Specops: "Halvlånga lösenord en falsk trygghet"

Har inte de flesta sidor på nätet skydd mot brute forcing?

Kan man btw ställa in det på windows 10 exv?

Jo, men då har de ju redan haft access på ett eller annat sätt. Blir lite som den här diskussionen om någon lyckas skapa sig fysisk access t.ex. genom att 'dåligt' USB-minne du tar hem till din dator. Genom att ge fan i att koppla in upphittade enheter så får man ett hundraprocentigt skydd mot den attackvektorn.

Å nej. Min lösen tar mellan 200 och 348tn år att bryta. Känner mig så osäker
Däremot lär de väll vara knäcka sidorna de är på istället och sno lösenorden där ifrån.

Edit: Lösenordsdatabaser inte sidor. Fick jag läsa ovan.

Ja såklart, så dum jag känner mig nu

Jepp, och det är därför man ska ha väldigt stor marginal som tidigare nämnt. 3000 år låter kanske extremt mycket, men blir datorerna 1000 ggr snabbare så är det bara 3 år -- och sådana prestandaökningar har vi ju sett förut.

Sedan så är ju dock som sagt just denna grafiken för (osaltat) MD5, så bra hashning av lösenord (typ bcrypt, Argon2) är bra många gånger starkare än detta.

Och denna databas har då inget lösenord för att kunna öppna den när den ligger lokalt på en dator?

Som jag tolkar ditt svar rätt så ser hackaren alltså inte lösenorden i databasen på sin dator, utan gissar ett lösenord som sedan verifieras mot databasen på datorn? Och detta kan ske miljarder gånger i sekunden?

Access till vad? Vad kan de möjligen ta på din dator?

Jämför det med dina login till email, paypal etc etc. Har du inte tvåfaktorautentisiering så kan du inte ens bevisa för PayPal att du är du. Ingen refund.

Och det är bara ett konto av flera dussin du inte vill exponera.

Det där tror jag visserligen inte gates sagt riktigt.
Det är snarare en av de mer seglivade internetskrönorna.

Men ja! Det ett grafikkort kan räkna på idag motsvarar säkert 100 grafikkorts beräkningskapacitet för... Ja tolv fjorrton år sedan. Vissa delar mindre, andra delar är långt mycket snabbare än det till och med.

Så om ett gäng år kan man säkerligen knäcka grejer på en hundradel av tiden mot idag.

Men de verkar ha tänkt på det i artikeln ändå. Färgskalorna för lösenorden. En del kombinationer tar en miljard år idag (på en dator) att tugga igenom och de har ändå inte fått grön färg 😁. Även om man knäcker det på en tusendel av tiden så tar det ett tag hehe.

Nope. De är inte låsta med lösenord (och ja, du har tolkat det hela rätt)
Det är databaser. De är tänkta att användas av servern för att kunna verifiera att de användarnamn och lösenord som skickas in via webben stämmer. Därför behöver de vara åtkomliga. För de används konstant. I servern alltså.

Sedan ska såklart inte vem som helst komma in i servern. Det finns såklart skydd mot intrång. Men inget är helt intrångssäkert.

Däremot ska lösenorden vara hashade (vilket inte heller alltid sköts men det är ett annat kapitel). Alltså de är scrambled med en algoritm så de är omgjorda till nonsens. Och det går inte att backa den algoritmen. Det är en envägsprocess. Så vad de kommer över är användarnamn och en lång sträng.

En hel lista med sådana.

Vad man som hacker så önskar göra är att även få tag i hashalgoritmen. Det är också ett eget kapitel så vi lämnar den delen.

Det som sedan görs är att man kan testa att stoppa in en jädra massa textsträngar in i hashalgoritmen och se om den spottar ut en sträng som är likadan som någon användare i databasen.
Det är det här som kan ta tid. Hur lång tid? Ja det visas i diagrammet i artikeln.

