• Välkommen till ett uppdaterat Klocksnack.se

    Efter ett digert arbete är nu den största uppdateringen av Klocksnack.se någonsin klar att se dagens ljus.
    Forumet kommer nu bli ännu snabbare, mer lättanvänt och framför allt fyllt med nya funktioner.

    Vi har skapat en tråd på diskussionsdelen för feedback och tekniska frågeställningar.

    Tack för att ni är med och skapar Skandinaviens bästa klockforum!

    /Hook & Leben

Uppdaterade regler på köp o sälj

evki

evki

Audemars
2-Faktor
JB_XII skrev:
Spekulerades ju i att uppgifterna om e-post konton och lösenord hade läckt från en annan sida, menade bara på att det vore rätt orimligt :)
Klicka för att se resterande...

Det kanske låter son en alltför komplicerad förklaring men många använder sina mejladress för att skicka/få bilder då man inte kan bifoga en bild direkt i PM. Jag tror inte det är helt omöjligt att skurken hade haft kontakt med de medlemmar vars konton har kapats och fick mejladress på detta sätt. Eller?
 
JB_XII

JB_XII

Rolex
evki skrev:
Det kanske låter son en alltför komplicerad förklaring men många använder sina mejladress för att skicka/få bilder då man inte kan bifoga en bild direkt i PM. Jag tror inte det är helt omöjligt att skurken hade haft kontakt med de medlemmar vars konton har kapats och fick mejladress på detta sätt. Eller?
Klicka för att se resterande...

Inte omöjligt. Frågan är hur de fick tag i lösenordet då?
En teori är att de söker efter sidor med dålig säkerhet där dessa e-posters är registrerade och angriper dem. Men det låter rätt långsökt?

Kontra att man direkt attackerat forumet och kommit över viss information.
 
evki

evki

Audemars
2-Faktor
JB_XII skrev:
Inte omöjligt. Frågan är hur de fick tag i lösenordet då?
En teori är att de söker efter sidor med dålig säkerhet där dessa e-posters är registrerade och angriper dem. Men det låter rätt långsökt?

Kontra att man direkt attackerat forumet och kommit över viss information.
Klicka för att se resterande...

Men våra lösenord som ligger på KS servers borde vara krypterade... Är det det du menar - att känsliga uppgifter förvaras på ett osäkert sätt?
 
HSK

HSK

Patek
2-Faktor
JB_XII skrev:
Inte omöjligt. Frågan är hur de fick tag i lösenordet då?
En teori är att de söker efter sidor med dålig säkerhet där dessa e-posters är registrerade och angriper dem. Men det låter rätt långsökt?

Kontra att man direkt attackerat forumet och kommit över viss information.
Klicka för att se resterande...
Bruteforce. Man kan automatisera testandet av olika kombinationer genom diverse databaser/läckor som man har tillgång till. Känner man dessutom till användarnamnet är halva jobbet redan gjort.

Det kan stävjas till viss del genom s.k. captcha och/eller ett begränsat antal inloggningsförsök men det finns sätt att ta sig runt även det och grundproblemet är fortfarande att folk helt enkelt har för enkla lösenord och ofta använder samma lösenord på flera olika ställen. Har man ett väldigt långt och unikt lösenord som endast används på KS så försvårar man verkligen för bedragarna men det bästa är som sagt att använda 2FA eftersom det mer eller mindre kräver tillgång till användarens dator eller telefon utöver själva lösenordet. Det går att spara inloggningsuppgifter både i webbläsare och egen digital nyckelknippa så man behöver aldrig ens memorera dessa heller.

Det görs undersökningar lite då och då bland stora myndigheter och företag och det är skrämmande många som har 1234 eller vinter2020 som lösenord.
 
Pete11

Pete11

Vacheron
2-Faktor
JB_XII skrev:
Inte omöjligt. Frågan är hur de fick tag i lösenordet då?
En teori är att de söker efter sidor med dålig säkerhet där dessa e-posters är registrerade och angriper dem. Men det låter rätt långsökt?

