E-sportsorganisationen ESEA hackad – över 1,5 miljoner konton på vift

Trädvy Permalänk
Cylon
Registrerad
Dec 1999

E-sportsorganisationen ESEA hackad – över 1,5 miljoner konton på vift

Efter att ha utsatts för en hackerattack under förra månaden har nu användaruppgifter från ESEA:s webbplats läckt ut. Uppskattningsvis rör det sig om över 1,5 miljoner användarkonton.

Läs hela artikeln här

Observera att samma trivselregler gäller i kommentarstrådarna som i övriga forumet och att brott mot dessa leder till avstängning. Kontakta redaktionen om du vill uppmärksamma fel i artikeln eller framföra andra synpunkter.

Trädvy Permalänk
Medlem
Registrerad
Aug 2008

Nu kommer hacker-nyherna om kapade konton komma som brev på posten. 10 dagar in på 2017 och det är igång.
Tråkigt.

Skickades från m.sweclockers.com

He was truly the Bright Night

Trädvy Permalänk
Medlem
Plats
Karlstad
Registrerad
Nov 2010

Inte konstigt att de ej betalar när det enbart var deras kunders känsliga information som läckte och ej deras egen.

i7 7700 & Ryzen 1800X. Båda har 64GB ram, 500 GB 960 Evo m.2. Grafikkort är något jag hittade i en container..

Trädvy Permalänk
Medlem
Plats
Umeå/Stockholm
Registrerad
Dec 2012
Skrivet av Johan86c:

Inte konstigt att de ej betalar när det enbart var deras kunders känsliga information som läckte och ej deras egen.

Vad garanterar att hackarna inte kommer kräva mer, eller går ut med uppgifterna i varje fall? We don't negotiate with terrorists.

Trädvy Permalänk
Entusiast
Plats
Göteborg
Registrerad
Jul 2002
Skrivet av Johan86c:

Inte konstigt att de ej betalar när det enbart var deras kunders känsliga information som läckte och ej deras egen.

Om de betalar dröjer det inte länge förräns nästa hacker kommer med samma krav.

Dator: Intel 6700K :: 16GB DDR4 :: GeForce GTX 1080 Ti :: Asus Xonar Essence ST :: Samsung 850 EVO 500GB
Kring : Eizo Foris FG2421 :: Philips Fidelio X1 :: O2Amp :: CM Storm Novatouch TKL :: SteelSeries Rival 300
Misc. : YouTube :: Steam :: StarCraft II :: Street Fighter V

Trädvy Permalänk
Medlem
Registrerad
Jul 2002
Skrivet av Bruce Wayne:

Nu kommer hacker-nyherna om kapade konton komma som brev på posten. 10 dagar in på 2017 och det är igång.
Tråkigt.

Skickades från m.sweclockers.com

Som ett brev på posten har dock inte samma tyngd som innan postnord tog över.

42? Seven and a half million years and all you can come up with is 42?!
► FD Define R2 | Win10Pro | i5-2500K | Hyper212+ SP120PWM | P8P67 PRO | CML8GX3M2A1600C9 | DUAL-GTX1060-O6G | Samsung 830 | Intel X25-M G2 | AX750 | AOC G2460PQU | Dell 1908FP |► Raspberry Pi 2 | Osmc |► MOTO 4+ |

Trädvy Permalänk
Medlem
Plats
Täby 289/124Mbit
Registrerad
Jan 2006

Jag fick byta lösenord i förregår, är detta varför? Jag har helt missat detta.

Tråden om Skägg!

3570K - 4,5Ghz - R9 290 - MG279Q @144hz - Corsair RM850 - Samsung 830 256GB: Laptop Asus u36 SSD 120GB 8GB

 3:e iPad 64GB - iPhone 7 Plus 128GB 
Office: - Macbook PRO 13" - i5 - 256GB SSD - 8GB DDR3

Trädvy Permalänk
Medlem
Plats
Lund
Registrerad
Jun 2010
Skrivet av Johan86c:

Inte konstigt att de ej betalar när det enbart var deras kunders känsliga information som läckte och ej deras egen.

Hvilken garanti ville ESEA ha for at hackers ikke vill selge videre disse opplysningene, dersom de ville ha betalt?

i5 4670K@stock, CM 212 EVO, GB Windforce 3X OC GTX 970 (rev. 1.1), Kingston Beast 16GB@2400 MHz DDR3, AsRock Z87M Extreme4, Crucial MX100 256GB, Samsung SP2504C (2 x 250GB), BQ Kraft 700 W, FD Define Mini Display: AOC Q2963PM 2560*1080@60Hz Controls: Logitech G600 MMO mouse+G910 Orion Spark, Speedlink Torid (XboX360) Sound: Logitech Z-5400 OS: Win 10 TP 9926

Trädvy Permalänk
Medlem
Registrerad
Aug 2008
Skrivet av xfade:

Som ett brev på posten har dock inte samma tyngd som innan postnord tog över.

