Skrivet av Ziggy_:
@xxargs: själv har jag redan ett slumpat lösen med tecken bokstäver och siffror men har aldrig fått det lagt på bordet som du gjorde. tack för informationen samt tiden du la ner på att göra ditt inlägg. upskattas verkligen :).
bara nått jag undrar, finns det någon minimum antal tecken #$&@ som man borde inkludera i sitt lösenord för att komma till de konceptet då det skulle ta ca 3000 år för datorn att lista ut? vi säger : tpp$6&2F1##70@i skulle det vara en säker metod? nu säger jag inte att jag skulle använda detta då jag bara slumpmässigt valde ut 15 mixade tecken men konceptet att använda 5 bokstäver, siffror & extra tecken för att bygga sitt lösenord eller skulle det räcka om man använde bara 1-2 extra tecken och man bytte ut resterande tre tidigare extra tecken mot siffror och bokstäver?
svar uppskattas
texten nedan avser inte situationer med keylogger etc. då man kan ha hur komplicerade passord som helst och ändå bli angripen, där är 2-faktor identifiering/verifierng det viktiga och som sagt det mesta kan göras via mobilen som väg idag.
---
Passordsval:
Det viktiga är att det inte är du själv som väljer tecknen i passordet - utan det är maskinframslumpat lokalt i din burk - helst utan internetkoppling.... passordet du ser från passordsgeneratorn och direkt känner att 'den går inte att lära sig utantill ens efter väldigt nötning' är ett bra passord medans de som man kommer ihåg lätt är ett sämre passord då de som attackerar vet att folk ratar passord som verkar för svåra att minnas och väljer ett nytt istället - en lättare...
Det finns inget som säger att det skall vara minimum antal symboler, siffror eller annan regel i ett passord - slump är just slump och varje inskränkning med passordsregler som att kräva minst en symbol, minst en stor bokstav, en siffra etc. som är vanligt idag, gör det lättare för en attackerare då denne vet att passordet måste innehålla en symbol, en stor bokstav, en siffra etc. och då vet denne att att man inte behöver räkna på passord med bara stora bokstäver eller små bokstäver , inte på kombinationer med bara stor/liten bokstav med siffror utan symboler eller stor/liten bokstav med bara symboler men inte siffror etc. - slumpmässigheten ha tullats rejält med de välmenande passordsreglerna och kan vara skillnaden mellan angreppbar eller inte angreppbar passord.
Det är bättre med hjälpsystem som föreslår bra passord om man inte löser annat sätt och lagom avancerad regelkoll för att ta bort dom vanligaste dumheterna i passordsväg - det innebär inte att man går igenom hela rockyou-listan (en mycket känd databasläcka av typ 30 miljoner passord i klartext) var gång någon skapar en passord, men onekligen det skulle faktiskt ta bort väldigt mycket dumheter i passordsväg om man ändå gjorde så...
Männinskan är totalt värdelös att knacka fram slump - det finns alltid någon logik bakom så fort en tangent tryck ned - en logik som de flesta crackprogram har i sina regler-verk och prova dem först i sina tester - när människan väljer så har man viktning med kanske för många symboler eller för lite symboler, ovilja att på vissa tecken att sätta dom bredvid varandra - kort sagt rent statistiskt så viktas en del kombinationer mer än andra och somliga undviks helt - och det vet angriparna.
Med andra ord alltid maskingenererad passord utan några som helst minneshjälpande regler som tex. att vara uttalbara etc. som en del har, har man det kravet - kör på passfraser istället!
Med andra ord - försök inte att lära passord utantill utan har dessa på en lapp i plånkan - tex. ett sätt att hantera är https://www.passwordcard.org/en och finns också som app för mobil om man inte vill ha papperslapp - har man en liten egen oskriven 'secret' som man alltid adderar till i sina passord så är en borttappad lapp värdelöst för någon annan som försöker använda den.
12 tecken minimum när det gäller slumpade passord - i windows minst 15 tecken och 3 tecken av dem kan paddas på en i övrigt stark 12-teckens passord om det används på fler ställen.
för passfraser ett förslag till generator
https://www.rempe.us/diceware/#swedish
6 ord minimum
Båda genererar passord/passfras lokalt i din browser och inget som sänds över internet och det går att göra arragemang med statiska sidor för att köras från tex USB-sticka med någon linux-klon och där köra browser lokalt
Det finns heller ingen orsak att köra mer än 20 tkn sann slump i passord eller slumpade 10 ord i passfras (enlig diceware) då styrkan i dessa då blir högre än använda SHA256 (128 bit attackmotstånd) som hashar dessa passord/passfraser enligt olika vägar och som används väldigt mycket idag som ersättning till den brutna SHA1 (som var 160 bit lång eller 80 bit attackmotstånd, nu reducerad till 63 bit attack-motstånd)