– se lösenordsförnyelse.
Kategori: inloggning
Artiklar som i IDG:s ordlista handlar om inloggning. Kategorin inloggning är en underavdelning till kategorin identifiering och har underavdelningen lösenord.
lösenordsförnyelse
obligatorisk lösenordsförnyelse, regelbunden lösenordsförnyelse – krav att användare i ett nätverk byter ut sina lösenord med bestämda mellanrum. Det kan vara var tredje månad, en gång i halvåret, varje år eller något annat. – Flera experter anser att regelbunden lösenordsförnyelse inte höjer it‑säkerheten, utan snarare tvärtom, främst därför att användarna tenderar att återanvända sina gamla lösenord med minsta möjliga ändring enligt mönster som mittlosenord1, mittlosenord2, mittlosenord3… Behovet av att hålla reda på många lösenord, som dessutom måste bytas ut med jämna mellanrum, gör också att användarna tenderar att använda samma, eller snarlika, lösenord till många tjänster. Det underlättar för hackare. – En bättre lösning enligt it‑säkerhetsexperten Bruce Schneier (se denna länk) är att välja lösenord som inte liknar något som står i ordlistor, men som ändå går att komma ihåg. Han har också rekommenderat mycket långa lösenord, eftersom hackare bara brukar pröva lösenord upp till en bestämd längd. – Den svenska it‑säkerhetsexperten Anne‑Marie Eklund‑Löwinder, tidigare på Internetstiftelsen påpekar (se denna länk) att stulna lösenord som regel används omedelbart. Att byta lösenord regelbundet är därför som att byta ut dörrlåset efter inbrottet. – På engelska: password rotation, ofta försvenskat till lösenordsrotation. Den benämningen kan skapa intrycket av att samma lösenord cirkulerar bland användarna, så därför är lösenordsförnyelse tydligare.
[lösenord] [ändrad 19 juli 2022]
Telepathwords
ett program för test av lösenord. – Man matar in lösenord, tecken för tecken i Telepathwords. Telepathwords visar då vilka de tre mest sannolika följande tecknen är. Programmet utgår från kända vanliga lösenord, vanliga ord och uttryck samt teckenföljder på tangentbord. Syftet är, eller var, att användarna skulle lära sig att undvika lättgissade lösenord. – Telepathwords utvecklades 2013 av Microsoft Research. Det var tidigare tillgängligt på webben, men inte längre. – Mer om Telepathwords på denna länk.
[lösenord] [ändrad 19 februari 2022]
Targuess
en algoritm som uppges kunna knäcka de flesta lösenord med färre än 100 försök. – Targuess utgår från personlig information om lösenordets innehavare. Informationen samlas in på sociala forum på nätet. (Targuess arbetar alltså inte med vare sig ordlisteattacker eller uttömmande attacker.) Enligt Targuess upphovspersoner lyckas algoritmen med ungefär 73 procent av lösenorden. – Targuess har utvecklats av forskarna Ding Wang, Zijian Zhang, Ping Wang, Jeff Yan och Xinyi Huang. Se artikeln ”Targeted online password guessing: an underestimated threat” från 2016 (länk).
[lösenord] [ändrad 27 september 2018]
pepper ⇢
– se peppar.
peppar
i kryptering: ett tal som läggs till på slutet av ett lösenord som ska lagras i en databas. – Talet läggs till innan lösenordet krypteras som ett kondensat. Syftet är att göra det orimligt tidskrävande för en angripare att knäcka lösenordet. – Om man till exempel lägger till sex binära siffror (ettor och nollor) får man 64 olika tänkbara tal. Om lösenordet är M12c3jKk kan alltså lösenordet med peppar bli M12c3jKk101110. (I praktiken använder man mycket längre teckenserier – 112 bitar rekommenderas av USA:s NIST.) Skillnaden mot kryptografiskt salt är att peppar lagras i ett medium som är fysiskt och logiskt skilt från förteckningen över lösenordskondensat. Peppar kallas därför även för secret salt. – En angripare som försöker dekryptera lösenordet på ett systematiskt sätt (se ordlisteattack och uttömmande attack) måste pröva varje tänkbart lösenord mot ett stort antal olika tal, vilket blir mycket tidskrävande. – Peppar används tillsammans med kondensat (hash) och salt. Namnet, på engelska pepper, anspelar förstås på salt. – Läs också om nonce.
[kryptering] [lösenord] [ändrad 5 juli 2022]
dadada
Facebook-chefen Mark Zuckerbergs lösenord till Twitter och Pinterest, avslöjat i juni 2016 vid ett dataintrång.
[dumhet] [lösenord] [ändrad 14 februari 2020]
U2F
Universal 2nd factor – ett system för inloggning från valfri dator med tvåfaktorsautentisering. Det har följts av FIDO2. – U2F utvecklades först av Google och Yubico (se YubiKey), men förvaltas numera av FIDO Alliance. Det presenterades 2017. – För att använda U2F måste man ha ett USB‑minne med U2F:s program för autentisering. När man ska logga in på en tjänst som använder U2F måste man sätta in USB‑minnet i datorn. För att aktivera USB‑minnet måste man sedan slå in ett PIN. Man måste också logga in på tjänsten på vanligt sätt med användarnamn och lösenord. Det krävs att användaren först registrerar sig hos Fido Alliance. – Läs mer på FIDO Alliances webbsidor (länk). – Se också UAF.
[förkortningar på U] [inloggning] [ändrad 3 maj 2023]
UAF
Universal authentication framework – ett system för inloggning utan lösenord. – UAF har utvecklats av FIDO Alliance. Det presenterades 2014 och kom i en andra version 2017. – UAF är knutet till användarens dator och gör att hon kan logga in på ett av flera sätt, till exempel biometriskt eller med PIN. Vilket sätt som ska användas kan bestämmas av användaren eller av den organisation som tillhandahåller datorn. Användaren kan använda UAF för att logga in på alla tjänster som är anpassade för UAF. Det krävs att användaren först registrerar sig hos Fido Alliance. – Läs mer på FIDO Alliances webbsidor (länk). – Se också U2F.
[förkortningar på U] [inloggning] [ändrad 16 maj 2022]
2FA ⇢
– förkortning för two-factor authentication, se tvåfaktorsautentisering.