Populäraste lösenordet 2021 är "123456"

Permalänk
Medlem
Skrivet av xxargs:

Så fort man använder ord som ovan med kulturella referenser, även med substitutioner så är man farligt nära att bli crackad fort om man är pin-pointad för angrepp och det hamnar så småningom doomsday-book när det gäller password.

Nu finns faktiskt inte "T!tatn!C1912" hos https://haveibeenpwned.com/Passwords lite till min förvåning men ändå är den strategin inte bra då då det byggs kring 1 ord med kulturell referens, substitutioner med byte av vanliga bokstäver "i ersätts med 1 eller !, e ersätts med 3 etc." och så har man plockat på lite stora bokstäver och siffror i början eller slutet i rad för att få tillräckligt antal tecken och för att klara passordsreglerna i många inmatningar - precis exakt det som nämns i https://xkcd.com/936/ som den mindre bra sättet.

Hittar vi själv på orden så hamnar vi i samma tankemönster som alla andra och det hör till de mer lättgissade orden och crackas relativt snabbt av hashcat mfl. av deras regelverks-matriser i hur människor tänker när de skapar passord

- skall de vara starka med de antalet tecken som erbjuds så måste de maskinslumpas fram eller som sagda xkcd att man använder passfraser istället med tillräckligt många ord (minimum 6 ord idag för inmatning som inte är skyddat med ganska stor keystretching som miljoner rehashes) med skiljetecken och dessutom går lättare att lära sig utantill.

Du skriver bra och bra beskrivna saker här i tråden, men stör mig på en grej: ’passord’

https://svenska.se/tre/?sok=Passord

Det ordet finns inte

Permalänk
Medlem

Kan ändå förstå det. Även jag använder 123456 till vissa saker som är totalt oviktiga, även på jobbet.

Permalänk
Medlem

Detta har skrivits om tidigare, men visst - passord finns inte formellt i SAOL men finns tex. i Norska (bokmål), och vi använde många ord som inte är 'accepterade' formellt i SAOL för att de helt enkelt inte hunnit in som allmänt brukade ord samt det finns en del formella dataterm-ord på svenska i SAOL som ingen använder för att de helt enkelt inte fungerar bra i munnen gentemot dess engelska motsvarighet - hur många använder tex. skönsvärde (eng. default) - det är i princip bara när kronofogden knackar på och skönstaxerar som man använder det ordet.

Själv föredrar jag passord framför Lösenord (och därför använder det aktivt) då andemeningen framgår klart (dvs. måste ha rätt ord för att få passera [grinden]) och skillnaden från engelskans 'password' mycket liten, men just 'password' ser sämre ut ordbildsmässigt och 'svengelskt' än mer nordisk formad 'passord' inpassad i en i övrigt skriven löpande svensk text. - men det är förstås min åsikt.

Är det samma bekymmer med tex. passfras gentemot lösenfras eller lösenmening ?

Om man skall märka ord i språklig bruk i forumtext så är det rätt många här som behöver utbildas i skillnader mellan storheter och enheter - dvs. storheterna spänning, ström, effekt, resistans och dess enheter Volt, Ampere, Watt och Ohm och inte köra dess engelska motsvarigheter tex. 'voltage' i svensk språkbruk när man menar spänning när man skriver om tex. spänning som driver CPU/GPU då ordet 'spänning' verkar vara en bortglömd term idag - för det stör verkligen i ingenjörsögon.

---

Jo har man

"buddy is the best dog in the world
boom boom my pokerface
fuck you bastard
death strikes flea-ridden zombie--again
i live in a fantasy world
i love you sanjay adhikary"

som passfraser så får man räkna med att det kan knäckas även om den längsta ovan är 39 tecken lång

medans slumpad sekvens som "olag-odds-mobb-cesur-kamel-kokfru" (33 tkn lång) från en diceware-ordlista i svensk form av 7776 alternativ är det oerhört svårt att prova fram.

När det gäller med skiljetecknet '-' i passordet/passfrasen så är det oerhört många med telefonnummer, regnummer, personnummer/försäkringsnummer, adresser och email-adresser i dom läckta passordslistorna men blir snabbt väldigt sällsynt när man har minst 3 '-' i strängen (= 4 ord eller fler) och när det gäller brute-force försök för passord med slumpade sekvenser med '-' i sig så syns det väldigt tydligt att man inte ger sig på mer än 7 teckens längd om det inte finns någon ord av uttalbar slag i sekvensen då sådant ord även substituerad form är typ värd 1 bokstav i styrka i sekvensen.

