Specops: "Halvlånga lösenord en falsk trygghet"

Skillnaden är, om vi bara har a-zA-Z som lösenord så är det 26*2*antal tecken, så ett 12 bokstäver långt lösenord blir då 52^18 kombinationer vilket är 390,877,006,486,250,192,896 kombinationer.
Säg att man bara tar de 30,000 vanligaste orden, och vi chansar på att det är fyra ord som är valda, så blir det intialt 30000^4 vilket är blygsamma 810,000,000,000,000,000 kombinationer. Men släng på att du chansar på att begynnelsebokstaven i varje ord kan vara stor, men kanske inte på alla ord, så måste du testa varje kombination med stor/liten bokstav på varje av de fyra orden, dvs antalet unika ord blir istället 30,000*2*4 = 240,000, som vi tar upphöjt till 4 för vi tror det är fyra ord. 3,317,760,000,000,000,000,000 kombinationer. Vilket är tio gånger så många kombinationer som att använda ett 12 bokstäver långt lösenord som de påstår tar 24 år att knäcka, men är enklare att komma ihåg än 12 a-zA-Z i kombination. Och det förutsätter att de fyra orden du valt finns med i deras dictionary på 30,000ord. Har du valt ett ovanligt ord eller medvetet eller omedvetet felstavat ett ord eller kanske ett namn mitt i det hela eller bara har med en enda siffra så skiter det sig.

Mao, fyra random vanliga ord, som är mycket lättare för människan att komma ihåg, är redan det bättre 12 bokstäver, men väljer du något smartare ord så failar dictionary hacket helt och de får istället köra bruteforce. Meddellängden på engelska ord är 4,7 tecken så 4*4,7=18,8 = ~19 tecken. Så ett par miljarder år att bruteforce knäcka istället. Så nej, du har fel. Fyra ord duger mer än väl, men det viktigaste av allt är att inte återanvända lösenord.

Förförra uppdraget rekommenderade max 10 tecken på lösenord för att inte bryta legacy-system. Hrhrhrh

Kan också nämna att när man sätter upp en Win 10-maskin och lokal användare med 30+ teckens lösenord så sparar den bara de 21 eller va de 18 första tecknen. Fick ominstallera minst en gång tills jag insåg varför lösenordet inte fungerade. Joy.

Har jobbat för ett större outsourcing-företag i Norden och det där är vanligare än vad man tror. Läskigt.

Sverige må vara en av dom mest digitaliserade länderna i världen, men säkerheten är otroligt kass. IMO pga vi varit med så länge. Alla länder som kommer in sent i utvecklingen får mycket "gratis" så att säga.

Skulle väl säga att allt som tar 100 år eller mer är "grönt", så länge det rör sig om privata lösenord som bara drabbar dig personligen.

Dock kan såklart prestandan på denna brute force hårdvara bli bättre så om 20 år kanske något inte längre tar 100 år, utan 10 år

Med det i åtanke kanske deras färgmarkeringar i tabellen är rimligare

Allt under 8 till 10 tecken anses väll som korta lösenord?

Om alla ställen man ska ha konton på begränsade antalet gånger man kan skriva fel lösenord så skulle ju säkerheten öka något avsevärt.

Inte om hackaren får tag på lösenordsdatabasen. Jag vågar mig på att gissa att brute force inte i vanliga fall går in i den skarpa miljön och försöker skriva in lösenordet via brute force där, utan arbetar på nån slags "offline" lösning.

Men folk får gärna rätta mig rörande hur det brukar gå till

Tack för informativt svar!
Jag kan lite om datorer och algoritmer, men har aldrig läst eller gjort någonting med databaser och dylikt så här är jag väldigt grön.

Så om databasen använt en förhållandevis säker hash-algoritm går det sannolikt inte att hacka den databasen? Jag tänker mig att om man vet nyckeln till algoritmen så bör det väl inte ta många nanosekunder extra att avkoda en bättre hash-algoritm än en sämre? Rätta mig gärna om jag har fel.

Så för att kunna hacka hash-algoritmen så måste man veta lösenordet på minst en av användarna i databasen?

Det handlar inte om att hacka hash-algoritmen utan vanligtvis används välkända algoritmer. Poängen är att algoritmen bara går en väg och att det är svårt att få tillbaka originaltexten från hash-värdet.