Hörde att dom tydligen bytt namn till Postmord

Skickades från m.sweclockers.com

He was truly the Bright Night

Trädvy Permalänk
Skribent
Mathias Blomberg
Plats
Skövde
Registrerad
Mar 2012
Skrivet av morotis:

Vad garanterar att hackarna inte kommer kräva mer, eller går ut med uppgifterna i varje fall? We don't negotiate with terrorists.

Precis.

Och i det här fallet så kan man ju skydda sig riktigt effektivt precis som på samtliga webbsidor genom att använda olika lösenord för varje sida.

Min åldrande men rakryggade vapendragare: [Fractal Design Define R3] ≈ [Corsair AX 850W] ≈ [EVGA Geforce GTX 1060 6GB SC OC] ≈ [Intel Core i7 2700K@4.8GHz] ≈ [Noctua NH-U14S] ≈ [16GB Corsair Vengeance Pro 2133MHz] ≈ [ASUS Sabertooth Z77] ≈ [Samsung Spinpoint F3 1TB] ≈ [Intel 520 180GB] ≈ [ASUS Xonar Essence STX] |
Skrivmaskinen: Lenovo G50-80 Min förlängning av mig själv: OnePlus 3

Trädvy Permalänk
Medlem
Plats
Karlstad
Registrerad
Nov 2010
Skrivet av Uzanar:

Precis.

Och i det här fallet så kan man ju skydda sig riktigt effektivt precis som på samtliga webbsidor genom att använda olika lösenord för varje sida.

Detta har jag gjort på flera sidor och skyddet är så bra så att absolut ingen kommer in på kontona längre...
Det blir dock att använda system, men system kan knäckas. Sedan finns det tjänster, men om de knäcks så kommer de åt alla.

Nå jag gör något mellanting och allt men som de flesta skulle behöva studera ämnet bättre.

i7 7700 & Ryzen 1800X. Båda har 64GB ram, 500 GB 960 Evo m.2. Grafikkort är något jag hittade i en container..

Trädvy Permalänk
Medlem
Registrerad
Sep 2003
Skrivet av Johan86c:

Detta har jag gjort på flera sidor och skyddet är så bra så att absolut ingen kommer in på kontona längre...

Om jag försöker vara för säker och väljer ett lösenord som inte bygger på de standarder jag sätter upp så glömmer jag ofelbart bort lösenordet och måste begära ett nytt. Varje gång jag använder tjänsten...

Annars får man försöka klassificera de tjänster man använder. Mailkonton = långt lösen, strömningstjänsten utan personlig/finansiell information = ett enkelt lösenord som det inte gör ngt om det blir hackat.

Sedan handlar det om, också, att hålla nere attackytan, precis som med servrar. Man måste kanske inte ha ett konto på alla siter. Jag väljer ofta bort siter där jag måste regga mig av just den anledningen.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jan 2016

Funderade dagen innan om jag skulle skaffa ESEA eller Faceit, blev Faceit och så här i efterhand var det nog ett bra val

Edit: Dagen innan de blev hackade det vill säga

PC: CPU: i7 4790k@4.6ghz | Kylare: be quiet Pure Rock | GPU: Sapphire R9 380 | MOBO: Gigabyte Ga-z97x-Gaming 3 | SSD: Samsung 850 EVO 250GB | Chassi: Antec gx505 | Nätaggregat: CM B700 v2 |

Kringutrustning: Skärm: Asus MG248Q | Tangentbord: Aivia Osmium | Mus: Logitech G403 Prodigy | Musmatta: Steelseries Qck+ | Headset: HyperX Cloud II |

Trädvy Permalänk
Medlem
Registrerad
Aug 2015
Skrivet av morotis:

Vad garanterar att hackarna inte kommer kräva mer, eller går ut med uppgifterna i varje fall? We don't negotiate with terrorists.

Jahaa så allt man gör nuförtiden som är olagligt så är man terrorist?
Kan du definition av terrorism?
Tydligen inte. Men tråkigt att höra dessa nyheter

Skickades från m.sweclockers.com

Trädvy Permalänk
Medlem
Plats
Umeå/Stockholm
Registrerad
Dec 2012
Skrivet av Usman:

Jahaa så allt man gör nuförtiden som är olagligt så är man terrorist?
Kan du definition av terrorism?
Tydligen inte. Men tråkigt att höra dessa nyheter

Skickades från m.sweclockers.com

Måste jag avsluta inlägget med /s för att du ska förstå att sista meningen var skriven med glimten i ögat?

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Apr 2012

Jaha, så händer det ännu en gång i raden, 1.5 miljoner mailadresser till nigeriaspammarnas listor. Jaja, man kan väl iofs anta att de redan hade de flesta....

