Säg att den första sidan man spelade på är Party Poker, matar man då in 11111111 i sin koddosa så kanske man kan bygga vidare på det man får ut för att skapa ett stabilt lösenord. Detta skulle innebära att man kan ha slumpade lösenord som man slipper komma ihåg. Eftersom ett lösenord enbart innehållandes siffror inte kan räknas som starkt måste man på något sätt utöka / modifiera det man får ut från koddosan. Är det någon som har tankar, åsikter, kunskap eller erfarenheter inom något av det som nämnts ovan så är jag tacksam om ni kunde skriva loss i den här tråden =) Det vore kul om Gdaily och Brainslicer kommenterade i tråden, men givetvis är allas svar varmt välkomna! =) Citera
raptorjr Postad 21 April , 2008 Rapport Postad 21 April , 2008 Jag anser att det är enklast att använda sig av mönster. Då går det ganska lätt att få långa krångliga lösenord som är svåra att knäcka med brute force, men enkla att komma ihåg. T.ex. om du spelar på Pokerstars så skulle du kunna tänka att du utgår från p på tangentbordet och knappar ett mönster på tangentbordet så långt som du vill ha lösenordet. Skulle kunna bli t.ex. p09oi87uy65tr43ew21q Lägger man till att man håller ned shift på varannan tangent eller på de 5 sista eller nåt så skulle jag säga att det blir ett starkt lösenord. Går ju att utgå från vilken tangent som helst och skapa vilket mönster man vill. Men det viktiga är väl att man ska helst använda sig av shift på några tryckningar så man får med stora bokstäver och specialtecken också. Citera
Joeduck Postad 21 April , 2008 Rapport Postad 21 April , 2008 Säg att man krypterar sitt USB-minne och har ett masterlösenord (starkt givetvis) för att komma åt informationen på det. På minnet har man samtliga starka lösenord för alla sina pokersidor sparat i något smart format så det går att copy-pasta det till sina loginrutor för att undvika keyloggers. Vore detta en bra lösning?Nej. Keyloggers brukar läsa av vad som kopieras&klistras in. Se till att inte bli infekterad istället. Antar att det smarta är ren text o du använder standard m$ API för att kopiera+klistra in. (den som används när du ctrl+c/v:ar) Citera
brainslicer Postad 21 April , 2008 Rapport Postad 21 April , 2008 Den där guiden tycker jag är helt ok... http://www.microsoft.com/protect/yourself/password/create.mspx Se till att inte bli infekterad istället. Precis, e din dator ägd av nån annan...så tjaa, är den inte din mera, hur du än försöker kryptera o mixtra med tangent tryckningar Citera
Perli Postad 21 April , 2008 Rapport Postad 21 April , 2008 Ett alldeles för vanligt problem är att man har ett starkt lösenord och sedan på sin s.k. säkerhetsfråga som man valt som "Vilken var din första bil?" så svarar man t.ex. Volvo och så är hela poängen med ett fint lösenord som bortblåst. Jag har funderat en del runt hur det skulle vara att köra ett säkert operativsystem, förslagsvis OpenBSD och sedan köra en virtuell maskin gärna för varje klient med t.ex. VMplayer.. Är man paraniod så är man Citera
w00d Postad 21 April , 2008 Författare Rapport Postad 21 April , 2008 Jag anser att det är enklast att använda sig av mönster. Då går det ganska lätt att få långa krångliga lösenord som är svåra att knäcka med brute force, men enkla att komma ihåg. T.ex. om du spelar på Pokerstars så skulle du kunna tänka att du utgår från p på tangentbordet och knappar ett mönster på tangentbordet så långt som du vill ha lösenordet. Skulle kunna bli t.ex. p09oi87uy65tr43ew21q Lägger man till att man håller ned shift på varannan tangent eller på de 5 sista eller nåt så skulle jag säga att det blir ett starkt lösenord. Går ju att utgå från vilken tangent som helst och skapa vilket mönster man vill. Men det viktiga är väl att man ska helst använda sig av shift på några tryckningar så man får med stora bokstäver och specialtecken också. Givetvis är det här ett väldigt bra sätt, men om hackarna börjar tänka i mönster också finns det en risk (om än väldigt liten) att det här lösenordet blir lättare upptäckt än ett totalt slumpartat lösenord. Nej. Keyloggers brukar läsa av vad som kopieras&klistras in. Se till att inte bli infekterad istället. Antar att det smarta är en ren textfil o du använder windows API för att kopiera+klistra in.. Tjaa, eller ett program i c++ som skriver ut alla ens lösenord åt en. Men det känns ju som en dålig lösning givetvis. Den där guiden tycker jag är helt ok...http://www.microsoft.com/protect/yourself/password/create.mspx Trevlig guide faktiskt. Även om det mesta är rätt basic så var den läsvärd. tyty =) Det känns som att det bästa sättet, om man inte vill krångla till det alltför mycket, är att ha ett unikt starkt lösenord för varje sida man spelar på som man skriver ner på en lapp som man förvarar på ett säkert ställe. Dock så tyckte jag idén med kod-dosan var rolig och kanske ska försöka omvandla outputen från den till starka lösenord. Det tål att tänkas vidare på helt klart iaf =) Citera
