Tolv RTX 5090 kan knäcka enkla lösenord på en kvart

Permalänk
Medlem
Skrivet av cyklonen:

Fast det är ju åt andra hållet. Man behöver inte kolla hashar mot ett mål, utan man kan sätta en "dator" att generera alla hashar för alla lösenordslängder och diverse teckenuppsättningskomplexitet. Sen sparar man dem i en databas och kan jämföra med hashar som man får tag på. Hasharna kan alltså genereras i förväg, och distribuerat, så tiden startar inte när lösenordsdatabasen har läckt ut, utan kan ha startat för flera år sen.

Säg att man först kör en vända med enbart siffror och bokstäver, små som stora, men inga specialtecken, med längder från 4 tecken (gissar att inga är kortare än så), åtta tecken. När alla såna är klara kan man gå på nästa variant, att blanda in ett specialtecken på en plats, köra alla upp till en viss längd, osv.
Plus att man kan köra flera vändor med längre lösenord där man kör mot orddatabaser och tidigare lösenord från läckor, för att bygga en ännu större databas med färdiga hashar att jämföra mot.

Njaaa, alla seriösa lösenords-hashar har ett slumpmässigt salt

Permalänk
Medlem

Undrar om det nu kommer tredjepartssidor där du kan trycka på glömt lösenord på andra sidor så du kan hacka dig själv.

Permalänk
Skrivet av Klarspråkarn:

Stämmer verkligen dessa siffror? 8 siffror är ju inte många olika kombinationer (100 miljoner, väl?). Bör inte det gå snabbare att brute force:a?

Tänk på att det kan vara både små och stora siffror.

Visa signatur

E-penis: Raven
Tangentbord: LongPlanck

Såld: El Diablo, MakerBox 1.0, MakerBox 2.0, Nucleus, Tetris, Molly

Permalänk
Medlem

Varför ska Svensson sitta med komplicerade lösenord på sin hotmail, det är väl en rätt dålig rekommendation.
Jag köper det på exponerad utrustning som servrar och mission critical lösenord på företag.

Permalänk
Medlem
Skrivet av Dunde:

Varför ska Svensson sitta med komplicerade lösenord på sin hotmail, det är väl en rätt dålig rekommendation.
Jag köper det på exponerad utrustning som servrar och mission critical lösenord på företag.

För att det brukar gå att byta lösenord genom den email man registrerat med på ett flertal andra ställen?

Permalänk
Medlem
Skrivet av PekkaJukkasson:

Tänk på att det kan vara både små och stora siffror.

Hahaha 🤣

Permalänk
Medlem

Antar att jag har missuppfattat något, men, den här typen av knäckning är inte på användarnivå så det är upp till "någon" att skydda sin databas mot stöld etc.
Men jag antar det är rätt kostsamt så ansvaret lämpas över på individen.

Visa signatur

i7 2600k | P8P67Deluxe | Noctua NH-D14 | KFA2 GTX1080 EXOC | Corsair 750W | Corsair Obsidian 800D | Dell U2412M
America's Army: Proving Grounds

Permalänk

Lösenord som koncept är inte så bra egentligen, ur perspektivet av människan som ska använda dem.

Det bästa är hårdvarunycklar eller liknande koncept, exempelvis yubikeys (passkeys) eller bankid. Båda dessa kräver att du besitter något fysiskt (en hårdvarunyckel eller en specifik mobil) samt att du minns en något enklare (pinkod för att låsa upp enheten/godkänna). De är en kombinerad första och andra faktor (inbyggd 2fa) som är mycket enkla att använda.

Till skillnad mot vanliga nycklar så är de både mycket säkrare (att dyrka ett vanligt lås är inte så svårt, men att bryta kryptografin från en passkey eller bankid är praktiskt omöjligt) och de går att använda på flera ställen utan att det kompromissar säkerheten, eftersom sådana fysisktdigitala nycklar är bara samma i ögat av användaren, kryptografiskt är de unika för varje tjänst.

Nackdelen med yubikeys eller bankid är att man behöver någon plan b ifall man av något skäl blir av med sin enhet, vilket ofta slutar i att man får ha en lösenordshanterare ändå (lagrad på flera ställen, så inte lösenordsdatabasen kan brinna upp eller liknande) - man blir alltså inte av med lösenord, man bara slipper använda dem i vardagen.

Permalänk
Skrivet av frankof:

Antar att jag har missuppfattat något, men, den här typen av knäckning är inte på användarnivå så det är upp till "någon" att skydda sin databas mot stöld etc.
Men jag antar det är rätt kostsamt så ansvaret lämpas över på individen.

Korrekt, detta handlar om att lista ut vad för lösenord folk har från en läckt databas (som innehåller hashes av lösenord, inte lösenorden direkt) för att kunna prova dem på andra tjänster (eftersom för många återanvänder lösenord - gör aldrig det för onlinetjänster). Poängen är att enklare lösenord är enklare att dechiffrera från sådana läckta databaser.

Dock kring delen med ansvar så går det tyvärr inte att göra det på ett sätt där det räcker att en part tar ansvar: både de som handhåller databasen och individen som har något lösenordsskyddat hos dem måste ta ansvar.

Det spelar ingen roll hur bra säkerhet servern har om användaren skriker sitt lösenord offentligt överallt eller om lösenordet är "hunter1"..
Det spelar ingen roll hur bra lösenord användaren har valt om servern sparar dem i klartext någonstans oskyddat..