Varenda gång detta händer undrar jag varför i helvete det inte är standard att användarna får välja om mailadresser ska lagras på communityns servers eller ej. Användarnamnen ska väl räcka som unik identifier, och det borde vara upp till användarna att välja om de hellre riskerar att inte kunna återställa sina konton än att få sin mailadress sönderspammad...

Nu lurade jag dig allt att slösa bort ett par värdefulla sekunder av ditt liv på att läsa denna fullständigt poänglösa signatur!

Trädvy Permalänk
Medlem
Registrerad
Jul 2014

EASEAY

ASUS H97M-E mATX || 1TB WD Blue 7200rpm 64MB || ADATA 8GB (2x4GB) CL9 1600MHz XPG || Intel Core i5 4460 3,2 GHz, 6MB || Cooler Master Hyper 212 EVO || ASUS Radeon R9 280 3GB DirectCUII TOP || Fractal Design Integra R2 750W 80+ Bronze || ASUS DVD±RW DRW-24F1ST Black || C.M Silencio 452 Case :: DEVAZZOR IS A RETARDED CHILD

Trädvy Permalänk
Medlem
Registrerad
Maj 2010

Har Ryssarna varit på gång igen?

CPU: i7-2700K @ 4.6GHz, Corsair H110 MB: Sabertooth Z77 Mem: Corsair Vengeance 4x4GB DDR3 @ 1600 MHz CL9 GPU: Radeon R9 290X SSD: Samsung 850 Pro 256GB Case: CM Storm Stryker PSU: Corsair RM 750W Audio: Sound Blaster Omni, Logitech Z-5500 Display: Acer 35" Predator XZ350CU OS: Win10 Pro

Trädvy Permalänk
Medlem
Registrerad
Aug 2016
Skrivet av Gruarn:

Om jag försöker vara för säker och väljer ett lösenord som inte bygger på de standarder jag sätter upp så glömmer jag ofelbart bort lösenordet och måste begära ett nytt. Varje gång jag använder tjänsten...

Annars får man försöka klassificera de tjänster man använder. Mailkonton = långt lösen, strömningstjänsten utan personlig/finansiell information = ett enkelt lösenord som det inte gör ngt om det blir hackat.

Sedan handlar det om, också, att hålla nere attackytan, precis som med servrar. Man måste kanske inte ha ett konto på alla siter. Jag väljer ofta bort siter där jag måste regga mig av just den anledningen.

Samma här...

Dom master-passorden som man kan utantill skall man vara rädd om och använda sparsamt och i kontrollerad miljö (utvalda mailboxar, passords-arkiv, lösenordshanterare i webbbrowser, truecrypt/veracrypt-arkiv mm.)

Alla nätbaserade tjänster där man kan resetta passordet till en giltig mail-adress så slänger man in en maskingenererad slumpmässig passord på minst 12 tkn. och så låter man datorn/Webbrowsen/lösenordshanterar komma ihåg det åt en. Sådana passord skall man kunna byta när som helst då passord som man kommer ihåg utantill med rimlig träningsdos är att anse som mer eller mindre snabbt knäckbart.

Svårknäckta långa passord är mer eller mindre omöjliga att lära sig utantill för de flesta, det är bättre att ha svåra slumpmässigt framtagna passord på en lapp/kort i plånboken än att använda en lättlärd sådan som används överallt... http://www.passwordcard.org - bygger på temat och en passord typ "E{S2*f[9TWb/t]Zr" (16 tkn) är fruktansvärt svår att lära sig utantill för majoriteten av brukarna och om man mot förmodan lärt sig utantill - väldigt ovillig att byta senare...

Idag måste ett fullständig slumpmässig passord (stora/små,siffror och specialtecken) vara minst 12 tkn lång för att ha en viss attackresistans och helst 16 tecken lång - och styrkan ligger i att det är _helt_ slumpmässigt framtagen samt att användaren inte får möjlighet att välja mellan speciellt många alternativ, för så fort teckensekvens med aktiv val, vagt kanske är uttalbar eller påminner om ord så sjunker styrkan direkt... det finns somliga passordsgeneratorer som genererar sekvenser som är tänkt att vara uttalbara (på engelska oftast) men dom ger då samtidigt mycket svagare passord och man måste ha betydligt fler tecken istället (och då är man allt närmare passfraser).

Passfras avser ofta teckenföljd större än 20 tecken och tar man fram ordsekvenserna slumpmässigt tex. enligt diceware (tex. via https://www.rempe.us/diceware/#swedish ) så motsvarar varje ord nästan 2 st slumpmässiga tecken i ett passord.

