94 procent av alla lösenord är osäkra

Ok, så mer om regelverket företag borde ha för sina lösenord. Låter rimligt det du säger. Tack för förklaring.

Ja, det är ju lite https://neal.fun/password-game/ över det hela ibland (om någon inte testat lösenordsspelet så är det rätt underhållande).

Perfekt spel ju!

Edit:
Jag orkade hit:

Om man nu ska räta ut detta på riktigt så får man nog tänka sig att göra separata sådana färgglada tabeller för slumpade tecken respektive slumpade ord, annars blir det snurrigt att försöka jämföra styrkan.

Jag förutsätter här (det är det enda rimliga antagandet som jag kan tänka mig iaf), att de för att skapa sin färgglada tabell har räknat på hur lång tid det tar att gissa med bruteforce på teckennivå. Där typexemplet för 18 gemener i deras räkneexempel innebär lösenord som "xyebmkrcwiviqyeifp".
Men om man jobbar med ord som byggsten blir det ju en genväg att köra bruteforce utifrån en (ganska stor) ordlista istället, och i en jämförelse så vill vi ju veta hur starkt lösenordet faktiskt är vid en smart attack, inte hur starkt det är förutsatt att det attackeras utifrån fel strategi.

Nu drar jag till med en ordlista på 10000 ord jämnt för att ha något att räkna på, för sett till populära diceware-listor t.ex. så är det väl snarare 1000-8000 ord som populärt brukar användas. Jag tog ett generöst exempel för demonstration av vad jag vill åt.

Exempel på hur det ändå blir viss skillnad:

26^19   = 766467265200361890474622976
10000^4 =           10000000000000000

Sedan kan ju fyra ord absolut vara tillräckligt bra, men man ska inte titta på hur lång tid någon anser att det tar att testa 26^19 teckenkombinationer för att bedöma hur säkert fyra ord faktiskt är om man vänder och vrider lite på det.
Det jag vill ha fram här är just att det finns mer djup i det hela än att stirra på en färdig tabell skapad utifrån ett scenario och försöka applicera den i alla situationer. För om man gör det så blir det ju vilseledande.

Däremot håller jag ju helt med om att ökning av lösenordets längd snabbt fullkomligt dominerar alla andra aspekter av vad som ingår i lösenordet, just längden ger ju exponentiell ökning av antalet kombinationer. MEN man får samtidigt vara ärlig mot sig själv och mäta lösenordslängden i vad det nu är för byggstenar som man faktiskt kombinerar.

Sedan då att man faktiskt ser till att slumpa det hela, oavsett om det är ord eller vad det är. Människor är typ skitsämst på att hitta på något slumpmässigt, så om man väljer själv istället för att slumpa så får man ju veta med sig att man avsiktligt saboterat kvaliteten jämfört alla sådana där tabeller och råd vars underliggande beräkningar utgår från att det är slumpade lösenord.

Förvisso sant, men vet nog ingen sida som är bättre även om de tappat

Jag skulle påstå att det inte är särskilt säkert att enbart använda ord som finns i vilken standard-dictionary som helst, och dessutom bara fyra.

För att göra XKCD:s exempel betydligt säkrare, lägg åtminstone till ett extra ord som inte finns i standard-dictionaries.

Kanske lägligt att tipsa om Google Titan-säkerhetsnyckel för 35kr?
Jag vet inte hur det är för er, men loggar jag in på Google så har jag lösenord sparat till typ allt där.

https://store.google.com/product/titan_security_key?hl=sv

Spännande prissättning. Är det fel valuta? Verkar som att den kostar 35€ i andra länder.

Är dock ej i lager just nu tyvärr

Jag hade under många år samma lösenord till allt: Waagh. Det funkade utmärkt och jag blev aldrig hackad. Nu har jag en lösenordshanterare och alla mina lösenord ser ut typ så här: likhuYFytDF67%0789&9(. Jag skulle ALDRIG komma in på mina konton om den råkade försvinna en dag.

1. Det är du som beter dig hysteriskt, och vilket beslut du syftar på vet jag inte. Jag har aldrig ens testat en Yubikey.

2. Nej, det är inte ett usb-minne, du kanske skulle läsa på lite.

3. Nej, det är inte en bluffverksamhet, ska du komma med sådana påståenden får du ha bevis, nu framstår du bara som en ogrundad konspirationsteoretiker.

Gillar att 5 miljarder år bara får en gul färg.

Jag har aldrig använt Yubi-key och orkar inte googla, men jag är ganska övertygad om att det inte är ett USB-minne i vanlig bemärkelse utan en någorlunda "härdad" mikrokontroller som är tänkt att omöjliggöra att den som kommer över enheten kan läsa ut nycklarna (även med ganska avancerad utrustning). Förvisso lagrar den säkert data i ett flash-minne, vilket är samma teknik som används i vanliga USB-minnen, men det är ju också det som används i datorer, telefoner, och i de flesta andra moderna digitala grunkor. Att såga en enhet pga det låter extremt konstigt?

Eller missförstår jag helt ditt inlägg? Du får gärna skriva mer utförligt om det är så att du är insatt i det här och inte bara svamlar.

