Lösenord och lösenordsfrialösningar - Gäst: Karl Emil Nikka

Andreas: 0:01

Ska du köra under när du ska klippa dig? Så

Ruben: 0:05

För att kunna gripa.

Andreas: 0:06

Pappa.

Ruben: 0:30

Hej och välkommen till Sekten Podcast podden där vi diskuterar, dissekerar och om vi har tur informerar om sekt teknik. Och denna vecka har vi en gäst och vem är det? Andreas.

Andreas: 0:41

Det märktes definitivt att du inte ville hålla på den hemligheten.

Ruben: 0:45

Nej, vi kör direkt.

Andreas: 0:47

Öppet och rikt. Dagens gäst är grundare av Nikka Systems, ett företag erbjuder säkerhetstjänster och utbildningar för både företag och privatpersoner. Han blev 2021 utsedd till Årets säkerhets profil av branschtidningen Aktuell Säkerhet och Företags universitetet. Han är också programledare av belyser i podden en podd som diskuterar Dagens IT säkerhets utmaningar varvat med de senaste säkerhets nyheterna. Han är dessutom författare till boken Bli säker en handbok i digital säkerhet. Välkommen till podden it säkerhet Specialist. Karl Emil Nikka.

Karl Emil: 1:22

Tack så mycket och tack för taglinen som du la till på boken. Där är den var det faktiskt inte någonting, så jag hade inte hört den tidigare. En handbok i säkerhet, men den snor jag nog till nästa upplaga då.

Andreas: 1:34

Jesper. Bra input tycker jag.

Karl Emil: 1:38

Jag.

Andreas: 1:38

Men det är väl det det är i princip.

Karl Emil: 1:41

Absolut, visst är det det. Det var bara jag som blev förvånad över att du hittade på en snygg tävling till min bok.

Andreas: 1:48

Du får den av mig gratis.

Karl Emil: 1:50

Tack så

Andreas: 1:50

Sånt bjuder vi på. ska vi ge oss på dagens program direkt. Men vill du köra din TEC vecka?

Ruben: 1:57

vi kör och vi börjar med något återkommande. Jag har fortfarande otroliga problem med wifi och senast nu till och med spring så satt jag och Andreas i Discord och tjöta lite för att förbereda och snacka upp oss lite. Från ingenstans dör det och då har jag ändå haft igång det en halvtimme med att vattna konstigheter i det. Ingen som är hemma som använder det och förstår ingenting. Så nu har trollat upp domänen till den grejen. Men jag fattar. Jag fattar verkligen inte varför. Det finns ingen logik kring det jobbet. När kom tillbaka ser du att det finns kabel? Men men, då är det igång igen helt plötsligt.

Andreas: 2:35

Men för er.

Ruben: 2:36

uppkoppling och kommer tillbaka. Det enda jag kan komma på är att det antingen är nätverkskortet till datorn som börjat ge sig på sätt har spillt mjölk på datorn en gång så det kan vara det som börjar ge sig nu. Eller så är det någonting i routern. Tycker det borde märkas mer på andra enheter också.

Andreas: 2:52

Men du spillde filmjölk på datorn för över ett par år sedan.

Ruben: 2:58

Två. Känner du den där en sådan ultraviolett eller vad nu det kallas? Rengöring utav hela datorn och min vän och han sa att vi fick under vintern så det borde vara lugnt sedan. Självklart, det är inte garanti men så mycket vi kunde är det viktigt.

Andreas: 3:14

Ett.

Karl Emil: 3:16

Får jag komma in med en teori här som jag anser vara den mest sannolika. Jag jobbar ju egentligen bara med IT säkerhetsfrågor, men nätverkssamhället ligger mig väldigt varmt om hjärtat också. Inte minst eftersom att nätverkssäkerhet är en väldigt viktig del av IT säkerheten. Men det som låter mest sannolikt i mina öron är att du har varit bussig och inte valt att ha Sverige som din, det land du har routern i. Eller att du har valt att använda de så kallade DFS kanalerna på fem gigahertz bandet. De f s kanalerna är kanaler som går att använda för att kommunicera på fem gigahertz bandet, men med den nackdelen att ifall det kommer in en störning från till exempel radar, då måste routern byta från den kanalen så att radarn inte störs, vilket kan orsaka att du tappar anslutningen. Så kolla ifall du använder DFS kanalerna på fem gigahertz bandet och byt i så fall till dem som inte är DFS kanaler 36, 40, 44 och 48.

Andreas: 4:22

Och det plockade han bara från huvudet. Oj, det var ju vad du körde och en operatör var.

Ruben: 4:33

men för det mesta uppdaterar de Läs mer. Min tanke just nu för jag tror inte jag kan styra så mycket kanaler. Det är

Andreas: 4:40

men det måste finnas någon sådan här lokal inställning vart vi är i världen

Ruben: 4:45

Det har inte jag. Inga världsliga ställningar vad jag vet. Däremot kanalens ställningar kan absolut vara någonting.

Karl Emil: 4:52

Det är världs inställningarna. Finns det någonstans Möjligtvis att du måste starta om eller reboot återställa datan för du ska få komma åt dem igen, men de finns där med högsta sannolikhet för att routern ska kunna säljas i flera olika länder utan att de behöver göra olika hårdvaru eller mjukvara versioner av dem. Så kolla det. Och om inte det är så att du är inställd på ett annat land än Sverige, välj då någon av de här kanalerna jag nämnde. 36, 40, 44 eller 48 så att du inte påverkas av det. Jag vet ju att du bor i den goa staden Göteborg och om du bor nära vattnet är det kanske en högre sannolikhet att det kommer in radar störningar som du påverkas av på ett eller annat sätt.

Andreas: 5:31

Du ser, du bor i ett upphöjt

Ruben: 5:33

Ja,

Andreas: 5:34

och inte alltför långt från kanalen.

Ruben: 5:37

kanske, men det känns. Vi får se. Jag får återkomma nästa vecka och se ifall jag inte Sen har jag en till grej som har hänt och det hände igår och jag gick in på min mail och fick ett mail. Hej! Ditt Netflix konto har aktiverats igen. Varpå jag inte fattar någonting för jag avslutar ju mitt konto här för nån vecka sedan. Då är det ju nån av de här människorna som jag har haft till mitt konto som har loggat in på det och tryckt på igen. Men det ska aktiveras igen. Vilket har resulterat i att mitt plötsligt kontrakterats igen och då dragits pengar från att vara ett kort. Jag vet ju antagligen. Det är där jag ska börja hänga ut personen i fråga i podden. Så här är det. Du vet du vem jag pratar om? Och

Andreas: 6:27

jag.

Ruben: 6:29

så att jag förstår hur man hamnar där. Och jag får också varför jag hamnat där. Och det är så dumt att jag inte tänkt att jag skulle blocka kortet eller att jag kanske slog ut alla enheter eller nåt där när jag ändå stängde ner det. Men det är ändå mest nära familj som haft tillgång till det så det är lugnt så sett. Men ett jäkla sug är ju upptäckande. Inte genom att de frågar hejdå okej, utan att man får mejlet att nu återaktivera varsågod.

Andreas: 7:01

Vi möts av snålskjuts och närhet helt

Ruben: 7:04

Ja, jag är verkligen.

Andreas: 7:06

Men du behöver inte blocka kortet, men du måste ju byta lösenord.

Ruben: 7:09

Då har jag gjort det nu och loggat ut alla enheter och jag väntar på att någon skulle ha semester, men det funkar inte. Vad händer med detta hänt? Nu ser jag inte att personen i fråga märkte att han gjorde lite si och skäms,

Andreas: 7:25

Nu är det han om hand. Jag tror att det är så. Vet jag inte om han skäms så mycket.

Ruben: 7:32

När han är fullt omedveten också kanske. Det vet jag inte.

Andreas: 7:36

Sista knappen taget har dykt upp. Aktivera kontot eller så har det bara aktiverats.

Ruben: 7:42

Nackdelar med att dela lösenord med andra är verkligen.

Karl Emil: 7:45

Exakt. Och det är ju en sak som Netflix gjorde tidigare och gör än idag. Att det är okay att dela sitt användarnamn och lösenord med någon i familjen. Det är ju fel tänkt. Givetvis ska det vara så att det är en användare per den uppsättning per användarnamn och lösenord. Så att om det är en som är ansvarig för kontot och den som betalar, då är det den som sen också kan lägga till sub konton som har åtkomst till samma prenumeration. Dela lösenord. Det är ingenting som vi pysslar med.

Andreas: 8:17

Men lite så som Spotify har gjort dem.

Karl Emil: 8:19

Har Spotify gjort så?

Andreas: 8:21

Men om du har familje konto så blir du får du en tilldelad access till familje kontot.

Karl Emil: 8:27

Snyggt. Spotify har i så fall gjort

Ruben: 8:29

Och jag tror att det är det som Netflix behöver göra och andra streaming tjänster för att komma undan med konto delningen mer med att man får en enda person och att man ser till flera och de som.

Andreas: 8:42

Netflix vill ju inte ta kort och dela med.

Ruben: 8:44

Nej, men om du vill komma runt det så dyrt så kommer det inte att man lägger till dessa extra konton för 1 dollar eller två eller vad du nu är.

Karl Emil: 8:51

Precis. De ville ju i alla fall att man ska kunna modella säkert, eller hur?

Andreas: 8:55

öppen för det. De vill de ju inte heller för det är bara när kontot används utanför hemmet så låst blockeras ju enheten mer. Efter 30 dagar var det. Men du, de ger ju inte dig en tilldelning till dessa konton har jag förstått

Karl Emil: 9:09

När de borde göra de borde göra. De borde sälja det som en tilläggstjänst.

Andreas: 9:15

När ni vet hur ni ska kontakta Annika är öppen för konsultation. Öppet.

Ruben: 9:22

det är det jag har denna vecka så jag tänker att jag skickar vidare bollen till dig då.

Karl Emil: 9:27

jag har haft en intressant teknik vecka. Får jag säga det? Jag har lyssnat på senaste avsnittet av Säkert tänkte då hörde jag att ni hade skaffat ny tandborste någon av er?

Andreas: 9:37

Yes, det var jag.

Karl Emil: 9:39

Jag har precis du lyfter de här viktiga sakerna med en eltandborste, såsom den ska känna av huruvida du trycker hårt eller inte.

Andreas: 9:48

Precis.

Karl Emil: 9:49

De sakerna bryr jag mig inte om. Jag bryr mig inte heller om huruvida den indikerar om jag är på rätt sida eller om jag har borstat upp och det och definitivt inte någonting som är uppkopplat via bluetooth eller wifi. Det enda jag bryr mig om när jag köper en eltandborste är huruvida den har ett litiumjonbatteri eller inte, och lyckligtvis så är det här ett problem som blir mindre och mindre. Det blir lättare och lättare att hitta eltandborstar med litiumjonbatterier. Men under lång tid då hade eltandborsten från både Oral-B Filips. Vad heter dem jag glömt

Andreas: 10:20

Så mycket

Karl Emil: 10:22

Just det, så heter den. De hade nickel, metall, gjuterier, batterier och när nickel metall helt vid batterierna började laddas ur då började borsten rotera långsammare. Medans med de här nya litium batterierna, åtminstone såsom tandborstarna är byggda med de nya litium batterierna, då håller den kraften hela vägen in i kaklet så att du får en bra borstning oavsett om din din tandborste är fulladdad eller ifall den börjar ha slut på batteri. Så om ni är ute och letar efter tandborstar, kontrollera noga på förpackningen att det står Li Jon och inte en i MH

Andreas: 10:58

Jag måste kolla om min har litiumjonbatterier.

Karl Emil: 11:02

Nu.

Andreas: 11:02

Det har jag faktiskt inte ens tänkt på. Men hur funkar det? För du sätter ju alltid dem på laddaren? Borde inte batteriet blir dåligt med tiden som är konstant till 100 % uppladdat? I stället?

Karl Emil: 11:14

Det. Det här är ju någonting som ofta diskuteras i mobil sammanhang. Att om du har batteriet kopplad hela tiden så sliter det på det. Det är mycket som också kommer från den så kallade minnes effekten som vi fick dras med på den gamla tiden då vi använde nickel kadmium batterier och nickel kadmium batterier. De led av minnes effekten i väldigt stor utsträckning så att om du inte använder batteriet från att det var helt fullt så det var helt slut då, mindes det inom citationstecken hur pass mycket den hade, liksom kapacitetsmässigt att röra sig med varje cell. Det problemet minskade med nickel metall till batterier och det minskade ytterligare med litiumjonbatterier som vi nu har både i tandborstar och mobiltelefoner. Så sliter det på själva batteriet att alltid vara fulladdat? Ja, det sliter, men det är mycket mindre jämfört med hur det var tidigare. Och det kan vara så att du faktiskt uppskattar att ha en fulladdad tandborste och ett fulladdat batteri varenda dag. Så du får väga för och nackdelar där.

Andreas: 12:16

Så absolut måste det vara fulladdat. Det inser de flesta. T.ex. Elbilar vill man ju inte ladda högre än typ 80 % för att det ska hålla i längden. Men samtidigt, jag ser väl en poäng i att man kanske sliter ut tandborsten med jämna mellanrum så att om man behöver köpa en ny för tillverkaren.

Karl Emil: 12:34

en tandborste är ju billigare än både en en mobiltelefon och en bil.

Andreas: 12:38

lite skillnad i prisklass.

Karl Emil: 12:43

Annars så har det mest varit kört. Kontroll två punkt noll diskussioner för min del. Det har ju äntligen börjat diskuteras i media hur fruktansvärt det här oetiska barnkonventionen, spridande och människorätt kränkande massövervakning förslaget är. Där fick ni också en hint om mitt ställningstagande och jag har fått väldigt mycket frågor både från media och från politiker som undrar liksom. Vad är det stora problemet med det här? Varför är det inte så bra som förespråkarna vill att det ska verka? För att målsättningen, även om förslaget aldrig kan nå den målsättningen att den är ju väldigt god? Men det vet jag att ni pratade om i förra veckans avsnitt, så det ska jag inte störa lyssnarna med mer nu.

Ruben: 13:34

Förutom

Andreas: 13:34

Men vi kan väl då bara hålla med. Utifrån förra veckans samtal att det är väl. Tanken är god, men idéerna går inte riktigt hela vägen fram om vi säger så. Men om vi ändå är inne på ämnet. Om man liksom känner att man är emot det här, vad kan man göra som privatperson?

Karl Emil: 13:52

Det viktigaste är att försöka sprida kännedom om problematiken, till exempel genom att läsa om vad som har skrivits om Chat control 2.0 Dela det som har skrivits med vänner och bekanta. Om du har möjlighet att kontakta en politiker, kontakta en politiker. Vi har ju flera partier som konstigt nog har ställt sig bakom ett förslag som bryter mot barnkonventionen och FNs deklaration om mänskliga rättigheter och Europakonventionen, vilket jag inte riktigt får ihop. Men regeringspartierna och Socialdemokraterna är fortfarande förespråkare för det här och det vore jättekul ifall dem partierna också ställde sig på barnens sida och valde att skydda barnen och barnens rättigheter genom att ta avstånd från det här förslaget. Så Känner du några politiker som fortfarande är på massövervakning sidan? Kontakta dem. Informera dem om problematiken och få dem förhoppningsvis till att ändra ställning innan det är försent.