För 12 teckens slumpmässig passord i styrka (och kan se ut som följande "E{S2*f[9TWb/") så behöver man ta fram 6 ord enligt dicewares metod (och resultatet kan i svensk tappning se ut enligt "rumla-trasa-shake-svepa-gosse-undan" (skiljetecknen mellan orden skall vara kvar men kan bytas ut till annat tecken, mellanslag avråds dock)), och följaktligen 8 ord för motsvarande en 16 tkn slumpmässig passordssekvens.

Styrkan mot attack är i stort sett lika för båda alternativen och styrkan sitter i att orden/tecknen är framplockade slumpmässigt och inte genom något medveten eget urval. Att ordlistan eller teckenuppsättningen som skapade passordet/passfrasen är känd av attackeraren påverkar inte styrkan.

Skillnaden mellan att lära sig 16 helt slumpmässiga tecken eller 8 ord enligt diceware är att det senare är fullt möjligt att lära sig utantill även för mer normala människor.

Ofta är det bättre (och lättare) att lära sig 2 st olika 5-ords-sekvenser utantill som man sedan kan kombinera, än att försöka lära sig 1 st 8-10 ords sekvens. Träningen att lära in dessa är en lapp i plånboken som bara tas fram vid behov och till sist när man inte längre behöver titta i lappen vid användandet så kan man förstöra den (dock kanske bra att ha en referens gömd någonstans hemma)

Styrkan då:

En 12 teckens helt slumpmässig (val mellan 94 skrivbara symboler per tecken enligt 7-bitars ASCII) passord har styrkan 94^12 = 4.76E23 alternativ, ger 78.66 bitar entropi och med 1000 miljarder tester per sekund så tar det 15091 år att räkna igenom fullständigt och 7545.7 år för 50%. - fullt möjligt att forcera inom rimlig tid (tex i rättsfall som kan ta år på sig) med massor av kraftfulla parallella datorer i stora nätverk som typ. NSA använder.

Diceware sekvens av 6 ord från ett urval av 7776 ord ger 7776^6 = 2.21E23 alternativ, motsvarar 77.55 bitar entropi, ger med 2.21E23 / 1E12 / 3600 / 24 / 365 = 7010.2 års och vid 50% genomräknat 3005.1 år.

Kör man 8 tecken med små _eller_ stora tecken samt siffror (val av 36 symboler per tecken, styrka 2.82E12 alternativ, entropi 41.4 bit, cracktid 2.82 sekunder för 100% genomräkning (1E12 tester/sekund, ca 90% av alla läckta passord är byggda på det sättet, förutom att majoriteten av 'real life' passord som läckt ut vid olika attacker knappt är ens 8 tecken långa!!)

Kör man 12 tecken med bara små _eller_ stora bokstäver (val från 26 symboler per tecken), styrka 9.54E16 alternativ, entropi 56.4 bit, cracktid 1.24 dagar för 100% genomräkning (1E12 tester/sekund).

Kör man 12 tecken med små _eller_ stora tecken samt siffror (val av 36 symboler per tecken styrka 4.74E18 alternativ, entropi 62 bit, cracktid 54.84 dagar för 100% genomräkning.

Kör man 12 tecken med små och stora tecken (val från 52 symboler per tecken) styrka 3.91E20 alternativ, entropi 68.4 bit, cracktid 12.39 år för 100% genomräkning.

Kör man 12 tecken med små, stora samt siffror ( val från 62 symboler per tecken), styrka 3.23E21 alternativ, entropi 71.5 bit, cracktid 102.3 år för 100% genomräkning.

Med andra ord tänker man inte använda fullständigt slumpmässigt framtagen 12 teckens passord (val från 94 symboler per tecken), så är passfras med slumpmässig framtagna 6 diceware ord en starkare passord/passfras-lösning och förmodligen för det flesta enklare att lära sig utantill.

Helst bör man sikta mot 16 helt slumpmässiga tecken eller 8 diceware-ord i passfras om man vill ha närmast helt oknäckbara passord/passfraser då det handlar om 15 ggr universums ålder att knäcka dessa med 1000 miljarder tester i sekunden.

---

Då det har läckt ut passord i klarspråk i mångmiljontal gång på gång (vara en av de kända inom forskning är "RockYou" med 38 miljoner passord i klarspråk) så har det förstås analyserats både här och där:

En rapport jag läste i angav:

"Rock you"
Antal lösenord 32603388 st
genomsnittliga passordlängd 7.88 tecken
passord med stor bokstav 5.95%
innehöll siffror 54.8%
specialtecken 3.45%
endast små bokstäver och siffror 90.76%
mer än 7 tecken lång, stor och liten bokstav och specialtecken 0.14 %

för 7+ passord
enbart siffror 20.51%
siffror efter ordet 64.28%
siffror före ordet 5.95%
siffror utspritt mitt i orden 9.24%

Räknar man entropi enligt NIST SP800-63 regler så är entropin på passorden i de läckta listorna mellan 14 och 18 bitar för > 75% av alla lösenorden - vilket är långt under de 38.5 bitarna entropi man får med enbart 8 slumpmässiga tecken med bara stora _eller_ små bokstäver...

