Korta lösenord otillräckliga i GPU-åldern

Har memorerat 3st lösenord med 24-26 tecken vardera. Bokstäver(stora/små) + siffror + specialtecken. Tog några veckor att lära sig dem utantill. På hemsidor och annat mindre viktigt använder jag typ 10 tecken från början, mitten eller slutet. Fullängd använder jag bara till några krypterade diskar samt en del företagsrelaterat. Det enda jobbiga är på vintern när jag kommer in från kylan och behöver skriva. Stela fingrar och behövs skriva om skiten 5-6 gånger =/

Samma här fast kan aldrig minnas dom så, utan det är muskel minnet jag tränat upp. Har 22 tecken med stora, små bokstäver, nummer, och !? tecken. Har 6 stycken såna lösen. Mitt minne suger, men muskel minnet är perfekt om inte bättre.

Lättaste sättet att få någons lösen är väl att lura i folk en falsk version av en populär software, med en keylogger i .exe, samt det vanligaste sättet du blir "hackad", inte att någon faktiskt knäcker ditt lösen. Inte precis som att de vill åt mina konton. De enda konton som är viktiga som jag har är min Paypal, och den ändrar jag varje månad, dessutom så har paypal redan bra skydd.

Jag har 12 tecken blandat stoa/små bokstäver, siffror och specialare i någon ologisk kombination. Har blivit knäckt förut när de tog en hel databas från en sida som inte var tillräckligt skyddad.

Fick då byta lösen på de viktigaste ställena jag är medlem på. Har också haft virus som gjorde om swedbanksidan när jag skulle logga in. Ska ju alltid vara en 9 som första siffra men det vart en 3 och jag gav fan i att logga in och dagen efter ringer banken och säger att jag blivit utsatt för en attack.

Så jag har sedan dess försökt att ha en starkt lösen. Innan hade man ju ett lösen som kompisarna inte skulle kunna klura ut genom att titta över ryggen när man loggade in.

angående iris o fingeravtryck etc...
även om man utgår från att man lyckas göra systemet idiotsäkert (mythbusters o fingeravtrycksläsare)

om detta skall fungera på flera individuella ställen så måste ju mitt fingeravtryck kunna skickas på något sätt, förmodligen i form av en genererad kod baserat på det...
denna kod skall ju (i teorin) vara samma varje gång för att det skall fungera som inloggning

så när 100 olika ställen, allt från min bank till lunarstorm, har mitt "fingeravtrycks-genererade-kod" så räcker det ju med att en av dom klantar sig o blir av med databasen så har tjuven genast ett lösenord som från min sida e omöjligt att ändra

Precis som många påstått, samma lösen till alla platser är inte så smart. Den klassiska är väl när någon snor lösenord från en sajt där man loggar in med sin email som användarnamn... sen visar det sig att de flesta använder samma lösen på emailen som på hemsidan... =P

Själv är jag en typisk sån som ha "dåliga" lösen till saker jag inte bryr mig om och "bra" till viktigare saker. Mitt lösen till NAS'en är t.ex. >20 tecken/siffror medan mitt skräp-emailkonto har 5.

Men en grej jag funderat på: Många system, främst på arbetsplatsen osv, kräver att man byter lösen varje månad och inte kan använda samma lösen på typ 24 månader osv osv. Men frågan är; hur mycket mer säkerhet ger detta egentligen i praktiekn? Just nu har jag sex olika såna konton tror jag, ingen normal människa klarar av att hålla kolla på sex nya lösenord varje månad om de ska vara slumpmässiga och säkra. Det leder bara till att typ 80% av användarna kör med lösenord som är typ kalle15, sen nästa månad är det kalle16 osv osv. Hur mycket vinner man på det? Skulle det inte vara bättre att ha en längre "hållbarhet" på lösenordet men kräva starkare lösenord? T.ex. byta en gång om året med kräva typ 10 tecken/siffror/specialtecken.

Och ett tips för att göra ett hyffsat slumpmässigt lösenord som är lätt att komma ihåg: tänk på en mening från en låttext, dikt eller liknande, ta första bokstaven ur varje ord, byt ut ett par mot siffror.

Ni som skriver exakt hur långa lösenord ni har är ju bara dumma. Det sparar otroligt mkt tid för den som vill...

Nu blir det till att byta. Ska köra ett långt jevla lösen och sedan ett huvudlösen i webläsaren. Bör minska chanserna ^^

edit: Nu var det gjort ^^ 14 symboler långt och med siffror, små/stora bokstäver samt knasiga tecken ^^

Jag repeterar det viktigaste:

Använd unika lösenord till emailen om du har något att förlora på att någon tar över dina internetkonton.

