Microsoft ställer hårdare krav på lösenord för deras tjänster

Trädvy Permalänk
Inhibitor
Registrerad
Dec 1999

Microsoft ställer hårdare krav på lösenord för deras tjänster

För att skydda användarna ställer nu Microsoft högre krav på kraftfulla lösenord. Detta innebär att sådana som anses vanliga och lätta att gissa inte längre kommer godkännas.

Läs hela artikeln här

Observera att samma trivselregler gäller i kommentarstrådarna som i övriga forumet och att brott mot dessa leder till avstängning. Kontakta redaktionen om du vill uppmärksamma fel i artikeln eller framföra andra synpunkter.

Trädvy Permalänk
Medlem
Plats
Stockholm och Visingsö på sommaren
Registrerad
Aug 2012

Bra det här är ett välbehövligt steg i rätt riktning

Trädvy Permalänk
Medlem
Plats
Västra götaland
Registrerad
Sep 2012

Jag väntar fortfarande på att allt fler tjänster tillåter längre lösenord. Finns tjänster som inte accepterar över 16 tecken vilket är rent ut sagt löjligt. Dem hashas förhoppningsvis ändå så bit-mängden blir identisk i vilket fall, om inte skälet är 256bit cap. Men isf bör dem verkligen se över sin hash metod... Jag kan förstå strikta lösenordsbegränsningar mot svaga lösenord men varför i hela världen mot starka.

Kan låta oavsiktligt aggressiv.
Citera eller @philipborg om du vill att jag ska läsa dina svar.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jul 2009

Helt rätt. Många använder alldeles för enkla lösenord och även samma lösenord till flera tjänster.

"The following statement is false: The previous statement is true! Welcome to our corner of the universe"

Trädvy Permalänk
Medlem
Registrerad
Nov 2008

Med tanke på hur många bluffkonton som cirkulerar på nätet så undrar man ju hur många av dessa som står för alla dåliga lösenord? För vem kan vara så jävla korkad som använder 123456 på sina seriösa konton?

Intel i7 6700K | ASUS Z170 Pro Gaming | Palit Geforce GTX 1080 GameRock | 16GB DDR4 | Fractal Design Define R5 | EVGA Supernova G2 750W

Trädvy Permalänk
Medlem
Plats
Inglewood
Registrerad
Aug 2005

Mycket bra och inte en dag för tidigt.

Mina föräldrar hade väldigt simpla lösenord tidigare och trodde att de var säkra så visade dom hur pass snabbt och enkelt man kan knäcka deras lösenord, nu har de betydligt bättre varianter

Dock så måste jag själv bli bättre.

WS: 8700K 4.8ghz - 32GB - 1.5TB SSD - 15TB HDD - GTX 1070 8GB - 40" 3840x2160 - W10 Pro
LAPTOP: Lenovo ThinkPad X131e - 12GB - 120GB SSD - W10
NAS: HP MicroServer Gen8 - 32TB
Mobil: OnePlus 3

Trädvy Permalänk
Medlem
Registrerad
Okt 2001
Skrivet av Gender Bender:

Med tanke på hur många bluffkonton som cirkulerar på nätet så undrar man ju hur många av dessa som står för alla dåliga lösenord? För vem kan vara så jävla korkad som använder 123456 på sina seriösa konton?

Jag hjälper mycket vanligt folk och tyvärr kan jag alldeles för många av deras lösenord enbart för dom är så enkla. Så ja 123456 är faktiskt svårare än några andra jag känner till.

Gallerier: Modern Midi

Trädvy Permalänk
Medlem
Plats
Sthlm
Registrerad
Apr 2004
Skrivet av Gender Bender:

Med tanke på hur många bluffkonton som cirkulerar på nätet så undrar man ju hur många av dessa som står för alla dåliga lösenord? För vem kan vara så jävla korkad som använder 123456 på sina seriösa konton?

Man kanske inte ser Linkedin som ett seriöst konto

Trädvy Permalänk
Medlem
Plats
Bollebygd
Registrerad
Dec 2003

Men det spelar ju inte så stor roll om hela tjänsten blir hackad och alla lösenorden kommer ut oavsett vilket lösenord du har. Eller har jag fattat fel?

