Permalänk
Skrivet av perost:

202 000 år kanske låter mycket, men i samma tabell från fyra år sedan så stod det 2 miljoner år i den rutan. Skillnaden är att de istället för ett RTX 2080 använde 8x A100 hyrda hos Amazon AWS. Beräkningskraften som en privatperson enkelt har åtkomst till ökar kraftigt med tiden.

Hmm, vad kostar det att hyra 8st A100 hos AWS i 202000 år? 😅

Permalänk
Hedersmedlem
Skrivet av LittleBobbyTables:

Hmm, vad kostar det att hyra 8st A100 hos AWS i 202000 år? 😅

Om det fortsätter går ner med en faktor 10 var 4:e år så kan du ju vänta i 20 år, sedan knäcka det på två år på den dagens hårdvara.

Visa signatur

Asus ROG STRIX B550-F / Ryzen 5800X3D / 48 GB 3200 MHz CL14 / Asus TUF 3080 OC / WD SN850 1 TB, Kingston NV1 2 TB + NAS / Corsair RM650x V3 / Acer XB271HU (1440p165) / LG C1 55"
Mobil: Moto G200

Permalänk
Inaktiv

Kör endast med tjänster från Switzerland pga deras hårda datalagar. Securesafe, protonmail osv. Riktigt nöjd än så länge. Zero knowledge och verkliga end-to-end kryptering. Har alltid 32 långa ord lösenord med lowercase, siffor och special tecken. Har lagt till också firefox monitor på mina e-mails så fall något skulle inträffa eller ligga ute på darkweb så meddelas jag om dom vet om.
Har dessutom bett om att radera alla konton jag någonsin skapat, dom jag minns. Tog mig några månader men lärt värt att slippa bli drabbad av it stöld på konton som ligger och skräpar.

Permalänk
Medlem

Detta! Detta är anledningen till att jag kör Lastpass.
En läcka, som troligen/förhoppningsvis inte betyder något. De upptäcker det direkt, utreder det, informerar kunderna inom ett par veckor. Helt lysande.

Annat är det när Sony eller andra läcker klartext som såll i flera år.

<3

Visa signatur

Fractal Design Define R3 | HP ZR24w & Hyundai L90D+ | Corsair HX520W | Asus P8P67 Pro | i5 2500k @ 4,0 | Samsung 850 Evo 500GiB | GTX960 | 16 GB

Permalänk
Avstängd
Skrivet av Taskman:

Största problemet är sidor som har krav på lösenord men sen sätter stop för mer än 12 eller 16 tecken samt även inte tillåter specialtecken. Dessa sidor borde upphöra direkt.

Det är ju rent livsfarligt att inte kunna ha lösenord genererade med valfri hanterare med mer än 16 tecken. Jag kör normalt 32 som minimum på allt där det går bara för att. Exempel på hur de kan se ut: 7%C*8!#n5k4&^6i!7#66*ND%G7^4$yG8
Sen 2Fa ovanpå det överallt där det går och undviker SMS 2Fa om det går då det inte är helt säkert.

Jag har stött på en sida som hade begränsning på 6 tecken för lösenordet.

Permalänk
Skrivet av anon342610:

Kör endast med tjänster från Switzerland pga deras hårda datalagar. Securesafe, protonmail osv. Riktigt nöjd än så länge. Zero knowledge och verkliga end-to-end kryptering. Har alltid 32 långa ord lösenord med lowercase, siffor och special tecken. Har lagt till också firefox monitor på mina e-mails så fall något skulle inträffa eller ligga ute på darkweb så meddelas jag om dom vet om.
Har dessutom bett om att radera alla konton jag någonsin skapat, dom jag minns. Tog mig några månader men lärt värt att slippa bli drabbad av it stöld på konton som ligger och skräpar.

Yup Proton mail is great, but there is no point to have 32 character long password

It's better to add some 2FA app like Google Authenticator or even better Aegis

https://getaegis.app/

Authy is also worth mentioning but not secure as Aegis!

Permalänk
Medlem

Självklart ska man ha lösenordsbank, men den ska vara offline. Keepass är bra!

Visa signatur

Nybörjare på Linux? Se hit! #15665841

Permalänk
Skrivet av evil penguin:

Notera att denna visualisering visar hur lång tid man förväntar sig att det tar att knäcka dessa år 2022.

Färgerna förväntas fortsätta att skifta åt det röda/lila hållet (precis som de gjort tidigare, oavsett om just denna visualisering använts så länge) och det är därmed helt rimligt att anta att den verkliga tiden blir betydligt kortare om man t.ex. påbörjar knäckandet om några år istället för idag.

Man vill ha så mycket marginal man rimligen kan få.

Vad käbblar ni om?

