Populäraste lösenordet 2021 är "123456"

Tror jag måste byta lösenord till "dvorak", så att jag åtminstone får framstå som tangentbordselitist om jag någon gång blir hackad!

Ja, tyvärr så har ju "random" i folkmun kommit att betyda även sånt man hittar på själv, så det är lätt att missa. "Jag skrev in nåt random bara...". Men varför är skiljetecken viktigt?

Ett grafikkort som klarar av 1.5 gigahashes/sekund klarar alltså att testa alla möjliga värden på alla lösenord upp till åtta tecken på ungefär 600000 sekunder (enkelt att återanvända dina siffror, i själva verket kan man ju ha både fler och bättre grafikkort).

600000 sekunder är nästan exakt en vecka. Har du flera eller snabbare kort kan du alltså göra det mycket snabbare. Säkerhetstjänster som NSA har ju gigantiska serverhallar med resurser.

Även om 8 låter säkert med så många möjliga lösenord så är det helt förkastligt dåligt om man jämför med kapaciteten i en dator.

Om du dubblerar längden på lösenordet (enkelt med lösenordshanterare) så skulle det alltså behövas 6095689385410816 grafikkort för att knäcka lösenordet på en vecka. Så mycket resurser existerar inte på den här planeten

Det är därför så kallad entropi, eller enkelt sagt hur svårt lösenordet är att gissa är extremt viktigt. Förutsatt att lösenord är enda möjliga säkerheten. Tvåfaktorsautentisering är mycket bättre och smidigt att använda, eller såklart lösenordshanterare som kan hålla koll på dina lösenord och se till att alla är säkra

Men som du säger, även längre lösenord kan vara riktigt kassa, framförallt om de består av vanliga ord eller fraser

https://haveibeenpwned.com/PwnedWebsites

På denna länk så redovisas listan på en ganska stor antal olika site som har läckt data - och det finns stora namn som Facebook och Linkedin och det är inga småskvättar i antal användare som de har släppt ifrån sig - även den här forumet finns med...

Andra företag med samma typ av tjänster precis som ovan nämnda har motsvarande 'tvättade' listor där password i sin SHA1-hashade form är kvar med användare borttagna (och bara räknade i antal) - men givetvis används informationen från listorna som har läckt ut för att tex. kategorisera användarna till nation, kön mm. data som följt med de stora läckorna.

Andra ställen kan man hitta samma listor men där passord och hash är parade men de flesta har tvättat bort all övrig info som användarnamn.

Du har säkert sett tumhjuls-låsen på en portfölj - med skiljetecken mellan orden så blir det som tumhjul med väldigt många lägen och varje ord blir att betrakta som 1 bokstav i ett alfabete med väldigt många bokstäver.

Med skiljetecken (som kan vara vilket tecken som helst, bara det är lika i mellanrummen mellan orden. '-' är mycket vanligt använd och är att föredra framför ' ' då mellanslagstangenten har annat ljud än resterande knappar och om någon som lyssnar (tex i öppen kontorslandskap) kan räkna hur många bokstäver varje ord har (som kan variera i antal) så får man stor fördel i en senare attack - men har man inte den informationen så blir det väldigt svårt.

Skriver man ihop orden sammansatta utan skiljetecken så tappar man en del entropi som skiljetecken åstadkommer, tex. sammansatta ord som angreppet provar med, men inte finns i din ordlista när du valde orden blir ändå att en valid område där 2 ord blir 1 och därmed 6 ord blir 5 ord i din passfras, och 5 ord i passfras håller för ungefär 165 dagars attacktid medans 6 ord i passfras håller för ca 3500 år för båda med 1000 miljarder tester i sekunden. Med andra ord att strunta i skiljetecken kan vara dyrt i avseende attacktåligheten.