Kontra att man direkt attackerat forumet och kommit över viss information.
Klicka för att se resterande...
Har man ett tillräckligt dåligt lösenord är det lika riskabelt att exponera sin epost som själva lösenordet.
Väldigt många har lösenord som 'password1', 'qwerty' eller användarnamnet baklänges. Om inte forumet begränsar antalet inloggningsförsök under en given tidsenhet är det bara att testa vanliga lösenord tills man kommer in.

Återigen undrar jag hur man lyckats knyta fler än en epostadress till KS.. Ren slump eller har en lista med epostadresser kommit ut?
 
HSK

HSK

Patek
2-Faktor
Pete11 skrev:
Återigen undrar jag hur man lyckats knyta fler än en epostadress till KS.. Ren slump eller har en lista med epostadresser kommit ut?
Klicka för att se resterande...
Jag kanske har missat någon detalj men vem har sagt att det gäller e-postadresser? Användarnamnen finns att beskåda fritt för vem som helst och det enda man behöver göra är att bruteforca dessa användarnamn mot en lista med lösenord som både kan vara från andra läckor men även en egenkomponerad wordlist med vanligt förekommande lösenord.

Att folk har fått mail om att lösenordsbyten har genomförts betyder ingenting eftersom ändringen görs genom kontot här på KS och man bara får en slags bekräftelse till mailen, eller?
 
Pete11

Pete11

Vacheron
2-Faktor
HSK skrev:
Jag kanske har missat någon detalj men vem har sagt att det gäller e-postadresser? Användarnamnen finns att beskåda fritt för vem som helst och det enda man behöver göra är att bruteforca dessa användarnamn mot en lista med lösenord som både kan vara från andra läckor men även en egenkomponerad wordlist med vanligt förekommande lösenord.

Att folk har fått mail om att lösenordsbyten har genomförts betyder ingenting eftersom ändringen görs genom kontot här på KS och man bara får en slags bekräftelse till mailen, eller?
Klicka för att se resterande...
Du har helt rätt. Man kan ju logga in med användarnamn också vilket jag helt glömt bort. Det gör ju saken annorlunda.
För övrigt vore det ju en bra förändring - inloggning endast med e-post eller via ett dolt användarid..
 
Kiddy

Kiddy

Panerai
2-Faktor
Varför är inte tvåfaktorsautentisering ett krav vid inloggning? Hade det inte försvårat kontokapningar?
 
  • Like
Reactions: HSK
HSK

HSK

Patek
2-Faktor
Kiddy skrev:
Varför är inte tvåfaktorsautentisering ett krav vid inloggning? Hade det inte försvårat kontokapningar?
Klicka för att se resterande...
Jo, det är den absolut säkraste lösningen och kräver bara en dator eller mobiltelefon men det lär väl alla ha oavsett. ;) Jag har inte koll på hur just KS valt att implementera det men om det fungerar som det vanligtvis gör så behöver du bara använda din unika kod om du t.ex. självmant loggar ut, annars har man inloggningsuppgifterna sparade i webbläsaren så det är inget problem om man nu inte sitter och loggar in och ut hela tiden men vem gör det?

Det finns en del konkreta tips på vad som kan göras varav vissa måste göras av KS medan andra kan göras på egen hand:
  • Kräv 2FA för inloggning
  • Använd captcha och begränsa antalet inloggningsförsök
  • Kräv bekräftelse på lösenords- och e-postsändringar från den senast registrerade adressen
  • Kräv inloggning med e-post och lösenord istället för användarnamn
  • Kräv långa och unika lösenord, minst 15-20 tecken med gemener, versaler, siffror och specialtecken
Fyll gärna på listan om ni sitter på fler bra idéer. :)
Det enklaste och viktigaste som man kan göra själv är att ha ett långt och unikt lösenord som man bara använder på KS och ingen annanstans. Det och att aktivera 2FA så klart.
 
Senast ändrad:
Nicbex

Nicbex

Audemars
2-Faktor
Ärligt talat är väl enda gången det finns behov med tvåstegs om man har korta lösenord som kan bruteknäckas eller återanvänds. Lycka till att knäcka ett 14 siffror randomiserat lösenord, eller ännu längre.
 
evki

evki

Audemars
2-Faktor
Nicbex skrev:
Ärligt talat är väl enda gången det finns behov med tvåstegs om man har korta lösenord som kan bruteknäckas eller återanvänds. Lycka till att knäcka ett 14 siffror randomiserat lösenord, eller ännu längre.
Klicka för att se resterande...