Trädvy Permalänk
Medlem
Registrerad
Okt 2001
Skrivet av Svantesson666:

Men det spelar ju inte så stor roll om hela tjänsten blir hackad och alla lösenorden kommer ut oavsett vilket lösenord du har. Eller har jag fattat fel?

Man kan gissa enkla lösenord. Låste upp polarens telefon efter 2 försök så jag kunde factory reseta den.

Gallerier: Modern Midi

Trädvy Permalänk
Avstängd
Plats
Stockholm
Registrerad
Mar 2011
Skrivet av Svantesson666:

Men det spelar ju inte så stor roll om hela tjänsten blir hackad och alla lösenorden kommer ut oavsett vilket lösenord du har. Eller har jag fattat fel?

Ja, det är väl så lösenorden kommer på vift, mestadels. Microsoft kanske skulle fokusera på att göra sina egna program och tjänster säkrare ur det perspektivet, istället för att lägga över "skulden" på användarna?

.

AMD Thunderbird 1.33 GHz (133 MHz Bus), Epox 8K7A, 1 x 256MB Corsair PC2100 DDR SDRAM, 20.5GB 7200 RPM Western Digital EIDE, Visiontek GeForce 3

Trädvy Permalänk
Medlem
Plats
Bôgda
Registrerad
Mar 2012
Skrivet av philipborg:

Jag väntar fortfarande på att allt fler tjänster tillåter längre lösenord. Finns tjänster som inte accepterar över 16 tecken vilket är rent ut sagt löjligt. Dem hashas förhoppningsvis ändå så bit-mängden blir identisk i vilket fall, om inte skälet är 256bit cap. Men isf bör dem verkligen se över sin hash metod... Jag kan förstå strikta lösenordsbegränsningar mot svaga lösenord men varför i hela världen mot starka.

Min arbetsplats har en maxlängd på 8 tecken, i de flesta system ej skiftlägeskänsligt.

Desktop: | Win10 | InWin 303 | ASUS X99-A | Intel i7-5820K | Gamerstorm Captain 240 | Intel 600p 256GB | MSI R9 380 Gaming 4GB | 32GB DDR4 2400Mhz | Corsair RM650x | 3x 1080 Screens |
Datacenter: | 1x Physical | 7x Virtual |
Laptop: | Yes |

Trädvy Permalänk
Medlem
Plats
~/
Registrerad
Sep 2010

@Svantesson666: Nej. Men det ger oss en insikt i hur dålig löseord många använder. Men inte minst mer data till att bygga bruteforce verktyg. Vilket gör vanliga lösenord ännu sämre.

Själv rekomenderar jag alla att skaffa en lösenordhanterare så som lastpass eller keepass gärna i kombination med två faktors autentisering så som google autenticator eller yubikey. Brukar även vara lätt att övertala folk att skaffa det efter att man vissat att det går att bruteforca deras löseord på under två minuter. Speciellt när dem inser hur smidigt det är speciellt lastpass. 100kr om året är ju inte mycket när många har konton med totalt värde på över 10kkr.

Laptop: Surface Book 2 15" (Windows 10)
WS: RYZEN 1700, 32GiB, 756GB SSD, 5TB HDD, RX480, GTX 670 (Ubuntu LTS + GPU Passthrough (GTX670) Windows 10)
Övrigt: HP 1910 24G, SOPHOS XG, Unifi AP-AC PRO, Note 8
Server cluster: 3x R710 (Proxmox)
Cluster resurser: 144GB ram, CPU 72trådar, Storage tiers [T1 1,9TB (SSD), T2 13TiB (HDD)]

Trädvy Permalänk
Medlem
Registrerad
Jan 2013

Ganska fånigt, jag har enkla lösenord till saker som inte är viktiga, vissa konton är bara sådant man skapar snabbt för att få åtkomst till en hemsida eller liknande, har skapat flera mail för att göra fler än ett konto till t.ex spel osv.