Andreas: 14:52

Det jag måste se att jag tycker är väldigt spännande utifrån dem som faktist har gått emot det här. För då har folk. Du har motiv från hela spektrat där Sverigedemokraterna, Centerpartiet och Vänstern är de som har ställt sig emot. Medan Socialdemokraterna, Moderaterna, Liberalerna Kristdemokraterna stått för. Och att då ytterligheterna och Centern ställer sig mot det, vill visa någonstans att det inte är nödvändigtvis partipolitik. Fråga.

Karl Emil: 15:20

Det här är ingen höger vänster fråga. Det här är en fråga om huruvida du har förstått förslaget eller inte.

Andreas: 15:26

Vilket då majoriteten av riksdagen inte har gjort av.

Karl Emil: 15:30

Inte än, men jag är fortfarande förhoppningsfull. Det sker bra diskussioner och jag har goda förhoppningar om att vi i Sverige i alla fall har vett nog till att ta avstånd från det här förslaget.

Andreas: 15:42

Vet du hur det ser ut i resten av Europa?

Karl Emil: 15:44

Ja, vi har flera länder som faktiskt är på motståndarsidan. Det är kul att se. Vi har bland annat Tyskland där som är en väldigt tung aktör när det kommer till just EU diskussionerna med tanke på hur stort landet är, så vi är inte kört på något sätt. Det finns fortfarande goda möjligheter att stoppa förslaget.

Ruben: 16:02

Det märkte jag mest för att göra research inför våran podd att det är inte helt lätt att hitta nyheter eller folk som skriver om det i en nyhet, sovrum eller forum. Eller egentligen var googlar för att det är mycket som hittas i det du har lagt ut eller prata om, men också ganska nytt som pratat med dig själv. Annars är det inte jätte mycket man ser från resten av världen som är eller ropar och delar med sig av det här har hänt. Och i det här står vi mot en del, men inte mycket.

Karl Emil: 16:31

När inte jag kan. Jag antar att precis som debatten blossade upp från ingenstans plötsligt nu i mars här i Sverige så kommer det blossa upp i de andra länderna också när det väl börjar diskuteras där hur vi ska komma ihåg. Det här förslaget lades fram redan i maj 722. Det tog lång, lång tid innan debatten började ta fart.

Andreas: 16:55

Vettu, när det liksom börjar komma till kritan, när det är dags för omröstningar och när det liksom ska sättas i verket.

Karl Emil: 17:02

det är det framåt hösten och Jag har för mig att det är oktober som är det preliminära datumet för omröstning, men de exakta datumen så fort de är tillgängliga och de preliminära datumen fram till dess de finns på kontrollpunkt EU och en länk som jag misstänker att ni lägger i shorts för jag minns inte om det är med eller utan bindestreck. Kolla gärna oss för vilken länk det är, men det är av underordnad betydelse. För att det är nu som vi har faktiskt chans att bestämma. Vad som det ska röstas på. För varje dag som går så blir partiernas ställningstaganden mer och mer cementerade. Så om vi bara låter det här fortsätta, liksom våren ut, då kommer vi ha hamnat i en situation där partierna inte längre kan ändra sig för att de har redan tagit ställning. Det är därför vi måste påverka innan de slutliga ställningstagandena är fattade.

Andreas: 18:00

Helt riktigt. Vi la ju ut efter förra veckans podd, samma öppna brev som vi hade inspelade i podden i videoform och har dessutom skickat den till Ylva Johansson så att vi hoppas att ni som ser den fortsätter dela den också. Och då hänvisar vi till experten som till exempel bland annat kollega monica som skulle kunna hjälpa till att plocka fram ett vettigare förslag som faktiskt skyddar både barn och medborgares rättigheter.

Karl Emil: 18:24

Ja, det finns jättemycket som vi kan göra för att förbättra situationen. Och som jag sa i vårt poddavsnitt som vi gjorde om trafikkontroll. Det mest tragiska med det är ju att vi nu håller på att bränna tid på någonting som inte har teknisk möjlighet att fungera och inte skydda barnen. Medans vi hade kunnat lägga den här energin, tiden och fokuset på att faktiskt få till rejält gångbara lösningar.

Andreas: 18:48

Vi kan inte mer än hålla med. Jag har denna vecka har varit lite hektiskt vecka, men jag har påbörjat. Jag är ju som de flesta lyssnare hört laget tjata som jag har flyttat fram och tillbaka flera gånger den senaste tiden nu har jag flyttat igen. Och nu har jag äntligen börjat sätta upp min router på nytt. Och de som är gamla lyssnare på den vet att jag har en kubikmeter router nu när man har. Jag fick tummar upp en

Karl Emil: 19:17

Fantastiskt bra after.

Andreas: 19:18

väldigt trevlig router måste jag säga. Och nu har jag liksom flyttat ifrån sambo hela den biten. Så nu kan man ju styra upp sitt nätverk som man vill. Jag har påbörjat processen av att bygga upp tre nätverk där jag ska ha ett som är det mindre betrodda nätverket med via LAN liknande. Men ett velande som är det betrodda med bara mobil och dator. Sen vill jag ha ett i och tv nätverk som är blockerat så att bara kommunikation kan ske mellan dem. Och sen så vill jag ha ett nätverk där inte enheterna kan se varandra överhuvudtaget och det är en djungel. Men jag måste säga att det är väldigt bra varning när man har påbörjat det och börjar närma sig slutet.

Ruben: 19:59

Jag älskar sätter upp sätta på dina 16 kvadrat.

Andreas: 20:03

Jag har 23 kvadrat faktiskt.

Karl Emil: 20:08

Jag kommer faktiskt bli förvånad om du lyckas lösa det med en vibrator, för jag hade inte för mig att den hade funktionaliteten som krävs för det. Jag har ett skäl att fortsätta lyssna på podden utifall det inte skulle lyckas med

Andreas: 20:24

Vi jobbar på det och det var inte därför när den släpptes, men den har släppt. Det har släppts uppdateringar med uppdaterade brandvägg regler så att jag har möjlighet att göra mer nu än vad jag hade från början. Det är också en skillnad från när jag köpte den.

Karl Emil: 20:39

Jag har inte kollat på den sedan den var i sån här technical preview eller URL i Access.

Andreas: 20:44

Jag köpte den under årliga Axess satt det i ögat och i XVs exemplar som numera går på produktions mjukvara. Jag återkommer om jag lyckas se positivt utifrån det jag hittat på olika internetforum, bland annat Sweclockers och liknande. Men vi får väl se. Jag kanske länkar till lite bra källor på liknande ställen i köplats.

Karl Emil: 21:08

Om du får till det. Då måste jag nog köpa en ny sådan. För i så fall så har det ju gått och blivit en helt suverän router. Inte bara en bra dator utan en helt suverän router.

Andreas: 21:17

Jag gillar när grejer jag har köpt blir uppbackade av. Säkert finns

Ruben: 21:22

Öppna.

Andreas: 21:22

hjälp att upptäcka, men jag tycker det är väldigt bra, speciellt för det priset och den kompabilitet den har.

Karl Emil: 21:32

Jobbigt. De gjorde ju fel när de satte priset på det, de gjorde den på tok för billig. Det är ju bara att tacka och ta emot. Men det är bara se på leverans svårigheterna som de har med den. Den är för billig för det den kan göra.

Andreas: 21:46

Ja, och jag fick ju den ännu billigare. Jag tror jag betalade en tusenlapp med frakt. Nu ligger

Karl Emil: 21:52

har 82 röda samt var det i rörlig access och nu är det typ 250 tror

Andreas: 21:58

och jag ångrar att jag inte köpte fler för jag satte ska jag köpa tre stycken?

Karl Emil: 22:03

De fick bara köpa två.

Andreas: 22:05

Ja,

Karl Emil: 22:05

var max två.

Andreas: 22:06

det såg inte jag. Jag hade försökt med tre men man skulle ha köpt två.

Karl Emil: 22:11

Ja, jo det är helt klart. Fast vi har haft problem med kylningen i Access versionen så det finns kanske en fördel med produkter från den också. Nu är vi väldigt, väldigt inne.

Andreas: 22:24

Ni märker väl om jag överladdade när jag satt igång alla sådana här? Ditt paket inspection och liknande.

Ruben: 22:29

Brytare köper en kyl platta och sätter under.

Andreas: 22:32

Noctua fläktar

Karl Emil: 22:35

Då är den inte lika snygg längre efter det.

Andreas: 22:36

är. Den ser ut som ett litet lysande tefat, men jag visste inte att den hade haft problem med överhettning.

Karl Emil: 22:42

Du får en länk till oss om du vill läsa mer om det.

Ruben: 22:46

Det tredje skriv ett quiz till som du ett kylar quiz.

Andreas: 22:50

kan jag faktiskt göra. Klockan för min.

Ruben: 22:53

Kan du lägga in ännu mer RGB och grejer i den och göra en

Andreas: 22:56

Men jag vill inte ha mer. Jag vill inte ha RGB. Jag vill inte ha. Jag tycker typ den är lite för spejsad med den lampan som sitter där. Men jag vill inte ha det likadant. Som jag kommer att bygga min dator inom det närmsta så kommer jag inte bygga med RGB. Det kommer att vara om det inte är billigare att köpa mer RGB, vilket det kan vara ibland beroende på vad man köper från. Men jag kommer inte ha RGB, jag tycker det är. Säger Jag sitter med en blå massa blåa lampor bakom mig. Enda stället där RGB hör hemma är som Ambilight på tv apparater Right? Vi går in på veckans nyheter. Ruben tycker att jag.

Ruben: 23:35

Vi kör lite snabbt och vi ska försöka att inte fastna här, men det kan bli så fast det är mer vart en dags rapportering om vi la maskhål på mig med Twitter. Och det senaste jag såg som jag passar på nu har nu han tappat det på riktigt är att han har gått till deras huvudkontor i San Francisco och målat över WTC i twitters namn på deras logga så att det blir Twitter. Och det är inget nytt att han håller på med såna här namn för att han i hans produktkategori bilar. Skulle du stava ut Sexy så är det ju inget nytt, men det var

Andreas: 24:10

bortsett från tre.

Ruben: 24:12

precis det han förlorade mot Mercedes E-klass. Men det

Andreas: 24:16

Nej, det var en modell från Ford.

Ruben: 24:19

Vad är det som få kan nå? Jag tror det var målet från de som flög mot

Andreas: 24:23

Ön är öppet.

Ruben: 24:24

viktigt biltillverkare som hade E-klass. Men det är så knäppt att han fortsätter. Hörde jag nånting idag och nu att då? Har ju vetat det eller läst allt jag kommer länka till, men att X Corp som är hans idé om hur han ska bygga upp hela infrastruktur och grejer och bygga på ett sätt som en allt i allo tjänst har nu. Till slut då sugit upp Twitter som bolag. Så Twitter finns inte där längre utan på de pågående desamma. För de ropade på de pågående stämningarna och liknande. Mot Twitter så har nu huvudmannen på Twitter sida bytt från Twitter Incorporated till X Corp. Så i sommar har fått reda på att den här överföringen går till och det händer grejer och att de tror att hans idé är det kommer att lyckas. Jag tror verkligen inte att hans Twitter övertag har nu helt plötsligt blivit ännu sämre och det kommer inte funka för då börjar så mycket dumheter och spel hamnar i. kan.

Andreas: 25:28

Jag har. Jag vet inte riktigt vems hans Twitter övertagande. Måste vara det sämsta man gjort för sin image i särklass. Och vad hade de håller på med just nu med verifieringen att.

Ruben: 25:40

Är.

Karl Emil: 25:41

Som inte är verifieringen.

Andreas: 25:43

Längre. Men nu har de ju börjat rulla tillbaka, lägga se verifieringar också. Så de som hade de för att de var på riktigt väldefinierade har ju förlorat den nu. Så nu är det ju bara twitter blogg användare som har det.

Karl Emil: 25:57

Och så har det kommit två nya bockar som kan identifiera dem som är verifierade på riktigt i stället.

Andreas: 26:04

Precis

Karl Emil: 26:05

Så är det inte. Det tråkiga är att i appen så står det verifiera. Det finns en flik för verifierade även om det inte har någonting med verifiering att göra. Och det här underminerar verkligen trovärdigheten för verifierade konton, inte bara på Twitter utan även på andra sociala medier som använder samma symbol. Tidigare var det här den. företags och plattforms överskridande symbolen för ett verifierat konto. Och när Elon Musk väljer att hitta på en egen betydelse för det, då är det någonting som påverkar trovärdigheten på andra plattformar också. Mycket, mycket tråkigt att se.

Ruben: 26:44

Jag var inne på Ticket och för ett tag sedan såg någon som den här personen kan ta verifiera. De måste ha hackat in en sådan blog. Är det omöjligt? Det slutade med att jag kolla på arkiv. Det var ett stort konto, men så hade vi stamkunder. Men nu har jag blev lite trött på det. Man har tappat tilltron till att verkligen på riktigt.

Andreas: 27:03

att Twitter har gjort att du ifrågasätter tick tock är också en kul utveckling.

Karl Emil: 27:09

det är de som har gjort den bästa lösningen för verifiering som skalar utan att det är någon som behöver kontrollera pass och liknande. Det är ju mest ordern, men jag tror inte att vi hinner ta det också i det här poddavsnittet. Men de har i alla fall gjort den bästa lösningen för att man ska kunna säkerställa om en avsändare faktiskt är avsändaren som han eller hon utger sig för att vara.

Andreas: 27:37

Bäst att inte dämpade fjädring genom hemsida.

Karl Emil: 27:40

Exakt du du verifiera dig med dina andra tjänster på sociala medier på internet. Så du berättar Det här är min hemsida. Det här är mitt kittat konto och så länkar det tillbaka så att det bygger ett liv än en väv av trovärdighet för att det här faktiskt är du och det enda sättet som en tjänst som mest. Och den kan erbjuda verifiering eftersom de inte har de ekonomiska resurserna att anställa någon som sitter och jämför pass, bilder och liknande, vilket bevisligen inte Twitter heller har

Andreas: 28:11

Men.

Karl Emil: 28:12

det är det den bästa lösningen som vi har ifall vi inte vill betala för det?

Andreas: 28:19

Men jag tycker Twitters lösning är ju så fantastisk att jag menar vi utgår från att alla som har ett. Ett kreditkort är en överviktig person. Jo jo absolut. Men det finns ju möjligheter att lösa det också och betala med andra kreditkort än det man utger sig för att vara. Märkligt och lite.

Ruben: 28:41

Vidare till något helt annat. Jag har i veckan sett att det finns ett rykte och det är än så länge bara ett rykte att ifån 17 pro, vilket antagligen vet man inte riktigt nu blir nästa års problem. Beror lite på hur dom gör, mest modeller och liknande. Men man får gissa att det blir nästa års Polen. Kommer att ha en FEIs IDI scanner som är under display det tycker jag ändå som sätter testet i att om detta ändå är ett rykte som kommer att. Då kommer de ha kvar frysa idi i som som biometrisk verifiering och vi kommer komma in lite på det senare om biometrisk verifiering och vad de kommer kunna ha för möjligheter. För hur verifierar det på olika ställen och det är så kul där. Men jag tycker ju att är ju väldigt trevligt så det är väl enkelt givet att du Andreas är lite mer skeptisk till priset och tycker att fingeravtryck bättre.