94^7 ger 65 * 10^12 möjliga kombinationer (45.88 bit entropi) medans 94^8 ger 6.1 *10^15 (52.44 bit entropi) vilket ger att det är 94 ggr mer tidsödande med 8 tecken än 7 tecken att attackera om man inte kan gissa genvägar.

Permalänk
Medlem

Absolut är det inte unika! Det handlar om att fördröjning strid. Prinpicpe som allt annat inom säkerhet, varför har man ett fort nox skal skydd? Det skall lång tid att nå guldet, inte samma sak att det är omöjligt.

Nackdelen med lösenord som Z&j'<4hLDq'>sXKt jämfört med T!t@Tn!C19!2, det först nämda är mycket svårare , du måste skriva upp det. Redan där är du säkerhetsrisk Titanic lösenord kan du memomera och komma ihåg. Det handlar om det skall ta lång tid att testa fram just ditt lösenord.

En annan stratgeri är t.ex dela upp lösenord i olika grupp

Grupp 1 - Rör pengar - Mycket stark lösenord man har bara den på 1 ställe.
Grupp 2 - Huvudkonto - Har man sin E-post adress som login på femtioelva olika ställe. Ge inte bort huvudnyckel. Starkt lösenord. Hit bör login till olika socialmedia som Facebook osv räknas.
Grupp 3 - Slasksidor - login till Familjeliv, Domus, Hemköp osv osv. Dvs tyvärr är det en sjukdom idag att man skall ha ett konto överallt. Återvänd samma lösenord.

Ett råd till :
Crackers lägger pussel, behåll din bit , har flera e-post konto. Ett finkonto och ett fulkonto. Finkonto för seriösa kontakter och fulkonto för slask login på nätet. När SQL dumpen på familjeliv ligger ute på flashback, så är det bra att man en e-post address som inte spåras.

Skrivet av snajk:

Problemet med sådana strategier är att de sannolikt inte är unika. Har du kommit på ett sätt att göra ett ord mer komplicerat, bytt ut bokstäver mot symboler (@ istället för a, ! istället för i, 0 istället för o och liknande är ju de vanligaste exemplen) exempelvis, eller ett mönster på tangentbordet (jag tyckte jag var jättesmart när jag hade WertY som lösenord på nittiotalet exempelvis) så kommer någon annan att ha kommit på samma sak, om detta lösenord är läckt någonstans så är det inte säkert längre för det kommer att finnas i de dictionaries som används.

Skaffa en lösenordshanterare som kan autogenerera faktiskt slumpade (och därmed säkrare) lösenord istället så är problemet ur vägen.

Permalänk
Medlem
Skrivet av xxargs:

Detta har skrivits om tidigare, men visst - passord finns inte formellt i SAOL men finns tex. i Norska (bokmål), och vi använde många ord som inte är 'accepterade' formellt i SAOL för att de helt enkelt inte hunnit in som allmänt brukade ord samt det finns en del formella dataterm-ord på svenska i SAOL som ingen använder för att de helt enkelt inte fungerar bra i munnen gentemot dess engelska motsvarighet - hur många använder tex. skönsvärde (eng. default) - det är i princip bara när kronofogden knackar på och skönstaxerar som man använder det ordet.

Själv föredrar jag passord framför Lösenord (och därför använder det aktivt) då andemeningen framgår klart (dvs. måste ha rätt ord för att få passera [grinden]) och skillnaden från engelskans 'password' mycket liten, men just 'password' ser sämre ut ordbildsmässigt och 'svengelskt' än mer nordisk formad 'passord' inpassad i en i övrigt skriven löpande svensk text. - men det är förstås min åsikt.

Är det samma bekymmer med tex. passfras gentemot lösenfras eller lösenmening ?

Om man skall märka ord i språklig bruk i forumtext så är det rätt många här som behöver utbildas i skillnader mellan storheter och enheter - dvs. storheterna spänning, ström, effekt, resistans och dess enheter Volt, Ampere, Watt och Ohm och inte köra dess engelska motsvarigheter tex. 'voltage' i svensk språkbruk när man menar spänning när man skriver om tex. spänning som driver CPU/GPU då ordet 'spänning' verkar vara en bortglömd term idag - för det stör verkligen i ingenjörsögon.

---

Jo har man

"buddy is the best dog in the world
boom boom my pokerface
fuck you bastard
death strikes flea-ridden zombie--again
i live in a fantasy world
i love you sanjay adhikary"

som passfraser så får man räkna med att det kan knäckas även om den längsta ovan är 39 tecken lång

medans slumpad sekvens som "olag-odds-mobb-cesur-kamel-kokfru" (33 tkn lång) från en diceware-ordlista i svensk form av 7776 alternativ är det oerhört svårt att prova fram.