Körde krypterat filsystem på filservern för ett par år sedan med 100 slumpade tecken (siffror, bokstäver och specialtecken). Jag memorerade det som 10st lösenord med 10 tecken i varje och för att komma ihåg ordningen så memorerade jag första tecknet i varje del. Tog ett tag att skriva in och antagligen hyfsat onödigt men själva lösenordet var inte något större problem. Så att memorera längre lösenord nu är trivialt. Kommer fortfarande ihåg slumpade lösenord jag använde när jag pluggade för 20 år sedan men det sitter som muskelminne. Jag kommer tex inte ihåg vad det var för mailsystem de körde men jag kommer ihåg lösenorden jag använde- hyfsat selektivt minne

3 miljarder år skulle det ta att knäcka mitt lösenord då
känns ju stabilt

Att en bov får tag på en databas är ett allvarligare problem än ett enklare lösen i stil med "Sommar2022". Kontolåsning efter ett par felaktiga lösen funkar bra även om man har "Sommar2022" som lösen. Det är lite hysteri angående komplexa lösen, huvudsaken man väljer olika för olika tjänster.

438tusen år är för kort tid... brb byter lösen!

Även om man lyckats skapa ett säkert lösenord bestående av ord så kvarstår ju problemet att man inte bör återanvända lösenord. Då behöver man isåfall komma på nya kombinationer av ord för varje inloggning vilket känns väldigt mycket jobbigare än att använda en lösenordshanterare.

Jag har kört Bitwarden som lösenordshanterare + YubiKey (med NFC) som fysisk 2FA i 1½ år typ, och det fungerar riktigt bra tycker jag. Använder Bitwardens lösenordsgenerator med 20+ tecken (små bokstäver, stora bokstäver, siffror och specialtecken). Känns som ett ganska ok skydd för en privatperson.

Har även lärt min "boomer"-morsa om detta och hon klarar av att använda Bitwarden nu utan problem, både på PC och mobil.

Om en tjänst får intrång och får sin användardatabas stulen så kan man sedan utföra hur många försök man vill offline. Om man då får sitt lösenord knäckt och använder samma överallt så är det kört sen. ☺️

Du behöver alltid minst tre lösenord ändå: du måste in i datorn, telefonen och lösenordshanteraren. Och jobbar du nära hårdvara finns det ställen där det är smidigare att använda en komplex passphrase på några ord än att manuellt knappa in innehållet i en helt slumpmässig sträng eftersom du inte alltid kan klippa/klistra.

Glömde svara på detta: Om du kommer på orden är de inte slumpmässiga. Använd en lösenordshanterare även för detta, men introducera vid behov ytterligare komplexitet själv.

Tänkte mer på https://webauthn.guide/

Men som du säger så kanske vi snart slipper tänka på säkerhet, då moderlandet har sina egna CA i våra enheter.

Som redan nämnts så är detta lite som att ropa varg. MD5 har inte vart aktuellt på många år och att prata om långa lösenord med MD5 hash och inte tänka på kollisioner gör det bara mer oseriöst.

Bra svar, håller helt med. Nu tog jag nog det mest extrema i hur man skulle förvränga orden. Tänker att det borde gå att lura ordlistor enklare utan att behöva använda 7 ord. Bara om man kör Kazekami så borde man väl tvinga attacken till att testa alla möjliga kombinationer av hur ordet kan vändas på. KazeYodda!99SoKamiDa skulle jag nog rätt enkelt kunna komma ihåg men ändå borde en brute force attack vara rätt oeffektiv.

Fast å andra sidan, har man 7 ord så kan man ju krångla till det mindre och kanske bara slänga in en medveten felstavning nånstans. Om jag använder ordet mjölk i en sträng kanske det kan knäckas, men Miullk blir svårare, men fortfarande extremt lätt att komma ihåg.

Sen gäller det väl att hitta balansen mellan att busa till ett ord men ändå minnas, och att ha en stor mängd ord. Hur många varianter kollar en ordlisteattack egentligen? Om jag kör ordet smörgåsbord men bara skriver Mörgåsbor så borde dom ju behöva testa sanslöst många kombinationer för att ens komma fram till det ordet, och sen kör man 4 ord till med lika udda fel. Istället för SmörgåsbordKungenYodaFlaggstång kör man MörgåsborKnugen!JodaStångFla99 t.ex. Fast det kanske blir för snurrigt ändå, jag utgår bara ifrån hur mitt minne funkar 🙂