Andreas: 29:41

Jag tycker jag trycker väldigt trevligt av olika anledningar, men jag har ju faktiskt aldrig upplevt att Puls fixar det heller. Jag bara vet att folk hade extrema problem när man skulle ha masker på sig under Kovik och jag tror inte de problemen är så påtagliga längre. Men jag uppskattar ju min fingeravtrycksläsare i telefonen något enormt. Sen säkerhetsnivå klassning på de olika. Det är fånigt att uttala sig om i så fall, för det kan jag inte svara på. Jag. vet bara att min ansikts av igenkänning skräck i Samsung är inte i närheten av lika säker som den som är på Air.

Karl Emil: 30:21

Nej, och det här är ju ett problem för att när vi pratar om biometriska autentisering, då klumpas det ofta ihop i ansiktsigenkänning respektive fingeravtryck klassning. Men lösningarna som används för ansiktsigenkänning och fingeravtryck avläsning, de varierar något kopiöst liksom, medans iFån lösning faktiskt bygger en 3D representation av ditt ansikte. Så har vi sett exempel, debatt etc.. Och det märks om ni minsta så är vi tillbaka till 2015. Men det var när det fanns inte ens ansiktsigenkänning där det var. HTC vann, men det var mobilen som sparade fingeravtrycket som en bild på själva telefonen så att andra

Andreas: 31:09

Pappa pappa.

Karl Emil: 31:11

försökte komma på vilken telefon det var som det blev så mycket skriverier om för att det gick att lura med ett foto att det bara var bild igenkänning. Det var liksom ingen 3D scanning utan följt upp ett foto på användaren så låste den upp det osv. Vi har sett många sådana exempel och inte ens googel är som annars är fantastiskt duktiga med sina pixel mobiler har varit helt perfekta. Att det är Pixel fyra till exempel. Den hade ansiktsbehandling men hade inte byggt in att det skulle kontrolleras huruvida användaren hade öppna ögon eller inte, vilket innebar att en svartsjuk partner kunde låsa upp mobilen medans den andra parten sov.

Andreas: 31:50

Aj aj.

Karl Emil: 31:51

Det har varit många misstag, men kollar vi säkerhetsmässigt hur pass säker ansiktsigenkänning är kontra fingeravtrycksläsare i Apples värld? När Ajfån tio lanserades, den första som hade Face ID. Då var Face IT säkrare än fingeravtrycksläsaren. Vad som gäller nu, det kan vi inte säga. Vi har inte fått någon uppdaterad statistik från Appel gällande jämförelse av de här två teknikerna, men troligtvis kommer vi få det. Då är inte nästa år stämpel

Ruben: 32:27

Vad är det man dricks? Ryktet säger ju 17

Karl Emil: 32:30

Ja, det är ju i så fall. Nej, det blir näst nästa år. 15I år, 16 nästa år, 17 Året därpå

Ruben: 32:37

av.

Andreas: 32:37

att.

Karl Emil: 32:40

Den här tekniken. Den är ju för det första inte någonting som vi har kunnat testa än, av förklarliga skäl. Och för det andra. Det här är mobiltelefoner som inte är spikade. Hur de ska vara konstruerade. Det är först nu som iFån 15 börjar spikas som vi faktiskt bör kunna lita på. Ryktena. Vi vet ingenting om huruvida fingeravtrycksläsaren ifån 17 eller vad det nu kommer heta kommer vara säkrare än Pisa, Idi eller Balthazar. Vi kommer fortsätta att ha övertaget. Men för att säga samma sak som jag sa tidigare, det är egentligen mindre relevant. För det viktiga är att vi använder biometrisk upplåsning så att vi kan ha en stark. Jag ska inte säga PIN kod. Ha inte en pinkod över huvud taget. Ha ett starkt lösenord för att låsa upp din mobil och använd biometrisk upplåsning så att du slipper trycka in det här långa lösenordet varenda gång du vill låsa upp din mobil. Nu stal jag lite av ditt ämne. Jag ber om ursäkt för

Ruben: 33:35

Men det är ju därför du är här. Du är här för att tillföra.

Andreas: 33:39

Precis Men vad säger du? Jag tycker ju att jag tycker ju den pill chipen på iFån är så fruktansvärt ful så att

Ruben: 33:49

Men du gråter också väldigt mycket för ingenting tycker jag ibland så att du

Andreas: 33:53

Amed snälla. Men det

Karl Emil: 33:55

DÖ, dö. Jag tycker tvärtom. Det är det. Det var som jag jobbade tidigare som utbildningschef på ett svenskt teknikföretag och då passade jag givetvis på att anordna lite sådana här partyn hemma hos mig när det var DVD, C eller Google, Yahoo eller Apple hade produktlansering så att det kom lite kollegor hem till mig och då hade vi också liksom en sak som var krav för att vi skulle öppna champagnen och skåla för det och att vi hade ett krav på det. Det var helt enkelt för att jag inte skulle behöva köpa allt så mycket champagne denna gång. Det blev ofta. Men hur som helst, det som. Hade vi haft det fortfarande när äppel presenterade iFån 14. Med det här briljanta sättet som de har inkorporerat Dynamics Highland i den här lilla skaran. Det hade varit champagne direkt, för jag får säga att när vi såg liksom de här läckorna först där det såg ut som att det skulle vara slitet i och folk börjat säga saker med det i förbifarten, då tyckte jag att det här ser ju fruktansvärt ut. Och sedan när vi såg det på riktigt liksom. Så här är det tänkt att fungera. Så här fungerar den här kylan. Det var mina blå moment verkligen. Bara Åh kära nån, var smart. Kära nån, vad smart! Det här var det bästa jag sett på länge.

Andreas: 35:20

Och. I.

Karl Emil: 35:25

Men det är givetvis en smaksak. Man behöver inte tycka om det. Jag tycker bara att det här var det absolut bästa sättet som de kunde lösa problemet med dagens teknik.

Andreas: 35:37

Ja, ja, jag står fortfarande kvar vid att jag tycker att de borde skjuta ut sig och införa under Display Ultra så mycket Fingerprint kräver för det tycker jag är trevligare. Men jag är också Samsung användare.

Ruben: 35:53

Och har en pension kamera tänker du.

Andreas: 35:56

Avgrundsvrål, korv och mycket, mycket mycket mindre. Men ja, det är ju X det har vi sagt i Super snygg! En mjukvaru lösning på ett hårdvaru tillkortakommande.

Karl Emil: 36:07

Ja,

Andreas: 36:08

I.

Karl Emil: 36:09

och att det är en briljant lösning. Det ser vi ju på att mobiltillverkare som inte ens behöver ha en egen lägger dit bara

Andreas: 36:17

så att jag spyr på det. Men det också. Alla vill ha mappen.

Karl Emil: 36:24

Jo, så är det. Så är det.

Andreas: 36:25

Vi går vidare och jag tycker att vi ska gå in på något som också kommer få nickel och koka lite här tror jag. Men SF Bio Denver har två citat och de uppmanar till att vi inte ska använda offentliga i utgångar för risk för checking. Om vi börjar med karting är risken för den. Ja, vi har velat har vi vetat om detta lite tidigare, men jag vet inte riktigt. Verklighets applicering liksom.

Karl Emil: 36:56

Vi kan börja med problematiken som berör just mobiltelefoner. Om du har en sårbarhet i din mobiltelefon, dvs säga du använder en mobiltelefon som inte har fått säkerhetsuppdateringar på länge eller i fall du inte har installerat säkerhetsuppdateringar där de har gjorts tillgängliga för dig. Då kan det finnas möjlighet för angripare att via USB porten på något sätt infektera din mobiltelefon när du kopplar den till en infekterad mobilladdare eller ansluter en infekterad kabel. För ja, det finns till och med kablar som är attack preparerade och kan infektera mobiler bara av att du ansluter dem.

Andreas: 37:31

Som är skrämmande lika de riktiga ska också tilläggas.

Karl Emil: 37:33

Ja, absolut. det här. Att du skulle utsättas för det. Det är extremt osannolikt. Har Epic rätt i att det är bättre att använda sin egen laddare och sin egen laddkabel? Absolut. Men jag förstår inte riktigt varningen för förklara för mig här. Teorin är alltså att en elak angripare lägger pengar på att springa runt på publika flygplatser, bussar och liknande, byter ut laddarna som sitter där mot sina egna laddare i hopp om att någon ska ha en icke uppdaterad mobiltelefon och koppla in sig där och att den personen är det värd att infektera.

Andreas: 38:19

Men jag är ju extremt populär

Ruben: 38:23

Vi försöker

Karl Emil: 38:23

Men hänger ni med? Det här är inte någonting som händer. Det är. Det här är en teoretisk risk. Funkar det i teorin? Absolut. Men händer det i verkligheten? Nej. Det är likadant som ni vet. Det varnades ofta för att Odin måste ha en sån här NFC skyddande plånbok så att inte det kan springa runt någon med en NFC läsare och sno ditt kortnummer. Det händer inte. Polisen har inte några exempel på att det händer att det finns några ligor som springer runt och stjäl kortnummer via NFC läsare. Kortnummer. De stjäls på nätet, inte av någon i rulltrappan med NFC läsare. Det är någonting sånt här som vill informera om, att det här är ett hot. Som om det är ett hot vi behöver bry oss om. Det är ett hot som finns, men det är inte ett hot vi behöver bry oss om. Det finns tillräckligt med saker som vi behöver bry oss om när det kommer till lite säkerhet, det kan jag lova er. Jag är lite förvånad över den här, varningen som de gick ut med. Men den är inte fel. Och det är klart att om du är en utsatt måltavla och du är en högt uppsatt politiker, du är en högt uppsatt företagsledare. Då ska du vara mer försiktig. Då ska du kanske använda din egen laddare och din egen mobiltelefon, egen mobiltelefon, laddare, kabel. Men om du är en vanlig person och du behöver nödlanda mobilen på bussen, det är klart att du kan göra det. Det är ingen risk som är nämnvärd involverad där. Nu är det säkert någon som tänker amen hörrudu nu, nu är du väl verkligen en kålsupare? Fast du sa ju i blir säker på den att du skulle vara väldigt försiktig med att ta emot USB minnen och USB fläktar och sånt som folk ville ge till dig. Ja det sa jag och det stämmer. För om vi kollar på. Låt oss säga att ni ni får såna här häftiga reklam prylar skickade hem till er. En häftig USB fläkt eller ett USB minne eller en jättesnygg lightning kabel eller någonting sånt om ni skulle använda den. Då pratar vi faktiskt om reella risker. Och varför det? Jo, för det första att infektera datorn. Det går att göra med den här typen av verktyg utan att det finns en sårbarhet i datorn. För då kan du använda det vi kallar tangentbord emulerar det. Det går att bygga in i både kablar och USB minnen och USB fläktar och USB, bongotrummor och precis vad du vill. Tangentbordet emulerar det. De skickar tangentbord kommandon in i datorn när de utger sig för att vara ett tangentbord och skicka tangentbordet kommandon in i datorn. Som till exempel säger. Ladda ner den här infekterade filen, hoppa över till startknappen för att gå förbi varningen i Windows. Tryck på Enter, Installera det, Gå förbi allting. Det går förbi antivirus, rubb och stubb. I och med att datorn upplever det som att det är du som sitter vid datorn och gör faktiskt det här som tangentbord simulatorn gör. Och det är dessutom någonting som vi behöver ta på allvar när det kommer till produkter som vi får. För tänk er att någon av er får en sån här USB pryl skickad till er. Då är det ju en angripare som vill förse just er med den. Eller just. Bolaget som ni jobbar på eller skolan som ni går på med den här prylen. Det är inte en angripare som behöver hålla på och byta ut 10 000 laddare i hopp om att någon ska koppla in sin mobil där. Så där har vi risken för riktade attacker där angripare faktiskt försöker att infektera. Just där och då är det värt att lägga pengar på. Och om vi dessutom involverar datorn, då kan vi göra det här utan att det ska behöva finnas några sårbarheter. Det är någonting vi behöver fundera över. Det är därför vi inte ska ta emot gratis USB minnen, gratis ladd kablar och liknande. Men att ladda mobilen på bussen som en vanlig vanlig svensk medborgare, nej, det är ingen risk.

Andreas: 42:20

Så du, du ställer dig inte bakom att man behöver köpa en sån data blockerare för att ladda på bussen till exempel.

Karl Emil: 42:28

Jätte bra fråga. De säljer det som kallas USB kondomer som egentligen bara är en liten liten USB adapter där de två data snyftande bortplockade så att det bara kan användas för laddning. När jag startade bolaget 2017 så tänkte jag och så ska jag trycka upp såna präntade med mitt företags logotyp och så ska jag ha det som guava på mässor. Det gjorde jag aldrig. För jag kom på vänta här. Vem i hela friden behöver en sån här egentligen? Ingen. Så om jag ger bort den, då varnar jag för någonting som jag egentligen inte behöver varna för. Att

Andreas: 43:14

Högre ökad säkerhet.

Karl Emil: 43:18

Behöver du en sådan. Och om du är en högt uppsatt politiker, högt uppsatt företagsledare, jobbar inom militären är en hög profil måltavla och du vill kunna ladda din mobiltelefon på hotellrummet och. Ett exempel på när en sådan kan behövas, annars inte.

Ruben: 43:36

För.

Andreas: 43:36

det ska tilläggas att du kommit runt det här genom att bara använda en vanlig SP adapter, en vanlig din egna vanliga dator laddare. Då kan du bli just jag eller mobilladdare. Då kan du inte bli skakade på huvudtaget. Dessutom.

Karl Emil: 43:48

De som har en bra huvudspel laddare har en powerbank med dig. Problem löst, men det hotet är inte nämnvärt för vanliga medborgare.

Andreas: 44:00

Vet du hur många exempel det finns på det här över huvud taget?

Karl Emil: 44:03

Så oss att jag inte känner till dem. Det är och det kan jag också vara transparent med ifall polisen meddelar att det här är någonting som vi har börjat se. Då ändrar jag den här rekommendationen på studs. Jag är inte rädd för att det kommer ske eftersom det är helt ekonomiskt ohållbart för angripare att göra på det sättet. Men det är om det skulle ske. Givetvis ändrar jag den rekommendationen, men fram tills dess att det finns bevis på att det här är någonting som förekommer i verkligheten. Dock kvarstår den rekommendationen att ta det lugnt. Använd gärna dina egna prylar, men om du behöver nödlanda så gör det inte någonting.

Andreas: 44:38

Och det tackar vi för. Vi går vidare till veckans huvudämne, vilket är. Vad?

Ruben: 44:45

Lösenord och lösenord. Fria lösningar. Och jag tänker att vi börjar med det. Snabba grejer om lösenord så ända upp prata om flera gånger den här månaden med det tänkt att du får din inblick på det också. Så vi börjar med den enkla frågan Hur säkert är det att bara ha ett lösenord? Och då snackar vi bara ett lösenord som de flesta bara jobbar har ett lösenord som ditt lösenord som ni använder är det är det säkert.

