Varför rekommenderas fortfarande lösenord typ vo86&sD#KLis8 ?

Permalänk
Medlem

Varför rekommenderas fortfarande lösenord typ vo86&sD#KLis8 ?

Alla har väl sett seriesnutten med hästen och trubaduren som visar att ett långt enkelt lösenord är säkrare än ett kortare med massa specialtecken. Jag är inte kvalificerad att verifiera om serien är korrekt så jag utgår helt enkelt från att den är det. Och kör jag lösenordet "mintavlapåväggenärblå" genom en "test your password strength" sajt så får jag "31 septillion years" till svars, vilket torde duga för de flesta.

Men söker man på "secure password", kollar någorlunda aktuella lifehacker-artiklar, eller skapar ett nytt konto nånstans så får man fortfarande rådet att ha specialtecken och versaler och siffror.... you know the drill.

Varför? Har inte hästen och trubaduren rätt?

Jag har kompisar som har skräckexempel som lösenord, dessutom samma överallt. För att de inte ids hålla på med specialtecken etc. Och det förstår jag. Men de skulle kunna ha supersäkra lösenord om bara sajterna bad dem skapa semantiska meningar med relevant innehåll som de kommer ihåg (eller om de använde lastpass/keepass, men det är en annan sak).

Permalänk
Medlem

Jag tillhör skaran som anser att enkla längre är bättre än korta random. Nu har jag bara läst grundläggande säkerhet och kryptering på högskolenivå, så det är mycket möjligt att det finns en bra anledning till att använda specialbokstäver som jag inte alls känner till. Har dock hittills inte hört några argument som fortfarande håller i dagens läge.

Permalänk
Hedersmedlem

Många anser att det inte är någon bra idé.

Se till exempel Bruce Schneier, säkerhetsexpert:

Citat:

Modern password crackers combine different words from their dictionaries:

What was remarkable about all three cracking sessions were the types of plains that got revealed. They included passcodes such as "k1araj0hns0n," "Sh1a-labe0uf," "Apr!l221973," "Qbesancon321," "DG091101%," "@Yourmom69," "ilovetofunot," "windermere2313," "tmdmmj17," and "BandGeek2014." Also included in the list: "all of the lights" (yes, spaces are allowed on many sites), "i hate hackers," "allineedislove," "ilovemySister31," "iloveyousomuch," "Philippians4:13," "Philippians4:6-7," and "qeadzcwrsfxv1331." "gonefishing1125" was another password Steube saw appear on his computer screen. Seconds after it was cracked, he noted, "You won't ever find it using brute force."

This is why the oft-cited XKCD scheme for generating passwords -- string together individual words like "correcthorsebatterystaple" -- is no longer good advice. The password crackers are on to this trick.

https://www.schneier.com/blog/archives/2014/03/choosing_secur...

Andra som kritiserar serien:
https://diogomonica.com/2014/10/11/password-security-why-the-...

Många andra anser att det var och fortfarande är en bra idé.
Folk är inte enade bakom idén, med andra ord.

Själv kör jag LastPass och använder helt slumpvalda lösenord (A-Z, 0-9 och diverse specialtecken) på 20-32 tecken, vilket känns bäst för mig personligen.

Permalänk
Medlem
Skrivet av Thomas:

Många anser att det inte är någon bra idé.

Se till exempel Bruce Schneier, säkerhetsexpert:

https://www.schneier.com/blog/archives/2014/03/choosing_secur...

Andra som kritiserar serien:
https://diogomonica.com/2014/10/11/password-security-why-the-...

Många andra anser att det var och fortfarande är en bra idé.
Folk är inte enade bakom idén, med andra ord.

Själv kör jag LastPass och använder helt slumpvalda lösenord (A-Z, 0-9 och diverse specialtecken) på 20-32 tecken, vilket känns bäst för mig personligen.

Har du ett unikt lösenord per sida? Eller om man knäcker ett konto kan man komma in på fler då?

Permalänk
Hedersmedlem
Skrivet av Aleshi:

Har du ett unikt lösenord per sida? Eller om man knäcker ett konto kan man komma in på fler då?