När det gäller med skiljetecknet '-' i passordet/passfrasen så är det oerhört många med telefonnummer, regnummer, personnummer/försäkringsnummer, adresser och email-adresser i dom läckta passordslistorna men blir snabbt väldigt sällsynt när man har minst 3 '-' i strängen (= 4 ord eller fler) och när det gäller brute-force försök för passord med slumpade sekvenser med '-' i sig så syns det väldigt tydligt att man inte ger sig på mer än 7 teckens längd om det inte finns någon ord av uttalbar slag i sekvensen då sådant ord även substituerad form är typ värd 1 bokstav i styrka i sekvensen.

94^7 ger 65 * 10^12 möjliga kombinationer (45.88 bit entropi) medans 94^8 ger 6.1 *10^15 (52.44 bit entropi) vilket ger att det är 94 ggr mer tidsödande med 8 tecken än 7 tecken att attackera om man inte kan gissa genvägar.

Jag ville bara tipsa om en liten detalj som gör att dina inlägg läses mer seriöst, du får såklart stå fast i din åsikt. Min åsikt var att jag störde mig tillräckligt för att anmärka på det, men inte mer än så.

Språkbruk i forum är generellt på en lägre nivå helt klart, men det tycker inte jag betyder att man behöver sträva efter att sticka ut i min mening. ’Ord för att passera’ är ju en rimlig tolkning, men låter mer som en försvenskning av det engelska ordet för mina ögon/öron.

Spännande nog så känner jag att passfras fungerar bättre, men det kanske är för att lösenfras inte är så välanvänt?

Menade inte alls att förminska de andra sakerna i dina inlägg och det är verkligen en detalj i sammanhanget.

Permalänk
Medlem
Skrivet av klein:

Absolut är det inte unika! Det handlar om att fördröjning strid. Prinpicpe som allt annat inom säkerhet, varför har man ett fort nox skal skydd? Det skall lång tid att nå guldet, inte samma sak att det är omöjligt.

Jo fast man tappar ju väldigt mycket säkerhet om man har samma lösenord som ett antal andra personer. Om det läcker någonstans ifrån så hamnar det i dictionaries och då spelar det liksom ingen roll att det är komplext, i alla fall om en viss sida inte har följt best practices med salt och så.

Citat:

Nackdelen med lösenord som Z&j'<4hLDq'>sXKt jämfört med T!t@Tn!C19!2, det först nämda är mycket svårare , du måste skriva upp det. Redan där är du säkerhetsrisk Titanic lösenord kan du memomera och komma ihåg. Det handlar om det skall ta lång tid att testa fram just ditt lösenord.

Nja, hur många lösenord av den typen kan en person minnas? Har man varianter, alltså samma mönster men lite olika beroende på typ sidan man loggar in på eller liknande, vilket jag körde på länge, så är det också ett problem. Detta mönster kan ju listas ut och många tjänster har väldigt dålig säkerhet när det gäller icke godkända lösenord. Jag satt och letade efter något i en IIS-log exempelvis och där såg jag i klartext att en person hade försökt logga in ett antal gånger med variationer på samma lösenord, det godkända lösenordet skrevs förstås inte ut men alla ogiltiga, så det hade varit väldigt enkelt för mig att ta dennas epost och helt enkelt försöka logga in enligt samma mönster på en massa olika ställen.

Sen är det inte osäkert att skriva ner lösenord, det kan vara det absolut säkraste sättet att lagra dem beroende på vart man har lappen liksom. Sätt inte en post-it på din skärm med inloggningen till Windows, men att ha en lapp i plånboken eller hemma i en låst skrivbordslåda kan ju vara bra. Eller så hittar man på ett mönster med ganska mycket slumpmässiga saker och skriver bara ner de slumpade delarna eller liknande. Men bättre är förstås att ha en bra lösenordshanterare, med backup förstås, som genererar helt unika och slumpmässiga lösenord och dessutom fyller i dem åt en. Då behöver man bara komma ihåg lösenordet till den.

Citat:

En annan stratgeri är t.ex dela upp lösenord i olika grupp

Grupp 1 - Rör pengar - Mycket stark lösenord man har bara den på 1 ställe.
Grupp 2 - Huvudkonto - Har man sin E-post adress som login på femtioelva olika ställe. Ge inte bort huvudnyckel. Starkt lösenord. Hit bör login till olika socialmedia som Facebook osv räknas.
Grupp 3 - Slasksidor - login till Familjeliv, Domus, Hemköp osv osv. Dvs tyvärr är det en sjukdom idag att man skall ha ett konto överallt. Återvänd samma lösenord.