En enkel (men dålig) hash är t.ex. att bara summera värdet på bokstäverna i strängen, så t.ex. abc = 1 + 2 + 3 = 6. I det fallet är det förstås enkelt för attackeraren att hitta på strängar som också ger värdet 6, vilket är en av orsakerna till att det är en dålig hash, men bättre metoder gör det mycket svårt att artificiellt konstruera strängar som ger ett visst värde. Så en attackerare blir tvungen att använda "brute force", d.v.s. gå igenom alla möjliga strängar tills de hittar en som ger rätt hash.

Hur det sen fungerar i praktiken är att när användaren sätter sitt lösenord så lagras bara lösenordets hash i lösenordsdatabasen. När användaren sen vill logga in så är det återigen bara lösenordets hash som skickas och jämföras med vad som lagrats i databasen. Så om någon får tag på databasen så får de inte tag på själva lösenorden utan bara hashen, vilka i sig är värdelösa om man inte kan knäcka dem och få tillbaka lösenorden. Det handlar då inte heller om att knäcka hela databasen på en gång, utan man måste knäcka varje lösenord separat.

Finns det någon lösenordshanterare som fungerar då? Jag menar den ska ju fungera överallt där jag behöver generera lösenord, på alla enheter jag använder för att det ska kännas värt det. Finns det en sådan? Det är ju en rätt stor bredd på elektroniken jag använder som behöver lösenord, allt från Nintendo konsollen, appar på telefonen, appar på tvn, Xboxen, Datorn, Routern.....etc

Har bytt ut alla mina lösenord i detta formatet:
r@k$*Zz37JH%9k6ynGHbSnL$KKiB31iewsij

Det gör det väl inte i någon av kolumnerna? Jag undrar om du råkat läsa fel?

Ja men då känns det ju mer som det är bristande säkerhet på webplatsen snarare än användares lösenord

Det blir ju en kombination.

Webbsajten har självklart gjort fel om lösenordsdatabasen läckt, men det är ju även i det läget bara de undermåliga lösenorden som går att knäcka på rimlig tid i det läget.

Jag kör Bitwarden, tycker det funkar riktigt bra.
Det finns förstås inte någon Bitwarden-app till routern eller Nintendo, utan vad gäller såna enheter får du kolla lösenorden via smartphone/dator och mata in dem manuellt.
På många av dessa anger man ju lösenord någon gång per år om ens det, så det ser jag inte som något nämnvärt problem.

Använder Enpass för att generera lösenord. Märks ju att de blir hyfsat långa om man väljer att det bara ska bestå av ord som kan uttalas. Enpass föreslår runt 7 stycken ord för att komma upp i "bra" på säkerhet.

Svaret är; nej.

Om plattformen inte stödjer din lösenordshanterare får du generera och sparar ett nytt lösenord på en annan enhet och skriva in det manuellt. Att nån enstaka gång behöver skriva in ett långt lösenord manuellt kan man stå ut med. Många tjänster har ju även tänkt på detta, tex streaming appar på TVn som ber dig gå till en enkel URL och inom nån minut skriva in en enklare kod för att logga in på ditt konto.

Det är ju utifrån min erfarenhet få av sakerna man behöver lösenord till som har detta problem i praktiken, nästan allt är ju saker som man håller på med på dator, telefon eller liknande, där det verkligen fungerar smidigt.

Det man kan tänka på är väl att kanske välja bort att ha knepiga symboler när du genererar lösenordet om du vet med dig att du kommer behöva krångla in lösenordet genom något on screen keyboard på en TV, spelkonsol eller liknande.

Jag skulle säga att svaret är: "ja till 99%, och den där sista procenten blir iaf inte jobbigare än innan"

Ta regelbunden backup på 2FA-koderna + lösenordshanterarens databas som sparas offsite.

Om jag var otydlig menade jag inte att man inte skulle ha en lösenordshanterare, de bör man haft senaste 10 åren.

Mena mer på att man inte ska försöka hitta en som stödjer allt man använder. Utan dator+mobil räcker. Alternativet är ju att man måste skriva ner alla lösenord i en bok, och det blir inte enklare direkt, eller säkrare.