Karl Emil: 45:11

Det beror helt och hållet på vad det lösenordet ska skydda. Men för att ge ett kort svar nu på de här inledande frågorna så bör du aldrig någonsin enbart skydda ditt konto med ett lösenord ifall det finns alternativ. Och om du då till exempel kan aktivera tvåfaktorsautentisering också så bör du alltid göra det. Anledningen till det, det är att lösenord läcker och jag vet att det finns de som tänker jag läcker inte mina lösenord, men sorry, det spelar ingen roll. För att webbplatserna som du anförtror dina lösenord kan också råka läcka dem. Och det ser vi ju liksom på månadsbasis. Någon ny stor lösenord läcka som sker eftersom ett lösenord är en hemlighet som både den som ska logga in och webbplatsen som ska logga låta användare logga in måste ha tillgång till. Även om webbplatsen bara har tillgång till det i förhoppningsvis det vi kallar cachad och saltad form så. Är det ändå en hemlighet som angripare kan knäcka. De kan komma åt att de kan sätta en dator på att försöka lista ut vilket det här lösenordet är genom att testa, testa, testa, testa vanliga lösenord. Lösenord är per definition ett dåligt alternativ när det kommer till avsändaren till SE jämfört med de andra alternativen som står till buds eftersom de bygger på den här hemligheten som kan läcka. Vi vill inte att det ska finnas en hemlighet som kan läcka och då äventyra vår säkerhet. Och allting förvärras ju av att både vi som användare och webbplatser kan läcka det.

Andreas: 46:45

Såklart såklart.

Ruben: 46:47

Men det är en extra fråga för dem. Om man nu bara ska ha ett lösenord är något speciellt man ska tänka på. Tänk antal tecken eller stora små bokstäver. För det finns också en risk att börjar du slänga på massa olika tecken så kommer du behöva komma ihåg det och du kommer inte ha det för att du försökt hålla bra liksom. Om man nu bara ska. Vad ska man tänka på Då och bortse från alla som hanterar?

Karl Emil: 47:10

Det var ju rätt svar där. Men du ska ha ett så långt lösenord som möjligt. Jag vet att det ofta diskuteras att ja, men det är viktigt att du har stora och små bokstäver. Det är viktigt att du har med en siffra. Det är viktigt att du har med specialtecken. Det här är gamla och förlegade rekommendationer som kommer från den tid då vi inte hade möjlighet att testa lösenord på bättre sätt. När användare valde lösenord kollar vi vad som står i de amerikanska NIST riktlinjerna, som är riktlinjerna som de amerikanska myndigheterna ska följa. Då står det i NIST rekommendation 800 bindestreck 63B. För er som vill kolla närmare att den som ansvarar för att. Ta de här lösenordet. Poliserna ska inte kräva att användare blandar in stora eller små bokstäver, specialtecken eller siffror. Fokusera på längden istället. Och anledningen till det är att vi är människor. Och om vi människor ska ha minsta chans att med våra patetiska hjärnor komma ihåg och patetiska jämfört med en dator komma ihåg lösenorden, då måste de åtminstone vara lätta att komma ihåg. Så ta till exempel fyra stycken slumpvis utvalda ord ur en ordlista. Då har du ett långt och bra lösenord som det är i princip omöjligt att knäcka med tanke på att det hade tagit för lång tid för en angripare att knäcka det. Men här ligger också visst ansvar på de som utvecklar tjänsterna att se till att användaren inte av misstag väljer ett för svagt lösenord. Som den här rekommendationen. Den är egentligen i kombination med att de som skapar de här tjänsterna ser till att ha bra lösenord kontroller. Om någon till exempel vill registrera sig på vår webbplats, då kollar vi först och främst att lösenordet är minst tio tecken och därefter kollar vi att lösenordet inte är vanligt förekommande i lösenord läckor. Vi använder en tredjeparts tjänst som inte vi läcker någon data till det så att ni inte tror det. Vi använder en tredjeparts tjänst för att kontrollera om det här lösenordet är vanligt förekommande i lösenorden läckor. För er som vill veta hur vi kan göra det utan att läcka någonting till den tjänsten. Ni kan läsa en lägga en länk till support sidan så får du det. Men det är väldigt smart det. Vi ser till att om ditt lösenord som du vill ange förekommer i väldigt många lösenord läckor, då får du reda på ditt lösenord har läckt väldigt många gånger. Det här är ett svagt lösenord. Det här är ett av de första lösenorden som angripare kommer testa. Välj ett annat.

Andreas: 49:48

Jag vill. Jag vill följa upp det här för att det finns lite då redan knäckt ett par hatobjekt för mig här. När de här lösenorden kom blablabla vi ska ha, det ska vara så här många tecken så skriver man ju ett ord och så har man stora eller små bokstäver och då satte alla in. Så lyssna därute nu och känner igen mig i det här. Inser ni hur icke speciella ni är? Alla satte första bokstaven som stor bokstav, sen kom du ska sätta till en siffra. Då sätter man en siffra efter. Gärna favorit siffran och sen var det ordet måste ha specialtecken och då är det tal. Jag lovar er att 90 % av alla satte ett utropstecken efter det här är samma ord med stor bokstav i början, en siffra och ett utropstecken.

Karl Emil: 50:30

Ja, och troligtvis är siffran dessutom ett

Andreas: 50:34

Väldigt

Karl Emil: 50:35

i det här mönstret. Det är ju angriparna välbekanta med. Efter alla löften och läckor som har varit genom åren så sitter angriparna på bra data för hur dåliga vi människor är på att komma på olika lösenord och i de verktygen som angripare använder för att knäcka lösenord. Till exempel härsket eller inte Ripper? Då kan du lägga in de här modellerna. Jag vill testa på det här sättet för att se om det är det lösenordet eller inte. Angriparna kan göra det, alltså inte något som vi vanliga människor gör. Det ingenting som stärker lösenorden i sig förutom på pappret. Det som jag däremot har gjort. Som jag tycker är praktiskt, det är att i min lösenordshanterare bits vardagen så kan jag ju få lösenord genererade åt mig och tidigare så tog jag 42 tecken bara rakt upp och ner. 42 stycken. 42 stycken slumpvis utvalda tecken. Det har jag slutat med för att det blev för jobbigt de få gånger då jag behövde knappa in det på ett tangentbord som inte var min mobils tangentbord eller min dators tangentbord. Till exempel Netflix på TVn. Så det som jag gör numera istället är att jag ber B2 den generera fyra stycken slumpvis utvalda ord, lägga ett bindestreck mellan dem, personalisera för varje ord och ha med en siffra någonstans däri. Det har jag inte för att det är någonting som blir säkrare i sig, men det har jag för att det är den lösning som fungerar rakt upp och ner på i princip alla webbplatser. Det finns några webbplatser som ibland då säger ditt lösenord är för långt och då kan jag säga kära webbplats, då har vi ett problem.

Ruben: 52:20

Här

Andreas: 52:20

Öppet.

Karl Emil: 52:22

För då kommer du nämligen vara med I1I1 videoklipp väldigt snart där jag hänger upp dåliga lösenord. Så jag har inte valt den modellen för att det är säkrare, utan jag har valt det för att jag ska få ett genererat lösenord som fungerar oavsett vilken lösning och policy som webbplatsen har, under förutsättning att webbplatsen inte har en sinnessjuk lösenord som.

Andreas: 52:46

Okej, jag blir två saker här. Du använder ditt hår. Den

Karl Emil: 52:52

Ja.

Andreas: 52:53

har någon annan sorts hanterade rekommenderar.

Karl Emil: 52:55

Jag har granskat många lösenordshanterare och kan konstatera att av alla dem jag har testat att den bästa ur ett säkerhetsperspektiv det är byggt var den så länge som vi pratar om webbläsare, integrerade lösenordshanterare. Jag kan även rekommendera vad password från Password är. Fantastiskt bra att de har tredjeparts granskningar, men det är inte öppen källkod vilket var den har. Dessutom har det om password inget gratisalternativ. Vad? Password kan däremot stoltsera med att ha ett mer användarvänligt gränssnitt, för det märks att ditt svar, den är gjort av nördar för nördar och det skulle då de skulle verkligen må bra av att ha en ännu bättre utvecklare när det kommer till just det vi upplevelsen. Den grafiska upplevelsen av applikationen för att göra den mer tydlig och lättanvänd.

Ruben: 53:53

Tycker verkligen det för jag tycker du är ganska lättanvänt. Men då gäller det att

Andreas: 53:56

Jämfört med vad LastPass vad jag.

Karl Emil: 53:59

Det är just det som är problemet. Om vi tre skulle komma överens om hur en lösenordshanterare ska se ut. Jag är övertygad om att vi hade valt så här som det var. Det är ju perfekt.

Andreas: 54:09

Pappa.

Karl Emil: 54:09

Ja, möjligtvis. Det är väldigt mycket med blåa detaljer här. Vi skulle kunna göra den monokroma också bara för sakens skull. Nej, men för vanliga användare så är den inte så användarvänlig som jag hade hoppats på att den skulle vara vid det här laget. Men resan som bit vad den har gjort visar ju att de är verkligen på rätt väg och de kommer göra den användarvänliga och användarvänliga och användarvänliga för varje version som går. Jag har tidigare också rekommenderat LastPass, men efter LastPass incidenten som jag vet att ni har berört så har jag tagit bort LastPass från den listan. Men det beror inte på själva LastPass läckan.

Andreas: 54:51

När.

Karl Emil: 54:52

Utan det beror på att LastPass ljög i sin dokumentation. LastPass har ju inte öppen källkod så vi måste gå på dokumentationen och då måste dokumentationen stämma överens med verkligheten. När LastPass råkade ut för den senaste cyber attacken, då var det ju inga lösenord som läckte. De läckte, de krypterade lösenordet, valven och hela poängen med en tjänst som LastPass är ju att den ska stå pall för att lösenord valven ska kunna läcka.

Andreas: 55:22

Jag.

Karl Emil: 55:22

Men. här med hur mycket tid har vi?

Ruben: 55:26

Oändligt ifall det

Andreas: 55:27

Offentligt.

Karl Emil: 55:28

Det finns några detaljer, men jag har pratat om det i vår egen podd för er som vill lyssna på det. Och jag vet att ni har pratat om det i er podd också. Men det som gjorde att jag liksom bara sa och nu orkar LastPass ut det var att de gör sin dokumentation. Det kan jag inte tolerera. Så nu ligger de på samma lista som typer och not pass, dvs lösenordshanterare du bör undvika.

Andreas: 55:49

Och riktigt så bitter var den. Och Johan password.

Karl Emil: 55:53

Det var då någon passerade. Klockrena. Om vi vill prata om sådana där du hostar ditt val själv så har vi till exempel skipass. Baksidan är fantastisk också, Appel Kitchen. Den är också riktigt bra, men den har en nackdel när det kommer till att om en användare har råkat slå in sin kod så att angripare kan se den. Då kan också angripare sända för att låsa upp sin mobil så att angripare kan se koden. Då kan angripare sedan också ha åtkomst till lösenord så den är. Den är inte lika bra som de andra. Men ifall valet står mellan att inte använda en lösenordshanterare och att använda en webbläsare integrerat lösenordshanterare, ja, välj då i alla fall appens lösning om du har möjlighet till det. Sen håller jag på att testa dessa enheter dagligen är faktiskt på gång. Det låter som mode både här och där. Det är på gång tillbaka. Det är så jag känner det dagligen. Kanske också kan komma upp på den här listan inom kort. Men än så länge är be2 den överlägset bäst. Eller vad än password eller kick ass xc eller en liten bubblare med just dem. Äppelskrutt känns som den enda lösenord. Så är det den enda webbläsare integrerade lösenordshanterare som jag kan rekommendera.

Andreas: 57:11

Det känns skönt att du backar upp vad vi har sagt tidigare, för det tyder ändå på att vi gjorde bra grundarbete för det vi har sagt. Det känns skönt. Men det var en sak till jag ville slå ihjäl innan vi lämnade. Vi måste röra oss vidare. Men den här fantastiska lösenord policyn som är på företag, att man måste byta lösenord en gång varannan månad. Är det någonting som är fortfarande rimligt eller är det förlegat det också?

Karl Emil: 57:37

Det finns ju de som tycker att det är jätteroligt att byta lösenord till och från Asos som har det som sin hobby. Om du inte tillhör den gruppen, då finns det absolut inget skäl att göra det. För är det inte så att ett lösenord möglar eller blir sämre med tiden? Anledningen till att den här rekommendationen fanns en gång i tiden, det var just för att vi använde samma lösenord på många ställen, vilket vi självfallet inte får göra. Och risken för att vi då läckte vårt lösenord så att en angripare kunde logga in som oss och där också logga in för oss som alibi i tid framöver. Det var problematiskt, så därför fanns den rekommendationen att du skulle byta lösenord var 90:e dag eller var 30:e dag. Men om vi kollar igen i vad som står i NIST riktlinjerna, då står det faktiskt att den som sätter policyn för användare ska inte kräva per radikal insats av password. Alltså, du ska inte kräva att användarna byta lösenord bara för att det har gått en viss tid. Kollar vi vad Microsoft skriver i sina rekommendationer, då står det samma sak där, både gällande periodisk lösen och återställning och gällande krav på att blanda in specialtecken och siffror. Så nej, det finns inget skäl till att göra det. Men om du går på det som jag säger nu, då är det väldigt viktigt att du också tar på dig att vid minsta misstanke om att ett lösenord kan ha läckt byta lösenordet. Och givetvis använd unika lösenord på alla webbplatser med lösenordshanterare såsom Betway.

Andreas: 59:06

Vi är inte sponsrade behöver du inte sponsrar betala.

Karl Emil: 59:10

Nej, nej, absolut inte. Jag har inga kommersiella samarbeten över huvud taget. Däremot hjälper jag bitvis den med svensk översättning. Det är inte jag som gör grovjobbet, det hjälper bara till med detaljer. Men nej, jag har ingen koppling till den och ingenting av det som jag säger nu har jag någon personlig vinning för.

Andreas: 59:27

Bra. Då har vi etablerat det uppe vid det sponsrade av någon och har inga ekonomiska samband med någon mer än att vi har ett affiliate avtal För allt det kan vi också, alla ni som lyssnar. Vi vet att vi har en hel del yngre som lyssnar, speciellt på Spotify. Jag misstänker att vi har en hel del framtida IT tekniker. Lyssna här. Inte sådana här jäkla lösenord och återställning, för jag är trött på dem. De är på alla företag jag har varit på och det slutar med att man gör lösenord kedja där man byter en siffra varje gång och det är inte säkert. Det blir inte bättre.

Karl Emil: 1:00:05

Nej, det här är jättelätt. Om ni jobbar på ett sånt ställe. Gå till NIST webbplats och sök efter 800 bindestreck 63B. Där har ni rekommendationerna där det står svart på vitt att det inte ska ske.

Ruben: 1:00:14

Kontroll. C. Kontroll med att utse chef.

