Forum Övrigt Nyhetskommentarer Tråd Inlägg

Dropbox drabbas av läcka – miljontals användaruppgifter på vift

1 2 3 4
Skriv svar
Permalänk
Medlem
Skrivet av daempull:

Året är 2014 och folk tror fortfarande att saker på internet är säkert.

Gå till inlägget

Det är väl snarare tvärt om. Tycker alla hemsidor och tjänster läcker användaruppgifter till höger och vänster.

Visa signatur

i9-11900F | RTX 3070 ti

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Verminator:

Ni som använder olika lösen på olika sidor... hur gör ni för att minnas de olika lösenorden och användaruppgifterna?

Uppskrivet på papper? App i mobilen?

Själv använder jag faktiskt samma lösen på de flesta sidorna då jag inte fann det speciellt praktiskt att byta mellan olika. Var tvungen att köra lösenordsåterställning konstant då för att kunna logga in.

Gå till inlägget

Decent lösenord i bas som jag har 100% memoriserat sen lägger jag till ett ord beroende på sida. Typexempel: 1r2e3w4QGoog för googlekonto, 1r2e3w4QDB för dropbox. Det unika ordet har jag nedskrivet på en virtuell post-it lapp.

Visa signatur

Post-and-run foruming
GeForce GTX 1070 ;~; Intel 4790k ;~; ASUS Z97M-PLUS ;~; Cooler Master Hyper 212 EVO ;~; ADATA 16GB 1600MHz RAM ;~; 840 EVO 500GB + 1TB WD Blue + 4TB WD Green ;~; Seasonic Platinum 660w ;~; Fractal Design Define Mini ;~; G910 "Orion Spark" ;~; U2415 x2 ;~;

Redigera
Citera flera Citera
Permalänk
Entusiast
Skrivet av Söderbäck:

Fast jag är inte så säker på att det är så sårbart ändå.

Hur många ord har vi i svenskan? Bra fråga, svårt att hitta ett definitivt svar. En del säger över 150.000 ord. En del över 100.000.
Säg att vi iaf har tillgång till minst 10.000 ord så har vi iaf inte tagit i för mycket för det här räkneexemplet.
Ett enkelt ord är busenkelt att knäcka med en ordlista. Tar inte många millisekunder att rassla igenom 10.000 ord.

Kombinerar man två ord så får man 10.000*10.000 ord eller 10.000^2 kombinationer ur ordboken. Också lätt att rassla igenom fort.

Men kombinerar man däremot 5 ord så har man plötsligt 10.000^5 möjliga ordkombinationer. Antalet möjliga kombinationer ökar exponentiellt och ganska drastiskt.
100000000000000000000 stycken blir det i så fall.
Kan man testa en miljard ordkombinationer i sekunden så kommer det fortfarande ta över 3000 år att testa igenom alla de ordkombinationerna.
Det är en hel del kombinationer även för en superdator. Märk väl att detta endast gäller rättstavade ord med små bokstäver och endast hela ord testas mot varandra.
Så även en ordboksattack har en hel del att göra om man väljer att kombinera minst 5 ord med varandra.

Gå till inlägget

Det är anledningen till varför jag rekommenderar att man "l33tifierar" sina lösenord. Helst med ett eget system. Det vill säga att man ersätter vissa bokstäver med siffror och symboler. Detta ökar säkerheten markant, då en sådan här typ av attack då måste testa alla tänkbara teckenkombinationer för varje enskilt ord.

Exempel där ordet "bok" ökar säkerheten mångfalt:

  • boK

  • bOk

  • bOK

  • Bok

  • BoK

  • BOk

  • BOK

  • b0K

  • B0K

  • b0k

  • 8oK

  • 8Ok

  • 8OK

  • 8ok

  • 80k

  • 80K

  • b()k

  • B()|<

  • ...

  • måååånga rader senare.....

  • ...

  • ...

  • ...

  • 8()|<

Dold text

Gissa hur många kombinationer det finns på lösenordet "MittJättefinaLösenord" ... l33tifierat...
Det består av 4 ord. Men lägg nu till att varje ord inte bara är "ord", utan innehåller även teckenvarianter på varje enskilt ord.
Hur många gånger måste man inte "loopa igenom" ordlistan på 100 000 - 150 000 ord för att testa alla tänkbara teckenkombinationer också? ... för varje enskilt ord.

Senast redigerat
Visa signatur

Bästa programmen till Linux - v2.0
Linux-guide: Val av grafisk miljö. (Att välja distribution).
-
Everyone should have a SGoC in their systems (SGoC: SysGhost on a Chip)

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Söderbäck:

Fast jag är inte så säker på att det är så sårbart ändå.

Hur många ord har vi i svenskan? Bra fråga, svårt att hitta ett definitivt svar. En del säger över 150.000 ord. En del över 100.000.
Säg att vi iaf har tillgång till minst 10.000 ord så har vi iaf inte tagit i för mycket för det här räkneexemplet.
Ett enkelt ord är busenkelt att knäcka med en ordlista. Tar inte många millisekunder att rassla igenom 10.000 ord.

Kombinerar man två ord så får man 10.000*10.000 ord eller 10.000^2 kombinationer ur ordboken. Också lätt att rassla igenom fort.

Men kombinerar man däremot 5 ord så har man plötsligt 10.000^5 möjliga ordkombinationer. Antalet möjliga kombinationer ökar exponentiellt och ganska drastiskt.
100000000000000000000 stycken blir det i så fall.
Kan man testa en miljard ordkombinationer i sekunden så kommer det fortfarande ta över 3000 år att testa igenom alla de ordkombinationerna.
Det är en hel del kombinationer även för en superdator. Märk väl att detta endast gäller rättstavade ord med små bokstäver och endast hela ord testas mot varandra.
Så även en ordboksattack har en hel del att göra om man väljer att kombinera minst 5 ord med varandra.