Det finns några saker som begränsar vid en angrepp - en av de viktigare är elräkningen och om vinsten att knäcka det är värt kostnaden i elström som förbrukas och kostnaden för burkarna som tuggar och också dess värdeminskning under tiden... Att köra en rigg i ett halvår eller att köra 3500 riggar parallellt i ett år för att knäcka passfrasen har stor betydelse för den som skall betala elräkningen... så, ja skiljetecknen är värd besväret i sin passfras

---

Mycket vanlig uppsättning är ordlista enligt diceware och är baserat på 7776 ord i en ordlista med noga valda ord och uppdelat på sådant sätt att man välja ett ord i lista med resultatet av 'adressering' per 5 tärningskast - dessa ordlistor finns i dag på olika språk men styrkan bygger inte på att listan är hemlig eller vilket språk som används - utan just antalet val är garanterat någon av 7776 ord (6^5) som väljs per 5 tärningskast - för plocka du ut orden ur en tidning eller en bok genom att sätta ned pennan planlöst på olika sidor så är antalet ord som väljs mellan betydligt färre och några ord kan vara sammansatta av andra ord.

program för den late som inte orka kasta tärningarna själv, har listor för olika språk och man litar på webbrowsers slumpgenerator som körs lokalt på din dator kan tex. köras här:

https://www.rempe.us/diceware/#swedish

En stor del i nyheten är att många aktörer verkar lagra orden i klartext, trodde att de saltades och krypterade lokalt.

Därför har man keystretching numera, just för att hantera passord med låg entropi.

Kort sagt man kör en tex. SHA512-hash av passordet, man tar sedan hash:et av det som kom ut SHA512 och kör igenom SHA512 igen och så håller man på x antal numera många tusen varv.

Poängen att man kör hash-algoritmen med att hela tiden hasha om utdatat är att det går inte att ta genvägar - varenda varv i exakt antal måste köras för att hash-värdet efter den sista varvet skall vara rätt för att tex. avkryptera en nyckel för en krypterad volym eller värden är lika som hash:et i /etc/shadow för en kontoinloggning för en användare

En passfras på 6 ord kan reduceras till 5 ord om man kör 4096 varv i keystretching av använda hash:et per 'test' för samma attacktid.

I Veracrypt kör man hundratusentals varv så att det dröjer 15-30 sekunder innan man har testat 1 (en) passord - där skulle det vara oerhört plågsamt att testa igenom alla 6095689385410816 kombinationer för en 8-tecken passord även med många tusentals riggar körande parallellt.

Hur kan såna här lösenord som anges i exemplet ens vara vanliga idag, i regel tvingas man ju ha minst en stor bokstav, siffra och kanske något specialtecken när man skapar lösenord. Om inte utdraget är från något specifikt företag eller nåt föråldrat forum tror jag det här är rent hittepå.

Absolut, PBES2 och liknande algoritmer går såklart att använda om man vill göra det bättre för de med dåliga lösenord, men det är fortfarande bättre för en själv att köra med bra lösenord (eller tvåfaktorsautentisering)

Att knäcka en OTP utan att se på när den sätts upp är idag omöjligt, det baseras ju på säkerheter i storleksordningen av 20 tecken Base32 som minst, det motsvarar tillräckligt mycket för att göra de flesta attackerna meningslösa

Riktig säkerhet ska ju helst vara fri från lösenord

Eller så skapar man ett lösenord som faktiskt går att komma ihåg? (och går snabbt att skriva)
Skulle nog tro att detta är säkrare: Diverseprylartill$alu!1 (tog bara en rubrik från privatannonserna)

Precis sådana regler som faktiskt försämrar lösenordet om man vill ha en med bättre kvalitet och tom. Microsofts säkerhetsfolk avråder dessa - det är nämligen påfallade ofta man smäller i sådana regler när man verkligen har en slumpad passord inkl symboler i potten som "kgPqAJJYkNvB" (japp maskinslumpat 12 teckensekvens och ingen hittepå med fingrarna för argumentet här) och tex. regeltvång att symboler och siffror måste ingå - symboler och siffror förekommer inte i varenda 12 teckens-sekvens man maskinslumpar fram och jag har stött på ett antal gången där sekvensen som genereras varken har siffra eller symboler fast det ingår i alfabetet när de slumpas fram. Och ibland vill man heller inte att symboler skall ingå om tex. fransk teckenset är satt i maskinen och man har en svensk tangentbord inkopplad - ni som har provat vet varför - det räcker med att veta att a och q bytt plats och m inte fungerar där det borde...