Jakelamotta Postad 21 April , 2008 Rapport Postad 21 April , 2008 Jag kör alternativ två och har olika för precis alla siter, tycker det är jättelätt att minnas dem efter man skrivit dem 3-4 ggr. Ja, glömde säga att jag skriver ner alla på ett papper också men som sagt, efter ett par ggr lär man sig även alfanumeriska lösenord. Citera
Saxofon Postad 21 April , 2008 Rapport Postad 21 April , 2008 Dom flesta mobiler idag har ju så att man kan lagra lösenord. Det krävs då ett lösenord för att komma åt sina lösenord. Är en bra idé tycker jag istället för att ha det på lappar och mobilen har man ju allt som oftast med sig eller i närheten. Citera
raptorjr Postad 21 April , 2008 Rapport Postad 21 April , 2008 Givetvis är det här ett väldigt bra sätt, men om hackarna börjar tänka i mönster också finns det en risk (om än väldigt liten) att det här lösenordet blir lättare upptäckt än ett totalt slumpartat lösenord. Ingenting är omöjligt och allt går att knäcka med tillräckligt lång tid. Men att en hackare skulle tycka att det är värt att lägga ner tiden på att knäcka ett lösenord på kanske 20-25 tecken där jag suttit och hittat på ett mönster som är logiskt för mig, som använder alla 4 kategorier av tecken, ser jag som mindre chans än att han sätter igång och kör bruteforce för att knäcka ett helt slumpartat lösenord på 10 tecken eller mer. Kanske han har hjälp av en hög med slavdatorer på nätet också. Men alla ramsor och lösningar är väl bra. Som sagt inget är säkert, det enda detta gör är att man känner sig säker på den metod man använder och att man kan komma ihåg ett svårt lösenord. Allt är ju bättre än lisa123. Citera
w00d Postad 21 April , 2008 Författare Rapport Postad 21 April , 2008 Jag kör alternativ två och har olika för precis alla siter, tycker det är jättelätt att minnas dem efter man skrivit dem 3-4 ggr. Okej. Får man fråga hur många sidor du spelar på? Dvs. hur många lösenord måste du hålla i huvudet? Har du skrivit ner lösenorden nånstans utifall du skulle vakna bakfull o lyckats supa bort dom? ;] Edit: Ja det hade du ^^ Känns som jag gräver alldeles för djupt i den här frågan, men jag hade tänkt ta säkerhetsfrågan på allvar och förnya mig om det behövs. Så om jag framstår som en paranoid tomte så får jag väl göra det. Förresten, är det någon som har något mer skäl till att man inte bör använda "kom-ihåg"-funktionen i login-rutan mer än att det är katastrofalt om datorn blir stulen? Vad jag förstått ska det endast fungera för datorn det är ikryssat på och således bör det ju vara lugnt för hackerattacker, men man vet ju aldrig. Någon som vet nåt mer om detta? Citera
Joeduck Postad 21 April , 2008 Rapport Postad 21 April , 2008 Tjaa, eller ett program i c++ som skriver ut alla ens lösenord åt en. Men det känns ju som en dålig lösning givetvis. Det är ju såklart bättre. Det var framför allt "kopierings tekniken" jag tyckte var dålig. Ett program som sköter intryckningen åt oss är såklart bättre men då har du problemet att ifall någon installerat en keylogger för att komma åt framförallt lösenord på din dator så kommer trojanen med all sannolikhet scanna av det mesta så fort en ruta öppnas i din dator som det står "welcome xxx, please Login". Jag är inte så insatt i "keyloggers", men jag tror nog de flesta har avancerade filter+keyboard/virtual key-hooks för att komma åt lösenord i program. När jag sitter på en dator på ett Int_ernetCafe eller dyl. så brukar jag blanda bokstäverna när jag skriver in dem. Alltså säg att jag har "asdf123" som lösen, då skriver jag t.ex "123asdf" o sen flyttar på dem i efterhand. Skriver helst in dem i något annat fönster o kopierar in med musen. (även om inte det hjälper ifall det ligger hooks som scannar av eller läser av clipboard) Bättre än inget, speciellt på Cafe me guest-konton. Citera
