Populäraste lösenordet 2021 är "123456"

GDPR reglerar behandling av personuppgifter. Ett lösenord är inte en personuppgift (så länge du inte har en personuppgift som lösenord, men då hade den knappast hamnat på listan över mest använda).

Hmmm .. om man har order "personuppgifter" som lösenord. Betyder det då att sidan är förbjuden att spara ditt lösenord?
😄

De vet inte vilka lösenord folk väljer i deras tjänst. Informationen kommer från andra källor.

"The list of passwords was compiled in partnership with independent researchers specializing in research of cybersecurity incidents. They evaluated a 4TB database."

Frågan är ju också hur många av dessa lösenord som tillhör skräpkonton. Tror ju absolut att många använder alldeles för osäkra lösenord. Men tror även det är lite lätt skev statistik.

Om du tar ett random lösenord och kör det genom till exempel SHA256 så får du ett annat värde

Det värdet går i princip inte att återskapa utan att veta vad du stoppar in, alltså är det relativt säkert att spara det värdet öppet (så länge ditt lösenord är svårt att gissa). Grafikkort kan ju idag göra miljarder gissningar varje sekund, så därför måste lösenordet i sig vara säkert

Utöver detta finns det många som räknat fram alla hashade värden för de vanligaste algortimerna, för alla lösenord upp till kanske 12 bokstäver (kommer inte ihåg exakta siffran) och sparar dem i gigantiska sökbara databaser som redan är färdigräknade. Dessa kallas ’rainbow tables’ och är vanligen på TB eller större. Finns ditt lösenord med i en sån tabell så kan de veta ditt lösenord på några sekunder.

Detta går att försvåra genom att ’salta’ lösenord, det vill säga man lagrar en random så kallad salt (finns peppar också) som effektivt används som en förlängning på ditt lösenord. Detta gör att tabellerna från förra stycket inte fungerar, eftersom man måste göra en ny sån tabell för varje värde på saltet, och dessa värden är unika för varje användare om det görs rätt. Alltså är sådana tabeller menlösa mot generella attacker om uppgifterna är saltade.

Salt hjälper dock väldigt lite mot att skydda individuella konton mot riktade attacker, framförallt de med svaga lösenord då de lika snabbt kan gissas ändå

Men dom kan inte läsa dina lösenord, lösenorden hashas innan de skickas till servern (om man gör rätt)

Det är precis det som är poängen med att hasha

En hash-funktion är en envägsfunktion, det du vet är att om:
hash(a) = hash(b)

så betyder det att:
a = b

med allra största sannolikhet, det enda man behöver spara är då värdet efter man hashat det, inte lösenordet i sig

Tagga ner! Det är inte en lista på allas lösenord, det är en lista på de vanligaste knäckta lösenorden. Har du ett bra lösenord finns det inte med på listan.

Det finns sammanställda listor på alla unika läckta lösenord som kan räknas till över 1.5 miljarder ord i klartext.

Visst - det är en doomsday-book där en lösenord väl införd en gång, aldrig försvinner någonsin så länge vi har Internet.

Försöker du dig på att skapa en 8 teckens passord och sedan testar den hos tex. "have i been pwned" ( ja det går att testa utan att avslöja passordet genom att skicka 5 första värdena av lösenordets (skapad utan nyradstecken efter...) SHA1-summa [1] och man får en tabell tillbaka och sedan själv kolla om resten av SHA1-summan finns i tabellen - gör den det så finns ordet i 'doomsday-book') så kommer du att finna att väldigt många av orden du försöker hitta på redan finns i listan - men ju fler tecken som används i lösenordet så glesnar träffarna väldigt fort.

Dock finns det fortfarande många 8-teckens passord kvar som inte finns i doomsday-book men som hjärnan inte kan eller vill tänka ut men tämligen ofta hittas med maskinslumpgenererad passord.

ASCII-tabellens tecken innehåller 94 skrivbara tecken exklusive mellanslag vilket ger 94^8 = 6095689385410816 kombinationer - tar man detta genom 1.5 miljarder kända passord (och alla anses här vara 8 tecken långa) så har man bara uttömt 1/609574 av den totala mängden kombinationer som kan göras med 8 tecken - dvs 1.6 ppm av den totala mängden kombinationer för 8 tecken passord är förbrukat.

Men poängen är att försöker du hitta på ett 8 teckens ord med huvudet/hjärnan så kommer det smälla att på 20%-50% av fallen så kommer troligen ordet redan finnas i listan på läckta lösenord medans maskinslumpar man fram tecknen så är sannolikheten mycket lägre än 1% att det redan är använt - typ...

Det beror på att vi människor i väldigt stora grupper använder samma referenser, samma input med språk och kulturer och samma sätt att tänka och undviker samma krångliga kombinationer av bokstäver som upplevs som svåra att lära sig utantill och därför kommer våra egna påhittade passord ha med stor sannolikhet redan använts av någon annan medans en maskinslumpad inte gör det...

Och det är dessa 'regler' som olika crackprogram använder sig av för att finna ut passord i klartext från en hashvärde som har läckt från någon site och det har visat sig vara mycket effektivt - så effektivt att saltning för att försvåra angrepp med rainbow-tabeller har nästa spelat ut sin roll när det gäller styrka mot attack och det som gäller är att öka på antalet tecken på använda passord eller använda passfraser, öka på keystretching så att provtakten går långsammare per ord samt att få människor att använda passord som är maskingenererade med olika hjälpsystem på de flesta av sina passord för allmän bruk med passords-manager så att man inte 'bränner' sina bra passord av misstag som man kan utantill i huvudet och bara använder dessa på mycket få ställen.

Men för att en passord i klarspråk skall vara värd något så måste det kopplas till en konto/användarnamn på någon site - annars är det just bara ett ord.

[1]
Något som är märkvärdigt svårt och icke intuitivt att få till i windows med powershell, men enkelt görs i en Linux/Unix terminal-konsoll. - det finns gamma tråd där det hela blev värre och värre innan man till slut fick en kombination som gav en SHA1-hash av ett ord skriven på kommandorad med Microsoft egna program/funktioner i Powershell...