Man vet dock idag att NIST sätt att räkna entropi (som kommer typ från 70-talet) stämmer inte speciellt bra med verkligheten, en ganska stor, ~20% andel är lättare att gissa än vad NIST räknat med (brytpunkt vid ca 12000 gissningar) medans det som är kvar betydligt besvärligare med fler prov per lyckad än vad NIST kalkylerar - en väldigt olinjär 'kurva'

Vid optimerad attack och 500 miljoner gissningar per konto/användaren med 7+ tecken i passordet så knäcker man runt 26% av "RockYou" populationen medans vid 10+ tecken i passordet så knäcker man ca 14%. Nu är 500 miljoner gissningar ingenting idag och med inte allt för stor insats pengamässigt så har det byggts privat mindre nätverksklustrade datorer med GPU:er som tillsammans klarar 350 miljarder test/s och det är bara en tidsfråga innan man passerar 1000 miljarder test/s även med relativt liten budget.

Trädvy Permalänk
Medlem
Plats
Göteborg (Hising island)
Registrerad
Nov 2005

Då va det dags att ge upp ESEA för gott, tack å hej leverpastej

Trädvy Permalänk
Medlem
Plats
epicentrum
Registrerad
Dec 2011
Skrivet av Uzanar:

Precis.

Och i det här fallet så kan man ju skydda sig riktigt effektivt precis som på samtliga webbsidor genom att använda olika lösenord för varje sida.

Vilket är precis vad jag gör. Dock blir det ganska omständigt när jag inte använt en sida på ett tag och får sitta och slå in ett tiotal lösenord. On-topic är väl det här inte första gången som ESEA blir hackat?

CPU: Intel Core i7-7700K 4.8 ghz 1.32 vcore
GPU: Nvidia GTX 1070
MB: MSI Z270 GAMING PRO CARBON

https://www.youtube.com/watch?v=nvzW609hqDc

Trädvy Permalänk
Medlem
Plats
gbg
Registrerad
Nov 2007
Skrivet av Gruarn:

Om jag försöker vara för säker och väljer ett lösenord som inte bygger på de standarder jag sätter upp så glömmer jag ofelbart bort lösenordet och måste begära ett nytt. Varje gång jag använder tjänsten...

Annars får man försöka klassificera de tjänster man använder. Mailkonton = långt lösen, strömningstjänsten utan personlig/finansiell information = ett enkelt lösenord som det inte gör ngt om det blir hackat.

Sedan handlar det om, också, att hålla nere attackytan, precis som med servrar. Man måste kanske inte ha ett konto på alla siter. Jag väljer ofta bort siter där jag måste regga mig av just den anledningen.

Skrivet av xxargs:

Samma här...

Dom master-passorden som man kan utantill skall man vara rädd om och använda sparsamt och i kontrollerad miljö (utvalda mailboxar, passords-arkiv, lösenordshanterare i webbbrowser, truecrypt/veracrypt-arkiv mm.)

Alla nätbaserade tjänster där man kan resetta passordet till en giltig mail-adress så slänger man in en maskingenererad slumpmässig passord på minst 12 tkn. och så låter man datorn/Webbrowsen/lösenordshanterar komma ihåg det åt en. Sådana passord skall man kunna byta när som helst då passord som man kommer ihåg utantill med rimlig träningsdos är att anse som mer eller mindre snabbt knäckbart.

Svårknäckta långa passord är mer eller mindre omöjliga att lära sig utantill för de flesta, det är bättre att ha svåra slumpmässigt framtagna passord på en lapp/kort i plånboken än att använda en lättlärd sådan som används överallt... http://www.passwordcard.org - bygger på temat och en passord typ "E{S2*f[9TWb/t]Zr" (16 tkn) är fruktansvärt svår att lära sig utantill för majoriteten av brukarna och om man mot förmodan lärt sig utantill - väldigt ovillig att byta senare...

Idag måste ett fullständig slumpmässig passord (stora/små,siffror och specialtecken) vara minst 12 tkn lång för att ha en viss attackresistans och helst 16 tecken lång - och styrkan ligger i att det är _helt_ slumpmässigt framtagen samt att användaren inte får möjlighet att välja mellan speciellt många alternativ, för så fort teckensekvens med aktiv val, vagt kanske är uttalbar eller påminner om ord så sjunker styrkan direkt... det finns somliga passordsgeneratorer som genererar sekvenser som är tänkt att vara uttalbara (på engelska oftast) men dom ger då samtidigt mycket svagare passord och man måste ha betydligt fler tecken istället (och då är man allt närmare passfraser).

