Microsoft ställer hårdare krav på lösenord för deras tjänster

Har heller ett bra lösenord än fingeravtryck eller en retinascanner.

Inga rena sifferkombinationer är säkra. (Så länge vi pratar längder som gemene man kan minnas, jag snackar inte om extremfall.)

Det vet jag, [*[*[CyNt4x3rr0R]*]*] är betydligt bättre än en ren sifferkombination. (inbillar jag mig igen)

Såg du något frågetecken? Använde ironi för att kontra dit påstående att andra metoder är så mycket säkrare.

#14450012

kommenterade på den tråden också 😉

Ja, det har du, generellt. Om tjänsten är fruktansvärt dålig, och sparar lösenorden i klartext, så har du rätt. Du vet att dom gör det om dom kan påminna dig om ditt lösenord..

Har dom nån form av säkerhetstänk så sparar dom bara så kallade hash av alla lösenord. Det innebär att om lösenorden kommer ut är dom i förvrängd form. Det var detta som Linkedin hade gjort. Dock går detta att knäcka genom att köra in alla möjliga lösenord i algoritmen, och se vad som kommer ut. Matchar det en hash så har man hittat vilket lösenord det är. Linkedin hade dock använt en dålig algoritm (innebär att den är snabb, vilket gör att det går fort att testa lösenord). Det är därför så många av lösenorden är på vift nu. Hade du ett rätt så långt lösenord (tänk 11 tecken och upp) så kan du vara ganska säker på att ditt lösenord är ok ett tag i vart fall. Med tanke på tiden från läckan så behöver haft minst ett par tecken till för att fortfarande känna dig säker.

Om inte Linkedin hade klantat sig, så hade de haft en bättre algoritm. De hade dessutom haft med så kallat salt. Det är en slumpmässig sträng som läggs till ditt lösenord. Även om den skulle sparas i klartext tillsammans med ditt användarnamn, så innebär det att det skulle ta lika lång tid att knäcka ett enda lösenord, som att knäcka samtliga som är lika långa som ditt. Alltså, de måste testa alla lösenord bara för att jämför med just din hash. Istället för att kunna testa alla lösenord och testa mot allas hashar samtidigt.

Då får jag mer jobb...

Citat från gubbarna som sparar lösenordet i browsern för flera år sedan:
"Jag har fan ALDRIG skrivit nått lösenord för att läsa mina mejl!"

Citat från allt för många användare:
"men kan jag inte ta mitt barns mellannamn och födelseår?"

Citat från dem med Windows 8/10 och Microsoft konto:
"men....du kunde ju låsa upp kontot förra året på XP?!?"
Bonus citat:
"Jag har inget internet och nu vill min dator att jag ska uppge ett gammalt lösenord som jag inte kommer ihåg..."

@lastninja:

"Men framförallt att man eventuellt kan logga in överallt bara för att man lyckades kopiera någons fingeravtryck från hans iPhone (digitalt), eller via en attack mot tex LinkedIn som då hade hållt det sparat digitalt, eller varför inte stjäla det (irl) från hans coca cola burk för att kunna logga in lite varstans."

Detta togs upp i en Kalle Anka nån gång på 60-70 talet. Farbror Joakim hade fått Uppfinnar-Jocke att ordna tumavtrycks lås på kassavalvet. Efter att ha insett problemet fick Joakim åka landet runt för att torka bort sina gamla avtryck. Naturligtvis så missade han ett ställe och Björnligan lyckades på så sätt fixa en gummitumme och ta sig in i valvet.

Det är mycket lättare byta lösenord än fingeravtryck.
Bara så ni vet!

Går det inte att konstruera system som bara går att göra ett inloggningsförsök per minut? Då skulle det ju ta en evig tid för robotar att gissa sig till rätt lösenord. Varför görs inte sådana begränsningar?

https://e-estonia.com/e-residents/about/

Estland har ett intressant id kort man kan skaffa. Vi kör det som auth till inloggning i Windows för användare. Enklare att komma ihåg istället för ett lösenord.

Skickades från m.sweclockers.com