Gå till inlägget

Jo, med tillräckligt många ord och sprinklat med lite slumpmässighet, så blir det definitivt svårknäckt.

Visa signatur

5950X, 3090

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Videoapan:

Och hur lång tid är "rätt fort" då? Några år eller så fort som några månader? Och detta då med möjligheten att testa så många gånger per tidsenhet som datorn tillåter, ligger lösenordsfilen inte lokalt så sjunker ju antalet försök per tidsenhet avsevärt. Dessutom, du förutsätter nu att lösenordet är skrivet enligt ordboksmetod rakt av, kan du göra det när du ska hacka någon? Kommer du inte börja med en bruteforce också? Då krävs det plötsligt väldigt mycket datorkraft för att följa upp alla spår. Släng in en siffra i lösenordet så ökar entropin ytterligare, eller varför inte ett utländskt ord?

Nä, jag trot att lösenordet SockeriStSweet är sjukt säkert trots bara tre ord, dock svenska, tyska och engelska med stora S. Eller säkert för ordboksattack, bruteforce kanske tar det lite snabbare..

Gå till inlägget

Detta är endast applicerbart vid databasdumpar och liknande (Detta är vad artikeln handlar om), det eller där lösenordsinformationen ligger lokalt så man bara kör cracken lokalt mot en hash, för att få ut samma hash. Sen ändras ju hastigheten beroende på vad det är för teknik och vad för hash du kör mot.

Ett exempel är en 25 GPU-hashcat snurra som sprängde Microsoft LM och NTLM algoritmer för lösenordslagring i Windows oavsett lösenord. (Det räcker med att googla hashcat)

Vi talar om timmar till dagar, beroende på hur riggen ser ut. och nej ditt lösenord är inte "sjukt säkert", men det är bättre än övrig diceware som bara bygger meningar utan nån som helst komplexitet.

Redigera
Citera flera Citera
Permalänk
Hedersmedlem
Skrivet av backfeed:

Så vitt jag vet anses XKCD-strippen vara desinformation, då fraser av vanliga ord rimligen borde vara väldigt sårbara för ordboksattacker.

Gå till inlägget

XKCD-strippen är inte desinformation: däremot feltolkas den hejvilt. Matematiken som presenteras håller. Ger ännu en utläggning i ämnet, även om jag ser att det redan kommit några i tråden.

Munroes uträkning som ger 44 bitars entropi för "correct horse battery staple" utgår ifrån att attackeraren vet vilken metod som användaren använt för att generera lösenordet. Man kan tänka på beräkningen som att en användare har en lista på 2048 "vanliga ord" (notera hur Munroe visar detta genom att symbolisera varje entropibit med en kvadrat, och varje ord ger 11 kvadrater), och till och med anta att attackeraren vet innehållet i denna lista: fyra slumpmässigt valda ord ur denna lista ger då 2048⁴ = (2¹¹)⁴ = 2⁴⁴ möjliga kombinationer (dvs 44 bitars entropi). Detta är alltså till och med en klart mindre lista än Diceware som nämndes tidigare, men Munroes slutpoäng är att längd trumfar komplexitet, så det spelar ingen större roll för resonemanget.

Notera att en viktig del är att det inte handlar om en "känd fras", utan just om slumpade ord, som en människa därefter lätt kan visualisera och komma ihåg. Även om det inte hade handlat om en "känd" fras utan bara en "grammatiskt korrekt och mer eller mindre förståelig" fras så skulle exempelvis kombinationer av grammatikanalys och Markovkedjor teoretiskt kunna användas för att minska entropin betydligt.

Hade en attackerare inte varit införstådd med metoden bakom "correct horse battery staple" och behövt testa stora/små bokstäver siffor och specialtecken för de 28 tecken som frasen består av så hade den utgjort närmre 95²⁸ ≈ 2¹⁸⁴ → 184 bitars entropi (om vi begränsar oss till ASCII-tabellen med 95 skrivbara tecken). Om attackeraren vet att det enbart handlar om gemena engelska tecken så fås ändå åtminstone 26²⁸ ≈ 2¹³² → 132 bitars entropi.

När Munroe räknar ut entropin för "Tr0ub4dor&3" så utgår han på samma sätt ifrån att en attackerare vet vilken metod som använts för att framställa lösenordet. Här ger han 16 bitars entropi för basordet, dvs han ger metoden fördelen att välja ur 65 536 ord (ett urval 2⁵ = 32 gånger så stort som ordlistan med "vanliga ord" för andra metoden), ger 1 bits entropi för att första bokstaven möjligen är versal (vanlig lösenordstaktik), 3 bitar för att representera vanliga möjliga substitutioner (o→0, a→4, och han nämner också att man kan lägga till några extra bitar här om man vill; det ändrar inte resultatet nämnvärt), avslutat med 8 bitar för att representera ett specialtecken och en siffra i godtycklig ordning. Detta ger sammantaget 28 bitar (där utdelningen varit frikostig), dvs 2²⁸ möjliga kombinationer, vilket är klart färre än de 2⁴⁴ som vi fick tidigare (varje extra potens dubblar antalet möjliga kombinationer).

Antar man att attackeraren inte kände till metoden utan använde hela ASCII-tabellen för gissningar så hade man här fått 95¹¹ ≈ 2⁷² → 72 bitars entropi, vilket är klart färre än både 184 och 132 som vi fick tidigare.

Så, oavsett om man räknar informationsteoretiskt utifrån att en attackerare vet algoritmen bakom lösenordet, eller om man räknar på en helt oinformerad "brute force"-attack, så är fyra slumpmässiga "vanliga" ord starkare än "Tr0ub4dor&3"-metoden: men den stora vinsten är att fyra vanliga slumpade ord är lättare att komma ihåg för en människa, vilket minskar risken både för lösenordsåteranvändning och "post-it-lapp under tangentbordet"-metoden.