I verkligheten har man minskat möjliga entropin ganska ordentligt med dylika regler då man har uteslutit alla kombinationer med bara stora bokstäver, små bokstäver, teckensekvenser utan symboler och eller/siffror etc.

Det är bättre att vid tillfället när passordet skall skrivas in att man har ett antal algoritmer som bedömmer passordet och kanske skickar det i sin hashade och stympade form till företagen (eller tankat hem egna listor) som har listorna och se om de förekommer där och återkopplar till den som matar in passordet - eller som man idag ofta faktiskt har - förfylld maskingenererad passord av tillräcklig längd och en knapp att generera nya så många gånger man vill tills man ser någon som man kan acceptera - och sedan är det inte en dödssynd i de allra flesta fallen att skriva upp passordet och har den där man har sina kreditkort tills man kan denna utantill - eller använder förfyllda matriser som tex. genereras med https://www.passwordcard.org/en i kreditkortsformat som man plastar in och har där kreditkorten förvaras och när det är dags väljer ur när nytt passord från en rad eller kolumn, diagonalt, ruta etc. skall sättas då allt man ser på korten är resultatet av en slumpalgoritm (som förvisso har en salt just för att kunna återgenereras) och lika sannolik fördelning av alfabetets tecken och inte något man försöker tänka ut själv och omedvetet blir väldigt biaserat mot det lättknäckta hållet.

Jag ifrågasätter inte vilket som är säkrast på något vis utan bara konstaterar att idag tvingas man på de flesta ställen välja lösenord som inte passar in i listan över de vanligaste. Jag förstår att vissa är gamla lösenord som inte bytts, men hur det kan tillkomma sådana mängder av nya som är i samma tema får jag inte ihop.

Vi har ett antal lösenordsregler på jobbet med siffror, stora och små bokstäver, samt att man tvingas förnya det allt för ofta. Själv lägger jag bara till en siffra i slutet som jag höjer varje gång det är dags. Fullkomligt värdelöst och ökar inte säkerheten på något vis. Men å andra sidan när man läser om alla hackningar och läckta lösenord så kan man ju ha hela manuset till Gåsmamman i krypterad form som lösenord och folk kommer åt ens konto ändå.

Blev äkta LOL när jag läste ”dinmamma”. 😂

Spelar ju ingen roll hur säkert lösenord man har om alla lösenord som används ändå sammanställs och publiceras så här. Saknat användarnamn spelar väl ingen roll då man ofta kan använda emailadressen istället i många fall.

Mitt lösen kommer de inte att hitta iallafall. Det är superhemligt och säkert. INGEN vet om det. Det är omöjligt att knäcka det.
Det är "katten".

Tack, då ändrar jag till det. Pinsamt att jag haft ett impopulärt lösenord i flera år.

Sen jag började använda 1password så har näst intill alla mina konton ett 64 tecken långt unikt lösenord som innehåller versaler, gemener, siffror och specialtecken.

Undrar vilken åldersgrupp Bajskorv tillhör 🤔

Ni kanske borde göra något test över lösenordshanterare på Sweclockers, vore ju kanske rätt så lämpligt. 1Password har jag hört är rätt bra, men det finns ju rätt många alternativ.

Hur har dom koll på vilka lösenord som används?
Sparas lösenord i klartext eller är det endast de dom kunnat matcha mot en lösenordslista där hash jämförs.

Du bör nog uppsöka läkare om de inte tillhör vardagen

Ok, så förstår jag rätt att skiljetecknet garderar mot att två eller flera efter varann följande ord råkar utgöra ett sammansatt ord som därför kan finnas i den ordlista en angripare använder? Alltså problemet uppstår när detta händer, händer det inte så vore det lugnt men riskfyllt att chansa.

Får mig att tänka lite på detta briljanta klipp.

Han har även många andra bra kortisar.

I övrigt så har jag en del starka lösen som jag alltid kommer ihåg. Men på random sidor som är mindre viktiga får last pass ta hand om med random generation + spara lösen.