Trädvy Permalänk
Medlem
Registrerad
Okt 2011

Verkar rätt dumt. Så nu har dom en lista av dom vanligaste lösenorden som dom blockar, så vad kommer hända?
Jo, det blir nya lösenord som blir dom nya vanligaste.
Vad ska dom göra då? Lägga till dom i listan, och fortsätta så?
Det verkar ju inte hållbart.

Det är bättre om Microsoft använder ett JavaScript som visar hur starkt lösenordet som användaren skrivit in är.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Feb 2007

Lösenord är ett idiotiskt och uråldrigt koncept. Svåra att komma ihåg, enkla att knäcka eller knycka via databaser där de sparas i textformat. Vi använder ju inte lösenord när vi ska identifiera oss IRL, då bör vi inte heller göra det online.

Mobilt Bank-ID, retinascanner och fingeravtrycksläsare behöver användas så snart som möjligt.

AMD Ryzen 5 1600 | ASUS Prime X370 Pro | OCZ Vector 512GB | Fractal Design Newton R3 600W | Fractal Design Define R4| Corsair Venegance Red DDR4 16GB 3000MHz | Powercolor Radeon HD7970 | Eizo Foris FS2331

Trädvy Permalänk
Medlem
Plats
Linköping
Registrerad
Mar 2006

Något Microsoft gärna får införa är att man kan använda lösenord som är 20 tecken eller mer Stör mig fruktansvärt på att jag inte kan använda långa lösenord på hotmail (vilket också är kopplad till/samma som mitt MSDN-konto).
Förutsatt att det inte ändrats nyligen så tror jag max-gränsen är någonstans mellan 10-15 tecken.

┻━┻ ︵ ヽ(°□°ヽ)
(╯°□°)╯︵ ┻━┻
┻━┻ ︵ \( °□° )/ ︵ ┻━┻

Trädvy Permalänk
Medlem
Registrerad
Okt 2001
Skrivet av kazen_90:

Lösenord är ett idiotiskt och uråldrigt koncept. Svåra att komma ihåg, enkla att knäcka eller knycka via databaser där de sparas i textformat. Vi använder ju inte lösenord när vi ska identifiera oss IRL, då bör vi inte heller göra det online.

Mobilt Bank-ID, retinascanner och fingeravtrycksläsare behöver användas så snart som möjligt.

Och dom går ju inte alls att knäcka eller....

Gallerier: Modern Midi

Trädvy Permalänk
Medlem
Plats
Östersund
Registrerad
Jan 2011
Skrivet av apamedvapen:

Något Microsoft gärna får införa är att man kan använda lösenord som är 20 tecken eller mer Stör mig fruktansvärt på att jag inte kan använda långa lösenord på hotmail (vilket också är kopplad till/samma som mitt MSDN-konto).
Förutsatt att det inte ändrats nyligen så tror jag max-gränsen är någonstans mellan 10-15 tecken.

har för mig att det är 16 som är max, samt att man inte kan använda en hel del specialtecken som tex mellanslag i lösenordet...

CPU: i7 4770k Noctua NH-D14 MOBO: Maximus VI Hero GPU: GTX 980 RAM: 16 GB 1600 MHz Chassi: R4 PSU: Corsair AX860 Hörlurar: SteelSeries 840 Mus: Logitech G500s V.v. citera mig för att få svar.

Trädvy Permalänk
Medlem
Registrerad
Jun 2003

We are the music makers, and we are the dreamers of dreams.
Youtube | Spotify Playlists | Soft | Rapp | Rytm | Kött | Kalas |

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Maj 2009
Skrivet av philipborg:

Jag väntar fortfarande på att allt fler tjänster tillåter längre lösenord. Finns tjänster som inte accepterar över 16 tecken vilket är rent ut sagt löjligt. Dem hashas förhoppningsvis ändå så bit-mängden blir identisk i vilket fall, om inte skälet är 256bit cap. Men isf bör dem verkligen se över sin hash metod... Jag kan förstå strikta lösenordsbegränsningar mot svaga lösenord men varför i hela världen mot starka.

