Nya krav på lösenord för Club Carlsonkontot

[Christiansson]

Just det är nog dessutom tyvärr en ganska sårbar metod. Om någon skulle hacka säg Club Carlson och komma över lösenord, så är det rätt troligt att de första andra siter de försöker ta sig in med samma lösenord är andra lojalitetsprogram. Då är det enda "skyddet" att många lojalitetsprogram faktiskt kräver att du loggar in med medlemsnummer och inte med epost eller userid, så det tvingar fram en skillnad mellan de olika siterna. Det är nog bättre att välja en site i varje kategori att ha samma lösenord på, än att gruppera på det sättet. (Däremot kan man definitivt ha ett rent throwaway lösenord för siter där man inte bryr sig ett dugg men de kräver lösen förstås, men för siter som faktiskt spelar roll, hög eller låg).

Och som även Peter kommenterade - om du ändå har en lösenordshanterare, varför inte ha olika lösen överallt? Så kan du dessutom ha riktigt bra lösen - och då blir en av de mest irriterande sakerna med CCs nya regler att du inte kan ha lösen längre än 20 tecken...

Tack för din omtanke, got it covered, jag lovar. Men eftersom jag har skäl att inte ha olika lösenord med 20 tecken överallt så vill jag inte ha det, du får gärna göra som du vill, men det blir inte säkrare. Och jag har inte haft några konto problem i de dryga 30 år jag har haft mängder med lösenord. Det finns skäl till det också.

En av de bästa funktionerna i nyare firefox är att den numera skiter i webbsiter som säger att du inte får klara passwords Men - nog har du sökfunktion för passwords, och inte bara bläddra? Eller automatmatching baserat på URL om du har browser-plugin?

Den, däremot, håller jag med till 200% om. Man ska i princip aldrig hitta på något eget när det har med säkerhet att göra.

Rent matematiskt så får du sämre passwords genom att sätta en sådan policy, eftersom det minskar antalet kombinationer (du kan ju t.ex. omedelbart räkna bort alla kombinationer som har enbart gemener). Så policyn ökar i sig inte säkerheten, utan är väl till för att användarna ska tvingas ta ett bra password. Om användarna tänkte sig för och tog bra password från början, så skulle ingen policy behövas. Problemet är väl att de flesta inte tänker så, och därmed drabbas de som faktiskt gör det av knasiga policies.

Och när du använder en publik dator, hur gör du då? Eller när du hamnar på den lokala sidan.

Och det var därför jag skrev "i praktiken" eftersom skillnaden i säkerhet utifrån ett praktisk perspektiv är försumbar om du adderar ett specialtecken. Det gör faktiskt inte lösenorden säkrare, även om många verkar tro det. Statistik och kombinatorik är inte allt, även om det är rätt roligt - jag vet, lite nördigt igen, men jag var tvungen att traggla igenom det och det var förvånansvärt kul, en rolig sak som alltid slår folk är sannolikheten att två ungar i samma klass är födda på samma dag, eller det lite mer uppenbara att slå en sexa med en tärning tre gånger i rad, och tro att sannolikheten är mindre än 1/6 att det blir en sexa igen.

Och mer är inte alltid bättre. Det resulterar bara i att folk hittar vägar att komma runt det, dvs, Qwerty1! är ett bra password även om det följer CC's regler (NotRyan@14 är inte speciellt bra heller faktiskt). Så det största irritationsmomentet är varför vi faktisk fortfarande efter 30 år tvingas hålla på med alla dessa passwords när det är rätt enkelt att t.ex som BankID sköta autentiseringen utan alla risker.

Anyway, nu har jag tagit tillräckligt med plats här, sorry about that.

 

[Peter Hagander]

Och när du använder en publik dator, hur gör du då? Eller när du hamnar på den lokala sidan.

Publik dator använder jag aldrig. Kan inte minnas när jag senast gjorde det, och skulle så vara fallet skulle jag inte ha något problem att den enda gången faktiskt skriva av från min mobils skärm, trots att det är många tecken att skriva.