Alt-texten på strippen i fråga är också värd att läsa . Man kan säga att poängen som Munroe försöker illustrera är att längd generellt blir viktigare än komplexitet för att göra det svårt för en attackerare, samtidigt som ökad komplexitet är värre än ökad längd för att en person ska kunna komma ihåg ett starkt lösenord. Exemplet han använder för att beräkna knäcktiden är attacker riktade mot en osäker webbtjänst (1000 försök/sekund) där lösenordsgenereringsmetoden är känd av attackeraren, snarare än mot en lokal hashdump av en lösenordsdatabas, men i komplexitetsjämförelsen gör det ingen skillnad.

Det som ofta missas i analysen är att jämförelsen sker mellan två olika metoder av lösenordsgenerering, samt att det andra lösenordet är fyra slumpade ord ur en känd lista.

Jag har läst personer som säger att Munroes metod är fel för att om de vet om ordlistan och metoden som användes för att generera "correct horse battery staple" så kan en vanlig dator lokalt knäcka detta via "brute force" på bara några timmar: ja, men det är inte poängen. Under samma förhållanden så skulle "Tr0ub4dor&3" knäckas ännu snabbare, på bara några sekunder.

Däremot finns det mer att säga om en jämförelse med slumpade tecken överhuvudtaget. Ett lösenord på 6 helt slumpade tecken (vi använder ASCII-tabellen igen) ger entropi på 95⁶ ≈ 2³⁹ → 39 bitar; 7 tecken ger 46 bitar; 8 tecken ger 53 bitar. Om vi antar att en attackerare vet metoden som använts i båda exemplen så ger alltså ett slumpat lösenord på 7–8 tecken lika hög entropi som "correct horse battery staple". 6–8 tecken brukar vara nedre gränserna för lösenordskrav, och troligen ligger de flesta användarlösenord runt den längden. Problemet går dock återigen till att de ofta inte är "slumpade" för att användare har svårt att komma ihåg dem, och så har vi gått varvet runt igen.

Med allt det sagt så kan man likväl argumentera för att 44 bitars entropi är för lågt idag om man inkluderar lokala attacker. En metod är att gå till 7 eller 8 ord från sin ordlista. En annan är att använda många slumpade tecken. En tredje är att hitta på någon annan metod för att generera lösenord som man har lätt att komma ihåg och fungerar bättre för en själv personligen, men det skadar aldrig att förstå vad Munroes poäng var.

Visa signatur

Nu med kortare användarnamn, men fortfarande bedövande långa inlägg.

Redigera
Citera flera Citera
Permalänk
Hedersmedlem
Skrivet av EyeNEye:

Synd att MyIdKey, som man supportade, gick i backen. Pengar i sjön....

Gå till inlägget

Vet inte exakt vad det projektet handlade om utöver en snabb googling och genomskumning, men Yubico (delvis baserat i Sverige, faktiskt) erbjuder redan idag färdiga lösningar så som Yubikey Neo som troligen är en smidigare lösning för säker autentisering. Ytterst lovande teknologi, även om "lovande" kanske är fel ord då de redan används skarpt av stora företag.

Jag har ingen koppling till företaget, och äger inte ens någon av deras produkter, men jag följer utvecklingen då det verkar riktigt intressant. Inte minst är det roligt att läsa på om tekniken bakom.

Visa signatur

Nu med kortare användarnamn, men fortfarande bedövande långa inlägg.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av phz:

XKCD-strippen är inte desinformation: däremot feltolkas den hejvilt. Matematiken som presenteras håller. Ger ännu en utläggning i ämnet, även om jag ser att det redan kommit några i tråden.

Munroes uträkning som ger 44 bitars entropi för "correct horse battery staple" utgår ifrån att attackeraren vet vilken metod som användaren använt för att generera lösenordet. Man kan tänka på beräkningen som att en användare har en lista på 2048 "vanliga ord" (notera hur Munroe visar detta genom att symbolisera varje entropibit med en kvadrat, och varje ord ger 11 kvadrater), och till och med anta att attackeraren vet innehållet i denna lista: fyra slumpmässigt valda ord ur denna lista ger då 2048⁴ = (2¹¹)⁴ = 2⁴⁴ möjliga kombinationer (dvs 44 bitars entropi). Detta är alltså till och med en klart mindre lista än Diceware som nämndes tidigare, men Munroes slutpoäng är att längd trumfar komplexitet, så det spelar ingen större roll för resonemanget.

Notera att en viktig del är att det inte handlar om "kända fraser", utan just slumpade ord som en människa lätt kan visualisera. Även om det inte är en "känd" fras utan bara en "grammatiskt korrekt och mer eller mindre förståelig" fras så skulle exempelvis kombinationer av grammatikanalys och Markovkedjor teoretiskt kunna användas för att minska entropin betydligt.

Hade en attackerare inte varit införstådd med metoden bakom "correct horse battery staple" och behövt testa stora/små bokstäver siffor och specialtecken för de 28 tecken som frasen utgör så hade den utgjort närmre 95²⁸ ≈ 2¹⁸⁴ → 184 bitars entropi (om vi begränsar oss till ASCII-tabellen med 95 skrivbara tecken). Om attackeraren vet att det enbart handlar om gemena engelska tecken så fås åtminstone 26²⁸ ≈ 2¹³² → 132 bitars entropi.

När Munroe räknar ut entropin för "Tr0ub4dor&3" så utgår han på samma sätt ifrån att en attackerare vet vilken metod som använts för att framställa lösenordet. Här ger han 16 bitars entropi för basordet, dvs han ger fördelen att välja ur 65 536 ord (ett urval femdubbelt så stort som ordlistan med "vanliga ord" för andra metoden), ger 1 bits entropi för att första bokstaven möjligen är caps (vanlig lösenordstaktik), 3 bitar för att representera vanliga möjliga substitutioner (o→0, a→4, och han nämner också att man kan lägga till några bitar här för om man vill; det ändrar inte resultatet nämnvärt), avslutat med 8 bitar för att representera ett specialtecken och en siffra i godtycklig ordning. Detta ger sammantaget 28 bitar (där utdelningen varit frikostig), dvs 2²⁸ möjliga kombinationer, vilket är klart färre än de 2⁴⁴ som vi fick tidigare (varje extra potens dubblar antalet möjliga kombinationer).