läste en artikel om längden för typ ett år sedan, kan tyvärr inte länka den för jag hittar den inte igen. men personen tog upp problem med längden och att vissa former inte ens fungerade med för långa lösenord.
dock håller jag med dig. föredrar att ha lösenord som "sweclockersärdetbästasomfinns" istället för "j7V!Sc*Rhz&s"

Min dator: Silent Base 600 | 1700X @ 3.9Ghz | MSI Gaming X 1080TI | RM750X | 512Gb M2 | 16Gb 3200mhz Ram | S34E790C @ 3440x1440
Tjejens dator: Define r4 | i5 3570k @ 4.2ghz | GTX Titan | 750w Supernova | 240gb SSD | 32gb ram
Citera/Tagga för svar!

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Feb 2007
Skrivet av pa1983:

Och dom går ju inte alls att knäcka eller....

De är i alla fall svårare att glömma bort, så slipper folk välja dåliga lösenord, alternativ skriva ner dem på papper. Dessutom är fingeravtryck och retina-inscanningar betydligt mer komplexa än "123456". Tänk efter nästa gång du ska göra dig finurlig.

Skickades från m.sweclockers.com

AMD Ryzen 5 1600 | ASUS Prime X370 Pro | OCZ Vector 512GB | Fractal Design Newton R3 600W | Fractal Design Define R4| Corsair Venegance Red DDR4 16GB 3000MHz | Powercolor Radeon HD7970 | Eizo Foris FS2331

Trädvy Permalänk
Medlem
Plats
Lund
Registrerad
Jul 2001

Varför skriva 123456 när 13971397 exempelvis är lika lätt att komma ihåg men betydligt svårare att knäcka (inbillar jag mig iaf.)?

An nescis, mi fili, quantilla prudentia mundus regatur?
PC
HTPC
Mediaspelare

Trädvy Permalänk
Medlem
Registrerad
Okt 2001
Skrivet av kazen_90:

De är i alla fall svårare att glömma bort, så slipper folk välja dåliga lösenord, alternativ skriva ner dem på papper. Dessutom är fingeravtryck och retina-inscanningar betydligt mer komplexa än "123456". Tänk efter nästa gång du ska göra dig finurlig.

Skickades från m.sweclockers.com

Jag gör mig inte ett dugg finurlig. Fingerskanners är ju knäckta på telefoner sedan länge. Du behöver inte attackera systemet direkt heller. Även en skanner sparar information, en digital signatur.
Lagras inte den säkert så vad hjälper autentiseringsmetoden då tänkte du? Totalt ointressant om ett finger eller öga används så länge systemet motar rätt information är det ända viktiga.
Fingerskanners har sedan länge bevisats opålitliga även påkostade sådana.
Nästa gång någon snor ditt certifikat från din dator du använder för autentisering så lär du inte känna dig så himla intelligent.

Nästan gång du svarar tänk efter först.

Gallerier: Modern Midi

Trädvy Permalänk
Medlem
Plats
Sverige / Stockholm
Registrerad
Nov 2006
Skrivet av kazen_90:

De är i alla fall svårare att glömma bort, så slipper folk välja dåliga lösenord, alternativ skriva ner dem på papper. Dessutom är fingeravtryck och retina-inscanningar betydligt mer komplexa än "123456". Tänk efter nästa gång du ska göra dig finurlig.

Skickades från m.sweclockers.com

Jag gillar iofs inte alls att någon skulle kunna stjäla/kopiera någons retina eller fingeravtryck digitalt via en webbserver attack mot något företag som har kopior av det.
Kanske i framtiden även kunna printa ut detta fingeravtryck man stulit och begå brott IRL med såna "gummituttar" för att sätta dit någon.
Men framförallt att man eventuellt kan logga in överallt bara för att man lyckades kopiera någons fingeravtryck från hans iPhone (digitalt), eller via en attack mot tex LinkedIn som då hade hållt det sparat digitalt, eller varför inte stjäla det (irl) från hans coca cola burk för att kunna logga in lite varstans.