w00d Postad 21 April , 2008 Författare Rapport Postad 21 April , 2008 Det är ju såklart bättre. Det var framför allt "kopierings tekniken" jag tyckte var dålig. Ett program som sköter intryckningen åt oss är såklart bättre men då har du problemet att ifall någon installerat en keylogger för att komma åt framförallt lösenord på din dator så kommer trojanen med all sannolikhet scanna av det mesta så fort en ruta öppnas i din dator som det står "welcome xxx, please Login". Jag är inte så insatt i "keyloggers", men jag tror nog de flesta har avancerade filter+keyboard/virtual key-hooks för att komma åt lösenord i program. Okej. Så vi kan alltså dra slutsatsen att man inte ska hamna i den situationen att en keylogger scannar av ens dator :] En bra brandvägg och ett bra antivirus-program är förmodligen A och O vad gäller säkerhet i största allmänhet. Citera
heltok Postad 21 April , 2008 Rapport Postad 21 April , 2008 är ju inte såå jobbigt att ha ett epostkonto och ett lösenord per site. enkelt sätt att memorera lösenord är att använda namnet på siten i lösenordet. exempelvis Party Poker -> partytime69 pokerstars ->starsnbarsftw carlospoker -> carlphilipojoback bara hitta på något fjantig så glömmer man det inte. Citera
MrFroggyX Postad 21 April , 2008 Rapport Postad 21 April , 2008 Vänner, http://www.keepass.info/ Och sedan heltoks tips med en e-mail per site/ewallet där du har pengar är mycket bra. Citera
w00d Postad 21 April , 2008 Författare Rapport Postad 21 April , 2008 Vänner,http://www.keepass.info/ Och sedan heltoks tips med en e-mail per site/ewallet där du har pengar är mycket bra. Jag har själv använt det där programmet och det fungerar mycket bra. Men det känns ändå som att papper och penna är en säkrare metod, som det t.ex. stod i Brainslicers länk. Citera
Perli Postad 21 April , 2008 Rapport Postad 21 April , 2008 Vänner,http://www.keepass.info/ Och sedan heltoks tips med en e-mail per site/ewallet där du har pengar är mycket bra. Haha, tänkte först att det var nån websida där man skulle lagra alla sina lösenord.. det hade ju bara varit för bra Måste nästan bygga en sån websida och se hur många lösenord man lyckas få Citera
Matfrid Postad 21 April , 2008 Rapport Postad 21 April , 2008 Jag har själv använt det där programmet och det fungerar mycket bra. Men det känns ändå som att papper och penna är en säkrare metod, som det t.ex. stod i Brainslicers länk. Vet inte hur det ska vara säkrare. Det blir ju så många konton med tiden, jag har ett par hundra olika att hålla reda på. Keepass klarar det bra, jag låter det generera knepiga lösen, sätter dem att upphöra efter sex månader och skapar också lösen för fåniga säkerhetsfrågor. Att förvara databasen på ett usb-minne kan vara praktiskt, men gör det aldrig utan backup. Citera
brainslicer Postad 21 April , 2008 Rapport Postad 21 April , 2008 Vet inte hur det ska vara säkrare. Det blir ju så många konton med tiden, jag har ett par hundra olika att hålla reda på. Keepass klarar det bra, jag låter det generera knepiga lösen, sätter dem att upphöra efter sex månader och skapar också lösen för fåniga säkerhetsfrågor. Att förvara databasen på ett usb-minne kan vara praktiskt, men gör det aldrig utan backup. mmm, papper kan stjälas eller förstöras, liksom usbminnen eller andra lagringsmedia...så de e väl sak samma, vad man känner sig mer bekväm med antar jag Citera
okocha Postad 21 April , 2008 Rapport Postad 21 April , 2008 Jag kör alternativ två och har olika för precis alla siter, tycker det är jättelätt att minnas dem efter man skrivit dem 3-4 ggr. Ja, glömde säga att jag skriver ner alla på ett papper också men som sagt, efter ett par ggr lär man sig även alfanumeriska lösenord. Jag gör precis likadant, dock hade jag inte skrivit ner mitt neteller id någonstans, jag kunde ju det liksom, sen blev mailen hackad och jag kom inte ihåg mitt neteller id, var ett jäkla tjafs med neteller som inte jag orkade med så det hela slutade med att jag bojkottade neteller. Så skriv ner lösenord och liknande på en lapp så ni inte glömmer. Citera
Jakelamotta Postad 21 April , 2008 Rapport Postad 21 April , 2008 mmm, papper kan stjälas eller förstöras, liksom usbminnen eller andra lagringsmedia...så de e väl sak samma, vad man känner sig mer bekväm med antar jag Känns ändå som ett papper är säkrare än något man förvarar på datorn för de flesta. Är inte direkt orolig att ngn ska bryta sig in i min lägenhet och sno mitt lösenordspapper. Citera