Antar man att attackeraren inte visste metoden utan använde hela ASCII-tabellen för gissningar så hade man fått 95¹¹ ≈ 2⁷² → 72 bitars entropi, vilket är klart färre än både 184 och 132.

Så, oavsett om man räknar informationsteoretiskt utifrån att en attackerare vet algoritmen bakom lösenordet, eller om man räknar på en helt oinformerad "brute force"-attack, så är fyra slumpmässiga "vanliga" ord starkare än "Tr0ub4dor&3"-metoden: men den stora vinsten är att fyra vanliga slumpade ord är lättare att komma ihåg för en människa, vilket minskar risken både för lösenordsåteranvändning och "post-it-lapp under tangentbordet"-metoden.

Alt-texten på strippen i fråga är också värd att läsa . Man kan säga att poängen som Munroe försöker illustrera är att längd generellt blir viktigare än komplexitet för att göra det svårt för en attackerare, samtidigt som ökad komplexitet är värre än ökad längd för att en person ska kunna komma ihåg ett starkt lösenord. Exemplet han använder för att beräkna knäcktiden är attacker riktade mot en osäker webbtjänst (1000 försök/sekund) där lösenordsgenereringsmetoden är känd av attackeraren, snarare än mot en lokal hashdump av en lösenordsdatabas, men i komplexitetsjämförelsen är det ingen skillnad.

Det som ofta missas i analysen är att jämförelsen sker mellan två olika metoder av lösenordsgenerering, samt att det andra lösenordet är fyra slumpade ord ur en känd lista.

Jag har läst personer som säger att Munroes metod är fel för att om de vet om ordlistan och metoden som användes för att generera "correct horse battery staple" så kan en vanlig dator lokalt knäcka detta via "brute force" på bara några timmar: ja, men det är inte poängen. Under samma förhållanden så skulle "Tr0ub4dor&3" knäckas ännu snabbare.

Däremot finns det mer att säga om en jämförelse med slumpade tecken överhuvudtaget. Ett lösenord på 6 helt slumpade tecken (vi använder ASCII-tabellen igen) ger entropi på 95⁶ ≈ 2³⁹ → 39 bitar; 7 tecken ger 46 bitar; 8 tecken ger 53 bitar. Om vi antar att en attackerare vet metoden som använts i båda exemplen så ger alltså ett slumpat lösenord på 7–8 tecken lika hög entropi som "correct horse battery staple". 6–8 tecken brukar vara nedre gränserna för lösenordskrav, och troligen ligger de flesta användarlösenord runt den längden. Problemet går dock återigen till att de ofta inte är "slumpade" för att användare har svårt att komma ihåg dem, och så har vi gått varvet runt igen.

Med allt det sagt så kan man likväl argumentera för att 44 bitars entropi är för lågt idag om man inkluderar lokala attacker. En metod är att gå till 7 eller 8 ord från sin ordlista. En annan är att använda många slumpade tecken. En tredje är att hitta på någon annan metod för att generera lösenord som man har lätt att komma ihåg och fungerar bättre för en själv personligen, men det skadar aldrig att förstå vad Munroes poäng var.

Gå till inlägget

Bra skrivet, men det går ju att summera till att ett sånt lösenord inte håller med tanke på vad artikeln egentligen handlar om.
Användarnamn och lösenord (hashade) är på vift, data är lokalt. Crackers kan köras lokalt.

Fritt fram för GPU-clusters att köra OLIKA dictionaries kombinerat med varandra i s.k. "diceware" cracking.

Det fungerar alldeles utmärkt om ditt lösenord inte är "i fel händer", som i en icke-äventyrad hemsida. Men i dag är det ju fler databasdumper folk kommer över och det är där styrkan på ditt lösenord testas.

Redigera
Citera flera Citera
Permalänk
Medlem

http://rt.com/news/195244-snowden-rid-dropbox-privacy/

Visa signatur

|| Main: Asus Z170 Pro Gaming | Intel Core i7 6700K | Corsair 4x8GB DDR4 | GeForce GTX 1070 | Linux ||

|| HTPC: MSI Z87I | Intel Core i3 4130T | Corsair 2x4GB DD3 | Intel HD graphics 4400 | Linux ||

|| NAS: Qnap TS-431P ||

Redigera
Citera flera Citera
Permalänk
Entusiast

Om vi nu tittar på helheten i "hotet", så uppstår några frågor:

  • Vilka är det som fått tag på lösenorden?

  • Var lösenorden lagrade i klartext-format? I så fall är det riktigt illa.

  • Vad kan de göra med Dropbox-kontona de får access till?

...och det är den sista frågan jag är mest intresserad av.
För mig lär det inte vara så farligt. Jag förutsätter nu att de redan har tillgång till mitt Dropbox-konto.
Visst. De får tag på en del personlig information om mig. Men inget de kan använda för att komma åt mina ekonomiska tillgångar.
På sin höjd kan de använda min identitet (Namn, Adress, personnummer) till vissa begränsade tjänster.
Jag har en extremt tungt trippelkrypterad (AES, Twofish, Serpent) dabasfil som innehåller lite känsligare uppgifter. Men jag tror ingen kan få access till den, då den kräver både ett mycket långt lösenord (över 90 tecken) och flertal nyckelfiler på 8 KiB vardera.
Jag skulle ALDRIG NÅGONSIN lagra känsliga uppgifter okrypterat i någon molntjänst överhuvudtaget, oavsett vad de lovar om sin säkerhet.

Lagrar man känsliga uppgifter i någon molnlagringstjänst, okrypterat, så är man verkligen urbota korkad. En badboll har mer intelligens i det fallet. Hårda ord ja, men så är fallet enligt min mening.