Skrivet av xxargs:

Den bilden stämmer ganska bra med attack-prestanda av 1000 miljarder hashes i sekunden.

PBKDF2 mfl. algoritmer har man mer regelmässigt infört keystretching med många iteringar rehashes av skapade hashen - förr hade man fasta nummer som 20000, 32768, 65536 ( ger 14,3, 15, 16 bit extra i entropi) iteringar för att göra det jobbigt även med dåliga password - dvs var test tar tid att även ordlista med 1 miljon vanligaste password tar rejäl tid att testa igenom.

modernare algoritmer för tex. diskkryptering kör ofta nu mera hur många iterationer man hinner med på 1 eller 2 sekunder för den hårdvaran som skapar volymen och då börja man prata om hundratusentals till många miljoner iterationer. - att skapa krypterade volymen på en värsting PC (2 sekunder) kan sedan när samma volym öppnas på en RPI4 ta sådan tid att du hinner med en fika i tid för att öppna volymen.

Man börja lära att var fast värde i iterationer man tror är mer än tillräckligt - är några år senare inte alls tillräckligt.

Du menar ju mer fast värde i iterationer som adderar till entropinin?

Permalänk
Medlem
Skrivet av stgr:

Jag har stött på en sida som hade begränsning på 6 tecken för lösenordet.

Jag har stött på en ganska stor webbutik som till för bara något år sedan "för enkelhets skull" tillät att man angav sitt lösenord eller sitt postnummer för att logga in. Så jag antar att det blir 5 tecken

Permalänk
Inaktiv
Skrivet av Forestlander:

Yup Proton mail is great, but there is no point to have 32 character long password

https://i.ibb.co/ydwbRvy/20220826-213854.jpg

It's better to add some 2FA app like Google Authenticator or even better Aegis

https://getaegis.app/

Authy is also worth mentioning but not secure as Aegis!

Jag kan klistra och kopiera lösenordet utan att själv behöva skriva in hela. Så tar alltid 32 för säkerhetsskull.
Har faktiskt också authy där det finns tillgängligt. Ska kolla upp aegis

Edit: Never Mind. Fanns bara till android, har iphone.

Permalänk
Medlem
Skrivet av perost:

Jag har stött på en ganska stor webbutik som till för bara något år sedan "för enkelhets skull" tillät att man angav sitt lösenord eller sitt postnummer för att logga in. Så jag antar att det blir 5 tecken

Det är en webbutik man inte borde handla ifrån, känner igen det på något annat. Att man anger postnr.

Och en av de största utbildningsföretagen i Sverige använder ett användarsystem där man kan logga in i systemet bara genom en länk som man får i ett e-postmeddelande. Detta system används även av andra stora företag i Sverige. Visade min kontakt där och skickade länken till henne och hon blev förskräckt när hon bara genom länken loggade in som mig direkt. Hon tog det vidare men inget hände. Där kunde man läsa dokument som kan vara känsliga, personnr, skriva meddelande till andra, m.m.
Tänkte ta det vidare själv, men orkade inte hålla på.

Visa signatur

7600X,Tomahawk B650,NH-U12A,32GB,RX6700,Black SN850 1TB,860Evo 1TB,RM850x, 27GL850,Torrent Compact

Permalänk
Medlem

Kör Eset password manager, Nu när jag börjat genererad 32bokstäver/bokstäver/tecken lösenord på alla ställen så blir jag lite skrämd hur många sidor som har typ maxgräns på 8bokstäver och väldigt få specialtecken

Visa signatur

.:Cpu:. AMD Ryzen 9 5950x 3.4GHz:. .:Motherbord:. Asus ROG strix X570-I .:Ram:. 32 GB .:SSD M.2 1TB .:Gpu:.ASUS GeForce RTX 2070 SUPER 8GB ROG STRIX GAMING OC 2560 x 1440 (144Hz), .:OS:. Windows 10 Pro 64-bit .:Chassi:. BitFenix Prodigy M .:Skräm:. Main Acer 24" Predator XB241YU Second Viewsonic VX2268wm 120Hz

Permalänk
Skrivet av anon342610:

Jag kan klistra och kopiera lösenordet utan att själv behöva skriva in hela. Så tar alltid 32 för säkerhetsskull.
Har faktiskt också authy där det finns tillgängligt. Ska kolla upp aegis

Edit: Never Mind. Fanns bara till android, har iphone.

Ah iphone
Aegis is simple the best!

For iphone/macos apps that are opensource: Raivo OTP and Tofu

Permalänk
Medlem
Skrivet av Dinkefing:

Vad käbblar ni om?

I grund och botten att tabellen som diskuterades *inte* visar något slags prognos för det snabbaste sättet att knäcka de längre lösenorden utan hur lång tid det tar på given hårdvara från 2022, vilket verkade orsaka viss förvirring.