Karl Emil: 1:00:18

men givetvis är det. Det vi måste komma ihåg är att alla de här rekommendationerna hänger ihop med varandra. Man kan inte läsa en för sig. Utan det gäller att man har en Sunderlands policy för hela organisationen.

Andreas: 1:00:30

Yes!

Ruben: 1:00:31

Ska vi gå in på lite, inte tyngre frågor men lite mer frågor som kanske folk längre svar kanske?

Karl Emil: 1:00:40

som jag kom hit för

Andreas: 1:00:41

Jag.

Karl Emil: 1:00:43

att få känna. Lyssna. Jag kom inte hit för att prata om vare sig det är fest, kanaler eller litiumjonbatteri.

Andreas: 1:00:49

Öppet är det? Är inte lösenord lite förlegade?

Karl Emil: 1:00:55

Lösenord är absolut förlegat och vi behöver byta ut dem mot en betydligt bättre lösning. Men det kommer inte att ske i någon fullständig utsträckning under vår levnadstid, dvs. Vi kommer fortsätta behöva hantera lösenord på ett eller annat sätt, men byta ut de på så många ställen där det går.

Ruben: 1:01:11

Har ju varit inne på det lite innan och det är ju att en lösenordshanterare är ju ett bra sätt för alla. Alla som lyssnar eller som fungerar väldigt bra och att använda för att skapa unika, låsa upp fler platser och ha koll på dem och inte behöva något hjälpmedel som allt möjligt. Men vi nämnde det också lite, vilket inte så mycket var tvåfaktorsautentisering. Ett långt ord som alltid så att säga. Vad är det? Varför ska man använda det? Och har du några tips och idéer och tankar om det?

Karl Emil: 1:01:38

Ja, för eftersom att lösenord är så svaga eftersom det är en så svag autentisering som metod med de uppenbara bristerna kring risken för läckage. Då behöver vi komplettera lösenord med en andra faktor. Det är därför vi kallar det tvåfaktorsautentisering. Det finns flera olika sådana faktorer, men det är någonting som kompletterar lösenordet. Det finns fyra stycken vanliga modeller. Den första modellen där den första metoden ska säga det är sms metoden, alltså att du skickar ett där du skriver in lösenord och sedan så får du ett sms skickat till dig med en sexsiffriga kod och så skriver du in den sexsiffriga koden och sedan är du inloggad.

Ruben: 1:02:18

Ganska vanligt när man signar upp sig på hemsidor och sånt att man får

Karl Emil: 1:02:22

Och

Andreas: 1:02:23

Ett.

Karl Emil: 1:02:23

är ju för att det är ett lätt sätt för alla användare att tvåfaktorsautentisering. Vi förstår alla hur det fungerar och vi är inte rädda för att bli utelåsta av det heller eftersom vi förstår att om vi byter telefon och vi flyttar över vårt nummer till den nya telefonen, då kommer de här semestern fortsätta att komma till oss. Men det är inte den bästa metoden ur ett säkerhetsperspektiv. Det är den bästa metoden ur ett användarvänlighet perspektiv, men inte den bästa metoden ur ett säkerhetsperspektiv. Och det är som är bästa metoden ur ett användarvänlighet perspektiv. Det gäller självfallet inte om du använder premium versionen av vitvaror, för då finns det något ännu bättre. Men om vi bortser från att om vi säger att du inte gör det, om du är kvar, om du inte har kommit dit. Det var ledande. Då är sms metoden väldigt användarvänlig. Alla förstår hur den fungerar och här måste också hela EU till säkerhetsbranschen ta sitt ansvar för att ta fram lösningar som inte bara är säkra utan som användare faktiskt också känner sig trygga med att använda för att de användarna inte känner sig trygga med det. Då kommer de inte att använda de metoderna. Och om dessutom de här metoderna inte är självklara för hur de fungerar, då spelar vi angriparna rakt i händerna. För då kan angriparna antyda till att just nu är det någon speciallösning som du ska använda för att göra på ditt sätt och på det sättet lura användare till att läcka sina tvåfaktorsautentisering engångs koder. Men SMS metoden som i sådant är den är väldigt vanlig på stora webbplatser. Twitter har tagit bort den för att den kostade dem för mycket pengar.

Andreas: 1:03:58

Jag hatar att öppet konstant tvinga mig.

Karl Emil: 1:04:01

Den här appen kör ju med en med sin första funktion.

Ruben: 1:04:06

För

Andreas: 1:04:07

man har Apple produkter

Karl Emil: 1:04:10

Ja just det ja. Okej.

Andreas: 1:04:13

och jag kan inte ändra det till det jag misstänkte. Kommer sig sedan att

Karl Emil: 1:04:18

kan du det? Men det ska vi kanske kolla på det också. Men sms metoden, den den har sina för och nackdelar. Säkerhetsmässigt är den sämst eftersom om någon utför en social manipulation attack mot kundtjänsten hos din operatör och får operatören att lämna ut ett nytt simkort till angriparen, då kan ju angriparen börja ta emot dina sms. Det är inte den bästa metoden, något bättre. Det är Googel 50 kartor metoden och det heter egentligen inte Google ads, inte Krister metoden, men många kallar det det eftersom Google Offentlig kartor är den vanligaste appen som används för det här. Metoden heter egentligen RFC 62 38 tio TP, men det är för jobbigt att säga RFC 68. Det är 62. Jag tjatar till TP varenda gång jag säger Googles etiketter metoden och det är den här metoden som ni garanterat känner igen den i. Skannar en QR kod och efter ni har skannat en QR kod med till exempel Google Apps, etiketter eller ASIC eller Microsoft och 50 kartor. Då genereras en sex siffrig engångs kod som förnyas var

30: 1:05:24

e sekund och sedan när ni ska logga in då logga in med både ett lösenord och den sexsiffriga engångs koden. Jag misstänker att ni två har aktiverat flera tvåfaktorsautentisering skyddade tjänster med den metoden.

Andreas: 1:05:37

Jag.

Karl Emil: 1:05:39

Och det är ju en bra lösning också. Det som är lite mindre användarvänligt, det är att gå över 50 kartor. Backar inte upp tvåfaktorsautentisering på hemligheterna. Så ifall användaren tappar bort sin mobil. Då kan användaren inte längre logga in.

Ruben: 1:05:57

Nope. Jag har vart med om detta när jag tappade eller bytte bil senast. Då var jag tvungen att tänk om

Andreas: 1:06:04

Men det finns väl okej med Google att det inte är den metoden som används i även i år. Se också

Karl Emil: 1:06:11

Exakt ja, och det är därför som jag rekommenderar Åse i stället för att med Åse. Då kan du säkerhetskopiera dina tvåfaktorsautentisering hemligheter så att om du vill byta telefon eller om du tappar bort din telefon. Då blir du inte av med dina konton som du behöver ha för att kunna logga in med tvåfaktorsautentisering. Det är dessutom totalt strax krypterat, alltså krypterat, så att inte ens ASCII får tillgång till dina tvåfaktorsautentisering. Hemligheter så länge vi pratar om just Google Center heter metoden för oss. Vi har också en egen metod som inte är totalt accepterad,

Andreas: 1:06:49

okej.

Karl Emil: 1:06:49

men ni känner igen den på att den indikeras separat i attacken. Jag tror att till exempel Twitch använder Asus egen metod. Undvik den om det kan, men. Det är i alla fall ett gott skäl till att använda Azure, för där säkerhetskopieras dina tvåfaktorsautentisering, som det heter, automatiskt utan att du behöver tänka på det. Du måste konfigurera det från första början, välja ett lösenord, men därefter så sker det per automatik.

Ruben: 1:07:16

Är det fråga om mat eller lås per enhet eller kan du ha samma information på flera enheter?

Karl Emil: 1:07:22

Du kan ha samma information på flera enheter, men det finns nackdelar med oss också. Det är en nackdel. Ett med avsikt är att filer som ligger bakom oss. De har inte byggt in en export funktion, vilket innebär att om du skulle vilja byta till en annan app, då måste du inaktivera tvåfaktorsautentisering på alla dina webbplatser och lägga till dem på nytt i din nya app. Så du kan inte få ut alla dina tvåfaktorsautentisering hemligheter ur oss. Och här kommer en av era lyssnare komma med en kommentar som säger Jo, det finns faktiskt ett script som gör att om du installerar ASCII på din dator och sen körde skriptet så kan du få ut din tvåfaktorsautentisering som det heter. Det räknas inte, det är fusk.

Andreas: 1:08:03

Att pappa är

Ruben: 1:08:06

så räknas det

Andreas: 1:08:06

ett.

Ruben: 1:08:07

enkelt.

Karl Emil: 1:08:07

Exakt. Och den andra nackdelen med det vill jag se är att det inte är öppen källkod och alla tjänster som har öppen källkod får ju en liten guldstjärna för att de faktiskt låter utomstående aktörer granska koden så att den verkligen är säker. Men vi får ta det goda med det dåliga och ifall det kommer en bättre än åsikt, då kommer jag självfallet byta rekommendation där också. Men jag vill flagga upp för att om du har premium versionen av ditt eller vad en var för den delen, då kan du använda din lösenordshanterare för att tvåfaktorsautentisering dig också. Så om du till exempel vill logga in på en webbplats som stöder tvåfaktorsautentisering och har implementerat det korrekt, då tar du bara och klickar på Big två den ikonen. Välj vilket konto du vill logga in med så fyller den i automatiskt användarnamn och lösenord. Du trycker på Logga in. Sen trycker du på Kontroll V på Windows eller Kommando V på macOS och då fyller den automatiskt i den rätta sexsiffriga ingångs koden också. gör att det blir supersmidigt att logga in.

Ruben: 1:09:16

Det är ju nästan så det känns osäkert. Är det så enkelt?

Andreas: 1:09:21

Pappa.

Karl Emil: 1:09:22

Och ja, det blir ju mindre säkert i och med att om en angripare får åtkomst till din lösenordshanterare, då har angriparen tillgång till dina tvåfaktorsautentisering hemligheter för att kunna generera engångs koderna också. Så det är en avvägning mellan användarvänlighet och säkerhet. Absolut.

Andreas: 1:09:42

Men det är ju definitivt bättre än att inte ha två faktor.

Karl Emil: 1:09:46

Absolut, absolut. För vad är sannolikheten att en angripare får åtkomst till din lösenordshanterare?

Ruben: 1:09:51

Har de fått det så är det ganska skönt ändå.

Karl Emil: 1:09:54

Ja.

Ruben: 1:09:55

Men det känns plötsligt säkrare att ha det på en separat enhet känns det som. Och kan du gå in på den här enheten? Nu validerar jag det på den här enheten. Bra det som sägs. är omöjligt för en annan att göra någonting

Andreas: 1:10:07

Fast jag gillar när det är mer. Jag gillar när det är smidigt dock, vilket också är väldigt kontraproduktivt när jag inte tycker om eller inte är en app fantast. Men sånt är livet.

Karl Emil: 1:10:19

Men det finns nackdelar med den här metoden och det är ju att den här koden, den är ofta giltig i 90 sekunder

Ruben: 1:10:27

I.

Karl Emil: 1:10:27

och det innebär att om en angripare utför en realtids attack, lurar in dig på en falsk webbplats, får dig till att ange ditt användarnamn och lösenord och ingångs koden, då kan angriparens en logga in som dig.

Andreas: 1:10:41

I upp till 90 sekunder.

Karl Emil: 1:10:43

Ja. Själva koden förnyas var 30:e sekund, men oftast är både koden före och koden efter fortfarande giltig.

Andreas: 1:10:49

Ja, det var min kommande fråga.

Karl Emil: 1:10:51

Ja

Andreas: 1:10:52

För det. är ju alltid så där tids raj som man kommer på i sista sekunden att vinna. Yes! Men det är helt onödigt och helt enkelt.

Karl Emil: 1:11:02

Jag får. Oftast så är även den föregående koden och nästkommande kod giltig.

Andreas: 1:11:06

Och

Karl Emil: 1:11:08

Så

Andreas: 1:11:09

jag som har känt mig som Gonzales emellanåt med.

Karl Emil: 1:11:13

Ja, men oavsett vad du har använt tjänsten du har använt metoden ska snarare säga och det har gjort att du har haft ett säkrare konto, så det är bara positivt. Sedan har vi pushnotiser metoder för tvåfaktorsautentisering och det är den som till exempel Microsoft använder och den kan man ju tycka att den borde vara helt bombsäker. Alltså att du skriver in ditt användarnamn och lösenord, får en push notis och. Trycker på att jag inte vill godkänna inloggningen eller att du får tre stycken olika siffror. Du ska trycka på rätt av de här tre siffrorna. Men vi har sett det som kallas MFJ fartyg attacker eller ren utmattning attacker och det är helt enkelt att angripare loggar in som dig och skickar sådana här pushnotiser till dig. Nytt på nytt, på nytt, på nytt, på nytt, på nytt, på nytt. Tills du tröttnar på att få de här notiserna och trycker ja eller trycker på en av de här tre koderna och förhoppningsvis då är för angriparens skull den rätta av de tre koderna som visas. Eller tre siffrorna. Det här var någonting som gjorde att vi lägger en länk till dig själv nu och så tar vi inte och ockuperar mer tid med olika exempel. Men det var någonting som flera bolag föll på i fjol. Men. Av alla de bolag som de här angriparna attackerade. Då var det ett bolag som stod pall och det var Cloudflare. Cloudflare föll inte för de här angriparna attacker, men de använde inte heller just den här typen av tvåfaktorsautentisering med pushnotiser som går att utmana användare med. Jag misstänker att någon gång så har ni varit med om att ni har blivit uttråkade någonstans och så har det blivit en loop så att ni får förfrågningar gång på gång på gång. Lösenordet till er telefon har ändrats eller till er mejl har ändrats och så har telefonen sagt Vad är lösenordet? Lösenordet var lösenordet tills ni har tröttnat på det. Men klart. De lät sig alltså inte luras och det var för att de inte använde den här metoden utan de använde den fjärde och bästa metoden, nämligen säkerhets nycklar och säkerhets nycklar, till exempel wikis. Det är den enda nätfiske resistenta inloggnings metod som finns. Det går inte att nätfiske attackera en inloggning som skyddas med en säkerhets nyckel. De på Cloudflare. De hade faktiskt var klart fler väldigt transparenta med att de hade tre stycken medarbetare som faktiskt gick på en sån här nätfiske attack. Av dem som jag pratade om just denna, den typen de knappade in sina användarnamn på, knappa in sina lösenord och blev uppmanade att sätta in sin sån här säkerhets nyckel i datorn för att autentisera sig så medarbetarna, de läckte verkligen sina lösenord. Men eftersom de också skyddades med säkerhets nyckel så kunde angriparna inte logga in. Såklart för de föll inte, men många andra föll. Dollars till exempel.

Andreas: 1:14:24

Men med säkra nycklar så tänker du. Tänker du typ då? Jo, bikinis,

Karl Emil: 1:14:28

Exakt

Andreas: 1:14:29

hårdvara och nycklar.

Karl Emil: 1:14:31

ja de går inte att nattfiske attackera på nått sätt.

Andreas: 1:14:36

Men då är nästa följdfråga hur användarvänlig är den?

