Populäraste lösenordet 2022 är password

Problemet är inte att kunna logga in. Problemet är om du byter platforms så finns det idag inget sätt att föra över alla dina nycklar till nått annat.

Tex om du sparat 100-tals nycklar på din iPhone idag och du vill byta till Android så går de inte att föra över dem utan du måste logga in på varje tjänst och och byta nyckel.

Angripa substitutions-password är något som finns i alla cracking-program och det första man försöker med, så det är inte att anses som speciellt säkert och en av orsakerna som gör att de sticker ut gentemot sant slumpade tecken i password är att mängden specialtecken är för stor gentemot huvudordet och att placeringen av dessa är rätt förutsägbart.

En 3-ords passfras med skiljetecken mellan orden är i det avseendet betydligt säkrare av den enkla anledning att antalet tecken är oftast betydligt fler redan från början och många crack-program testar inte ens så långt i antalet tecken då det oftast bara jagar de lågt hängande frukterna med en rimlig beräkningsinsats per password.

Windows är av historiska orsaker (läs SMB v.1 och resterna av det som kan finnas kvar 'aktivt' även om det är 'avstängt') är inte säker med password med mindre än 15 tecken och att köra en 3-ords passfras med enkla ord gör det lätt att komma över totalt minst 15 tecken lång password och betydligt säkrare än ett 14 teckens password av slumpad modell pga. svagheterna som finns i SMB v.1 [3]

Men visst har man specialiserade cracker för att man vet att passfras används och som bara angriper passfraser så är 3 ord i passfrasen inte så överdrivet starkt skydd mot brute force och man känner till vilken ordlista (och språk) dessa baseras på - här är antalet ord/längden kung när det gäller att göra det svårangripet.

Skall man närma sig 78 bitar i entropi bör man dock ha 6-ord passfras från ett alfabet av 7776 ord [2] och att dessa slumpas fram. (78 bit entropi ger ungefär 50% chans att hitta den rätta kombinationen efter ca 3000 år med 1000 miljarder tester per sekund), och det hjälper inte att angriparen vet vilken ordlista som används.

Dom rätt stora listorna jag har på password i klarspråk så är knäckta/läckta 3-ords password väldigt sällsynta även om de existerar - går man upp i 5 eller 6 ord i sin passfras så är de i princip icke existerande såvida det är inte från läckor med password/passfras i klarspråk eller av kända citat från media och religiösa källor.

[1] Det var så jäkla illa att man fick förbjuda 'pdf' dokument som dokumenttyp i deras (oftast svindyra) dokumentationssystem då det totalhavererade annars när dessa två dokument stoppades in i systemet... och pdf använd väl aldrig någonsin i dokumentationsammanhang, eller hur...

[2] diceware-lista av ord - finns idag för olika språk, varför just 7776 är för att det är 5 kast med 6-sidig tärning per ord ur listan (6⁵ = 7776 = 12,92 bit) och att mängden ord i listan motsvarar ungefär antal engelska vanligt använda ord som Shannon använde sig av i sitt arbete som sedan är mer känd som Shannons lag och Shannons limit i informationsöverföringsteori över störda/brusade kanaler.

[3] i SMB v.1 man delar upp 14 tecken i grupper om 7 - sedan gör man versaler av gemena tecken vilket gör 7-grupps-tecken kan bara välja mellan 69 olika unika tecken vilket ger 6,1 bit entropi per tecken och med 7 tecken ger entropi av 42,76 bit vilket ger 7446353252589 möjliga kombinationer och med rigg som klarar 1 miljard Hash/s (DES i det här fallet) skulle det ta 7445 sekunder eller strax över 2 timmar för en fullständig brute force. folk skriver sällan mer än 10 tecken password och man paddar med '0' på det som inte anges för att fylla upp till 7 tecken i datafältet, så en brute-force attack behöver bara angripa 7 + 3 teckens password vara den sista går på delar av en sekund, ja millisekund..

Lösenord Tid att knäcka
funplanet 18 minuter

Det är ju rätt bra ändå.
Tänk vad lång tid det skulle ta att knäcka tusentals lösenord om alla bytte till funplanet

(Nej inlägget är inte seriöst menat)

Jag gillar mitt nuvarande system som jag använder i ett sammanhang som kräver lite extra säkerhet, utgår från lyrik i en sång jag gillar eller känt citat eller liknande som jag redan kommer ihåg, tar de första två bokstäverna i varje ord. L33Tifierar något och byter något mot ett icke-alphanumeriskt tecken (i regel vokaler), stor bokstav på ett eller två av de mer signifikanta orden.

Exempel, som jag nu aldrig kommer använda, ni kan ju försöka gissa låten, använd spoilers
th1$noPayoarRe

Borde nog gå över till en hanterare, men aldrig orkat sätta mig in i det.