Skulle det inte vara för såna saker hade jag hållt med dig i denna fråga, men det finns lite ruggiga risker med systemet.

Dator: EEE901 N270/ 1GB / 20GB SSD ... Kraftigt nedbantat/tweakat Win7 x86 for speeeEED!
Facebook användare? Hatar tidslinjen? gå med i denna FB-grupp:
Undo Timeline ...med lite tur får h*lvetet ett slut!

Trädvy Permalänk
Medlem
Registrerad
Jul 2009

Microsoft har ju sin verifikationsapplikation som fungerar likt bank-ID. Varje gång man loggar in (med rätt lösenord) måste man godkänna det via appen. På så vis borde det ju bli svårare för hackare att få åtkomst till ens konto, även om de har lösenordet.

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Jul 2004

Var väl helt på tiden att dom gjorde nåt åt det. Om jag inte missminner mig så var det väl inte allt för längesen som dom hade 16 tecken som maxgräns (om dom nu inte fortfarande har kvar det). Och det är nästan ingen sida som har det annars, men Microsoft av alla ska ha det. Skämt.

Trädvy Permalänk
Medlem
Plats
Jönköping
Registrerad
Feb 2011

Har man "123456" och liknande lösenord så förtjänar man alla följdverkningar av det.

Första inlägget i en tråd är sällan relevant när tid har förflutit. Vänligen svara på mitt senaste inlägg i tråden, inte det första, annars blir det kass. http://ozzed.net Min egenkomponerade 8-bit musik. Gillar du musiken från gamla klassiska NES eller Gameboy och liknande är det värt ett besök. :) Jag finns också på Spotify, Bandcamp, Jamendo, Youtube, och du kan även följa mig på Twitter och Facebook.

Trädvy Permalänk
Entusiast
Testpilot
Plats
Chalmers
Registrerad
Aug 2011
Skrivet av apamedvapen:

Något Microsoft gärna får införa är att man kan använda lösenord som är 20 tecken eller mer Stör mig fruktansvärt på att jag inte kan använda långa lösenord på hotmail (vilket också är kopplad till/samma som mitt MSDN-konto).
Förutsatt att det inte ändrats nyligen så tror jag max-gränsen är någonstans mellan 10-15 tecken.

Skrivet av swehunter2000:

har för mig att det är 16 som är max, samt att man inte kan använda en hel del specialtecken som tex mellanslag i lösenordet...

Skrivet av Perfn:

Var väl helt på tiden att dom gjorde nåt åt det. Om jag inte missminner mig så var det väl inte allt för längesen som dom hade 16 tecken som maxgräns (om dom nu inte fortfarande har kvar det). Och det är nästan ingen sida som har det annars, men Microsoft av alla ska ha det. Skämt.

Visst är det så. Skrev om det för över två år sedan. En jävla parodi är vad det är, särskilt i kontext av den här artikeln.

– Ni får inte ha lätta lösenord på våra tjänster.
– OK, då väljer jag ett sv…
– App app app, det går inte för sig! Du får inte ha mer än 16 tecken i ditt absolut viktigaste lösenord.

5930K • Corsair DP 32 GiB • EVGA GTX 980 • 2x Swift PG278Q
Better SweClockersDisplayPort över USB-C

Köp processor för framtiden™, men inte grafikkort.

Trädvy Permalänk
Medlem
Registrerad
Feb 2010
Skrivet av Svantesson666:

Men det spelar ju inte så stor roll om hela tjänsten blir hackad och alla lösenorden kommer ut oavsett vilket lösenord du har. Eller har jag fattat fel?

Lösenord lagras (av kompetenta företag i alla fall) hashade. Så om någon snor deras databas med lösenord måste hackaren använda en hel del beräkningskraft för att få fram lösenorden. Med bra hashning (och salt) blir det faktiskt rätt svårt att få fram bra lösenord i klartext. Dåliga lösenord däremot knäcks ändå.

Här är en rätt bra förklaring av lösenordslagring:
https://nakedsecurity.sophos.com/2013/11/20/serious-security-...

RAID != Backup