Förutom att du har det sparat någonstans, antingen på din dator/platta/telefon eller/och i molntjänsten. Nu är det bara ett klockforum så ingen skulle nog satsa på att hacka din dator för det men annars är det lättare än man kan tro.
 
Nicbex

Nicbex

Audemars
2-Faktor
evki skrev:
Förutom att du har det sparat någonstans, antingen på din dator/platta/telefon eller/och i molntjänsten. Nu är det bara ett klockforum så ingen skulle nog satsa på att hacka din dator för det men annars är det lättare än man kan tro.
Klicka för att se resterande...
Hur menar du, att man skulle ha sitt lösenord i ett anteckningsblock? :D
 
evki

evki

Audemars
2-Faktor
Nicbex skrev:
Hur menar du, att man skulle ha sitt lösenord i ett anteckningsblock? :D
Klicka för att se resterande...

Jag menar att det räcker med att stjäla din dator/surfplatta och bruteknäcka den - du kör säkert en mycket enklare lösenord där eftersom du inte kan spara det i molntjänst. Tvåstegs är en superenkel lösning på det problemet och jag förstår verkligen inte varför man ska ens ta risker.
 
Nicbex

Nicbex

Audemars
2-Faktor
evki skrev:
Jag menar att det räcker med att stjäla din dator/surfplatta och bruteknäcka den - du kör säkert en mycket enklare lösenord där eftersom du inte kan spara det i molntjänst. Tvåstegs är en superenkel lösning på det problemet och jag förstår verkligen inte varför man ska ens ta risker.
Klicka för att se resterande...
Mobiltelefoner är ju typ det svåraste du kan komma in i idag om du har t.ex. en iPhone. Drälla runt med en jobbdator på stan och bli av med så är väl det minsta jag skulle vara orolig för att tappa lösenordet till ett forum.

Alla har ju sina lösningar, du kan ju bli rånad på lösenord också om vi ska dra det till extrema spetsar, säger bara att funktion kontra bekvämlighet så är ett väldigt långt lösenord, typ en obegriplig mening, extremt säkert.

Har du ett lösenord typ denfetabananenhoppadehöjdhopp så bruteforcar du inte det.
 
HSK

HSK

Patek
2-Faktor
evki skrev:
Jag menar att det räcker med att stjäla din dator/surfplatta och bruteknäcka den - du kör säkert en mycket enklare lösenord där eftersom du inte kan spara det i molntjänst. Tvåstegs är en superenkel lösning på det problemet och jag förstår verkligen inte varför man ska ens ta risker.
Klicka för att se resterande...
Det är väl exakt samma sak med 2FA men i båda fallen kräver det en riktad attack mot ett specifikt offer och jag har svårt att tänka mig att någon skulle gå igenom besväret för att kränga en klocka på ett forum. Det är inte statshemligheter vi snackar om. ;) Teoretiskt sett räcker det med att plantera skadlig kod i din dator för att få full åtkomst till 2FA-verifiering (förutsatt att du sköter det via datorn) och alla dina inloggningsuppgifter oavsett om de är krypterade eller ej.
 
Senast ändrad:
mofo

mofo

Audemars
2-Faktor
rope skrev:
Jo det förstår jag, menar själva källan till läckan. Hashar inte stora sajter som Dropbox användarnas lösenord som man sen kan köra brute force på och knäcka om det är svaga lösenord? Verkar ju helt sjukt om de ligger sparade i klartext i databaserna.
Klicka för att se resterande...