Den intressanta statistiken vore väl isf. huruvida aktuella lösenord är överrepresenterade hos dom som faktiskt får sina lösenord "knäckta". Annars är ju siffrorna över hur lång tid det tar att knäcka ett lösenord lika intressant som att säga "7 är högre än 5....".

Som länkas här nedan så är det inte helt enkelt att göra detta säkert. I botten är det ju FIDO där man har nycklar i hårdvara och krypteringen sker i hårdvaran och inget man vill exportera till andra enheter. Men om du har en iphone idag kan du testa att logga in via QR och blåtand på tex https://webauthn.io/ i en annan webläsare.

Och jag vill understryka att varken Google eller Microsoft har släppt sin lösning ännu. Det är bara Apple i och med ios 16/ipados 16.1/macos 13 som gjort det. Där alla supportade plattformar har hårdvaruchip för att hantera nycklar och kryptering säkert på plattformen. Andorid och Windows är helt klart mer fragmenterat och långt ifrån alla har tpm på sin windows dator...

Dessa siffror och lösenord säger ju inte i sig att det är många som använder dåliga lösenord?

polaren hade en dator på jobb, handskrivet lösenord, klistrat på skärmen…
ca 15 bokstäver/tecken slutade på C
efter 14 försök gav han upp & kallade på personen som skrivit lappen
”nänä det är inget c, det är en parantes”😁

Byt program
Nej men så är det, exakt därför jag kör det på många ställen, för många brute force verktyg har samma problem. Samma med svenska tecken.
Det finns de som klarar bägge, men du slipper en hel del script kiddies iaf.

Säkerheten är för mig en kedja av olikt starka länkar. Nycklar som hålls bakom t.ex biometri tycker jag är en svag funktion om det används som gatekeeper till många länkar i kedjan.

Låt oss säga att du kan emulera input för biometri med t.ex ett falsk ansikte eller fingeravtryck, då skulle alla nycklar på alla enheter som använder just det som input vara tillgängliga. Om du loggar in i Windows med biometri, plus att biometri används för nycklarna till webauthn så har du egentligen en attackvektor som ger all access.

Kombinera med 2fa på en annan enhet så har du ytterliggare en gatekeeper. Logga in i Windows med ett lösenord i stället med lösenord eller en hårdvarunyckel så har du ytterliggare en. Etc, etc. Lager på lager.

Det som är till biometrins fördel är att det är ett fysiskt lager, så vida det inte finns några buggar i chippen. Nackdelen är att input till biometri ofta är tillgängligt genom foton eller avtryck.

Vänta tills du ser en arbetsplats med mainframe som inte hanterar lösenord över 10 tecken.

Alla är tvingade att ha lösenord på 5-9 tecken, inga åäö, inga specialtecken.

Några av Sveriges största företag kör så...

Efter att jag bytte från ASSword666 till P155mAsTeR&&& så har jag inte blivit knäckt en enda gång.

'Jag har blivit "HACKAD"'

Yeah... sure.....Gissar de som blivit "HACKADE" i 99/100 fall bara har världens mest obvious lösenord.

Själv använder jag Sommar2017. För alla riktiga hackers vet att man använder Sommar2022 nu. Så jag är säker!

Du måste ju använda fet stil om det ska fungera…

Så här: ************

Jag hade rekommenderat att kolla på samma OTP-lösning som microsoft/google authenticator:

https://github.com/google/google-authenticator/wiki/Key-Uri-F...

https://freeotp.github.io/qrcode.html

Det här klippet tycker jag passar i den här tråden för det visar hur man gör för att knäcka lösenord.

Kommer aldrig ihåg mina lösenord. Något fel på mig kanske?

Om det ska vara något helt lokalt så är det väl främst Keepass och dess derivat som brukar komma upp. Skulle föreslå https://keepassxc.org/ isf.

För den stora massan känns ju dock synk + mer direkt integration aktuellt, och då skulle jag föreslå Bitwarden https://bitwarden.com/

Så klart det är en kedja där den svagaste länken är det som utnyttjas. Och här är nog användaren i fokus skulle jag vilja påstå. Som jag ser det så är den stora fördel med biometri är att man kan fråga om autentisering oftare än vad man gör idag. Så kan man få bukt med sessioner som är långlivade och överlever byte av IP adresser. Finns ju en anledning varför banker frågar om verifiering varje gång du vill logga in och för varje transaktion du gör.

Jag antar att de flesta har sina 2FA i dag i mobilen, i bästa fall skyddade med biometri så för den stora massan ser jag detta som ett bra steg framåt. Det hindrar ju inte att man fortfarande kan ha flera lager där man behöver det.