Visa signatur

Bästa programmen till Linux - v2.0
Linux-guide: Val av grafisk miljö. (Att välja distribution).
-
Everyone should have a SGoC in their systems (SGoC: SysGhost on a Chip)

Redigera
Citera flera Citera
Permalänk
Hedersmedlem
Skrivet av Wazzbi:

Bra skrivet, men det går ju att summera till att ett sånt lösenord inte håller med tanke på vad artikeln egentligen handlar om.
Användarnamn och lösenord (hashade) är på vift, data är lokalt. Crackers kan köras lokalt.

Fritt fram för GPU-clusters att köra OLIKA dictionaries kombinerat med varandra i s.k. "diceware" cracking.

Det fungerar alldeles utmärkt om ditt lösenord inte är "i fel händer", som i en icke-äventyrad hemsida. Men i dag är det ju fler databasdumper folk kommer över och det är där styrkan på ditt lösenord testas.

Gå till inlägget

Texten var mer tänkt som en fördjupning (om än fortfarande ytlig) i vad XKCD-metoden egentligen försöker illustrera gällande informationsteori. Visst, 44 bitars entropi håller inte länge för en lokal riktad attack som jag nämner.

Ska man ge sig in i den "luddigare" implementationsdelen av knäckverktyg så ger entropimåttet i sig snarare bara ett mått på ett teoretiskt "worst-case scenario" för hur få kombinationer som en attackerare kan behöva gå igenom under förutsättning att metoden är känd — om den exakta implementationen av lösenordsskapandet skiljer sig minimalt men icke-trivialt från en lista med vanliga ord så blir det direkt svårt för automatiserade verktyg att utnyttja en vanlig ordlisteattack. Om man har en någorlunda unik egen metod som genererar ett vettigt antal tecken så skulle det dels kräva att metoden var känd samt en riktad attack mot just ditt konto för att attacken skulle skilja sig nämnvärt från "brute force" av slumpade tecken.

I praktiken så riktar lokal lösenordsknäckning av dumpar från större "vanliga" sidor in sig på lågt hängande frukt, då det finns så mycket av den att enkelt plocka. I detta ingår säkerligen både "Tr0ub4dor&3" och "correct horse battery staple"-tekniker. Det kontrolleras även mot listor från tidigare databasdumpar där lösenorden kanske till och med lagrats i klartext, vilket leder till problemet med lösenordsåteranvändning, där inte ens 32 slumpade tecken är mycket till hjälp om exakt denna sträng använts tidigare.

Visa signatur

Nu med kortare användarnamn, men fortfarande bedövande långa inlägg.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av phz:

...

Gå till inlägget

Ok, tackar för förtydligandet.

Skrivet av phz:

Med allt det sagt så kan man likväl argumentera för att 44 bitars entropi är för lågt idag om man inkluderar lokala attacker. En metod är att gå till 7 eller 8 ord från sin ordlista. En annan är att använda många slumpade tecken. En tredje är att hitta på någon annan metod för att generera lösenord som man har lätt att komma ihåg och fungerar bättre för en själv personligen, men det skadar aldrig att förstå vad Munroes poäng var.

Gå till inlägget

Precis. Ett annat problem som sätter käppar i hjulen är förstås att många tjänster har väldigt kort maxlängd på lösenorden. Har svårt att se hur de som lagt in sådana begränsningar har tänkt. Använder de databaser med sträng-datatyp som max kan lagra 8 tecken? Finns det någon icke-uppenbar förklaring? Eller har de bara haft otur när de tänkt?

Visa signatur

5950X, 3090

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av phz:

Vet inte exakt vad det projektet handlade om utöver en snabb googling och genomskumning, men Yubico (delvis baserat i Sverige, faktiskt) erbjuder redan idag färdiga lösningar så som Yubikey Neo som troligen är en smidigare lösning för säker autentisering. Ytterst lovande teknologi, även om "lovande" kanske är fel ord då de redan används skarpt av stora företag.

Jag har ingen koppling till företaget, och äger inte ens någon av deras produkter, men jag följer utvecklingen då det verkar riktigt intressant. Inte minst är det roligt att läsa på om tekniken bakom.

Gå till inlägget

Du hade en dosa, med fingertrycksläsare och en display. Där du kunde lagra massa uppgifter, lösenord etc.

Gick att verifiera med fingret och blåtand. Tappade man bort den/stulen..så kunde man spärra den så fort den kom online.

Fast allt gick åt skogen nyligen.

Visa signatur

Moderkort:ASUS ROG Strix X670E-F Gaming WIFI | Processor: AMD 7800X3D | CPU-kylare: Lian Li Galahad II LCD 360 | Grafikkort:Asus ROG RTX 4090 Gaming OC White | RAM-Minnen: Kingston 32GB 6000MHz CL36 FURY Beast | SSD: Kingston Fury Renegade 2TB x2 | Nätagg: DeepCool PX1200G 1200W | Display: Samsung C49RG90 120 Hz | Mus: Glorious Gaming Model O Headphones/Speakers: Logitech Pro X/Roccat Syn Max Air| Keyboard:Asus ROG Strix Scope Deluxe TKL NX Red |

Redigera
Citera flera Citera
Permalänk
Geeks Gaming

Sen verkar folk missa att man använder en mejladress och ett lösenord tillsammans, sen kan man ju testa lite andra sajter med samma kombination, det var ju så hela karusellen började, dem kanske testar google eller facebook som nästa ställe..

två stegs varifiering eller engångskoder via dosa eller liknande är enda säkra lösningen om man nu vill vara helt säker och använda internet

Redigera
Citera flera Citera
Permalänk
Medlem

Fick för ett tag uppmaningen från någon molnleverantör, tror det var Dropbox, att lägga in några säkerhetsfrågor som kunde hjälpa mig om jag glömt bort lösenordet. Det knäppa var att man inte fick definiera egna frågor, och de få frågor som fanns (typ, "vad hette ditt första husdjur/favoritfarbror/var föddes du/etc) var så enkla att många som känner mig skulle kunna ta reda på svaren, min fru och syskon skulle kanske kunna svara med bara några sekunders betänketid. Dåliga säkerhetsfrågor är definitivt en potentiell risk.