Passfras avser ofta teckenföljd större än 20 tecken och tar man fram ordsekvenserna slumpmässigt tex. enligt diceware (tex. via https://www.rempe.us/diceware/#swedish ) så motsvarar varje ord nästan 2 st slumpmässiga tecken i ett passord.

För 12 teckens slumpmässig passord i styrka (och kan se ut som följande "E{S2*f[9TWb/") så behöver man ta fram 6 ord enligt dicewares metod (och resultatet kan i svensk tappning se ut enligt "rumla-trasa-shake-svepa-gosse-undan" (skiljetecknen mellan orden skall vara kvar men kan bytas ut till annat tecken, mellanslag avråds dock)), och följaktligen 8 ord för motsvarande en 16 tkn slumpmässig passordssekvens.

Styrkan mot attack är i stort sett lika för båda alternativen och styrkan sitter i att orden/tecknen är framplockade slumpmässigt och inte genom något medveten eget urval. Att ordlistan eller teckenuppsättningen som skapade passordet/passfrasen är känd av attackeraren påverkar inte styrkan.

Skillnaden mellan att lära sig 16 helt slumpmässiga tecken eller 8 ord enligt diceware är att det senare är fullt möjligt att lära sig utantill även för mer normala människor.

Ofta är det bättre (och lättare) att lära sig 2 st olika 5-ords-sekvenser utantill som man sedan kan kombinera, än att försöka lära sig 1 st 8-10 ords sekvens. Träningen att lära in dessa är en lapp i plånboken som bara tas fram vid behov och till sist när man inte längre behöver titta i lappen vid användandet så kan man förstöra den (dock kanske bra att ha en referens gömd någonstans hemma)

Styrkan då:

En 12 teckens helt slumpmässig (val mellan 94 skrivbara symboler per tecken enligt 7-bitars ASCII) passord har styrkan 94^12 = 4.76E23 alternativ, ger 78.66 bitar entropi och med 1000 miljarder tester per sekund så tar det 15091 år att räkna igenom fullständigt och 7545.7 år för 50%. - fullt möjligt att forcera inom rimlig tid (tex i rättsfall som kan ta år på sig) med massor av kraftfulla parallella datorer i stora nätverk som typ. NSA använder.

Diceware sekvens av 6 ord från ett urval av 7776 ord ger 7776^6 = 2.21E23 alternativ, motsvarar 77.55 bitar entropi, ger med 2.21E23 / 1E12 / 3600 / 24 / 365 = 7010.2 års och vid 50% genomräknat 3005.1 år.

Kör man 8 tecken med små _eller_ stora tecken samt siffror (val av 36 symboler per tecken, styrka 2.82E12 alternativ, entropi 41.4 bit, cracktid 2.82 sekunder för 100% genomräkning (1E12 tester/sekund, ca 90% av alla läckta passord är byggda på det sättet, förutom att majoriteten av 'real life' passord som läckt ut vid olika attacker knappt är ens 8 tecken långa!!)

Kör man 12 tecken med bara små _eller_ stora bokstäver (val från 26 symboler per tecken), styrka 9.54E16 alternativ, entropi 56.4 bit, cracktid 1.24 dagar för 100% genomräkning (1E12 tester/sekund).

Kör man 12 tecken med små _eller_ stora tecken samt siffror (val av 36 symboler per tecken styrka 4.74E18 alternativ, entropi 62 bit, cracktid 54.84 dagar för 100% genomräkning.

Kör man 12 tecken med små och stora tecken (val från 52 symboler per tecken) styrka 3.91E20 alternativ, entropi 68.4 bit, cracktid 12.39 år för 100% genomräkning.

Kör man 12 tecken med små, stora samt siffror ( val från 62 symboler per tecken), styrka 3.23E21 alternativ, entropi 71.5 bit, cracktid 102.3 år för 100% genomräkning.

Med andra ord tänker man inte använda fullständigt slumpmässigt framtagen 12 teckens passord (val från 94 symboler per tecken), så är passfras med slumpmässig framtagna 6 diceware ord en starkare passord/passfras-lösning och förmodligen för det flesta enklare att lära sig utantill.

Helst bör man sikta mot 16 helt slumpmässiga tecken eller 8 diceware-ord i passfras om man vill ha närmast helt oknäckbara passord/passfraser då det handlar om 15 ggr universums ålder att knäcka dessa med 1000 miljarder tester i sekunden.