Karl Emil: 1:14:39

Ja, det kan man ju fråga sig. Men jag tror vi måste gå igenom först och främst en djup kris och liknande säkerhet. Nycklar fungerar.

Ruben: 1:14:46

Jag tackar!

Andreas: 1:14:47

i.

Karl Emil: 1:14:47

För de använder. De bygger på en kombination av tekniker som går under namnet Fido. Två. Det finns flera olika leverantörer av sådana här säkerhets nycklar. Yubikey. De är svenska och väldigt kända här, men det finns också till exempel Fit and a Good eller Titan Kit. Många olika alternativ, men alla de här bygger på samma standard metoder som då kallas Fido tillsammans Web Standard metoden som är en del av det som webbläsaren har. Den kallas som är basen och det är alltså en etablerad webb standard. Det är inte någonting som något svenskt bolag har hittat på själva. Det här är en web standard som alla webbläsare följer. Det här är alltså inte något proprietär som kostar pengar. Det här är någonting som är gratis inbyggt i våra webbläsare och gemensamt överenskommet hur det ska fungera. Så hur fungerar det? Jo, i den lilla jordbruket så har du egentligen en hemlighet. Den här hemligheten kan du aldrig någonsin få ut ur din Yubikey. Den är låst därinne. Det går inte att på något sätt via datorn få ut hemligheter ur Yubikey. När du registrerar dig på en ny webbplats med webbadressen så skapas ett nyckel par och då är det två matematiska värden ett med en privat nyckel och en publik nyckel. Det här är inte hårdvaru saker, även om vi använder en hårdvara för den privata nyckeln, utan det är två matematiska värden. Du ger den publika nyckeln till webbplatsen så webbplatsen att du får ansvar för att hantera den publika nyckeln och den privata nyckeln. Den behåller du inuti din Yubikey. När du sedan vill logga in nästa gång, då ansluter du din Yubikey till din dator eller till din mobiltelefon. Den webbplats som du vill logga in på. Skicka då en förfrågan till din webbläsare som säger kan du vänligen signera det här med den privata nyckeln som bara du har tillgång till. Då ber webbläsaren din Yubikey att signera det jobbet signerade och du skickas tillbaka till webbplatsen. Då kan webbplatsen verifiera att vi har den publika nyckeln och det är bara den privata nyckeln som har kunnat signera det så att det stämmer överens med vår publika nyckel. Om ni vill veta mer om privata och publika nycklar så får vi göra ett helt eget avsnitt om det. Men poängen med det är att har ni använt PGP någon gång när ni har skickat krypterade mejl?

Ruben: 1:17:23

Nu.

Karl Emil: 1:17:24

Nej, men då är det samma sak där. Då har du en privat nyckel som du använder för att dekryptera mejl och en publik nyckel som andra använder för att kryptera mejlet som de skickar till dig. Det fina med det här är att den publika nyckeln, den kan du ge till vem som helst, är det Den lägger du på din webbplats så att vem som helst kan ladda ner den och sedan använda den för att kryptera mejl som de skickar till dig. Samma sak är det här, den här publika nyckeln som vi har anförtrotts till webbplatsen att de ska hålla koll på den. Kan de läcka? Det spelar ingen roll, den är inte hemlig. Notera det här som jag sade inledningsvis, att vi vill komma bort från att det ska finnas hemligheter. Den publika nyckeln, den inte hemligt. De kan lägga den på Piratebay. Det hade inte skett någon skada. Så när du loggar in, då får du alltså en förfrågan från den publika webbplatsen. Tack vare att du har tillgång till din säkerhets nyckel som innehåller den privata nyckeln kan du signera denna förfrågan. Skicka den tillbaka till den publika webbplatsen som verifierar att du faktiskt har signerat den med din hårdvaru nyckel med din privata nyckel som finns där i. I och med det här så kan inte du heller läcka någonting, för ingenting av det du skickar iväg är hemligt. Du skickar aldrig iväg den privata nyckeln, den är ju inlåst i din hårdvaru nyckel så du riskerar inte att läcka någonting och webbplatsen riskerar inte att läcka någonting. Webbplatsen kan läcka din publika nyckel i och för sig, men det är ingen skada skedd.

Ruben: 1:18:51

Men jag kanske är dum ändå så någon skulle då kunna göra dumheter. Ifall de har din fysiska hårdvara nyckel.

Karl Emil: 1:19:03

Exakt.

Ruben: 1:19:03

man ha en speciell dator eller verifiera att den är dator och jag vill koppla in vilken dator som helst? Det här jag.

Karl Emil: 1:19:09

Du kan koppla in dig i vilken dator du vill, den kan köra Windows, den kan köra Linux, den kan köra macOS. Du kan göra precis vad du vill.

Ruben: 1:19:17

så den där risken att någon tar min fysiska nyckel vet om att det är min.

Karl Emil: 1:19:22

Ja och.

Andreas: 1:19:24

Jag ser ett hål här. Jag ser ett hål. Vad händer om jag tappar min nyckel?

Karl Emil: 1:19:28

Vad händer om du tappar din lycka? Då är du utelåst för all framtid.

Andreas: 1:19:32

Det är så uppenbart att användarvänligheten uppe.

Ruben: 1:19:40

Så det är egentligen som en nyckel till en dörr och då bara och att det är bara du som vet vart den nyckeln går egentligen. Och tappar du nyckeln, ingens kommentar nyckel du hittat tycks gå till din dörr egentligen. Sen så kanske någon vet om ser ditt namn på den, men annars nej.

Karl Emil: 1:19:55

Tack! Precis, det finns ju bergis mer fingeravtrycksläsare så att om du skulle tappa bort din hårdvaru nyckel, då kan de ändå inte använda den för de har inte ditt fingeravtryck.

Ruben: 1:20:05

Hur?

Karl Emil: 1:20:07

Men om du tappar bort den, då är du körd.

Ruben: 1:20:11

Och det är därför allt ska.

Karl Emil: 1:20:13

Det är därför du alltid måste ha två. Och det tråkiga är att även om det har funnits ett förslag att göra så att man kan använda en nyckel som en backup nyckel till en annan nyckel så är det ingenting som har implementerats, vilket innebär att du måste ha två stycken objekt och du måste registrera dem eller en finanskris eller gå i god takt och du måste registrera dem på alla konton där du vill använda Yubikey eller motsvarigheten för att logga in

Andreas: 1:20:40

Kanske.

Karl Emil: 1:20:41

varenda gång du aktiverar det här på en ny sajt. Då måste du lägga till både din huvudnyckel som du alltid bär med dig och din reservnyckel som du förvarar på ett säkert ställe.

Ruben: 1:20:51

Hur funkar det om jag ska logga in i tillexempel min telefon eller min tv för att vinna? Som det jobbigaste av allt. Ibland har jag pratar USB uttag i sämre kvalitet kan applicerbara mot just detta.

Karl Emil: 1:21:03

Nej,

Ruben: 1:21:03

det?

Karl Emil: 1:21:04

om det är på mobiltelefonen, då är det inga problem. Då kan du antingen ansluta din nyckel via USB-C eller via Lightning. Det finns faktiskt en sådan. Eller via NFC, vilket är mer sannolikt

Andreas: 1:21:17

Du kan alltså det finns tillräckligt med data så du kan köra dem eller tillräckligt med över NFC. Det är så pass lite data.

Karl Emil: 1:21:26

Absolut.

Andreas: 1:21:27

Okej.

Karl Emil: 1:21:28

problem alls. Men på TVn däremot, då går det inte utan där måste det i så fall vara en sådan lösning där TVn säger att du ska nu logga in, scanna den här QR koden och sen går du till en webbplats med mobiltelefonen och loggar in där. Det går inte att använda det här i TVn utan det måste vara på din mobiltelefon eller surfplatta eller dator.

Ruben: 1:21:48

Så det finns fortfarande lösningar där du kommer behöva ha ett lösenord eller ett klassiskt lösenord. Den är två fakturans, en clearing, sin lösning eller något liknande där Yubikey inte applicerbar eller

Karl Emil: 1:21:58

Ja,

Ruben: 1:21:59

lösning tappas bort.

Karl Emil: 1:22:00

men igen, egentligen inte för att om du vill logga in på din TV och tvn säger åt dig, logga in med din mobil på den här webbplatsen för att du ska logga in på TVn. Då löser du ju det genom att logga in på mobilen.

Andreas: 1:22:16

Den inloggnings lösningen är ju en gått sönder när man startar upp en ny smart-TV för första gången när man ska slå in alla de där jäkla lösenorden annars.

Karl Emil: 1:22:24

Det går att lösa där också och då är allting löst ur ett nätfiske perspektiv. Det går inte att skydda mot skadeprogram som stjäl till exempel dina sessions cookies så som Linas Tex tips råkade ut för härom veckan. Men det är ju inte ett inloggnings problem, det är ett skadeprogram. Problem när det gäller inloggningen. Då är sådana här säkerhets nycklar helt nätfiske resistenta. Skulle du gå till en annan webbplats? En webbplats som ser identisk ut med domännamnet är lite, lite, lite annorlunda. Där försöker nätfiske det fånga några känsliga uppgifter från dig. Om du loggar in med en säkerhets nyckel, då får de inga känslig information från dig överhuvudtaget. Du kan inte läcka någonting, webbplatsen kan inte läcka något känsligt och du kan inte läcka någonting överhuvudtaget.

Andreas: 1:23:17

Men är detta en två faktor? Är trots allt en seriös lösning eller skulle man kunna använda detta som en ersättare?

Karl Emil: 1:23:24

Exakt nu börjar vi prata. Nu börjar vi prata för att om det här är så säkert att det inte ens går att nätfiske attackera. Varför i hela friden behöver vi vårt lösenord från första början? Och nej, vi behöver inte lösenord, vi behöver inte ens ha användarnamn. Det går att få användarnamn. Men om vi vill, då kan vi ha säker lösenord. Fri inloggning med säkerhets nycklar utan något lösenord överhuvudtaget.

Ruben: 1:23:51

Men hur vet vi alla, eller hur? Varför ska alla webbplatser spara de här öppna nycklarna? Alla gör webbplatser eller gör alla webbplatser det man vill eller?

Karl Emil: 1:24:00

Om webbplatsen stödjer inloggning med webbadressen. Då sparar de din publika nyckel som du förser dem med och du förser varje webbplats med en egen publik nyckel. Så det här kan inte heller användas för att spåra dig mellan olika webbplatser. Och om ni användare så har ni lyssnare som har en Yubikey vill testa det här med lösenord fri inloggning. Då finns det en länk i våra sidor som ni kan gå till för att testa just lösenord. Fri inloggning till och med användarnamnet Fri inloggning. Tyvärr är det inte jättemånga sajter som stödjer det här än, men i och med att det är en web standard så kommer det bara bli fler och fler.

Andreas: 1:24:40

Och hur är det nu är det mycket, mycket i tankarna. Men det finns ju en ganska nylanserade grej som heter Pass quiz. Hur kopplade ihop för det de har? Går inte de på samma standard?

Karl Emil: 1:24:53

Vad är det stora problemet med sådana här saker som är klar? Jo, att det finns ingen vettig konsument som helst skulle få för sig att köpa en.

Ruben: 1:25:04

Nu.

Andreas: 1:25:06

helt billiga.

Karl Emil: 1:25:08

De kostar mellan 600 kr och 1000 spänn så det är inga billiga saker och du måste dessutom ha två äppel. Har ju nu lagt till möjligheten att tvåfaktorsautentisering det aktuella enkelsidigt med just säkerhet som är klar. Men om du vill göra det, då gör inte appen som de flesta andra att de säger ja. Du kan registrera en säkerhets nyckel utan de är bara helt bångstyriga. Du måste registrera två för du måste ha en i backa om du inte har två. Då får du inte aktivera det. Och privatpersoner, de kommer inte lägga de här pengarna på att köpa säkerhets nycklar. Det finns inte en chans. Det här med säkerhets nycklar är enbart någonting som kommer användas i nämnvärd utsträckning i organisationer. Där köper organisationen varsin säkerhets nyckel till varje medarbetare. Varför behöver medarbetarna inte ha två? Jo, för att om medarbetaren skulle tappa bort sin säkerhets nyckel, då kan de gå till it avdelningen och säga till it avdelningen. Jag har tappat bort min säkerhets nyckel. Och då svarar den som sitter på IT avdelningen. Oj, det var tråkigt att höra. Men det är fullt förståeligt i och med att du är en människa och vi har svårt att hålla koll på våra saker. Så här får du en ny. Men det går ju inte att göra

Andreas: 1:26:24

ett.

Ruben: 1:26:24

svarade verkligen så.

Karl Emil: 1:26:26

Exakt så svarar IT avdelning att det är inte alla som vet det. Men det är precis så IT avdelningar svarar. Finns inga. IT avdelningarna är de trevligaste som finns faktiskt på företaget, men än är det inte där.

Andreas: 1:26:40

Upprepa.

Karl Emil: 1:26:42

Men i alla fall. Vad är passion? Jo, passion är vad skulle vi egentligen göra om vi ville ha exakt den här tekniken, fast utan att vi behöver hålla på och köpa dyra saker fast med killar. För med passion. Då får vi exakt samma funktionalitet med den hårdvara som vi redan äger och aldrig vill släppa ifrån oss, nämligen vår mobiltelefon med Pascal. Då får vi exakt samma funktionalitet per användare. Då är basen. Men i stället för att vi sparar de privata nycklarna, de som används för att signera meddelandena som vi får från webbplatserna vi vill logga in på, i stället för att vi sparar dem i hårdvaru nycklar så sparar vi dem. I Apples fall i iCloud och i Googles fall i Googles molntjänst. Där synkroniseras nycklarna totalt strax krypterat mellan alla våra enheter så att alla enheter som jag är inloggad i på samma äppel i det får tillgång till de här privata nycklarna och kan logga in som om som mig på de webbplatser där jag har använt det. Nyckel paret för att skapa mina inloggningsuppgifter och om jag skulle tappa bort till exempel min mobil men jag fortfarande har min iPad. Ja då har jag fortfarande tillgång till alla mina privata nycklar. Och när jag byter mobil en gång i tiden, då ser jag bara till att logga in med samma äppel i det så synkas alla mina privata nycklar till min nya telefon också. Appen har redan rullat ut. Det här är tillgängligt för alla Apple användare som har uppdaterat till macOS för att köra och macOS 10:16. Google håller på att rulla ut. Är det redan utrullad på en timme? Håller på att göras iordning på dom. Microsoft har meddelat att de också kommer bygga sin egen lösning som kommer vara klar under 2023. Bit var den och ovanpå har båda meddelat att de kommer också stödja Pastis så att man kan använda P2 den och Påsk och man password för att synkronisera sina privata nycklar. Och fördelen med det är ju att det funkar mellan alla olika operativsystem medans Appel vill låsa in dig i sitt lilla ekosystem och Google vill låsa in det i sitt ekosystem och Microsoft vill troligtvis låsa in det i sitt ekosystem också.

Ruben: 1:28:55

Jag är jag ändå har lyssnat på era åsikter detta och har liksom läst på lite inför detta. Men det här

Karl Emil: 1:29:03

är.

Ruben: 1:29:04

är. så det är och.

Karl Emil: 1:29:06

Det är briljant.