Varför? Det är väl ganska lungt om någon kommer över ditt sweclockers lösen eller hur, så vad är problemet? Jo, jag skulle våga påstå att den sbsolut största säkerhetsbristen med lösenord är de som använder samma lösen överallt och om man gör det så kan ditt lösenord till mindre viktiga saker bli väldigt viktigt.
Tro det eller ej men det är faktiskt skitsamma om du har ett bombsäkert 40-teckens lösenord som du använder överallt om någon får ut databasen från en site som sparar lösenorden i klartext. Vilket tyvärr väldigt många gör.

Sedan är det bara att använda fantasin för hur man går tillväga med personer som använder samma överallt. En hint är att man loggar in på emailaddressen, med lösenordet eftersom personen har samma till allt, kollar igenom om det finns mail från intressanta tjänster, och om inte det finns provar man eftertraktade saker som andra emailleverantörer, steam och så vidare...

Det kan även vara värt att repetera att det inte alls är skitsamma om lösenordet är bra eller inte eftersom "de alltid knäcker allt i vilket fall".
Man bruteforcar inte 14 tecken långt lösen med specialtecken etc som det som postades tidigare. Jag är inte upp to date alls men jag gissar att genomstnittstiden för brute force för sådana lösen åtminstone är med god marginal längre än din livstid med de snabbaste tekinikerna vi har i dag. Med andra ord, ingen kommer ens försöka med en så lång kombination.

Däremot är det som sagt även skitsamma om du har otroligt svaga lösenord till saker som det inte spelar någon roll om andra kommer över. Igen, så länge du inte använder samma skitlösen till saker du inte vill bli av med det vill säga.

Då hjälper knappast komplicerade lösenord heller.

Ja, fast många siter kör nog med typ MD5, SHA1, SHA2 eller liknande, har man tur så har de saltat. Har den som potentiellt tänkt hacka siten ett eget konto, så kan man ju beroende på hur saltet gjorts bruteforca saltet istället då man redan känner till lösenordet. När man sedan vet saltet, så får man köra övriga konton. Men jag håller med dig, det borde vara "omöjligt" att knäcka, men det är nog långt ifrån alla som har en sådan hantering.

Ett sätt att använda grafikkort, är att om du har tillgång till en unix lösenordsfil, så är alla lösenorden där. Men de är krypterade.

Så du tar en dictionary och sätter igång att kryptera alla orden. Detta går snabbt med ett grafikkort. Så jämför du varje ord du får fram, men ord i lösenordslistan.

Detta förutsätter att du lyckas kopiera lösenordslistan.

Tror jag sett siffran runt 5 miljarder nycklar (MD5) och runt 2 miljarder nycklar (SHA1) med ett 5970 och typ dito med ett CUDA kort. Känns fortfarande avlägset även om det skulle ta 200 miljoner dygn. Dock så sjunker antalet dagar oerhört om man bara tar lowercase och t ex siffror (i.e. 40^12 istället).

Har olika lösenordssystem beroende på var jag är, och varje sida jag loggar in på har ett eget lösenord. Sedan finns det sidor jag inte bryr mig vad som händer med och då är det kanske knappt 7 tecken. Annars är det allt från 12 till 24 eller något sådant i teckenmängd. Sedan finns det ju skitsidor som vägrar ta specialtecken...

Det här börjar bli ett problem, för mig iaf. Har ett jobb som kräver att jag byter lösen varje kvartal, det ska vara minst xx tecken långt plus tre andra kriterier. Sen har man banken, mailen, steam, fjärranslutningen till jobbets nätverk, alla hemsidor m m + pinkoderna till telefon, bankkort, jobbets kreditkort, bensinkortet, PPM och gud vet vad.

Är det jag som har ett begränsat intellekt eller är det så att folk nog - i praktiken - förenklar sånt här för sig genom att ha samma lösen eller varianter på samma på olika ställen? Jag skulle _aldrig_ klara av att ha 12-siffriga unika lösen med siffror, tecken, gemener och versaler som inte är ord till allt det jag behöver lösen till. Inte utan att skriva upp dom.