Kan ju då t.ex. vara snabbare att vänta med att starta körningen än att köra igång den på 2022 års hårdvara, samt då för den delen att jobbet skalar bra så det går ju även att sprida lasten över fler enheter än räkneexemplet är baserat på.

Färgläggningen är väl däremot baserad på något slags ungefärlig prognos för vad som har god säkerhetsmarginal.

Visa signatur

Desktop: Ryzen 5800X3D || MSI X570S Edge Max Wifi || Sapphire Pulse RX 7900 XTX || Gskill Trident Z 3600 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304

Permalänk
Medlem
Skrivet av Christley:

Har man många datorer, flyttar sig mellan många platser, använder mobiler och har hundratals konton då är det inte möjligt att komma ihåg det själv. Eftersom man inte ska ha ett gemensamt lösenord. Visst kan du ha allt lokalt men då måste man antingen ha med sig ett usb minne (som jag inte får köra på jobbet), hosta lösenorden själv över internet (kan lika gärna använda cloud tjänster då) eller minnas alla konton du har i huvudet eftersom du helt plötsligt kan glömt synka ett.

Det är enkelt, och därför gör folk det

Jag bytte till Vaultwarden från Keepass just för den integrerade syncen, men kör det endast lokalt. Klienterna har inga problem att använda en cachad databas när jag inte är hemma, eller om servern är nere.

Permalänk
Medlem

Biwarden och Keepass är det enda vettiga. 👍

Permalänk
Medlem
Skrivet av perost:

Jag har stött på en ganska stor webbutik som till för bara något år sedan "för enkelhets skull" tillät att man angav sitt lösenord eller sitt postnummer för att logga in. Så jag antar att det blir 5 tecken

När jag skaffade mitt Hotmail-konto 1997 så var kravet endast fyra(!) tecken. Efter ett antal år så var man tvingad till längre lösenord (minns ej antal tecken) vid nyregistrering, men det ställdes aldrig något krav på uppdatering av ens kralliga fyrsiffriga lösen 😆

Visa signatur

Truddelutt :)

Permalänk
Medlem
Skrivet av Dinkefing:

Just detta är att folk som ständigt skryter om hur briljanta de är att hitta på och komma egna komplexa ord i huvudet som de försöker spara i minnet aldrig kommer slå en lösenordshanterare när det kommer till mer komplexa längre ord. Inte ens en savant skulle klara det bättre.

Använt sunt förnuft och använd en lösenordshanterare.

Tror du underskattar vissa savanter

Visa signatur

Primär Dator: Asus Sabertooth Z97 Mark 2/USB 3.1 | Intel Core I7 5775C | 32GB RAM (DDR3 1600MHz) | Nvidia Geforce GTX 1070 (Asus Strix) | Corsair HX750i 750W | Fractal Design Define R5 | 3,5TB SSD + 3TB HDD + 64TB NAS + 36 TB Backup | Asus Xonar Essence STX II | Win10 Pro

Permalänk
Medlem

Aldrig aldrig ha dina lösenord på internet....
Här är orsaken.

Keepass är och har alltid varit lösningen för mig

Visa signatur

Fractal Design Define R6, ASUS X99a, Xeon E5-2697v3@3.5Ghz allcore, 64gb Hynix ECC REG 2133Mhz, ASUS 1070GTX, 2.5gb nic

Server: Proxmox med OMV 5 och annat virtuellt: Supermicro X9SRH-7F, 64gb RAM, Xeon 2651v2, 4x10tb, 2.5gb Nic

Permalänk
Hedersmedlem
Skrivet av Gnarf:

Aldrig aldrig ha dina lösenord på internet....
Här är orsaken.

Fast de krypterade lösenorden läckte ju inte.
Och om de hade gjort det hade det inte heller varit hela världen tack vare krypteringen, så länge som man har ett starkt masterlösenord. Så detta är väl knappast någon stark anledning att inte använda någon molnbaserad tjänst?

Visa signatur

Asus ROG STRIX B550-F / Ryzen 5800X3D / 48 GB 3200 MHz CL14 / Asus TUF 3080 OC / WD SN850 1 TB, Kingston NV1 2 TB + NAS / Corsair RM650x V3 / Acer XB271HU (1440p165) / LG C1 55"
Mobil: Moto G200

Permalänk
Testpilot
Skrivet av Navicula:

Incidenter som denna kommer alltid att hända, därför bör alla memorera de viktigaste lösenorden i huvudet och lagra övriga på papper i sådan form att andra inte förstår.

Det är lite jobbigt när man har sådär över 800 unika lösenord att hålla koll på diverse olika sajter och program

Utan en Password Manager hade jag förmodligen haft betydligt sämre säkerhet då jag skulle använda samma lösenord på flera tjänster, för inte hade jag orkat bläddra igenom en pappersbok eller släpa denna pappersbok med mig överallt (sparar inte auto-login, så behöver logga in varje gång överallt).

