@xpac i feel like "use ad block" is missing on the right

@hirojin true. but then, are you even allowed on the Internet without one? 😉

@xpac does everyone who should know about this know about this?

@hirojin but you're right, this is probably more of a security topic than most people think...

@hirojin @xpac Yeah, I’d honestly bump 2FA down to #6 to make room for ad blocking. 2FA is valuable but requires extra effort and adds risk of getting locked out of something important, ad blocking is set-and-forget with no downside

@hirojin @xpac Also, if you're interested in _why_ these differences between expert and average opinion exist, I recommend Rick Walsh's paper "Folk Models of Home Computer Security". I wrote a review/summary here: readings.owlfolio.org/2010/fol

@hirojin ... are those ... second factor dongle earrings???

@zwol they're the new USB-C Yubikeys, to be precise, but, yes.

@xpac Und wenn sie jetzt noch einen Usability-Experten rangelassen hätten, dann wär zwischen der linken und der rechten Spalte nicht nur ein dreibuchstabiger Unterschied, sondern visuell deutlich, dass die rechte Spalte die "Gute" ist.

@xpac Manches von dem in der linken Spalte ist ja auch gar nicht so falsch. Die "unique Passwords" sollten gefälligst auch stark sein.

@lilo @xpac Und auch unique passwords mit password manager sollten regelmäßig rotiert werden.

@ckeen @lilo Tjoa... so wirklich der Standard ist das eigentlich nicht mehr. Ich hab mittlerweile in Keepass knapp über 1000 Einträge, ich wüsst auch gar nicht, wie ich das auch nur ansatzweise regelmäßig machen sollte...
Ich hab überall unique random PWs, plus meine Mail bei haveibeenpwned, das muss reichen...

@xpac @ckeen @lilo ack. Ist bei mir genauso. Rotiere nur solche die ich rotieren muss, weil sie mich dazu zwingen. Habe nur noch eine sehr geringe Anzahl Passwörter, die man flüssig von der Hand tippen kann im Einsatz. Da könnte ich mir eine Rotation vorstellen.

@esopriester @ckeen @lilo Joa, meine Zwangsrotationspasswörter sind alle... nunja, nicht hochwertig. Ist aber meistens auch da, wo kein Keepass Auto-Type geht, insbesondere PC-Logins auffer Arbeit u.ä.
Die NIST empfiehlt mittlerweile auch aktiv keine Rotation:
"Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily"
pages.nist.gov/800-63-3/sp800-

@xpac @ckeen @lilo geil! Halte im November einen Vortrag über Passwörter und deren Einsatz vor Laien, weil mit das Thema wichtig ist. Das ist super Futter für den Vortrag!

@xpac @ckeen @lilo also der Passwortmanager den ich verwände, erlaubt es ein Ablaufdatum für Passwörter zu vergeben und warnt dann, dass man das Passwort gefälligst mal ändern sollte.

@cybercow @ckeen @lilo ja, aber bei 1000 Einträgen, sagen wir jährlicher Wechsel... muss ich jeden Tag auf drei Seiten rausfinden, wo man sein Passwort ändert... da kann ich ja jemand für einstellen...

@lilo Darum stehts ja auch rechts, nur weiter unten. :)

@xpac
This is taped on the outside of my office door since some years.

@xpac ‘6. Include a word none of your friends would expect you to use in a password.’

@xpac Wo is der Unterschied zwischen "unique" und "strong" passwords?

@jfml @xpac if you use the same strong password everywhere, a data breach on one service might make the same password weak on other services

@jfml unique = ein anderes Passwort für jeden Dienst
strong = total komplexes Passwort, aber überall das selbe...

@xpac

Number 6:

Don’t use the same nickname for everything.

OCR Output (chars: 422) 

@zigg
ONLINE SAFETY PRACTICES

SECURITY NONEXPERTS’ TOP SECURITY EXPERTS’ TOP
ONLINE SAFETY PRACTICES

1, USE ANTIVIRUS,
SOFTWARE

1, INSTALL SOFTWARE
UPDATES.