Andreas: 1:29:08

D d ljudlös. Så många problem.

Karl Emil: 1:29:11

Du kan inte bli fisk attackerad, du kan inte läcka någon hemlighet. Och om webbplatsen skulle råka ut för ett stort dataintrång, är ingen skada skedd över huvud taget.

Ruben: 1:29:23

Men Vad finns det för risker eller problem? Om man bortser från användarvänligheten att få folk använder och att det ska applicerbart på alla ställen och alla sina användare rent risker och andra problem som skulle kunna vara. Vad ger något då?

Karl Emil: 1:29:38

Användarvänligheten. Den blir ju för det första högre nu lät det som när jag debatterade med Ylva Johansson. Nej,

Andreas: 1:29:44

När.

Karl Emil: 1:29:47

förlåt, förlåt användarvänligheten. Den kommer att bli bättre med lösenord genom att du inte behöver komma ihåg någonting. Du trycker bara på din fingeravtrycksläsare eller visar ansiktet för ansikts handen så är du inloggad. Användarvänligheten? Den förbättras också med det här. Men du har rätt i det. Du lyfter en väldigt bra punkt för att vi kommer fortfarande under många, många år vara obekväma med det här. För att lösenord förstår vi. privata och publika nycklar förstår vi inte riktigt.

Ruben: 1:30:18

Jag tänker att ska jag övertala folk som är lite äldre i min närhet eller att förklara detta för folk som tycker teknologi är det värsta som finns och att dessa företag snor det lösenordet för att förklara att detta är bättre. Inte lätt skulle säga och

Karl Emil: 1:30:36

men då kan vi.

Ruben: 1:30:36

och hur man enklast liksom sätter upp allting.

Karl Emil: 1:30:39

Nej, men då kan vi ta ner det på en bättre nivå för dem. Vi kan säga det här använder din fingeravtrycksläsare och dina ansiktskrämer. Du behöver inte mer. Men finns det något problem? Ja, det finns ett problem med det här och det är att du kan teoretiskt läcka dina privata nycklar om du skulle råka bli lurad. Att installera ett skadeprogram eller en angripare skulle förklara för dig att jag går in här, klicka där och välj Exportera dina nycklar. Då kan du läcka dina privata nycklar. Det kan du inte göra med säkerhets nyckel eftersom med säkerhets nyckel så är de privata nycklarna inlåsta i nyckeln. De går inte att få ut. Det är det enda som kan komma ut ur nyckeln. Det är ett signerat meddelande. De privata nycklarna. De kommer in och de kommer aldrig ut ur nyckeln. Men när det gäller. När det gäller påskris. Då skulle ett skadeprogram eller en skicklig bedragare kunna stjäla de privata nycklarna.

Ruben: 1:31:41

I.

Karl Emil: 1:31:41

Men sannolikheten är ändå mindre jämfört med lösenord. Men.

Ruben: 1:31:45

Och de som antagligen är mest utsatta är också de som inte har några dåliga sidor om man ska ha jättehård.

Karl Emil: 1:31:52

Absolut hela nätfiske problematiken. Den försvinner ju utan det verkligen. Då måste de ha in det skadeprogram på datorn eller verkligen lura dig att själv gå in och klicka på Exportera så du blir väldigt medveten om vad du håller på att göra. Appen låter dig för övrigt inte exportera alla nycklar så du kan bara är droppa enskilda nycklar till någon annan. Men däremot så tror jag att ditt var den kommer låta dig att exportera exportera dina nycklar.

Andreas: 1:32:18

Det känns ganska rimligt. Men ett.

Ruben: 1:32:21

så den dubbla denna kommer jag att exportera.

Karl Emil: 1:32:25

Men bortsett från det nej. Tekniken är uppfunnen. Den fungerar. Nu ska bara webbplatser börja anamma den också.

Andreas: 1:32:34

Hur många webbplatser är det som faktiskt har börjat anamma det?

Karl Emil: 1:32:38

Det är på tok för få. Men det är många som det fungerar på i alla fall Eftersom alla ställen är nästan alla som du kan använda en säkerhets nyckel på kan du också använda per skrivbord. Men de har inte lagt in det grafiska gränssnittet för att förklara att du ska använda.

Andreas: 1:32:56

Okej.

Karl Emil: 1:32:57

det är alla ställen där du kan använda nästan nästan alla ställen där du kan använda en säkerhets nyckel kan du också använda Pastis, men då är det i väldigt, väldigt, väldigt stor utsträckning som komplement till lösenord. Inte ersätta lösenord. Och vi vill ju komma hela vägen dit. Ta bort lösenordet. Det fyller liksom ingen, ingen funktion när vi har en mycket, mycket säkrare andra faktor.

Ruben: 1:33:23

Men det kommer en dag då kanske spelar ut sig som en annan. Två trestegsraket någonstans. Att det.

Karl Emil: 1:33:29

I och med att appen Microsoft och Google är överens om det och det här är en webbstandarder allting bygger på, så är det bara en tidsfråga innan det här har rullat ut på bred front.

Andreas: 1:33:41

Men du appen har rullat ut och

Karl Emil: 1:33:43

Jag

Andreas: 1:33:44

hade Google rullat ut dig.

Karl Emil: 1:33:45

är på Android men inte på krogen. Där håller de fortfarande på.

Andreas: 1:33:48

Kanske så är rekommendationen nu. Då är det gjort speciellt. Då kanske man använder flera olika enheter för har man appen så kan man ju bara använda det direkt om man kör hela ekosystem.

Karl Emil: 1:33:59

Ja.

Andreas: 1:34:00

Om man är en person som använder flera olika plattformar Windows, Android, Apple produkter är det bäst att vänta då på till exempel ditt vården

Karl Emil: 1:34:10

Ja, det hade jag definitivt vart det. Då har ni någonting gott att se fram emot när Betfair, den släpper sin lösning för att hantera appar skrivs också.

Andreas: 1:34:21

det här dödar ju i princip alla frågor jag har om lösenord för det. Det känns som det kommer spela ut sig över tid, men hur funkar det om jag ska logga in på en dator som inte är min egen? Till exempel en skoldator, en arbetsdator som jag inte nödvändigtvis har till exempel bytt, var den sparat på.

Karl Emil: 1:34:38

I så fall. Då förlitar du dig på

Andreas: 1:34:43

Va?

Karl Emil: 1:34:46

för.

Andreas: 1:34:47

Om inte datorn har slut på överblivet överblivet.

Karl Emil: 1:34:51

Om det skulle vara så att du vill logga in på en dator som inte är din egen, Då börjar jag med att ifrågasätta Varför gör du det? Men eftersom du ibland behöver göra det, då måste det finnas en lösning och lösningen är att du tar din mobiltelefon där du har dina privata nycklar via det till exempel och går till webbplatsen du vill logga in. Du får då se en QR kod. Du skannar QR koden med din mobil. Då upprättas en Bluetooth anslutning mellan datorn och din mobil och datorn skickar en förfrågan till mobiltelefonen och mobiltelefonen godkänner den så att det blir loggat in på webbplatsen som du ser.

Andreas: 1:35:31

Jag hade QR kod fiske och vad spelar QR koden för roll i sammanhanget?

Karl Emil: 1:35:39

För att upprätta den säkra anslutningen.

Andreas: 1:35:41

Okej, så det och Bluetooth anslutningen är autentisering.

Karl Emil: 1:35:46

Själva autentisering görs av Apple, så det är

Andreas: 1:35:48

Och.

Karl Emil: 1:35:48

säkerställa att du har telefonen i närheten.

Andreas: 1:35:51

Men då kan man inte använda QR koden och fiska med.

Karl Emil: 1:35:55

Men det går inte. Det har någon tänkt på.

Andreas: 1:35:58

Mycket bra. Mycket gott. Nu vet jag att vissa av de här sakerna har du tagit upp i din podd redan, men det vi vill ha med här också.

Karl Emil: 1:36:07

Det där är ju för nya lyssnare.

Ruben: 1:36:09

I.

Karl Emil: 1:36:10

Har ni fler funderingar kring det här eller om ni kommer på något till mig? Har de tänkt på det här så ställ frågorna så kan jag svara Ja, det har de tänkt på.

Ruben: 1:36:20

Ha.

Andreas: 1:36:21

Okej. Nu står det för det här var Varför ska jag fortsätta med lösenord längre? För att det känns helt meningslöst.

Karl Emil: 1:36:32

Det finns inget skäl att fortsätta med lösenord, men vi måste ändå vara medvetna om hur vi ska hantera våra lösenord på ett säkert sätt. Så länge som vi lever för att det kommer inte inträffa att alla webbplatser implementerar stöd för oss. De

Ruben: 1:36:51

är det kanske. det. kanske är frågan. Kostar det? Platsen är mycket att hosta och bygga in detta och hur svårt är de att tillhandahålla och idéer komplexiteten? Jag tänker att. Om man ska ha en egen hemsida och ha inloggning och grejer så är det inte värt det. Ska man bara ha en enkel lösenord lösning då?

Karl Emil: 1:37:13

Så de här de publika nycklarna, de kan ju vara långa. Det blir många byten att spara. Nu var jag så där dryg igen. Jag tyckte att det var en suverän fråga. Det kostar ingenting. Det är precis som det inte kostar någonting att använda. Att använda lösenord så kostar det ingenting att använda P-skiva heller. Det är inte någon licens som behöver betalas. Om vi kollar på WordPress. WordPress är ju den största plattformen för webbplatser i världen. Där finns det redan tillägg för att logga in med patches. Det finns ett flertal tillägg som heter Ska tänka IT insatser i Sims som stödjer Passions och det finns ett gratis tillägg som heter WP bindestreck på webbplatsen utvecklat av någon som heter Acton som också stödjer Pascals inloggning. Det här är inte rekommendationer av något av de här tilläggen. Ville vara tydlig med för jag har inte kunnat granska dem över huvud taget. Det här var bara att det finns inte en rekommendation utan faktum att det finns så det går att lösa med WordPress redan. Och sedan väntar vi bara på att det liksom resten av plattformarna ska lägga till stöd för passivt. För det är inte svårt. Det här är inte en utvecklar mässigt smart sak att implementera.

Ruben: 1:38:33

Det kostar företagen lite tid utvecklingstid men med

Karl Emil: 1:38:36

exakt. Det är Det inte. Det är det det kostar att utveckla

Ruben: 1:38:41

Allt

Karl Emil: 1:38:42

den kritor metoden också. Det är här inte på något sätt mer kostsamt än någonting annat.

Andreas: 1:38:49

Det borde. Det borde ju vara tid man kan tjäna eller pengar man kan känna igen genom att inte behöva jaga rätt på folk som har glömt bort sitt lösenord och liknande.

Karl Emil: 1:38:57

Ja, det finns givetvis en nackdel med att vara de första som implementerar det här, nämligen att det kommer säkert vara någon användare som väljer att aktivera den metoden glömmer att de har valt att aktivera just den metoden och sedan försöker logga in med användarnamn och lösenord och inte kan logga in med användarnamn och lösenord. För det finns inget lösenord. Det är som med allting nytt. Det här kommer ta tid. Vi måste vänta på att vi människor blir bekväma med metoden och vi måste vänta på att webbplatserna implementerar metoder för inloggning. Men kollar vi rent tekniskt, har den några nackdelar? Nej, det är väldigt sällan jag kan säga att tekniska lösningar inte har några nackdelar, för det brukar alltid finnas några sådana. Någonting annat som jag också brukar säga är att det är jätteviktigt att vi satsar på utbildning och säkra medarbetare. Och det är inte konstigt att jag säger det, för jag försörjer mig. Men jag säger också att det är faktiskt ännu bättre om vi tar bort lösningar där användarna kan göra fel. För det är precis så. Vi satsar jätte gärna på utbildning så att inte jag behöver bara leva på nudlar. Men det är det ännu bättre de gånger som vi kan välja en lösning som faktiskt inte har den mänskliga faktorn som en potentiell potentiell felkälla. När det kommer till inloggning med pass, kris eller med säkerhets nycklar, då kan användare inte göra fel. Det är så vi hos Cloudflare. Det var två stycken tre stycken medarbetare som faktiskt föll för nätfiske attacken. Men eftersom de skyddades med säkerhets nycklar så stod företaget pall i alla fall.

Andreas: 1:40:39

Ett imponerande.

Ruben: 1:40:40

är ju bara vänta på att man introducerar detta internt bolag för de då anställda kommer lära sig och sedan kommer kunna använda det privat. jag tror inte många kommer börja med detta privat. Det här bara. Förutom av vissa nördar då det bara.

Karl Emil: 1:40:53

Ja, men däremot så jag förstår absolut vad du menar. Men tänk på vilken kraft som äppel, Google och Microsoft kan ha ifall de gör det här som det föreslagna inloggning sättet i appar.

Andreas: 1:41:06

Man ska inte underskatta de här tre. Det är därför de har en enorm kraft bakom det. Men om man då ska riktigt djupdyka ner i nörderi. Om jag ska sätta upp den absolut säkraste lösningen för min typ av inloggning då? Och om vi räknar med att betalar den, har tillgång eller har implementerat Pastis? Jag måste ju logga in i bilhallen.

Karl Emil: 1:41:33

Ja, du måste fortfarande logga in i ditt val, den på ett eller annat sätt, och där måste du fortfarande ha ett lösenord. Det har vi inte löst problemet med. Där måste du fortfarande ha ett lösenord. Men om det är det enda lösenordet du behöver hålla koll på och du bara knappar in det lokalt på din dator, du låser ju bara upp ditt Bitcoin arkiv lokalt på din dator och du skickar inte iväg det. Då är det ändå ganska tryggt. Och sen så kan du ju alltid komplettera med en Yubikey om du känner för det. Du kan ju ha två stycken Yubikey som du använder för att låsa upp det. Visst var det en valv? Du kommer fortfarande behöva ha ett lösenord så som det ser ut nu. Men du, du kan komplettera med det som din andra faktor och om det bara är där du använder din Yubikey. Då behöver du inte springa runt med två stycken Yubikey is överallt, för du ska kunna lägga till din reserv Yubikey också på kontoret. Bara på mitt var du användare.

Ruben: 1:42:26

Det är det riktigt bra att du har en som du låser in i bankvalv eller liksom på annan ort ändå alltid med dig eller en till tillgänglig.

Karl Emil: 1:42:35

Jag.

Ruben: 1:42:36

Du kör allt på bakgården för om fastigheten finns där och sedan släpper dem allt löst.

Andreas: 1:42:45

Hur

Karl Emil: 1:42:46

Ta.

Andreas: 1:42:46

tar.

Ruben: 1:42:48

Du kan också gå med i övergångsfasen där internet finns precis överallt, så du kan också vanliga adresser, användarnamn och

Karl Emil: 1:42:54

Precis.

Ruben: 1:42:55

till exempel.

Karl Emil: 1:42:56

Vi kan konstatera som en avslutning att det finns inget skäl att inte börja använda våra.

Ruben: 1:43:01

Precis

Andreas: 1:43:02

Bitvis är den sponsrades för att det är vettigt.