Jag kör med ett unikt per sida.

Permalänk
Avstängd

@Thomas: såvida man inte knäcker lastpass kontot...

Permalänk
Medlem

Om man uppfinner ett eget språk med ord som aldrig funnits i någon ordbok så fungerar det nog bra, men XKCD:s exempel är tämligen lättknäckt.

Likt @Thomas kör jag med långa "slumpade" (nära-nog-slump, inte perfekt) lösenord, unikt för varje konto. Men inser givetvis att KeePass, som jag använder, är sårbart i sig. Det finns ingen perfekt lösning som även är smidig att använda.

Permalänk
Medlem

Lösenord med fyra ord t.ex. "HÄST STAD FLYGPLAN SKOGSDUNGE123" kommer du väldigt långt på, och du kommer alltid komma ihåg det, nästan i alla fall

Permalänk
Medlem

Som Thomas redan skrivit så är det ingen bra idé längre att göra som där i serien från trådstarten. Om någon försöker knäcka lösenord och kan testa t.ex. tio miljarder lösenord per sekund så går det rätt snabbt att hitta lösenord som bara består av några få ord ifall en ordlista används. Tänk om det finns 500 vanliga ord. Har du då 6 ord långt lösenord som du tänkte så blir det 500^6 kombinationer. Då kan det alltså knäckas på några timmar med en vanlig hemmadators prestanda.

Permalänk
Medlem

Håller nog ändå fast att det som beskrevs på XKCD borde fungera om det görs korrekt, det vill säg tillräckligt många slumpvis valda ord som inte har någon relation till varandra. Ponera att man har ungefär 100 unika tecken, då kan ett lösenord på 8 tecken bestå av 10^16 unika kombinationer. Kör man fyra slumvis valda ord ur engelskan (som består av ca 171 000 ord: https://en.oxforddictionaries.com/explore/how-many-words-are-... får man ungefär 8.5*10^20 unika ordkombinationer. För att nå samma mängd kombinationer genom 4 ord som 8 tecken så krävs ett ordförråd på 10 000 ord.

Pratar vi däremot meningar eller ord med innebörd så stämmer det att det är mycket lättare att knäcka. Jag vågar inte ge mig på någon gissning på hur komplexiteten på att knäcka en kortare mening ser ut, men bara genom att välja nästa föreslagna ord i mobilens autocorrect så ser man att tekniken kommit ganska långt i att förutsäga en mening.

Permalänk
Medlem

Sen finns det även en hel del förgenererade rainbowtables för vanliga ord samt kombinationer av.
Alltså färdig hashade lösenord + e.v salt i vissa fall.

Jag har länge kört på "random" lösenord som inte innehåller ett enda ord. Har aldrig fått ett enda konto hackat eller bruteforceat vad jag känner till. Däremot har många polare råkat ut för det.

Permalänk
Medlem
Skrivet av murzoo:

Lösenord med fyra ord t.ex. "HÄST STAD FLYGPLAN SKOGSDUNGE123" kommer du väldigt långt på, och du kommer alltid komma ihåg det, nästan i alla fall

Hur långt då och vad baserar du det på? Det lilla jag har lärt mig om lösenordssäkerhet säger att man absolut ska undvika att utsätta sig för dictionary attacks.

Permalänk
Medlem
Skrivet av Sebbepojken:

Hur långt då och vad baserar du det på? Det lilla jag har lärt mig om lösenordssäkerhet säger att man absolut ska undvika att utsätta sig för dictionary attacks.

Enligt lösenordsföretaget dashlane(https://howsecureismypassword.net/) skulle det ta 2 SEXDECILLION YEARS för en dator. Ta det för vad du vill.

Permalänk
Medlem

Problemet som de flesta redan har sagt är att XKCD antog att varje bokstav används till knäcka lösenordet. Vad dem inte sa var att det finns ordboksattack, där det finns 171,476 Engelska ord (enligt oxford 20:e upplaga).

Så att knäcka ett lösenord med ordboksattack är enklare än att knäcka Tr0ub4dor&3, eller även enklare lösenord.