Bitlocker kör med 2^20 rehashes med SHA512 per password-test - det gäller också med rescue-nyckeln på 48 siffror ( som avkodat ger 128 bit nyckel för att låsa upp den riktiga kryptonyckeln efter 2^20 rehashes med SHA512)

Ganska intressant hur de har lagt upp rescue-koden då det är 48 siffror grupperat om 6 siffergrupper där varje grupp skall vara delbart med 11 och ha max värde 2^16 * 11 = 720896 och där 6':e siffran är en checksumma - detta för att upptäcka enklare inslagsfel av siffror om man knacka in nummerserien för hand.

Med GPU som klarar 1.5 Ghashes/s ger det 1430 passordstester i sekunden och med 94^8 = 6.096*10^15 kombinationer för 8 teckens passord skulle det bli:

6.096*10^15 / 1430 = 4.261^12 sekunder => 135121 år för att testa samtliga kombinationer som kan göras med med 8 skrivbara tecken - dvs stora, små siffror och symboler men ej nationella tecken (dvs. inte ASCII från 128 och uppåt).

För att kolla igenom 1.5 miljarder namn i namnlista skulle det ta 291 timmar.

---

LUKS-crypt som är mer eller mindre standard i Linux när man skall ha heldiskkryptering gör en benchmark på datorn innan den sätter antalet rehashes för vald hashalgoritm så att inloggningstiden är ungefär samma oavsett klen eller snabb dator - standarden är 1 sekund för LUKS eller 2 sekunder för LUKS2 med den processorkraften som finns i använda burk när krypterade diskvolymen skapades. Med följden att krypteringen har svagare skydd om den skapades på klen dator (som Rasperry Pie) och disken sedan flyttas till en snabb gamingdator för hack medans omvänt kan en disk uppsatt på en snabb dator har klart märkbar fördröjning, ja upp till 10-15 sekunder för en enda inloggningsförsök om den kopplas in till en rasperry Pie.

Med 6.096*10^15 kombinationer för 8 teckens passord enligt ovan och 1 sekund per försök så skulle det ta 193 miljoner år för att prova igenom samtliga kombinationer med samma CPU som skapade diskvolymen medans med bättre GPU kanske kan minska tiden 1/10 till 1/100-del - men det är då fortfarande runt 2 miljoner år...

Och med 1.5 miljard ord i ordlista med 1 passord-test i sekunden så skulle ta 47 år att prova igenom listan medans med kraftfull GPU 100 ggr snabbar än använda CPU ca 6 månader.

och som sagt - även om det finns uppemot 1.5 miljarder passord i klartext i olika listor så har man bara täckt in 0.000000245-del av alla kombinationer som är möjliga med 8 teckens passord.

Säker lösenord handlar att man kommer ihåg det och behöver skriva upp det.

Det skall lång tid testa loopa fram lösenordet. Hur mer man bland siffror, bokstäver och andra tecken.

Vet någon som hade T!tatn!C1912 .. Man byter i till ! . ! kan tolkas som ett sjunkade i , därav Titanic som lösenord.

Så fort man använder ord som ovan med kulturella referenser, även med substitutioner så är man farligt nära att bli crackad fort om man är pin-pointad för angrepp och det hamnar så småningom doomsday-book när det gäller password.

Nu finns faktiskt inte "T!tatn!C1912" hos https://haveibeenpwned.com/Passwords lite till min förvåning men ändå är den strategin inte bra då då det byggs kring 1 ord med kulturell referens, substitutioner med byte av vanliga bokstäver "i ersätts med 1 eller !, e ersätts med 3 etc." och så har man plockat på lite stora bokstäver och siffror i början eller slutet i rad för att få tillräckligt antal tecken och för att klara passordsreglerna i många inmatningar - precis exakt det som nämns i https://xkcd.com/936/ som den mindre bra sättet.

Hittar vi själv på orden så hamnar vi i samma tankemönster som alla andra och det hör till de mer lättgissade orden och crackas relativt snabbt av hashcat mfl. av deras regelverks-matriser i hur människor tänker när de skapar passord

- skall de vara starka med de antalet tecken som erbjuds så måste de maskinslumpas fram eller som sagda xkcd att man använder passfraser istället med tillräckligt många ord (minimum 6 ord idag för inmatning som inte är skyddat med ganska stor keystretching som miljoner rehashes) med skiljetecken och dessutom går lättare att lära sig utantill.