---

Då det har läckt ut passord i klarspråk i mångmiljontal gång på gång (vara en av de kända inom forskning är "RockYou" med 38 miljoner passord i klarspråk) så har det förstås analyserats både här och där:

En rapport jag läste i angav:

"Rock you"
Antal lösenord 32603388 st
genomsnittliga passordlängd 7.88 tecken
passord med stor bokstav 5.95%
innehöll siffror 54.8%
specialtecken 3.45%
endast små bokstäver och siffror 90.76%
mer än 7 tecken lång, stor och liten bokstav och specialtecken 0.14 %

för 7+ passord
enbart siffror 20.51%
siffror efter ordet 64.28%
siffror före ordet 5.95%
siffror utspritt mitt i orden 9.24%

Räknar man entropi enligt NIST SP800-63 regler så är entropin på passorden i de läckta listorna mellan 14 och 18 bitar för > 75% av alla lösenorden - vilket är långt under de 38.5 bitarna entropi man får med enbart 8 slumpmässiga tecken med bara stora _eller_ små bokstäver...

Man vet dock idag att NIST sätt att räkna entropi (som kommer typ från 70-talet) stämmer inte speciellt bra med verkligheten, en ganska stor, ~20% andel är lättare att gissa än vad NIST räknat med (brytpunkt vid ca 12000 gissningar) medans det som är kvar betydligt besvärligare med fler prov per lyckad än vad NIST kalkylerar - en väldigt olinjär 'kurva'

Vid optimerad attack och 500 miljoner gissningar per konto/användaren med 7+ tecken i passordet så knäcker man runt 26% av "RockYou" populationen medans vid 10+ tecken i passordet så knäcker man ca 14%. Nu är 500 miljoner gissningar ingenting idag och med inte allt för stor insats pengamässigt så har det byggts privat mindre nätverksklustrade datorer med GPU:er som tillsammans klarar 350 miljarder test/s och det är bara en tidsfråga innan man passerar 1000 miljarder test/s även med relativt liten budget.

Denna serie är alltid lika kul i dessa sammanhang: (XKCD - Password Strength)

Tower: ace Battle IV | CPU AMD Phenom II X2 BE unlocked 4cores@3,2GHz | RAM 8GB DDR2@800MHz | MB ASUS M4A785-M | GFK AMD Radeon HD 6850 1GB | HDD Kingston SSD Now 60GB (/) Seagate 2TB(/home) | OS Ubuntu 16.04 LTS

Trädvy Permalänk
Medlem
Registrerad
Sep 2003

@xxargs:
Mycket intressant läsning. Jag tänkte att jag skull accentuera det du skriver lite.

Jag fick behovet att försöka knäcka ett windowslösenord, så jag hade motiveringen att genomföra något dylikt annat än "för skojs skull". Resultat?

Med en hawaii-krets kunde jag gå igenom alla 8 tecken långa lösenord med små, stora, siffror och specialtecken i på drygt en (1) vecka. Min rigg var inte speciellt optimerad för ändamålet, skulle jag optimera skulle jag ha 10 kretsar i maskinen och 256 maskiner. Inte helt billigt för en enskild person, men för en organisation som lever på att knäcka lösenord, eller en miner? Och vi får heller inte glömma att Vega verkar kunna prestera 70% bättre för sådana här applikationer, som ju också är "pinsamt enkla att parrallellisera".

1000 miljarder försök per sekund är inte orimligt!

Anledningen till att räkna på 50% är förstås att du ju omöjligt kan veta om just ditt lösenord är en kombination som prövas tidigt eller sent i processen, så 50% av alla lösenord är knäckta på 50% av tiden, i snitt. Detta stämmer för alla slumpmässiga lösenord, vilket bara 0,14% var i Rock you, enligt xxargs...

Hur skall.man kunna skydda sig då?
Det finns 4 svar.
1. Minska attackytan
2. Reglera skadan
3. Öka längden
4. Öka entropin

1. För att drabbas av ett sådant här läckage måste man vara en av dessa 1.5 (eller 38, eller en i raden av alla läckor) miljoner användare vars uppgifter blir stulna. Bästa skyddet är att inte behöva skydda sig, genom att inte vara ett av offren. Behöver du verkligen det kontot?
2.Om du verkligen behöver kontot så gäller det att veta hur viktig tjänsten är och mycket av din information som behöver finnas där. Är det en tjänst som handlar om sonens innebandyträning så använd en avatar! Banktjänster, eller primära mailkontot behöver ha mer info.

En annan sak det pratas ofta om är att ha olika lösenord, men du kan lika gärna ha olika mail-adresser! Ett knäckt lösenord är bara intressant tillsammans med möjligheten att identifiera dig som användare. Genom att använda olika identiteter blir det knäckta lösenordet obrukbart. De stora mailtjänsterna erbjuder ju möjlighet att skapa alias som man kan använda istället för sin egentliga mail adress.