Ingen vet att den finns och därför inte angriper den?
De har sålt säkerhetsnycklar sedan 2008 och har kunder i över 160 länder. Har/haft flera stora företag som kunder (Google/Facebook). https://www.yubico.com/resources/reference-customers/

"Google confirmed that FIDO U2F Security Keys were best suited to deliver on the company’s security and usability needs. Shortly thereafter, Google expanded its deployment of the YubiKey to all staff and contractors for secure computer and server login, reaching more than 50,000 employees." https://www.yubico.com/resources/reference-customers/google/

Nu säljer Google en egen säkerhetsnyckel, så vet inte i vilken utsträckning Google använder yubikey i dagsläget.

Vad jag kan hitta så använder de EEPROM minne, som har mycket högre läs/skrivcykler. Kommer med andra ord inte vara några problem under produktens livslängd. Har du har någon information på att det skulle vara några problem i längden så får du gärna dela med dig av den.

En yubikey är inte ett standard usb minne från Amazon. Dom tillverkar den själva i Sverige och USA.

Till exempel för att minska attackytan på produkten så är firmware låst.
"It is currently not possible to upgrade YubiKey firmware after manufacturing and deployment. To prevent attacks on the YubiKey which might compromise its security, the YubiKey does not permit its firmware to be accessed or altered."

Man kan också läsa:
"Vår första YubiKey byggdes på USB-komponenter. För att förbättra YubiKeys fysiska säkerhet, beslutade vi senare att bygga all vår hårdvara på säkra element, som också används på chip-utrustade kreditkort och pass. Säkra element tillhandahåller urprungsautentisering av komponenterna och bidrar till att förhindra att en bedragare med fysisk kontroll över en enhet, kan extrahera eller ändra koden."

Diagrammet gäller sannolikt för sant slumpmässiga lösenord av den givna längden, men inte för den sorts lösenord människor brukar skapa på egen hand. Ska man ha med människor att göra är det bättre att låta dem hitta på (mycket) längre om än mindre komplexa lösenord i verkligheten. Om de sen börjar komplicera lösenorden på egen hand, exempelvis genom att stoppa in mellanslag, specialtecken, felstavningar eller siffror, så gör det bara en god vana ännu bättre.

Gutt, mitt svagaste lösenord kräver 164 år. Vill dom hacka mig över 100 år efter jag hamnat i marken får dom göra det.

Inte förvånad, i Spanien och Portugal har jag märkt att IT-kunskapen är som svenskt tidigt 2000-tal

Vill tro att nordiska länder ligger i framkant tack vare digitaliseringen som tvingat användare att bli mer säkra men majoriteten av alla länder är ju extremt mycket långsammare

Idén är så kallad "två-faktor-autentisering". Tjänsten du använder vet att du har rätt Yubikey i din besittning OCH att du vet ett lösenord. Det är skillnad mot att t ex använda en lösenordshanterare på din dator, eftersom de i allmänhet bara bygger på mjukvara och nycklar som kan kopieras om man vet lösenordet.

Jag kan beskriva hur det fungerar mer i detalj om du är intresserad (dock inte för just Yubikey eftersom jag inte är insatt i den, men för den här typen av lösningar generellt sett).

Frånsett den lilla detaljen att det är enklare att komma ihåg utan och att en lång mening är ändå säkrare och därmed tillräckligt säker. Men att lång text är jobbigt för en del bevisade du ju genom att missa det jag faktiskt hade skrivit.

Spelar ingen roll om det finns i dictionaryn eller inte, eller ja, klart det blir ÄN säkrare att göra så, men kombinationerna öknar så otroligt mycket för varje ord att bara 4-5 ord och det är med dagens tekniker och datorer "omöjligt" (50-100år++ konstant tuggande) att knäcka det.

Vem bryr sig om lösenord, när alla lämnar kaksmulor efter sig?

https://www.varonis.com/blog/cookie-bite

Hur skyddar man sig bäst mot en attack likt ovan?

Själv försöker jag undvika WebView2 som pesten och kör Waterfox med NoScript. Men det räcker tyvärr med en trasig länk i kedjan för att allt ska brista.

Det kryllar av hackade Instagram- och Facebook-konton, där admin-konton har skapats utan användarnas vetskap. Meta har själva noll koll på sina applikationer. Lite baksidan med hela SSO-tänket.

One Hack to Rule Them All!

Tabellen visar hur lång tid det tar att gå igenom samtliga möjliga kombinationer av tecken för varje konfiguration, dvs en garanterad knäckning. Vid brute force kan genomsnittstiden för att hitta lösenordet antas vara halva den maximala tiden. Och i teorin, om än väldigt osannolikt, kan man hitta det på första kombinationen som testas. Om tiden för komplett beräkning är 164 år, är det en procents risk att rätt lösenord hittas efter knappt två år.

Och beräkningen bygger på 12 st RTX 5090. Med 120 kort är totaltiden en tiondel. Med 1200 kort en hundradel.

Så här ser mina lösenord ut. Just dessa är bara genererade för att visa här, så inga jag använder, så klart, men längd och form är samma. Jag känner mig trygg med att de är säkra nog, i sig själva. Hanteringen på sajter internt kan jag inte påverka, men det gäller oavsett metod.

iRghmcnb5Qnw§fJ½CulBG-'§Rq%gp6AF

t]c{5R{£UXT>=]M[(f>/w6cDK(%§/uhi

(UG§\hYbJ()¤DUW§RlH7b`T4x2n_Yw)P