Jo jag håller i viss mån med. Dock hanterar jag ju allt i grupp 1 och 2 med lösenordshanterare och även det mesta i grupp tre, men om jag ska skapa en inlogg till en sådan oviktig tjänst där jag inte har min lösenordshanterare enkelt åtkomlig (som på smart-teven) så kan jag ju skapa ett mer osäkert där, som jag kommer ihåg. Sen kommer hanteraren att klaga på det lösenordet nästa gång jag loggar in där den finns och då brukar jag byta det.

Sen finns det ju fler kategorier än de där grupperna också. Som utvecklare behöver jag ibland skapa testkonton exempelvis och i allmänhet använder jag samma lösenord där överallt för att det är enklare, och risken är obefintlig. Alla på mitt företag vet att inloggning till vår demomiljö är koncernnamnet som användare och "password" som lösenord exempelvis, samma om man kör saker lokalt, i debug eller så. En annan kategori är inloggningar som man vill dela med sig av till andra men ändå vill ha viss säkerhet på. Som ens gästnät hemma exempelvis, jag vill inte att mina grannar ska nyttja mitt nät, jag körde öppet (med internet, ingen åtkomst till mitt nät) ett tag men det kom en del suspekt trafik så det slutade jag med. Så där kan man ju antingen ha ett enkelt som man ger till sina kompisar, eller så kan man vara lite smart och döpa nätet till en fråga där lösen är svaret.

Citat:

Ett råd till :
Crackers lägger pussel, behåll din bit , har flera e-post konto. Ett finkonto och ett fulkonto. Finkonto för seriösa kontakter och fulkonto för slask login på nätet. När SQL dumpen på familjeliv ligger ute på flashback, så är det bra att man en e-post address som inte spåras.

Ett tips är ju att använda tjänster som mailinator eller liknande som skapar upp inboxar utan inloggning när ett mail kommer dit. Perfekt för typ en tävling eller liknande där man måste godkänna att få mail. Med Gmail och sannolikt fler tjänster kan man också ha varianter på sin adress. Just Gmail medger ju dels punkter, så john@gmail.com är samma som j.o.h.n.@gmail.com, men också med plustecken så att john+bajskorv@gmail.com går till samma inbox också. Sen kan man filtrera på det och sätta upp regler. Jag har exempelvis [mig]+trash@gmail.com så att de går direkt till papperskorgen, +signup arkiveras direkt och så vidare.

Permalänk
Medlem
Skrivet av klein:

Nackdelen med lösenord som Z&j'<4hLDq'>sXKt jämfört med T!t@Tn!C19!2, det först nämda är mycket svårare , du måste skriva upp det. Redan där är du säkerhetsrisk Titanic lösenord kan du memomera och komma ihåg. Det handlar om det skall ta lång tid att testa fram just ditt lösenord.

Att skriva upp passord som är svår att minnas är inte så riskfyllt som man ville göra gällande förr, så länge man handhar lappen tillsammans med sina andra viktiga lappar som sedlar, körkort och kreditkort - och är snabb att anmäla till sin organisation om man misstänker att den är komprometterad eller saknar lappen en dag. Dessutom besparar man användaren oron att glömma sin komplicerade passord när denne vet att 'backup finns' och om den används ofta till och med lärs in snabbare.

Att dölja att man tappat lappen och dröjer med anmälan i rädsla för straff, är det som kan ge straff - inte att man anmäler så fort som möjligt när man upptäcker att man faktiskt tappade denna om det är organisation med bra säkerhetsstrategi...

Visst, det finns säkerhetsklasser mer av militär nivå av passord/passfras för access/information som inte får skrivas upp, men det gäller ytterst fåtal som det är aktuellt för och då har man också skrivit på papper där man blir upplyst om konsekvenserna med fängelsestraff etc..

Har man tvånget att inte få skriva upp sina passord i företagets (dåliga) säkerhetsstrategi så blir resultatet istället ofta dåliga lättknäckta passord hos många - med totalt sett mycket sämre säkerhet än bra passord på lapp liggande i en persons plånbok/mobilfodral som denne alltid håller reda på.

Sedan kan man försvåra otillbörlig användandet av passordet på en tappad lapp om man blandar upp dem med många andra teckensekvenser av samma karaktär - du vet var någonstans ditt skarpa passord börja och vilken läsordning, men en upphittare som försöker i ditt namn smäller på att de gör för många försök med början på fel ställe och fel antal tecken och kontot stängs eller gör längre timeout (förhoppningsvis) i regel efter 5-10 försök.

lite på den filosofin bygger användandet med https://www.passwordcard.org/en och det inte bara att ta lappen och springa och knacka in för någon annans räkning för den som hittar den.