3.för en människa ser abc123DEF! Och ...abc123DEF! i princip likadana ut. För en dator är det 10 slumpmässiga tecken i det ens och 13 i det andra. Mycket svårare! Om man lyckas smita undan heurestiken (dvs man har ett lösenord som inte går att gissa med lite enkla regler) så är längden allt! Ju längre desto bättre då det tar längre tid att knäcka. S.k. Padding kan användas lätt och gärna mycket. För en dator utan kunskap om vilket tecknet är måste metodiskt pröva alla kombinationen en efter en och 13 tecken ger betydligt fler kombinationen än 8.

4. Ett enkelt sätt att öka entropin är ju att undvika de tumregler som vi verkar använda för våra lösenord. 65% av användarna i Rock you hade en siffra på slutet. Den smarta hackaren prövar först lösenord med en siffra som sista tecken. Istället för 100 möjliga tecken blir det 10. I princip tillför inte sista tecknet något skydd alls.

Har du en stor bokstav först i ditt lösenord? Det är antagligen minst lika vanligt som en siffra på slutet och vips så blir de flesta lösenord 2 tecken kortare att gissa. Det gör en jätteskillnad vid en brute force attack.

Om du använder ord, blanda språk! Saol har 125000 svenska ord, Oxford Dictionary har 600000. Tyskarna säger själva att de har över 5 miljoner ord, men på 3 minuter hittade jag en ordlista online med över 1 miljon ord. Öka entropin!

Slutligen vill jag tipsa om att det inte bara är små, stora, siffror och specialtecken som kan användas. Alla ASCII-256 kan användas. Vad sägs om ALT-kod 253? (²). Om det finns 256 möjliga tecken för varje tecken ökar komplexiteten markant! Och vem vet, det kanske räcker med ett för att man skall trilla ur den knäckbara mängden och man har uppnått oknäckbarhet, för att de flesta verktyg räknar helt enkelt inte in alt-koderna som specialtecken.
Det skall dock ges 2 varningar kring dessa tecken. A. De ligger på olika ställen i olika standarder (pc, Mac, Android IOS) och B. ² kräver 4 knapptryckningar på pc, och 3 extra tecken skulle ge bättre skydd, om det skulle vara känt på vilken position man använde ett ALT-tecken. Om nu knäckaren använder de tecknen, vill säga.

Trädvy Permalänk
Medlem
Registrerad
Sep 2003

@krigelkorren:
Jag älskar den strippen när man kommer till de här sammanhangen. Många av mina resonemang om lösenordskvalitet utgår från den!

Trädvy Permalänk
Medlem
Plats
gbg
Registrerad
Nov 2007

@Gruarn: Ja den är rätt pedagogisk, även för relativt insatta personer.

Tower: ace Battle IV | CPU AMD Phenom II X2 BE unlocked 4cores@3,2GHz | RAM 8GB DDR2@800MHz | MB ASUS M4A785-M | GFK AMD Radeon HD 6850 1GB | HDD Kingston SSD Now 60GB (/) Seagate 2TB(/home) | OS Ubuntu 16.04 LTS

Trädvy Permalänk
Medlem
Plats
Norrköping
Registrerad
Jan 2011

En eloge till dem att vägra betala. Om alla vägrade betala skulle det inte finnas en marknad för dessa dumheter och läckor skulle hända mer sällan.

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Nov 2003

E-lek organisationen är korrekt benämning

Trädvy Permalänk
Medlem
Plats
Skövde
Registrerad
Sep 2009

Lite cyberterrorism, bra start på året!

Skrivet av krigelkorren:

Denna serie är alltid lika kul i dessa sammanhang: (XKCD - Password Strength)

https://imgs.xkcd.com/comics/password_strength.png

P67A-UD4-B3 λ i5 2500K λ Freezer 7 Pro Rev. 2 λ Gigabyte GeForce GTX 670 OC 2GB λ Corsair 4GB XMS3+HyperX 8GB x2 λ Samsung 750GB λ Maxtor 250GB λ Intel 330 180GB λ Asus Xonar DS λ Fractal Design R2 λ LG 23" W2363D 120HZ λ Logitech G500 λ Steelseries 6Gv2 λ Qpad QH-90 Pro λ Steelseries QcK+ SK Gaming Limited Edition Mouspad

Trädvy Permalänk
Medlem
Plats
gbg
Registrerad
Nov 2007
Skrivet av zin_90:

Lite cyberterrorism, bra start på året!

http://imgs.xkcd.com/comics/security.png

Den är också bra! Skildrar de lite tyngre kriminellas sätt att "knäcka" lösenord!

Tower: ace Battle IV | CPU AMD Phenom II X2 BE unlocked 4cores@3,2GHz | RAM 8GB DDR2@800MHz | MB ASUS M4A785-M | GFK AMD Radeon HD 6850 1GB | HDD Kingston SSD Now 60GB (/) Seagate 2TB(/home) | OS Ubuntu 16.04 LTS