Specops: "Halvlånga lösenord en falsk trygghet"

Absolut! Alla dessa förutsätter att databasen läckt och att hackarna kan sitta och göra vad de vill med datan.
Om inte det skett så ligger man långt bättre till än vad dessa worst case-beräkningar säger.

Kanske tar höjd för hur länge de uppskattar att de är säkra för brute force.

Jag kör Hunter2 på allt

Nej men, Bitwarden med Yubikey(s) är najs!

Jag skulle uppskatta om någon bättre vetande kan klargöra i vilket sammanhang och med vilka antaganden det här är relevant.

Liknande siffror/tabeller postas ju titt som tätt både här och där, men om jag har fattat det rätt så är en grundförutsättning att de presumtiva hackarna har tillskansat sig en hash-table med login och lösen, så att man kan testa möjliga lösenord mot tabellen och inte en faktisk login-server.

Edit: Sent ute

Jag tycker iaf att det är riktigt dåligt att detta inte klargörs i dessa artiklar.

Artikeln: "långa enkla lösenord osäkra"
Tabellen i artikeln: "18 tecken lower case only tar 2 miljoner år att knäcka"

2m år känns ju ganska tryggt tycker jag personligen

Allt handla inte bara om lösenordet utan man ska också göra inmatningsrutinen på ett säkert sätt tex lägga in en timer som förhindrar täta försök att prova lösenord, en människa påverkas inte av om det måste vara några sekunder mellan varje försök men för nån maskin som ska prova sig fram gör det enorm skillnad om man kan testa miljontals i sekunden eller ett var 5 sekund och en mekanism som ger en ännu längre spärr efter ett antal felaktiga inmatningar gör det smärtsamt långsamt att prova sig fram. Säg att man maximalt kan mata in 10 felaktiga lösenord på ett dygn så går det inte så fort att traggla sig igenom en lista.

Ja har man 32 tecken och det inte finns på ställen som lagrar i klartext så sitter man lugnt några år till.

Så stort hinder är det inte. Men såklart blir det knepigare. Folk ger gärna tillgång till system, 90% av alla intrång går genom social engineering. När man väl är inne har du ofta inte tvåfaktor.

Alla såna här saker antar att du har en databas lokalt som du jobbar mot. Att sitta och köra bruteforce mot en hemsida (mer än typ top 100 lösenord) är väldigt ovanligt.

Oftast har du en databas att köra mot, varför är att man inte ska ha samma lösenord på flera ställen.

Kommer man in på din dator och du har sparade lösenord i webbläsaren eller windows så får man ju en databas att köra mot. Då knäckar men den och tar lösenordet mot tjänsten man verkligen ville ha.

Mitt screenlock lösen är mellan 20-30 tecken lång och har alla möjliga specialtecken.
Enda anledningen till att den är så pass lång och svår är att frugan inte ska kunna lära sig den. Sneaky!!!

Yes. Och de sprids ju på nätet. Det går att hämta hem listor från nätet med läckta inloggningsdatabaser. Från mängder av olika läckor.
Jag lovar att exempelvis alla inte ändrat lösenord på dropbox sedan det blev hackat för flera år sedan. En stor andel användare har ingen aning om att det skett. Säg att hälften av användarna från den tiden sitter kvar med gamla lösenord. Inte omöjligt - om än helt framgissat som exempel.

Sedan kan ju även inloggningsdatabaser ha läckt från företag - där de inte berättat om intrånget. Både medvetet, men det kan även vara så att de själva inte märkt av det hela. Hur många fler företag har läckt datan än vi känner till?
Kundklubbar för bio, gym eller liknande som inte har perfekt ordning på allt. Inte alltid företaget som sköter den tjänsten själva ens utan det kan vara tredjepart.

Det är klart att man kan argumentera för att man bör ha olika lösenord på alla tjänster. Men det är av relevans här att password och 123456 är vanliga lösenord. Det är många som har för låg säkerhet - både när det gäller val av lösenord men även att lösenorden återanvänds.

Edit:
Det här svarade ju inte på frågan haha.
Men svaret är att vi inte vet hur stor andel av våra inloggningsuppgifter som kan vara tillgängliga i databaser riktigt. Men det är rimligen fler än de kända attackerna vi känner till som rapporterats globalt. Och för de som återanvänder lösenord är risken rätt stor.

Vad är det för dåliga sidor som låter dig testa flera miljoner lösenord utan att hindra dig?
Skriver jag fel lösenord på eposten mer än typ 7 gånger så blir jag utelåst och måste vänta typ 30 minuter innan jag kan försöka igen.

Finns stora svenska företag som har krav på MAX 7 tecken och inga specialtecken/åäö på sina interna lösenord
Så såna problem ser man tyvärr ofta.