Permalänk
Medlem
Skrivet av guermantes:

Alla har väl sett seriesnutten med hästen och trubaduren som visar att ett långt enkelt lösenord är säkrare än ett kortare med massa specialtecken. Jag är inte kvalificerad att verifiera om serien är korrekt så jag utgår helt enkelt från att den är det. Och kör jag lösenordet "mintavlapåväggenärblå" genom en "test your password strength" sajt så får jag "31 septillion years" till svars, vilket torde duga för de flesta.

Men söker man på "secure password", kollar någorlunda aktuella lifehacker-artiklar, eller skapar ett nytt konto nånstans så får man fortfarande rådet att ha specialtecken och versaler och siffror.... you know the drill.

Varför? Har inte hästen och trubaduren rätt?

Jag har kompisar som har skräckexempel som lösenord, dessutom samma överallt. För att de inte ids hålla på med specialtecken etc. Och det förstår jag. Men de skulle kunna ha supersäkra lösenord om bara sajterna bad dem skapa semantiska meningar med relevant innehåll som de kommer ihåg (eller om de använde lastpass/keepass, men det är en annan sak).

https://www.howtogeek.com/wp-content/uploads/2014/08/xkcd-password-strength.png

Vad gäller ditt test på lösenordstestsajten så skulle jag förmoda att den ger den ett missvisande gott resultat för att den inte har koll på att det är en serie ord du matat in (antingen för att den inte har funktionen att känna igen ord alls, eller för att den inte har en svensk ordlista) utan tycker att det verkar vara slumpade tecken.

Dvs, om vi säger att det finns N ord i ordlistan du använde när du slumpade lösenordet så är det detta i kombination med antal ord som bestämmer hur bra lösenordet står sig i verkligheten, inte antalet tecken.

Vad gäller den totala säkerheten så blir lösenordet mindre säkert per använt tecken om man har ord som byggstenar istället för separata tecken, vilket i kombination med att många tjänster har en maxlängd lätt gör att det inte ens GÅR att välja ett lika säkert lösenord.

Dessutom känns det som att det kan upplevas som inbjudande att fuska och välja ord själv istället för att slumpa utifrån en ordlista, vilket skulle ha katastrofal inverkan.

Personligen upplever jag en lösenordshanterare som den rimliga utvägen tills dess att vi lyckas göra oss av med lösenord för autentisering.

Permalänk
Medlem

Att använda 4 vanliga ord är ingen bra idé, men om du stökar till dom tillräckligt för att inte kunna användas i dictionary attacks så har du en bra blandning av båda världar.

Permalänk
Hedersmedlem

Hur görs lösenordsknäckande i praktiken? Det lär inte vara försök mot inloggningsportalen utan att man snarare lyckas få tag på ett krypteras lösenord där man vet krypteringsmetoden och försöker hitta vad som matchar?

Permalänk
Medlem
Skrivet av Shimonu:

Hur görs lösenordsknäckande i praktiken? Det lär inte vara försök mot inloggningsportalen utan att man snarare lyckas få tag på ett krypteras lösenord där man vet krypteringsmetoden och försöker hitta vad som matchar?

Stjäla klartextdatabaser med lösenord och användare, eller få tag på hashningen till en krypterad databas. Och sedan knäcka den istället. Brutefore attacker mot lösenord är inte tidseffektivt nog.

Permalänk
Medlem

"En säkerhetslösning är endast såpass säker som den svagaste länken." -Är ett bra måtto när det gäller alla former av säkerhetslösningar.

Egentligen finns det inte "Ett eller flera" säkra lösenord utan det man lägger till för att nå nästa nivå är s.k. multifaktorsautentisering (flerfaktorsautentisering)

Med det menas att man samtidigt skickar en kontrollfråga via en annan tjänst t.ex. Biometrisk lösning, one-time password till e-mailen, certifikat på en USB-sticka, som i samspel med att rätt lösenord petas in vid det tillfället, kan intyga att rätt person sitter i andra änden.
Även om ovanstående multifaktorsautentisering är mycket svårare att knäcka än ett enskilt komplext lösenord förhindrar detta givetvis inte att någon kommer över databasen där ev. lösenord sparas (och ev. dekrypterar den). -Om man då använder samma lösenord till andra tjänster som ej kör multifaktorsautentisering t.ex. ditt e-postkonto kan det i förlängningen innebära att man kommer över faktor nr. 2 och därmed ändå kan bli hackad.