Speciellt när dessa är samtliga minst 16 tecken och autogenererade..

Visa signatur

R < ROG G17 | R9 5900HX | 32GB 3200 MHz | RTX 3070 >

G < R9 5900X | 32GB 2666MHz | ROG RTX 3090 Ti >

B < RK96 | VGN K75 Pro | Deathadder V2 Pro >

Permalänk
Medlem
Skrivet av Henrik11:

Lösenord som sparas "i webbläsaren", är det lokal lagring eller sker det via molnet? Hur står sig sådan lösenordshantering?

Vad jag minns så står de sig urkasst. Det kanske har ändrats nu men de brukade ju vara lätta att läsa ut (det fanns plugins som kunde visa alla sparade lösenord).

Permalänk
Medlem
Skrivet av Nimafor:

Kör själv med lastpass av att det är smidigt, sen tror jag en hanterare med ett starkt master är avsevärt säkrare än att använda samma lösen på flera platser.

Undrar hur starkt mitt master är som är 48 tecken långt 🙂

Ditt lösenord blev nu betydligt osäkrare, de behöver inte längre testa de 47 tecken innan.

Permalänk
Medlem
Skrivet av guermantes:

Vad jag minns så står de sig urkasst. Det kanske har ändrats nu men de brukade ju vara lätta att läsa ut (det fanns plugins som kunde visa alla sparade lösenord).

De sparas lokalt OM du inte själv väljer en cloud service somalternativ (det finns i diverse plugins)

Visa signatur

Fractal Design Define R6, ASUS X99a, Xeon E5-2697v3@3.5Ghz allcore, 64gb Hynix ECC REG 2133Mhz, ASUS 1070GTX, 2.5gb nic

Server: Proxmox med OMV 5 och annat virtuellt: Supermicro X9SRH-7F, 64gb RAM, Xeon 2651v2, 4x10tb, 2.5gb Nic

Permalänk
Medlem
Skrivet av Sions:

Ditt lösenord blev nu betydligt osäkrare, de behöver inte längre testa de 47 tecken innan.

förstår att ditt inlägg var sarkastiskt, men du dribblade bort mig någonstans för jag kunde inte utläsa humorn i ditt inlägg

Permalänk
Medlem
Skrivet av anon342610:

Jag kan klistra och kopiera lösenordet utan att själv behöva skriva in hela. Så tar alltid 32 för säkerhetsskull.
Har faktiskt också authy där det finns tillgängligt. Ska kolla upp aegis

Edit: Never Mind. Fanns bara till android, har iphone.

Raivo är en annan opensource 2FA.

Permalänk
Hedersmedlem
Skrivet av Nimafor:

förstår att ditt inlägg var sarkastiskt, men du dribblade bort mig någonstans för jag kunde inte utläsa humorn i ditt inlägg

Det är ju faktiskt sant. Om någon vill knäcka ditt lösenord och de vet att det är 48 tecken så är det färre kombinationer än att testa alla lösenord på 1 tecken, alla på 2, alla på 3 ... alla på 47, alla på 48.

Att det sedan inte gör praktisk skillnad är en annan sak. Skillnaden blir bara ett par procent, och oavsett vilket så är det ofantligt osannolikt att lyckas knäcka det med brute force.

Visa signatur

Asus ROG STRIX B550-F / Ryzen 5800X3D / 48 GB 3200 MHz CL14 / Asus TUF 3080 OC / WD SN850 1 TB, Kingston NV1 2 TB + NAS / Corsair RM650x V3 / Acer XB271HU (1440p165) / LG C1 55"
Mobil: Moto G200

Permalänk
Medlem

Lite lösenords humor, troligen lika aktuellt idag som när den gjordes.
https://youtu.be/RfAdux3XidM

Permalänk

Authy has been hacked, here is how to protect yourself
https://www.androidpolice.com/authy-hacked-what-to-know/

Only offline backup and open source!

Permalänk
Medlem
Skrivet av Thomas:

Det är ju faktiskt sant. Om någon vill knäcka ditt lösenord och de vet att det är 48 tecken så är det färre kombinationer än att testa alla lösenord på 1 tecken, alla på 2, alla på 3 ... alla på 47, alla på 48.

Att det sedan inte gör praktisk skillnad är en annan sak. Skillnaden blir bara ett par procent, och oavsett vilket så är det ofantligt osannolikt att lyckas knäcka det med brute force.

Haha, då gjorde jag rätt som var lite nojjig och tog en siffra som var i närheten (+-10) av vad jag igentligen har 😋
Men som du skrev hade säkert inte blivit något även om jag sagt det rätta antalet heller