Å andra sidan kan man ha knep som gör svaren rätt unika, typ kombinera "Fido" med sitens namn baklänges och vad tusan man nu kan hitta på.

F.ö är jag helt rökt om jag tappar min mobil, då får jag fjärrradera den och ändra alla lösenord överallt...tror mobilen är en stor säkerhetsrisk när folk kör utan lås på dem.

Visa signatur

ASUS P8Z68-v Pro i7 2600K@4.5, 32GB RAM, RX 580, 4K Samsung u24e590, Intel SSD, Seagate SSHD, LG BH16NS55 BD/RW, MacOS Monterey, Win 10+11, Linux Mint

Macbook Pro 2009, 8GB RAM, SSD, MacOS Catalina + Windows 7

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Verminator:

Ni som använder olika lösen på olika sidor... hur gör ni för att minnas de olika lösenorden och användaruppgifterna?

Uppskrivet på papper? App i mobilen?

Själv använder jag faktiskt samma lösen på de flesta sidorna då jag inte fann det speciellt praktiskt att byta mellan olika. Var tvungen att köra lösenordsåterställning konstant då för att kunna logga in.

Gå till inlägget

Jag kör på Enpass, fungerar som alla andra lösenordsprogram som Keepass, lastpass osv.
Tycker de funkar svinbra! Ironiskt nog har jag en av tre backuper på databasen på dropbox, hehe..
Synkar direkt mellan iPhone, iPad och dator. Rekommenderas!

Redigera
Citera flera Citera
Permalänk
Hedersmedlem
Skrivet av Pirum:

Fick för ett tag uppmaningen från någon molnleverantör, tror det var Dropbox, att lägga in några säkerhetsfrågor som kunde hjälpa mig om jag glömt bort lösenordet. Det knäppa var att man inte fick definiera egna frågor, och de få frågor som fanns (typ, "vad hette ditt första husdjur/favoritfarbror/var föddes du/etc) var så enkla att många som känner mig skulle kunna ta reda på svaren, min fru och syskon skulle kanske kunna svara med bara några sekunders betänketid. Dåliga säkerhetsfrågor är definitivt en potentiell risk.

Å andra sidan kan man ha knep som gör svaren rätt unika, typ kombinera "Fido" med sitens namn baklänges och vad tusan man nu kan hitta på.

Gå till inlägget

För liknande säkerhetsfrågor är det många som använder "knep" som att helt enkelt ange en slumpad sträng. De går inte att använda själv, men det kan ingen annan heller. Ifall kontoåterställning verkligen skulle bli aktuell så får man ringa och prata med någon ansvarig och identifiera sig på så sätt i stället. Vissa sidor kan dock periodiskt be en användare att svara på en sådan fråga för att kontrollera att kontot inte hamnat i orätta händer, så det kan potentiellt vara vanskligt att själv inte veta svaret.

Dessa "säkerhetsfrågor" är inte alls speciellt säkra (fråga Sarah Palin), utan mest ett sätt för sidorna att minska antalet supportärenden från personer som glömt sina lösenord.

Jag läste om en person (hittar inte källan nu, trots googlande) som upplevt en sida där man skulle ange en personlig PIN-kod för att kunna återställa kontot, där de rekommenderade att man skulle använda sin mammas födelsedag. Personen tyckte det lät dumt och skrev in något annat, vilket systemet inte godtog då det inte var ett "giltigt datum" . Personen ringde i stället till företaget i fråga och fick efter några vändor tillåtelse att ange en icke-datumbaserad säkerhetskod — som fick sägas till operatören över telefon så att den kunde skrivas in manuellt i systemet .

Skrivet av Pirum:

F.ö är jag helt rökt om jag tappar min mobil, då får jag fjärrradera den och ändra alla lösenord överallt...tror mobilen är en stor säkerhetsrisk när folk kör utan lås på dem.

Gå till inlägget

Aktuell forumtråd i ämnet .

Visa signatur

Nu med kortare användarnamn, men fortfarande bedövande långa inlägg.

Redigera
Citera flera Citera
Permalänk
Inaktiv

Jag skulle vilja se ett gemensamt samarbete mellan olika storsajter där man antingen får logga in med Digipass eller en Authenticator.
Facebook, Google, Dropbox, iCloud, Instagram, Twitter, Hotmail, och Sweclockers förstås ;). Om de gemensamt kunde ta fram en säkerhetslösning med digital nyckel i fysiskt format eller som app till en mobiltelefon. Förstå vilket lyft på internet!

Ja jag är medveten om att det finns olika säkerhetslösningar på flera av ovanstående sajter om epostverifiering och extra koder och dylikt, men inga lösningar är enligt mig särskilt smidiga.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Verminator:

Ni som använder olika lösen på olika sidor... hur gör ni för att minnas de olika lösenorden och användaruppgifterna?

Uppskrivet på papper? App i mobilen?

Själv använder jag faktiskt samma lösen på de flesta sidorna då jag inte fann det speciellt praktiskt att byta mellan olika. Var tvungen att köra lösenordsåterställning konstant då för att kunna logga in.

Gå till inlägget

Jag kör Keepass med databasfilen i Dropbox (med tvåfaktors autentisering). Kör klienter på Windows, iOS och Android.