Alla vettiga sajter hashar alla lösenord, att lagra lösenord ohashat nuförtiden skulle jag inte våga med tanke på alla regler kring GDPR.
 
evki

evki

Audemars
2-Faktor
HSK skrev:
Det är väl exakt samma sak med 2FA men i båda fallen kräver det en riktad attack mot ett specifikt offer och jag har svårt att tänka mig att någon skulle gå igenom besväret för att kränga en klocka på ett forum. Det är inte statshemligheter vi snackar om. ;) Teoretiskt sätt räcker det med att plantera skadlig kod i din dator för att få full åtkomst till 2FA-verifiering (förutsatt att du sköter det via datorn).
Klicka för att se resterande...

Det är klart att 2FA kör man på mobilen :) Alla mina viktiga e-post konton är skyddade på detta sättet. Egentligen är det tanken bakom mobilt bank-id.
Jag menade inte kritisera @Nicbex utan ville påpeka hur lätt det kan vara att komma åt ALLA lösenord som man har sparat på sin dator, oavsett hur långa och randomiserade de än är.
 
HSK

HSK

Patek
2-Faktor
evki skrev:
Det är klart att 2FA kör man på mobilen :) Alla mina viktiga e-post konton är skyddade på detta sättet. Egentligen är det tanken bakom mobilt bank-id.
Jag menade inte kritisera @Nicbex utan ville påpeka hur lätt det kan vara att komma åt ALLA lösenord som man har sparat på sin dator, oavsett hur långa och randomiserade de än är.
Klicka för att se resterande...
Det är klart att det är möjligt, det är det alltid, det handlar bara om hur mycket tid och resurser man är beredd att lägga ner. Varken ett långt lösenord eller 2FA är omöjligt att ta sig förbi men det försvårar i alla fall så pass mycket att det väldigt sällan är värt besväret för någon att knäcka det.
 
Nicbex

Nicbex

Audemars
2-Faktor
Jag kan ju säga att INGA såna här lösenordskapningar sker genom att man hackat sig in på någons trådlösa nätverk och dator för att sno lösenord, det är ju helt befängt att ens tro det.
 
bbits

bbits

Ordförande i KS Platina Club
Pledge Member
2-Faktor
mega skrev:
Ofta har man samma lösenord på flera siter. Blir en site hackad, (där användarnas lösenord sparas i klartext på siten) kan man använda dom lösenorden för att ta sig vidare till andra siter.
Här kan du kolla om din e-postadress har figurerat i hackade siter och i så fall vilka:
https://haveibeenpwned.com/
Klicka för att se resterande...

Tack för den länken. Intressant att se vilka av de email-adresser jag använder mig av som finns med i läckor (alla) och vilka siter som läckt ut.... Dj-la LinkedIn... :(

2FA aktiverat här och jag kommer att göra det på alla andra ställen jag kan hitta också.
 
evki

evki

Audemars
2-Faktor
Nicbex skrev:
Jag kan ju säga att INGA såna här lösenordskapningar sker genom att man hackat sig in på någons trådlösa nätverk och dator för att sno lösenord, det är ju helt befängt att ens tro det.
Klicka för att se resterande...

Och vem tror du tror det? Du sa att det enda gången man behöver 2FA är när man kör korta enkla lösenord. Och jag påpekade att du säkert kör det på din dator där du har sparat ALLA dina långa randomiserade lösenord. Så. Inget mer jag vill tilläga.
 
Nicbex

Nicbex

Audemars
2-Faktor
evki skrev:
Och vem tror du tror det? Du sa att det enda gången man behöver 2FA är när man kör korta enkla lösenord. Och jag påpekade att du säkert kör det på din dator där du har sparat ALLA dina långa randomiserade lösenord. Så. Inget mer jag vill tilläga.
Klicka för att se resterande...
Då är det ju inte lösenordet som är problemet. Kom till verkligheten nu, det är jättebra att du har 2FA, och jag avråder ingen från det. Antar att du kör 2FA på sticka också, för kör du det på telefonen så är det ju inte så mycket till hjälp om den blir stulen. Eller vänta nu, kan stickan också bli stulen? :arghh:
 
Senast ändrad:
DiscoPapa

DiscoPapa

Rolex
2-Faktor
Kan vi inte sila det tekniska mambojambot eller hålla det i en separat tråd? 2FA för så många som möjligt så har vi kommit långt.
 
Du måste logga in eller registrera dig för att svara här.
Topp