När jag hamnar på den lokala sidan? Det är ju bara att kopiera ut lösenordet om inte autocomplete funkar, så det ser jag inte som något problem. 1 Password är tillräckligt smart för att kunna lagra flera URL:er dessutom så det är bara första gången som jag stöter på tröskel där.

 

[Deleted member 4971]

Vilket svammel, fick någon länk att skapa ett nytt konto när jag skulle logga in igår

Edit: oops hade fel email, inte konstigt Men nog var det bökigt. Slutade med att jag bara körde en variant att trycka helt random på tangentbordet och sen spara lösenordet i Safari :X

 

[johan_fbg]

I dag testade jag på nytt, fick mitt e-post direkt och lösenord uppdaterat.

 

[Nemo]

Slutade med att jag bara körde en variant att trycka helt random på tangentbordet och sen spara lösenordet i Safari :X

Vad gör du när du behöver logga in från annan dator/läsplatta/mobil? Beställer nytt lösenord?

 

[Deleted member 4971]

Vad gör du när du behöver logga in från annan dator/läsplatta/mobil? Beställer nytt lösenord?

Bokar bara hotell från den här datorn, men ja får köra glömt lösenord den dagen, blev mest irriterad över vad dom krävde för olika tecken. Till vilken nytta liksom?

 

[Nemo]

Bokar bara hotell från den här datorn, men ja får köra glömt lösenord den dagen, blev mest irriterad över vad dom krävde för olika tecken. Till vilken nytta liksom?

Det här är ju klassiskt. Och om man sparar lösenordet så skriver man ned det på ett papper och lägger det under skrivbordsunderlägget alt under tangentbordet. Eller som det görs på många sjukhus, eftersom de ofta har liknande korkade policies: skriver inlogg+lösen med dymo och klistrar upp på skärmens kant.

 

[doc]

Vad gör du när du behöver logga in från annan dator/läsplatta/mobil? Beställer nytt lösenord?

Bokar bara hotell från den här datorn, men ja får köra glömt lösenord den dagen, blev mest irriterad över vad dom krävde för olika tecken. Till vilken nytta liksom?

Safari synkar över lösenorden till iPad och iPhone om man sparar dem och använder iClouds nyckelring, så då är det inga problem. Själv använder jag också 1Password, precis som Peter Hagander och tycker det fungerar superbra. Där har jag alla kortnummer, passnummer, lösenord med mera.

 

[agehall]

Det här är ju klassiskt. Och om man sparar lösenordet så skriver man ned det på ett papper och lägger det under skrivbordsunderlägget alt under tangentbordet. Eller som det görs på många sjukhus, eftersom de ofta har liknande korkade policies: skriver inlogg+lösen med dymo och klistrar upp på skärmens kant.

Ska man inte göra så alltså!?

OT: Sjukhus har många spännande saker för sig. Jag har hört skräckhistorier om hur folk lagrat mail i papperskorgen eftersom de bara haft 100MB mailkvota men kvoten räknade inte saker som låg i papperskorgen... Gissa hur det slutade...

Safari synkar över lösenorden till iPad och iPhone om man sparar dem och använder iClouds nyckelring, så då är det inga problem. Själv använder jag också 1Password, precis som @Peter Hagander och tycker det fungerar superbra. Där har jag alla kortnummer, passnummer, lösenord med mera.

Eftersom Peter Hagander nästan verkar få provision på 1Password så bestämde jag mig för att titta lite på den igen. Jag testade den för ett antal år sedan och då sög den så hårt att den drog fotbollar genom trädgårdsslang. Nu verkar de ha fått ordning på det hela och ser rätt trevlig ut. Ska fundera på om jag ska migrera till den från Keepass som jag kör idag.

 

[Nemo]

Safari synkar över lösenorden till iPad och iPhone om man sparar dem och använder iClouds nyckelring, så då är det inga problem. Själv använder jag också 1Password, precis som Peter Hagander och tycker det fungerar superbra. Där har jag alla kortnummer, passnummer, lösenord med mera.

Nämen det är ju jättebra! Jag lägger alla mina lösenord hos Apples iCloud nyckelring, som sedan skickar vidare dessa till NSA. Det är alltså därför man måste ha superkrångliga lösenord så att man bara ger upp och ger ifrån sig dessa.
/kryptoteknikern