Visa signatur

| Intel Core i7-13700K | Noctua NH-D14 | MSI Pro Z690-A | Corsair 64 GB | Samsung Pro 980 2TB + Kingston KC2500 2TB + A2000 1TB NVMe | KFA2 GTX 3080 | Corsair RM1000X Shift | Fractal Design Meshify 2 | W11 Pro x64 | Acer XB280HK UHD G-Sync | Varmilo VA88M | Logitech G305 | Corsair HS70 PRO | VKB Gunfighter Mk.III + MCG Pro | VPC MongoosT-50CM2 | Monstertech | DELANCLiP Fusion | Secretlab OMEGA |

Redigera
Citera flera Citera
Permalänk
Medlem

Jaha... Ja dem kan väl roa sig med mitt konto om dem vill förstår inte hur mitt dropbox konto ska kunna skada mig på något sätt. Jag har varken skrivit in mitt kontonummer eller något där. Och ja har bara tråkiga bilder där på min bil etc så dem kan ju roa sig bäst dem vill. Bryr mig ärligt talat inte.

Visa signatur

Ryzen 5 3600 | Gigabyte Aorus B450 Elite | 1TB m.2, 500GB kingston ssd | HyperX Fury RGB 3200mhz 16GB | NZXT H440W Silent Ultra | RTX 3070Ti 8GB

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av phz:

Vet inte exakt vad det projektet handlade om utöver en snabb googling och genomskumning, men Yubico (delvis baserat i Sverige, faktiskt) erbjuder redan idag färdiga lösningar så som Yubikey Neo som troligen är en smidigare lösning för säker autentisering. Ytterst lovande teknologi, även om "lovande" kanske är fel ord då de redan används skarpt av stora företag.

Jag har ingen koppling till företaget, och äger inte ens någon av deras produkter, men jag följer utvecklingen då det verkar riktigt intressant. Inte minst är det roligt att läsa på om tekniken bakom.

Gå till inlägget

Denna har jag funderat på att köpa. Men som jag har förstått det blir man då låst till vilken typ av enhet man kan använda.

Så jag fortsätter att ha samma till de flesta sidor, där det är riktigt viktigt har man ju bankid... Funderar på att börja använda keypass, men det känns bara som ett högteknologiskt sätt att skriva ner lösenordet på en lapp. Man måste ju ändå ha ett lösenord förvarat någonstans.

Visa signatur

För övrigt anser jag att Copyswede bör förstöras.

Redigera
Citera flera Citera
Permalänk
Hedersmedlem
Skrivet av Accipiter46:

Denna har jag funderat på att köpa. Men som jag har förstått det blir man då låst till vilken typ av enhet man kan använda.

Gå till inlägget

Det finns lite olika operationslägen: dels den starkaste "one-time pass"-autentiseringen (OTP) som används i kombination med ett lösenord och som verifieras mot en loginserver, men det går även att lagra ett "vanligt" långt lösenord som skrivs in när den fysiska nyckeln aktiveras. En variant skulle då kunna vara att använda detta långa lösenord som upplåsningslösenord för en personlig lösenordsdatabas.

Skrivet av Accipiter46:

Så jag fortsätter att ha samma till de flesta sidor, där det är riktigt viktigt har man ju bankid... Funderar på att börja använda keypass, men det känns bara som ett högteknologiskt sätt att skriva ner lösenordet på en lapp. Man måste ju ändå ha ett lösenord förvarat någonstans.

Gå till inlägget

Det finns likheter, men en praktisk fördel är att man kan använda nästan godtyckligt långa och starka lösenord på tjänstsidan (så långa som tjänsten accepterar) som applikationen automatiskt skriver in i lösenordsfältet och använder för att logga in. Man kan alltså fullkomligt eliminera problemet med att användare väljer lösenord som är enkla att programmeringsmässigt knäcka.

Det gör också att det inte finns någon som helst motivation till att återanvända lösenord på något sätt, vilket gör att om exempelvis en viss tjänsts databas skulle komma på vift, eller någon sniffar lösenordet via en osäker uppkoppling, så påverkar detta inte överhuvudtaget några andra konton.

Använder man ett starkt lokalt lösenord för krypteringsfilen så är den filen i sig egentligen ej heller någon fara att lägga publikt eller på annat sätt bli av med, även om det inte av nöden är rekommenderat.

När man väl har satt upp en sådan tjänst så blir inloggning på fjärrtjänster också faktiskt mycket enklare, då man bara behöver minnas ett enda lösenord, snarare än komma ihåg både användarnamn och unika lösenord för varje sida. Detta "betalar sig" inte minst när det handlar om en sida som man väldigt sällan använder, som ändå blir lika lätt att använda som någon annan man använder dagligen.

Fortfarande kan man vara sårbar för keyloggers och liknande inbrott, men tja, alla metoder har något hål någonstans. En krypterad lösenordsbank täpper till många sådana på ett enkelt sätt.

Ett användningsminus som vissa påpekar är att det blir svårt/omöjligt att logga in på tjänster från andras klienter där man inte har sin lösenordsfil tillgänglig, men när man börjar skriva in sina lösenord på enheter man inte har någon som helst kontroll över så är säkerhetstänket redan ur fokus. Om man har lösenordsbanken tillgänglig på exempelvis en mobil så kan man ju dock välja att visa lösenordet i klartext och logga in om det verkligen skulle krisa; när man sedan är "hemma" så är det bara att kasta ut detta använda lösenord och ersätta med ett nytt framslumpat dito.

Jag skulle säga att en sådan lösenordsbank är väldigt smidigt när man väl vant sig, men det kräver en viss arbetsinsats att migrera alla sina lösenord över till en sådan tjänst. Man bör ju även passa på att ändra lösenorden till de nya starkare varianterna och kontrollera att inloggningen till tjänsten fungerar.

Visa signatur

Nu med kortare användarnamn, men fortfarande bedövande långa inlägg.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Icte:

"Nothing is non-hackable, everything is leaked."