Perli Postad 21 April , 2008 Rapport Postad 21 April , 2008 Känns ändå som ett papper är säkrare än något man förvarar på datorn för de flesta. Är inte direkt orolig att ngn ska bryta sig in i min lägenhet och sno mitt lösenordspapper. Och det är väl inget som säger att man inte kan kryptera texten på pappret oxå Citera
Loveless Postad 22 April , 2008 Rapport Postad 22 April , 2008 Det är ju såklart bättre. Det var framför allt "kopierings tekniken" jag tyckte var dålig. Ett program som sköter intryckningen åt oss är såklart bättre men då har du problemet att ifall någon installerat en keylogger för att komma åt framförallt lösenord på din dator så kommer trojanen med all sannolikhet scanna av det mesta så fort en ruta öppnas i din dator som det står "welcome xxx, please Login". Jag är inte så insatt i "keyloggers", men jag tror nog de flesta har avancerade filter+keyboard/virtual key-hooks för att komma åt lösenord i program. Nja, har du fått in en keylogger som är så kompetent som du beskriver spelar det ju ingen roll hur du förvarar lösenorden så att säga att det är en anledning till att rata hans idé är fel. Jag har inte själv grottat mig ner i den magiska världen av hooks när det gäller tangentbordet men jag tror att klipp och klista använder en annan metod. Dvs, om du använder klipp och klistra så kan det finnas chans att keyloggern missar detta. Detta gäller speciellt om du har trådlöst tangentbord då du slipper tänka på att säkra upp den signalen. Jag tycker iden med VMWare låter intressant om man har installerat den korrekt. Det man ska tänka på här är att se till att den virtuella maskinen skyddas ifrån värden så att man inte får in en massa skräp den vägen. Sen tar man och installerar sitt OS, patchar som behövs och hämtar hem de klienter som man vill använda. När detta är gjort (och innan man börjar logga in på klienterna) så skapar man en "snapshot" av installationen. Sedan så återgår man helt sonika till denna snapshot varje gång man startar upp datorn. Om en klient eller operativet behöver uppdateras gör man detta och tar sedan en ny snapshot. Avinstallera helst allt övrigt internettjafs ifrån den virtuella maskinen. Citera
raptorjr Postad 22 April , 2008 Rapport Postad 22 April , 2008 Fast VMWare hjälper ju knappast om du startar igång den på din smittade windows dator som är full med keyloggers. Då fångar dom ju ändå upp alla dina tangenttryckningar. Isåfall får man installera t.ex. ubuntu server på nån dator som sedan bara kör WMVare. Då är det ju ingen risk att värdsystemet är smittat. Sen får man live boota t.ex. vanlig ubuntu och ha WMVare konsolen där så man kan koppla upp sig mot sin virtuella Windows installation. Då kan man börja känna sig säker. Citera
Perli Postad 22 April , 2008 Rapport Postad 22 April , 2008 Fast VMWare hjälper ju knappast om du startar igång den på din smittade windows dator som är full med keyloggers. Då fångar dom ju ändå upp alla dina tangenttryckningar.Isåfall får man installera t.ex. ubuntu server på nån dator som sedan bara kör WMVare. Då är det ju ingen risk att värdsystemet är smittat. Sen får man live boota t.ex. vanlig ubuntu och ha WMVare konsolen där så man kan koppla upp sig mot sin virtuella Windows installation. Då kan man börja känna sig säker. Det var precis därför jag rekommenderade att köra OpenBSD i grunden som är kännt som ett av de säkraste operativsystemen där ute. Dom jobbar stenhårt på att gå igenom koden för att hitta möjliga exploits något som gett resultat.. "Only two remote holes in the default install, in more than 10 years!" Kom igen när MS kan säga samma sak Citera
Loveless Postad 22 April , 2008 Rapport Postad 22 April , 2008 Nu är jag inte någon hacker, så vet inte om det finns smartare sätt att skriva en keylogger. Hursomhelst, jag implementerade denna exempelkod http://www.codeproject.com/KB/DLL/keyboardhook.aspx i ett dll-projekt, skapade ett program som kopplar upp hooken. Resultat? Text skriven för hand (som denna) hamnar i resultatfilen. Text som kopieras via ctrl-c ctrl-v hamnar endast som "c" och "v" i filen. Text kopierad med musen hamnar inte alls i filen (behövs en annan hook för mus-events). Text skriven i VMWare hamnar inte alls i min logg. Citera
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.