2. USE STRONG
PASSWORDS

2. USE UNIQUE
PASSWORDS

3. CHANGE PASSWORDS.
FREQUENTLY

3. USE TWO-FACTOR
AUTHENTICATION

4, ONLY VISIT WEBSITES
THEY KNOW

4, USE STRONG
PASSWORDS

5. DON'T SHARE 5. USE A PASSWORD.
PERSONAL INFORMATION MANAGER
Ly” —l wy

@xpac @bortzmeyer changing password regularly is often considered as a bad practice because it tends to make passwords predictable

@bortzmeyer @Matlink exactly. That's also why all IT departments still do it 😑

@bortzmeyer

That's also why the ANSSI (french gov security experts) recommends :
- using unique passwords
- making them hard to remember, by using lower case, higher case, numbers, and special characters
- making them even harder to remember, with frequent rotation

Of course usage of any kind of software to store your passwords (web browser nor password manager) is forbidden: otherwise it would be no fun.

ssi.gouv.fr/guide/mot-de-passe

@Matlink @xpac

@tham @bortzmeyer @Matlink @xpac ils ne disent pas de ne pas utiliser de logiciel pour stocker ses mots de passe... juste de ne pas les stocker dans un fichier simple, sur un poste exposé. Ils ont d’ailleurs certifié une version de KeePass, de mémoire.

@Freeben

> Configurez les logiciels, y compris votre navigateur web, pour qu’ils ne se « souviennent » pas des mots de passe choisis.

Ben je sais pas… Le lien que j'ai donné recommande de *choisir* des mots de passe qui répondent à des moyens mnémothechniques. En gros, généré par l'humain.

Le gestionnaires de mdp, intégré au navigateur web ou un dédié (comme Keepass), si tu ne t'en sers pas pour retenir le mdp en question, tu vas en avoir un usage limité…

@bortzmeyer @Matlink @xpac

@tham @Matlink @xpac Bullshit. There are no such recommandations ssi.gouv.fr/guide/mot-de-passe

1) They don't mention the stupid rule "lowercase, uppercase, digits, special[sic]" and for good reasons
2) They don't forbid password managers.

@bortzmeyer

1. Yes they do, in the pdf given before (direct link here[1]), they suggest a password above 12 chars matching this rule will be strong. Page 7 of 10, "comment créer un bon mot de passe ?". Also, this is their first recommandation towards small businesses [2].
And this is the kind of shit chief security officers enforce in french administrations. Just because they believe ANSSI says so.

[1]: ssi.gouv.fr/uploads/IMG/pdf/NP
[2]: ssi.gouv.fr/uploads/2017/01/gu

@Matlink @xpac

@bortzmeyer

2. Yes they do. To be accurate, they do not forbid password managers, they forbid using any kind of software to store user-defined passwords. This is their 8th of "minimal recommandations that must be applied in any context". Again, first link.

@Matlink @xpac

@bortzmeyer @xpac then I don't really understand what the header means.

@xpac Most non experts use weak passwords… And change them only if forced to. Even though it not a good idea to change them regularly as it leads to bad habits (choosing easy to remember/predictable passwords, written and kept on the screen/underkeyboard…), they should at least be changed when compromission is either suspected or confirmed. But most people don't want change them even when they are comprised…

@xpac Don't agree with the ordering of the second column. Without a password manager you can't really unique and strong passwords, so it' gotta be #2.

@xpac I avoid sharing personal information, but I guess that's not a common practice. :blobthinking:

@xpac "change passwords frequently" is pretty terrible advice unless you're constantly publishing your passwords in some kind of newsletter

@xpac ich würde das gerne regelmäßig Biosten können. Danke fürs tooten :)

Sign in to participate in the conversation
chaos.social

chaos.social – a Fediverse instance for & by the Chaos community