- Mr. Year 2014

Gå till inlägget

Sant. Alla enheter som kan kommunicera kan bli hackade helt enkelt. Det enda man kan göra är att försvåra det för inkräktare och kanske försöka spåra dom.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av mOOpiTh:

Jaha... Ja dem kan väl roa sig med mitt konto om dem vill förstår inte hur mitt dropbox konto ska kunna skada mig på något sätt. Jag har varken skrivit in mitt kontonummer eller något där. Och ja har bara tråkiga bilder där på min bil etc så dem kan ju roa sig bäst dem vill. Bryr mig ärligt talat inte.

Gå till inlägget

Bara för att du själv inte vet hur en viss information kan komma användas mot dig gör den inte ofarlig.
Det finns människor idag som lever gott på att veta exakt det du inte vet om dig själv. Dom som har
det riktigt gott ställt vet även de små upptäckter du gör om dig själv före dig själv.

Att ge bort alla rättigheter på nätet är inte att likställa med att "så länge mitt mjöl är rent".

Redigera
Citera flera Citera
Permalänk
Medlem

2-faktors inloggning + Lastpass = problem löst.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av phz:

Det finns lite olika operationslägen: dels den starkaste "one-time pass"-autentiseringen (OTP) som används i kombination med ett lösenord och som verifieras mot en loginserver, men det går även att lagra ett "vanligt" långt lösenord som skrivs in när den fysiska nyckeln aktiveras. En variant skulle då kunna vara att använda detta långa lösenord som upplåsningslösenord för en personlig lösenordsdatabas.

Det finns likheter, men en praktisk fördel är att man kan använda nästan godtyckligt långa och starka lösenord på tjänstsidan (så långa som tjänsten accepterar) som applikationen automatiskt skriver in i lösenordsfältet och använder för att logga in. Man kan alltså fullkomligt eliminera problemet med att användare väljer lösenord som är enkla att programmeringsmässigt knäcka.

Det gör också att det inte finns någon som helst motivation till att återanvända lösenord på något sätt, vilket gör att om exempelvis en viss tjänsts databas skulle komma på vift, eller någon sniffar lösenordet via en osäker uppkoppling, så påverkar detta inte överhuvudtaget några andra konton.

Använder man ett starkt lokalt lösenord för krypteringsfilen så är den filen i sig egentligen ej heller någon fara att lägga publikt eller på annat sätt bli av med, även om det inte av nöden är rekommenderat.

När man väl har satt upp en sådan tjänst så blir inloggning på fjärrtjänster också faktiskt mycket enklare, då man bara behöver minnas ett enda lösenord, snarare än komma ihåg både användarnamn och unika lösenord för varje sida. Detta "betalar sig" inte minst när det handlar om en sida som man väldigt sällan använder, som ändå blir lika lätt att använda som någon annan man använder dagligen.

Fortfarande kan man vara sårbar för keyloggers och liknande inbrott, men tja, alla metoder har något hål någonstans. En krypterad lösenordsbank täpper till många sådana på ett enkelt sätt.

Ett användningsminus som vissa påpekar är att det blir svårt/omöjligt att logga in på tjänster från andras klienter där man inte har sin lösenordsfil tillgänglig, men när man börjar skriva in sina lösenord på enheter man inte har någon som helst kontroll över så är säkerhetstänket redan ur fokus. Om man har lösenordsbanken tillgänglig på exempelvis en mobil så kan man ju dock välja att visa lösenordet i klartext och logga in om det verkligen skulle krisa; när man sedan är "hemma" så är det bara att kasta ut detta använda lösenord och ersätta med ett nytt framslumpat dito.

Jag skulle säga att en sådan lösenordsbank är väldigt smidigt när man väl vant sig, men det kräver en viss arbetsinsats att migrera alla sina lösenord över till en sådan tjänst. Man bör ju även passa på att ändra lösenorden till de nya starkare varianterna och kontrollera att inloggningen till tjänsten fungerar.

Gå till inlägget
Dold text

Tack för ett bra svar! Den här läckan har redan fått mig att aktivera tvåstegsverifiering i dropbox. Och nu laddar jag hem och börjar kika på KeePass.

Börjar med ett master password, men precis som du skriver är en variant att lagra lösenordet på yubikey.

Visa signatur

För övrigt anser jag att Copyswede bör förstöras.

Redigera
Citera flera Citera
Permalänk
Medlem

Sparar inte Dropbox bara hash av lösenordet, för om de sparar lösenordet i sig är det ju extremt osäkert

Visa signatur

Stationär: CPU: Intel i5 4690k GPU: ASUS Strix GTX 970 4GB Moderkort: Asus Maximus VII Ranger RAM: Crucial Ballistix Sport 2x8GB Chassi: NZXT H440 CPU-kylare: Corsair H80i PSU: EVGA SuperNOVA G2 750W SSD: Samsung 850 Evo 256GB
Laptop: MacBook Pro 15", late 2016
Programspråk: Java, C++, Python, PHP, Javascript
Hemsida: http://jmcsocial.com

Redigera
Citera flera Citera
Permalänk
Hedersmedlem
Skrivet av Kevinkingeen:

Sparar inte Dropbox bara hash av lösenordet, för om de sparar lösenordet i sig är det ju extremt osäkert

Gå till inlägget

Som det står i artikeln:

Citat:

Dropbox has not been hacked. These usernames and passwords were unfortunately stolen from other services and used in attempts to log in to Dropbox accounts. We’d previously detected these attacks and the vast majority of the passwords posted have been expired for some time now. All other remaining passwords have been expired as well.

Finns inget som tyder på att Dropbox skulle ha sparat lösenord i klartext i nuläget, vad jag vet.

Visa signatur

Nu med kortare användarnamn, men fortfarande bedövande långa inlägg.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Omitron:

2-faktors inloggning + Lastpass = problem löst.

Gå till inlägget

Glöm inte 2 stegs verifiering på Lastpass också.

Skickades från m.sweclockers.com

Visa signatur

...

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av daempull:

Glöm inte 2 stegs verifiering på Lastpass också.

Skickades från m.sweclockers.com

Gå till inlägget

Helt riktigt.

Redigera
Citera flera Citera
1 2 3 4
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara