bedömning av hur säkert ett lösenord är mot försök att hitta det. Angripare kan försöka att gissa lösenordet eller använda datorprogram för att systematiskt pröva tänkbara lösenord. Det finns två angreppssätt:
- – Uttömmande attack. Ett datorprogram prövar alla tänkbara teckenkombinationer upp till en viss längd. För angriparen är problemet med sådana attacker är att många system bara tillåter ett fåtal försök med felaktiga lösenord innan de stoppar all inloggning för en tid. (Men det finns system som saknar den spärren.) För att få hög lösenordsstyrka mot uttömmande attacker bör man därför välja ett så långt lösenord som möjligt, gärna en lösenfras (morotkebnekajseviolettgräs) – lösenfraser har fördelen att de är lätta att minnas;
- – Ordlisteattack. Angriparen har ett program som prövar ord och namn samt kända vanliga lösenord från en lång lista. För att få hög lösenordsstyrka mot ordlisteattacker kan man ha lösenord som är slumpmässiga följder av tecken. Om man använder ord eller namn bör man ändra stavningen och stoppa in siffror och andra tecken. Många tjänster kräver att lösenord innehåller stora och små bokstäver samt siffror och andra tecken. Lösenfraser försvårar ordlisteattacker.
– Man bör definitivt inte ha lösenord på en lapp under skrivbordsunderlägget eller välja uppenbara lösenord som namn på barn eller husdjur. Säkerhetsexperten Bruce Schneier rekommenderar att man har långa lösenord och skriver upp dem på en lapp som man har i plånboken. Man bör också byta ut förinställda lösenord (standardlösenord). Det är omstritt ifall det är bra att byta lösenord regelbundet – en del anser att det mest skapar krångel (eller att folk byter från ett lättgissat lösenord till ett annat) och att det är bättre att ha långa, säkra lösenord som inte behöver bytas ut. – Lösenordsstyrka kan testas på sajten testalosenord.se. – På engelska: password strength.
[lösenord] [ändrad 7 december 2020]
ett program som i Unixkompatibla operativsystem ger användare möjlighet att köra program med en annan användares behörighet – vanligtvis administratören (superuser). Alltså med högre, eller annan, behörighet än vad användaren annars har. Användaren måste logga in med sitt eget konto, och i inställningarna för sudo finns en förteckning över vilka användare som får använda sudo och vad de får göra. Detta ger högre säkerhet än om man skulle låta samma användare logga in direkt på administratörskontot. – Den första versionen av sudo skrevs runt 1980 av Robert Coggeshall and Cliff Spencer. – sudo, som skrivs med liten begynnelsebokstav, är kort för superuser do, alternativt substitute user do. (Do är en instruktion som betyder ”gör detta”.)
[förkortningar på S] [inloggning] [unix] [24 september 2020]
– installationskonto – se under standardlösenord.
[lösenord]
svensk myndighet med ansvar för fängelser, häkten och frivård (kriminalvarden.se); i maj 2020 ertappad med ansvarslös hantering av it‑säkerheten. – Tv‑programmet TV4 Nyheterna (tv4.se) hade skickat mejl till myndighetens nio högsta chefer med texten att deras lösenord hade gått ut och måste förnyas. En länk för förnyelse av lösenord fanns i mejlet, men gick till en webbsida som nyhetsprogrammets undersökande reportrar bara använde för att registrera anrop. Trots att avsändaren av mejlet uppenbarligen inte fanns på Kriminalvården var det sex av nio höga chefer, inklusive kriminalvårdens säkerhetschef Kenneth Holm, som klickade på mejlet. När TV4 Nyheterna bad Kriminalvården att kommentera avslöjandet anmälde Kriminalvården tv‑programmet för dataintrång. – Se TV4 Nyheternas webbsidor: länk.
– In English: The Swedish prison and probation service was in May, 2020, found handling IT security in an irresponsible way at the agency’s top level. The news program TV4 Nyheterna sent emails to agency top executives, requesting them to renew their passwords. Although the mail obviously did not come from the agency’s IT department, six out of nine executives, including the head of security, still clicked on the link, which did nothing but register the call. When confronted by the reporters, the prison and probation service reported TV4 Nyheterna to the police for unauthorized access to its IT system. – For more summaries in English, please click on this link.
[it-säkerhet] [rättsfall och skandaler] [svenska myndigheter] [19 april 2023]
i autentisering: något som en användare vet och som används vid inloggning. – Kunskapsfaktor kallas ibland för ”något man vet”. Det vanligaste är lösenord, men det kan därtill vara förberedda personliga frågor som någon som försöker begå intrång troligen inte kan svara på, som ”var är din mamma född?”, ”vad hette ditt första husdjur?”. Det förutsätts att användaren har lösenord och andra svar i huvudet, eller uppskrivna på ett säkert ställe. – Kunskapsfaktor används i tvåfaktorsautentisering och flerfaktorsautentisering tillsammans med en besittningsfaktor (”något man har”).
