ett allvarligt fel i ett system för kryptering av webbkommunikation, upptäckt i april 2014. Det gäller kryptering med Open SSL. – Buggen Heartbleed gav inkräktare möjlighet att komma åt andra användares lösenord för webbkommunikation, och därmed också möjlighet att komma åt deras privata tjänster och konton. – Heartbleed blev känt den 7 april 2014, och en rättelse publicerades samma dag, men det krävs att rättelsen installeras på miljontals ställen. Felet beskrevs som katastrofalt. Säkerhetsexperten Bruce Schneier skrev att på en skala från 1 till 10 är detta en 11. – Läs mer på cert.se (länk). – IDG:s artiklar om Heartbleed: länk.
[it-säkerhet] [ändrad 10 mars 2020]
samma lösenord använt till allting, år efter år. Dålig idé, men vanligt beteende. – På engelska: life password.
[dumhet] [lösenord] [ändrad 10 september 2019]
(password) – hemligt ord, teckenkombination eller fras som används vid inloggning tillsammans med användarnamn. – Om lösenordet är en fras (flera ord, men utan mellanrum) kallas det också för lösenfras, på engelska passphrase, men om man inte behöver skilja mellan sorterna är det enklast att kalla även det för lösenord. Ett lösenord behöver inte heller vara ett ord, utan kan vara en outtalbar teckenkombination med siffror och andra tecken. – Bra lösenord ska vara svåra att gissa, och bör därför, om de är relativt korta, bestå av små och stora bokstäver, siffror och andra tecken. (Se lösenordsstyrka.) Långa lösenord kan bestå av flera vanliga ord i följd utan mellanrum – lösenfraser. Långa lösenord har fördelen att angripare vid uttömmande lösenordsattacker bara kan försöka med lösenord upp till en viss längd. – Allt fler säkerhetsexperter hävdar att det är säkrare att ha mycket långa lösenord som är lätta att memorera – fyra ord i rad, som auberginbotswanacykeldramaten– som inte byts ut regelbundet än att ha kortare lösenord som byts ut med bestämda mellanrum. Lösenordsbyte innebär nämligen ofta att begagnade eller andra lättgissade lösenord återanvänds. – Även PIN (”pinkod”) är ett slags lösenord. – Du kan testa styrkan i ett lösenord på Post- och telestyrelsens (PTS) webbsidor, se testalosenord.se. – Se också access key, diceware, engångslösenord, flerfaktorsautentisering, graphical user authentication, keepsake password, kill password, livstidslösenord, standardlösenord, tvåfaktorsautentisering och överfallskod samt Lösenordsbytardagen.
[lösenord] [ändrad 20 november 2020]
(password trap) – program eller webbsida som lurar användarna att lämna ifrån sig sina lösenord. Vanligen utformade som kopior av äkta inloggningssidor. – Se också nätfiske (phishing).
[it-säkerhet] [ändrad 11 april 2018]
förinställt lösenord som används för att avslöja dataintrång. – På engelska: honeyword. Man förser databasen över lösenord i en organisation med ett antal lättgissade lösenord som inte ger tillgång till nätverket, men som larmar ifall någon försöker logga in med dem. Detta beskrivs i artikeln ”Honeywords: Making password-cracking detactable” från 2013 av Ari Juels och Ronald Rivest, avgiftsbelagd, klicka här. – Se också honeymonkey, honungsfälla, intrångsfiske och vilseledande system.
[dataintrång] [lösenord] [ändrad 30 juni 2022]
annat ord för överfallskod. – Termen anspelar på brasklapp, som syftar på den svenska biskopen Hans Brask (1464—1538, se Wikipedia) som 1517 i smyg ska ha reserverat sig mot det svenska riksrådets beslut att avsätta den Danmarksvänlige ärkebiskopen Gustaf Trolle. Han gjorde det genom att under sitt sigill smussla in en lapp med texten ”Till denna besegling är jag nödd och tvungen”. Han ska sedan ha klarat sig från att bli avrättad av kung Kristian [”Tyrann”] vid Stockholms blodbad 1520 genom att visa upp den lappen. Huruvida detta verkligen har hänt är ovisst.
[lösenord] [ändrad 29 december 2019]
20 januari varje år. Då ska alla byta lösenord. – Lösenordsbytardagen instiftades år 2010 av tidningen PC för alla (länk). – Se losenordsbytardagen.se. – I denna artikel (borttagen) från januari 2017 hävdar Anne Marie Eklund Löwinder på Internetstiftelsen att man inte bör byta lösenord om det inte är nödvändigt och om man har ett lösenord som är bra. – Se också lösenordsförnyelse.
[lösenord] [årsdagar] [ändrad 3 maj 2019]
(dictionary attack) – i it-säkerhet: försök att logga in på en dator eller ett nätverk genom att pröva med en lista med sannolika lösenord. Sådana listor (wordlists) brukar innehålla vanliga ord, för- och efternamn samt annat som brukar användas som lösenord. – Skydd mot ordlisteattacker är:
- – välj långa lösenord. Angriparna måste ju sätta en övre gräns för hur långa ord de testar, så ju längre lösenord du väljer, desto lägre risk för att angriparen prövar med ett som är tillräckligt långt;
- – sätt samman lösenordet av flera ord utan inbördes sammanhang (se diceware);
- – blanda stora och små bokstäver i lösenordet (lösenord är skiftkänsliga);
- – stoppa in siffror och skiljetecken och byt ut bokstäver mot lämpliga siffror. Exempel: r3nHjord%svaGdr1cka&B0rne0.
– Om angriparen i stället prövar alla tänkbara teckenkombinationer är det en uttömmande attack (brute force attack). De flesta webbsidor tillåter bara ett fåtal misslyckade försök till inloggning, sedan blockeras kontot tillfälligt eller permanent.
[attacker] [lösenord] [ändrad 10 januari 2022]
en metod för dataintrång som utnyttjar en sårbarhet i SQL, ett språk som hanterar kommunikation mellan användare och databaser. – Sårbarheten är att SQL inte alltid kan skilja mellan text och instruktioner (programkod). I stället för att ange ett lösenord vid inloggning kan man därför, om man har de kunskaper som krävs, i fältet för lösenord mata in en instruktion som gör att databasen antingen lämnar ifrån sig rätt lösenord eller tror att lösenordet redan är inmatat. Lösningen är hårdare typning – systemet ska veta att det som matas in i vissa fält alltid är text, aldrig instruktioner. – Läs mer i i Wikipedia. – På engelska: SQL injection, förkortat SQLi.
[lösenord] [ändrad 19 juni 2019]