Kollade efter annan info som jag inte hittade men kan citera lite wikipedia text Password strength - Wikipedia, the free encyclopedia

Om vi kollar i tabellen på samma sida ser vi att det går åt 10 tecken för att komma up i 64 bitars styrka om man använder alla typer av tecken. I den beräkningen tror jag inte å ö och ö fanns med. Har för mig att jag läst någonstans att man brukar räkna med ungerfär 6 bitar per tecken med så kallade starka lösenord på grund av vissa förutsägbara faktorer som att man kan utesluta sk svagare lösenord och så vidare och det kan kanske stämma ganska bra.

Har vi för övrigt bara 80 tecken? Jag får det på något vis till 100.vilket borde landa på över 66 bitar för 10 tecken om jag inte glömt bort hur man räknar på sådant och gjort fel.

Hur som helst, det jag letade efter men inte httade. Har för mig att jag läste något som typ

någonstans. Någon som har det mer exakta exemplet?

Jo det är klart det blir problem.

Den säkraste lösningen är antagligen, kanske något motsägelsefullt, att köra med enklare lösenord för att kunna ha olika. Återavändandet av lösenord, både hos användare och i stora datorsystem, är som sagt antagligen ett betydligt större säkerhetsproblem än lösenordstyrkan så länge lösenordstyrkan inte är sämre än typ "takfläkt".

edit
Sedan kan man gott göra det som många något ointilligent säger att man inte ska göra: Att skriva ned lösenord på papper. Så länge man inte gör korkade saker som att ha en fin lapp med betalkortskoden i plånboken med betalkortet.

Exempel: Du vill inte bli av med ditt steamkonto eftersom du har spel där för 10-tusen. Vi ställer 2 riskalternativ mot varandra.
1) Du tar ditt starka lösenord som du lärt dig komma ihåg eftersom du använder det på 6 andra ställen.
2) Du hittar på ett nytt lösenord för steam som du skriver ner i ett anteckningsblock som du brukar ha i närheten av datorn.
Utan att dölja det nedskriva lösenordet på något sätt, som att det är de 5 första orden i en mening eller vad som helst, vilket av 1) och 2) gör det troligast att du blir av med ditt steamkonto?

Man borde ju få 5 inloggningar på sig, sedan stängs kontot automatiskt ner i x antal minuter och användaren informeras om detta, + att man måste svara på en enkel fråga för att kunna logga in igen.
Men på samma sätt som alla problem har en lösning har alla lösningar ett problem. Självklart är det ju omöjligt att helt förhindra utvecklingen, både av datorer och lösenordsknäckande, datorutvecklingen går ju hiskeligt snabbt.. slog just upp en PC för alla från 1997 då det snackades om den "besinningslösa" 500MHz processorn som skulle klara allt, idag räcker det knappt för lite surf..

Jag antar att du menar att en korrekt implementation inte lagrar lösenordet över huvud taget- krypterat eller inte - utan bara dess hash? Eftersom det är en envägsfunktion talar man inte om "kryptering". Hashet kan inte "dekrypteras" till lösenordet (däremot kan man få hashkollisioner, men det är en annan sak). Och det är så man ska göra. Aldrig lagra lösenord, bara hash. Aldrig lagra nycklar heller, bara hash. I praktiken är det dock oundvikligt. Ibland måste man verkligen lagra nycklar också, t.ex. när man använder RSA. RSA är för slött för att kryptera stora massor, så man krypterar en konventionell (typ AES eller liknande) nyckel med RSA i stället.

Man behöver inte ha ett "stark" lösenord när det gäller testande via internet. Att testa lösen på det sättet går så långsamt att "nissehult" antagligen i sammananget betraktas som oknäckbart.

Att begränsa antalet försök är antagligen vanligen ändå bra för att göra de sämsta lösenorden starkare. Men om man är ute efter att knäcka de allra sämsta lösenorden kan man i vissa sammanhang till viss del komma runt en försöksbegränsning genom en omvänd attack, att man testar de vanligaste lösenorden mot olika användarnam i stället.

Hur som helst behövs inga starka lösenord till gmail, WoW och liknande för att skydda sig mot lösenordstestande via internet, för sådant räcker det bra med väldigt enkla lösenord. Där svagare lösenord kan få större betydelse är när folk kommer över databaser med krypterade lösenord och testar lösenord i datorn etc, vilket går ofantlig mycket snabbare.

Hm, nu blev jag nyfiken på lite terminologi här. Jag hör för mig att i den bok om kryptering jag har läst kallas metoden för att ta fram ett hash för one way encryption (ex. MD5). Kommer först hem om några veckor och kan därför inte verifiera detta.