autentiseringsfiske

försök att komma åt inloggningsuppgifter för andra personer. – Autentiseringsfiske görs ofta med användning av förfalskade inloggningssidor till sidor eller tjänster som angriparen räknar med att offret använder. De förfalskade sidorna skickas med mejl som verkar legitima. Om offret försöker logga in på den förfalskade sidan kan angriparen registrera användarnamn och lösenord. Enklaste motmedlet är flerfaktorsautentisering eller andra system som gör att ett lösenord bara kan användas en gång. – Kallas också för lösenordsfiske. – På engelska: credential phishing. – Se också autentisering.

[inloggning] [nätfiske] [18 oktober 2021]

tidsbaserat engångslösenord

lösenord som genereras av en algoritm med den tidpunkt då beräkningen sker som en faktor. – Lösenordet blir då ett unikt engångslösenord. Det är bara giltigt en kort tid efter att det har genererats. Det krävs att båda parter har samma tid inställd och tillgång till samma program för generering av lösenord. Mottagarens program utför samma beräkning som avsändaren och jämför. Giltighetstiden för tidsbaserade engångslösenord brukar vara något mer än 30 sekunder. Vid kontrollen måste man nämligen lämna marginal för beräkningstiden och latensen, som ju kan variera. (Det är teoretiskt tänkbart att två olika tidsangivelser ger samma lösenord – se till exempel lådprincipen – men det är osannolikt.) – Internets tekniska ledningsgrupp IETF har fastställt en standard (RFC) för tidsbaserade engångslösenord, RFC 6238 (länk). – På engelska: time‑based one‑time password, TOTP.

[lösenord] [19 september 2021]

mnemonic

minneshjälp, minnesramsa, minnesstöd – uttryck som används som stöd för minnet. – Exempel: ”Gav du Anders en hel fisk?” för korstonarterna G, D, A, E, H och Fiss. Även handlingar, som att räkna på knogarna för att komma ihåg vilka månader som har 31 dagar är minneshjälp. – Inom it står mnemonic / minneshjälp ofta något som hjälper användaren att komma ihåg lösenord. Om lösenordet är trettondagsafton (rekommenderas inte) kan minneshjälpen vara Shakespeare. Det är sedan upp till användaren att göra kopplingen. (Detta är något annat än de kontrollfrågor – ”mormors efternamn som ogift” – som ofta används när man har glömt bort ett lösenord och ska skaffa ett nytt.) – Ordet mnemonisk förekommer på svenska, men kan med fördel bytas ut mot ord på minne. Engelska mnemonic uttalas med stumt m i början. Mnemonics kan översättas med minneskonst, minnesteknik.

[lösenord] [23 februari 2021]

administratörslösenord

lösenord som används av den som är administratör för en dator, till skillnad från andra användare av samma dator. – Administratören har behörighet att, till exempel, installera program och göra uppdateringar, vilket andra användare (lokala användare) inte har, eller bara har i begränsad omfattning. På ett företag är administratören ofta en anställd på it‑avdelningen. Men det kan finnas flera administratörskonton på samma dator i ett företag: användaren kan som administratör installera program och göra uppdateringar, men har ingen behörighet när det gäller nätverket som helhet. Administratören från it-avdelningen kan däremot göra ändringar och inställningar som gäller datorn som del av nätverket, till exempel tillgång till gemensamma resurser. – På datorer som används privat används ofta enbart administratörskontot – ägaren är inloggad som administratör hela tiden. Men många har av säkerhetsskäl både ett ”vanligt” konto och ett administratörskonto: de loggar in på administratörskontot bara när det behövs, till exempel för att installera ett program. Skälet är att ett vanligt konto är mer säkert. Det går till exempel inte för angripare att installera skadeprogram i smyg på en dator om användaren inte är inloggad som administratör. – Man behöver inte nödvändigtvis logga ut från ett vanligt konto och logga in på administratörskontot för att installera program: det kan räcka med att man anger administratörslösenordet i en dialogruta som kommer upp automatiskt. – Inget hindrar att administratörslösenordet är identiskt med användarlösenordet, men det är riskabelt att ha det så. – På engelska: administrator password, admin password.

[lösenord] [15 december 2020]

lösenordsstyrka

bedömning av hur säkert ett lösenord är mot försök att hitta det. Angripare kan försöka att gissa lösenordet eller använda datorprogram för att systematiskt pröva tänkbara lösenord. Det finns två angreppssätt:

  • Uttömmande attack. Ett datorprogram prövar alla tänkbara teckenkombinationer upp till en viss längd. För angriparen är problemet med sådana attacker är att många system bara tillåter ett fåtal försök med felaktiga lösenord innan de stoppar all inloggning för en tid. (Men det finns system som saknar den spärren.) För att få hög lösenordsstyrka mot uttömmande attacker bör man därför välja ett så långt lösenord som möjligt, gärna en lösenfras (morotkebnekajseviolettgräs) – lösenfraser har fördelen att de är lätta att minnas;
  • Ordlisteattack. Angriparen har ett program som prövar ord och namn samt kända vanliga lösenord från en lång lista. För att få hög lösenordsstyrka mot ordlisteattacker kan man ha lösenord som är slumpmässiga följder av tecken. Om man använder ord eller namn bör man ändra stavningen och stoppa in siffror och andra tecken. Många tjänster kräver att lösenord innehåller stora och små bokstäver samt siffror och andra tecken. Lösenfraser försvårar ordlisteattacker. 

– Man bör definitivt inte ha lösenord på en lapp under skrivbordsunderlägget eller välja uppenbara lösenord som namn på barn eller husdjur. Säkerhetsexperten Bruce Schneier rekommenderar att man har långa lösenord och skriver upp dem på en lapp som man har i plånboken. Man bör också byta ut förinställda lösenord (standardlösenord). Det är omstritt ifall det är bra att byta lösenord regelbundet – en del anser att det mest skapar krångel (eller att folk byter från ett lättgissat lösenord till ett annat) och att det är bättre att ha långa, säkra lösenord som inte behöver bytas ut. – Lösenordsstyrka kan testas på sajten testalosenord.se. – På engelska: password strength.

[lösenord] [ändrad 7 december 2020]