[inloggning] [ändrad 6 mars 2023]
i autentisering: materiellt föremål som måste användas vid inloggning. Kallas ibland för ”något man har”. Det kan vara ett kort, en bricka, en personlig smart mobil med en viss app eller något annat som bara finns i ett exemplar och som på något sätt kan styrka användarens uppgivna identitet. (Se också token.) Besittningsfaktorn används tillsammans med en kunskapsfaktor (”något man vet”), vanligtvis ett lösenord. – Se också tvåfaktorsautentisering och flerfaktorsautentisering.
[inloggning] [24 april 2020]
- – se zoomning, digital zoom och optisk zoom;
- – Zoom – en amerikansk videokonferenstjänst. – Zoom, som grundades 2011, tillhandahåller videokonferenser över internet gratis för små grupper av privatpersoner och avgiftsbelagda tjänster för företag. Zoom har blivit en allmän benämning på videokonferenser, även när de görs med andra tjänster. – Under Covid 19‑pandemin med början 2020 har användningen av Zoom ökat kraftigt, samtidigt som tjänsten har beskyllts för att ha låg säkerhet och dåligt skydd av personlig integritet. Det förekommer Zoombombning, vilket innebär att kriminella hackare tar sig in i andras Zoom‑konferenser och förolämpar eller hotar de andra deltagarna. För att kunna göra det behöver de bara ha konferensens webbadress, som är lätt att gissa. Videokonferenser sägs också trötta ut deltagarna – se Zoom fatigue. Zoombombning var ett av årets nyord 2020 enligt Språkrådet (länk) och Språktidningen (länk). – Zooms påstående om att kommunikationen mellan konferensdeltagarna var krypterad visade sig vara felaktig, vilket företaget så småningom medgav. Installationsprogrammet för Zooms klientprogram för Macintosh har beskrivits som ”malware” eftersom det aktiverar datorns kamera och mikrofon utan ägarens vetskap. Det har också uppgetts att Zoom samlar in personliga data om användarna och säljer dem vidare till Facebook. – Version 5 av Zoom (se pressmeddelande) från april 2020 uppgavs ha höjd säkerhet. – Se zoom.us. – IDG:s artiklar om Zoom: länk.
[företag] [it-säkerhet] [kameror] [skandaler] [videoteknik] [årets nyord] [ändrad 19 januari 2023]
ett system för inloggning utan lösenord. – FIDO2 lanserades i april 2018 av FIDO Alliance i samarbete med webbens ledningsorgan W3C. – FIDO2 använder en kombination av FIDO Alliances Client to authenticator protocol (CTAP – se länk) och W3C:s WebAuthn (länk). Det bygger till stor del på FIDO Alliances U2F. – FIDO2 förutsätter att användaren först – en enda gång – autentiserar sig med användarnamn och lösenord. När FIDO2 sedan har aktiverats räcker det i fortsättningen med PIN, fingeravtryck, ansiktsigenkänning eller en säkerhetsnyckel som YubiKey. Inga användbara lösenord skickas över nätet. – FIDO2 har stöd av många ledande it- och säkerhetsföretag – se under inloggningsnyckel. – Se FIDO Alliances webbsidor.
[inloggning] [ändrad 3 maj 2023]
(one-time code, OTC) – lösenord som ska användas bara en gång. Ofta en sifferserie. Syftet är att göra uppsnappade lösenord oanvändbara. Det finns två slags engångskoder:
- – koder som står i en lista: användaren har ett exemplar av listan och mottagaren ett annat. När användaren har använt en av koderna kan den inte användas igen. Processen kan vara automatiserad. Läs också om engångskrypto (även kallat blankettchiffer);
- – koder som genereras när de ska användas. Detta kan göras hos användare och mottagare oberoende av varandra eller i en session. Om koden genereras av användaren och mottagaren var för sig används algoritmer, som kan vara lagrade i särskilda hårdvarunycklar, och som gör sina beräkningar utifrån en lagrad gemensam hemlighet eller, till exempel, klockslaget. Parterna gör samma beräkning samtidigt och jämför resultaten. Koden kan också genereras i en session där användare och mottagare utväxlar data som behandlas enligt principerna för utväxling av nycklar för asymmetrisk kryptering.
[lösenord] [ändrad 5 augusti 2019]