Detta har behandlats tidigare i tråden.
Detta handlar om vad som händer när databaser läcker, som när sidor blir hackade. Väldigt få attacker sker som du nämner med att bara testa olika lösenord online, bortsett då från enstaka privata ärenden som en svartsjuk partner som försöker komma in på ditt mailkonto och se om du varit otrogen.

qwerty123456!! är alltså säkert?

Njaa. Det man kan göra är att testa kombinationer av ord istället. Sätt ihop alla möjliga ord för attacken.

Alltså tar man de 5.000 vanligaste orden i svenskan och kombinerar det på alla möjliga sätt så är det ungefär lika många kombinationer som 8 slumpvis tecken ger med stora, små, siffror och specialtecken. Det tar ca 30 sekunder att rassla igenom.
Redan här kommer man kunna knäcka ett helt gäng av lösenorden om det bara är 4 ord.

Tar man de 10.000 vanligaste orden och kombinerar så går det att kombinera på lika många sätt som ca 9 slumpartade tecken. Alla de ordkombinationerna kan testas på minuter. Det kommer kunna knäcka en hel hög till av lösenorden med 4 ord.

Metoden att använda ordkombinationer tror jag är bra ändå. För vi minns dem lättare. Och det går att få till bra lösenord den här vägen.

Men 4 ord är för få. Jag skulle säga som allra minst 6 ord. Helst 7 eller fler ord för att hålla en rimlig säkerhet. Slumpgenererade.
4 ord räcker inte riktigt.
Det kan räcka på individnivå om just de orden man valt inte är med i en ordboksattack. Men statistiskt sett kommer en rimlig mängd lösenord på 4 ord bli knäckta på minuter eller sekunder i en ordboksattack.

Mitt lösenord är delbart med 0

Har varit med om hemsidor som har sagt att mitt lösenord är för långt. Really?!

Kan någon förklara varför sidor inte tillåter bokstäver utanför engelska alfabetet. Varför inte ha med åäö, borde inte det göra lösenord mer komplexa genom att ha ytterligare tre bokstäver?

Man kan ju ha flera ord, köra lite felstavat, kombinera med siffror och tecken, dela upp orden osv så kan man komma ihåg det men det blir ändå väldigt svårt att knäcka. Om man istället för YodaKamikazeSoda kör på YO!Kaz3k@miSodaDA99 så kan man nog minnas mönstret men att köra brute force mot ordlista och testa alla tänkbara kombinationer av hur ett ord kan stavas, delas upp, kombineras, brytas av med tecken så blir ordlistan snabbt rätt oeffektiv. Men jag kanske underskattar hur sofistikerat brute force kan vara. Men det är klart, ska man minnas flera såna ordkombos med olika ord och sätt att förvränga så kan det bli snurrigt, men det går nog hitta egna system för att minnas saker som ser helt random ut.

Vid det tillvägagångssättet så ger å andra sidan inte långa lösenord något bättre skydd heller.

Beror ju på vem du lurar. Om blir lurad men du har inte admin eller tillgång till rätt databaser så behöver man ju gå vidare.

Då är det viktigt att eventuellt lagrat admin konto på din dator har långt lösenord så man inte knäcker det inom några minuter.

Då stämmer alltså inte denna seriestripp som det länkades till tidigare i tråden?

https://xkcd.com/936/

Om jag kör "eget" brukar jag köra 13 tecken som består av gemener, versaler, specialtecken och siffror + en unik sak för varje tjänst. Så landar kanske på 20 tecken eller så.

Kör jag med en passwordmanager brukar jag köra minst 32 tecken så länge tjänsten stödher det.
Det jobbigaste är ju tjänster som kräver "8-12 tecken och får endast bestå av stora och små bokstäver samt sifforr"

Fast på din dator har du ju inget av värde. Men du kan ha massa lösenord sparade, om än hashade. Det är dessa som knäcks med metoderna som diskuterats.

Nu har hackaren inlogg till alla dina sidor istället, där värdet finns.

Ja och nej.
Det är sant att man kan bygga upp svårighetsgrad i lösenordet med att bara kombinera ord. Det går bra att göra. Metoden är bra.

Men 4 ord är för lite.
Eller ja, det räcker rimligen för en andel av alla sådana lösenord. Men ett helt gäng kommer också bli knäckta väldigt fort.

Är det bara jag som reagerar på att för 18 tecken går det snabbare att bruteforca lösenord med siffror, stora och små bokstäver + symboler än bara stora o små bokstäver?

"tn" står nog får trillion vilket är 3 tiopotenser mer än "bn" som står för billion. Tn är alltså inte tusen...vilket förkortas med "k"