Karl Emil: 1:43:08

Jag får säga det. Jag blev faktiskt lite irriterad på viltvården härom veckan, för visst var det ju ett fantastiskt företag? Det vet vi. Och jag har en granne som har utvecklat en autentisering klassning. Och vad hände då? Jo, visst var den förvärvad hans bolag tänkt förvärva. Hans bolag kan förvärva mitt bolag.

Andreas: 1:43:31

Upprepa

Karl Emil: 1:43:35

Var den inte svenska kan vi kan vi också lägga till det. Det var en fin stor affär för honom.

Andreas: 1:43:40

Men

Ruben: 1:43:41

Grattis!

Andreas: 1:43:42

hade hade

Karl Emil: 1:43:43

Jag.

Andreas: 1:43:44

hade hade lika system velat vara en del av ditt hår. Det.

Karl Emil: 1:43:49

Nej, absolut inte. Absolut inte. Och de hade inte heller stått ut med mig. Men en dag är allt av avundsjukan där. Precis. Det kunde jag i alla fall

Andreas: 1:44:02

kunde fått frågan

Ruben: 1:44:05

En.

Andreas: 1:44:05

och varit med om att avsluta lite då. Vad är de tre viktigaste punkterna enligt Carl Emil med Nicka för att vara säker på internet i dag.

Karl Emil: 1:44:14

Jag fick den frågan faktiskt så här lite i förväg så jag skulle kunna hinna förbereda den. Och det viktigaste. Skaffa lösenordshanterare. Det tror jag till och med att Anne-Marie Eklund Löwinder också hade som sin första. Första punkt nummer två Aktivera tvåfaktorsautentisering överallt där det går och nummer tre registrera dig på här i byn. Password punkt com. Det är den centrala plats som världens säkerhetsforskare och flera myndigheter rapporterar lösenord läckor till. Gå dit, Registrera dig så att du får en notis om din e-postadress dyker upp i någon lösenord läcka. Det här är samma tjänst som för övrigt även tillhandahålls av till exempel Stöldskyddsföreningen. På deras webbplats kan man söka ifall ens e-postadress figurerar i lösenord, läcka, men i själva verket är det en part som levererar datan. Det är faktiskt inte den som levererar datan till den funktionen som vi har på vår webbplats också, där vi kollar att inte lösenorden är för vanligt förekommande i lösenord snäckor.

Andreas: 1:45:19

Ha.

Karl Emil: 1:45:20

dig där. Om du nu går efter den rekommendationen som jag hade tidigare, nämligen att du inte behöver byta lösenord stup i kvarten utan bara när det finns risk för att ditt lösenord kan ha hamnat på avvägar. Då måste du nästan registrera dig där också så att du får en notis om någon av de platserna skulle råka läcka ditt lösenord.

Ruben: 1:45:37

deras kompatibla

Karl Emil: 1:45:39

Jag.

Ruben: 1:45:40

register, inte bara en med alla mejladresser

Karl Emil: 1:45:42

Absolut alla mejladresser

Andreas: 1:45:44

Och så får du rakt in i brev eller ej i postlådan när det är dags att byta lösenord i.

Karl Emil: 1:45:50

Det kan du göra om du nu inte är en sådan som jag som har en unik e-postadress för varje tjänst jag registrerar dig på. Då blir det väldigt jobbigt. Men det har jag framför allt av integritetsskäl. Och eftersom vi har pratat i 2 timmar redan nu så tror jag att vi väntar med det till någon annan gång. Men varför inte gå dit och registrera dig? Det kostar ingenting. Tjänsten finansieras av donationer, så ni behöver inte vara rädda för att er information hamnar på avvägar. Tjänsten är så seriös att till och med FB iförsej är pimpad med data för att just användare ska kunna hitta ifall de figurerar i någon lösen och släkt som ni har kommit över. Registrera dig gratis! Inte någon sån här fjant tjänst som kallas idé skydd eller liknande som jag har sågat många gånger utan bara en bra gratistjänst som alla bör registrera sig på. Och om ni faktiskt verkligen tycker om den så kan ni ju skänka en slant till vad heter den där? Jag har glömt häva den på. Vad heter grundaren? tror jag hanterar den.

Andreas: 1:46:48

Bara ett. Då går vi vidare till veckans sista punkt, vilket är veckans tips och dagen till ära. Med här unika på plats så rekommenderar vi en hemsida som heter Carbon Tracks. Punkt efter punkt. Oj oj. Det är FF som står bakom den Electronic Frontier Foundation, vilket är en organisation vi kan stå bakom i projektet i alla fall. Jag vet inte vad Nicklas säger om det.

Karl Emil: 1:47:15

Absolut helt fantastiskt. Donera gärna!

Andreas: 1:47:19

Det är en hemsida där du kan testa din webbläsare för hur bra den är på att skydda dig från trackers och fingerprint trackers. Fick jag att jag hade ganska bra med det. Fast jag använder FF Playboy cyber som skyddar mig. Men Fingerprint ting skyddades jag inte mot och använde.

Karl Emil: 1:47:42

Ja.

Andreas: 1:47:43

Vad innebär Fingerprint?

Karl Emil: 1:47:45

Det finns ju många olika sätt som en webbplats kan spåra dig på nätet som annonsnätverk kan spåra dig på nätet. Ett sätt det är via tracking cookies, men tracking cookies blir mindre och mindre användbart i takt med att vi blockerar mer och mer av tracking cookies. Men då kan de göra det via ditt fingeravtryck istället. Och då pratar vi inte om någon fingeravtrycksläsare utan vi pratar om kännetecken för din webbläsare instans som i sig inte säger någonting om dig men som kombinationen av gör att det går att avslöja vem du är. Om du går till min webbplats till exempel, då kan jag se dig som besökare. Det här är ingenting som vi loggar, men jag kan se det i fall jag vill. Då kan jag se vilken webbläsare du har. Jag kan se vilket operativsystem du har, jag kan se vilka typsnitt du har installerat. Jag kan se en del information om dina tillägg. Jag kan se vilken tidszon du befinner dig i, jag kan se vilka språk du har installerat eller vilket språk du har valt. Jag kan se den upplösning som du har på skärmen för tillfället eller på vit botten. Vad heter det på svenska? Det är precis fönstret som som du har öppet för tillfället. Det är inte någonting som i sig identifierar vem du är. Men kombinationen av det och alla de egenskaperna plus en hel del till är sådant som gör att en ett annonsnätverk kan spåra dig mellan webbplatser för de ser att okej, där dök den kombinationen upp först och sedan dök den upp där. Ett fingeravtryck. Det är någonting som är kännetecknande för din webbläsare. Och ju fler som har. Samma inställningar som ni har använt? Har ni använt Tor webbläsaren någon gång? Ja, då är ni

Ruben: 1:49:44

stor utsträckning.

Karl Emil: 1:49:45

med då ni säkert märkt att ni kan inte välja exakt storlek på fönstret utan det är fasta storlekar som ni kan hoppa mellan och det är just för att det inte ska gå att använda storleken på fönstret som ett kännetecken. För vem begär

Ruben: 1:49:59

Sju.

Andreas: 1:50:00

har.

Karl Emil: 1:50:01

så olika fingeravtryck eller? Ju fler som har samma fingeravtryck, desto svårare blir det att veta exakt vem som är vem. För sådana här spårning nätverk och om du går till just den här sajten, det kallar jag Trax, då ser du hur pass unikt ditt fingeravtryck är ifall det är någonting som kan användas för att spåra dig mellan olika webbplatser på nätet.

Andreas: 1:50:27

Det är helt riktigt. Och nu använder jag Forum och privacy, vilket skyddar mig ganska bra mot trackers. Hur? Vad skulle jag använda om jag inte ville åka dit för Fingerprint?

Karl Emil: 1:50:40

Det absolut bästa är att använda torr webbläsare, men det är ingen angenäm upplevelse. Är det det som det som jag hade rekommenderat eller det som jag kör med till och med? Det är Firefox som du sätter i strikt läge och sen installerar du ett tillägg som heter Jo Block Origin som många tror att är en annonsblockerare. Men dubbla Origin är så mycket mer. Det är det. Det är en innehålls blockerare och då kan du välja att blockera det i princip allting som du känner för det. Jag tar inte bara bort spårning försök, jag tar också bort alla dessa förbannade cookie banners som dyker upp på webbplatser

Andreas: 1:51:19

Om.

Karl Emil: 1:51:20

slipper se dem. Inte som att cookies som trycker godkänn på allting. Det är ett tillägg som jag vet att många använder utan bara plocka bort dom så att jag slipper om jag djur. Jag vill inte godkänna några cookies överhuvud taget.

Ruben: 1:51:36

Jag.

Andreas: 1:51:37

Men hur är det med cookies? Är det officiellt en opt in eller en opt out grej?

Karl Emil: 1:51:42

Om vi kollar på hur det ser ut i Europa. Då får webbplatser använda strikt nödvändiga kurtis utan att be om explicit samtycke. Så om du till exempel går till vår webbplats får du inte upp någon ibland, för vi använder inget annat än strikt nödvändiga cookies. Cookies som krävs för att webbplatsen ska fungera, till exempel hålla dig inloggad. Du vill inte gå till en webbplats och inte kunna vara inloggad.

Andreas: 1:52:14

Är.

Karl Emil: 1:52:15

Och om det finns någonting som ligger bakom inloggnings skydd eller om du går till en webbutik, du vill att om du trycker på Lägg i varukorgen, då ska det komma ihåg att har lagts i varukorgen. Det är strikt. I det strikt nödvändiga cookies. Sådana behöver inte webbplatsen be om uttryckligt tillstånd för, men däremot. Spanings cookies analys cookie stats statistik cookies. Det är sådana som webbplatsen måste fråga i fall du ville godkänna att faktiskt används i din webbläsare, och då ska det inte vara godkänn eller anpassa så som jag har sett på många webbplatser, eller ännu värre, bara vi använder cookies, tryck godkänn. Det är inte okej att det ska finnas. Det ska finnas en klar Ja, jag vill godkänna det här. Eller jag vill anpassa det här eller ge blanka fn i det. Det kan uttryckas som till exempel avvisa alla eller endast nödvändiga, men det ska finnas så att du lika lätt kan säga nej, jag vill inte som du kan säga ja eftersom jag säger nej, jag vill inte på allting och det är opt in på icke nödvändiga cookies. Då kan jag i nästan alla fall. Det finns några webbplatser som bråkar. Det måste stänga avgjort plockar ut igen. Men då kan jag nästan överallt bara helt enkelt dölja de här cookie bandagen så att jag slipper svara på dem överhuvudtaget.

Andreas: 1:53:36

Men inte. Jo

Karl Emil: 1:53:37

svarar alltid nej.

Andreas: 1:53:40

jo jo men hur och hur användarvänlig är den för den har jag för mig. Lite meckigt.

Karl Emil: 1:53:45

Ja, det är det faktiskt. För om vi tycker att visst var det där lite meckigt så är det inget mot vad julbloggar har. Men vi kan väl göra som så här för våra läsare att jag lägger upp lite skärmdumpar på hur jag har konfigurerat bla korgen ifall de vill konfigurerade på samma sätt.

Andreas: 1:54:03

Jätte gärna. Det tackar vi för.

Karl Emil: 1:54:04

Och det som man bör tänka på är att man kan göra mycket mer med julbloggare än vad jag gör. Till exempel. Det går att blockera annonser. Jag har valt att inte blockera annonser. Jag vill se annonserna för det är något som är väldigt viktigt för att webben ska kunna överleva. Men jag vet att det finns de som inte tycker det och då kan man välja att blockera annonser också. Med Jubla korgen däremot så ser jag mycket färre annonser jämfört med vad många andra gör. Men det är ju för att jag blockerar alla spanings försök och ifall webbplatserna är så dumma så att de inte visar annonser ifall det inte är spårning tillåts, ja då ser jag ju inga annonser.

Andreas: 1:54:39

När vi satt uppe och ritade innan vi avslutar. Är det någonting Karl Emil vill pusha för? Var hittar man dig på nätet? Vad läser man mer om dina tjänster och är det något som händer just nu?

Karl Emil: 1:54:54

Det finns på Annikas sport. Com. Där går det att hitta det som är intressant av mig och finns på i princip alla sociala medier också där jag heter Karl Emil lika, men ni kan lägga en länk till det i söndags. Eller lägg till Annikas systers blogg om där finns länkar till resten. Sen kan jag väl tipsa om en ny webbplats också.

Andreas: 1:55:14

För det jag gör.

Karl Emil: 1:55:15

Ja, det är en ny webbplats som inte är lanserade, men som bör vara lanserad på måndag när det här avsnittet släpps. Två kontrollpunkter. En är fokus om allting som berör Trafikkontroll.

Andreas: 1:55:29

Mycket bra,

Karl Emil: 1:55:30

Nu.

Andreas: 1:55:30

mycket bra.

Karl Emil: 1:55:31

Ja, det är jag. Jag blev nämligen uppmärksam. Jag blev faktiskt väldigt förvånad för förra veckan, då var det ett tyskt nyhetsbrev som på något sätt hade märkt att någon hade registrerat katt kontrollpunkter och skrev i nyhetsbrevet att det kommer en svensk sajt om utsatt kontroll inom kort.

Andreas: 1:55:54

Utan att veta vad den innehåller.

Karl Emil: 1:55:56

Ja, och så var det en person som följde mig på mest sådant som Twitter som skrev till mig på mässor och annat. Och dessutom det är någon som håller på med en en svensk sajt om kontroll. Ja,

Andreas: 1:56:08

Det är inte det Jag.

Karl Emil: 1:56:10

kolla vilken server det som driftar den. Den ligger på nick Assistans på ett kap. Ja, inte på något sätt så har tyskarna redan fått reda på vad jag håller på med. Tillsammans med flera andra. Kanske är det inte bara jag som ligger bakom den här sajten.

Andreas: 1:56:25

Mycket bra, mycket bra! Tack så jättemycket för du ville vara med i veckans podd och lära oss mer om lösenord och lösenord. Fler lösningar.

Karl Emil: 1:56:33

Tack så mycket för jag fick vara med!

Andreas: 1:56:35

Har vi sagt någonting märkligt kan man mejla till taktik ett J med kung kom. När man ändå är inne i sin podd läsare och eller sport spelare och lyssna på podden så ska man passa på att prenumerera och lämna gärna recension. Det gör att andra lyssnare hittar oss. det finns på de flesta sociala medier. Det finns inte på Mastodon. Vi har inte tagit beslutet att ta oss in där. Vi vet inte riktigt vilken server vi skulle lägga oss på i så fall, men det kanske Nicke har ett förslag på.

Karl Emil: 1:57:01

Ta precis vilka ni vill. Ni kan alltid byta.

Andreas: 1:57:03

Är det så att den huvudsakligen är lite meckigt att den godkänner bara till tre eller ingång bebis specifika tillfällen och ibland.

Karl Emil: 1:57:13

Att den har blivit överbelastad, men jag tror att den är öppen nu igen.

Andreas: 1:57:18

På veta. Vi kanske passa på. Om det är någon som vill tillägga något än någonting annat så var detta för veckans podcast och vi tackar för denna veckan och så hörs vi igen på måndag.

Ruben: 1:57:30

De behöver ha det.

Andreas: 1:57:32

En trevlig vecka då.