En fotnot:
Har länge funderat över hur dessa "testa mitt lösenord" -sidor funkar, det ultimata vore ju för hackers (crackers) att erbjuda tjänsten som i sin tur sparar allt som folk skriver in där för att på så sätt producera en hygglig rainbow-table som kan användas vid crackning.
Användarna gör jobbet själva vill säga.

Permalänk
Medlem
Skrivet av murzoo:

Enligt lösenordsföretaget dashlane(https://howsecureismypassword.net/) skulle det ta 2 SEXDECILLION YEARS för en dator. Ta det för vad du vill.

Vilka bräckningsmetoder baseras de beräkningarna på? Jag menar, om man försöker knäcka en databas med lösenord med hjälp av dictionary attack och rainbow tables så undrar jag hur länge ett lösenord med fyra ord och tre siffror håller. Om den nu tar höjd för ordboksattacker så är frågan om dom har lagt resurser på att lära sig svenska också, eller om det bara är engelska? Om jag skriver in ditt lösenord fast på engelska där uppskattar den tiden till ett antal år som innehåller hälften så många nollor (23 sextillion years) som det svenska alternativet. Så den verkar ändå ha nåt slags språkbaserat stöd i sin analys, men min stora fråga är ändå hur säkert lösenord av den typen är om man börjar med ordboksattacker och liknande.

Permalänk
Medlem
Skrivet av pigge_85:

@Thomas: såvida man inte knäcker lastpass kontot...

Jag har en Yubikey som jag har för att öppna min keypass med. Yubikey funkar agerar som ett tangentbord och skriver in den "static key" (upp till 32 tecken har jag för mig) som jag sparat. Lösenordet till keepass har jag satt så att jag först måste skriva in "mitt eget" manuellt, sedan fylla på och avsluta lösenordet med Yubikeyn.
Keepass finns även till Android och där kan jag också använda Yubikey iom att det har stöd för NFC. Lite pill att få till i början, inget tekniskt krångligt dock, mest att jag var tvungen att tänka till för att det även skulle funka på telefonen. Annars funkar det klockrent måste jag säga! Speciellt med att keepass kan auto-skriva användarnanm och lösenord. Använder det tex här på Sweclockers.

Yubikey Neo, som jag använder, finns att köpa på Dustin. Kostar en slant att komma igång, speciellt som man bör ha 2 (en som backup). Min Yubikey Neo har hängt på nyckelknippan i dryga 2år nu och inga problem än så länge.

Det går även att få till 2-faktor autentsiering, testade bla att konfa och logga in på en Linux machin, vilket funkade bra. Men inget jag använder i nuläget.

Lastpass verkar ha native-stöd för Yubikey men inget jag använder.

Rekommenderas!

Ps. Yubico är ett svenskt företag. Ds.

Permalänk
Medlem
Skrivet av krigelkorren:

En fotnot:
Har länge funderat över hur dessa "testa mitt lösenord" -sidor funkar, det ultimata vore ju för hackers (crackers) att erbjuda tjänsten som i sin tur sparar allt som folk skriver in där för att på så sätt producera en hygglig rainbow-table som kan användas vid crackning.
Användarna gör jobbet själva vill säga.

I bästa fall så samlar de ju inte in lösenorden men som vanlig användare är det ju inte trivialt att se detta.

Jag skulle hursomhelst avråda å det starkaste från att mata in lösenord man faktiskt tänker använda, i så fall bara representativa exempel för olika sätt att slumpa lösenord.

Permalänk
Inaktiv

Har du inget en hackare kan förutse i ditt lösenord har du gjort allt du kan när det kommer till just det. Därför är randomtecken och ett långt sådant det säkraste. Sedan får man väl klura lite på sådant de ovan talade om. Och för att då göra allt man kan med just lösenordet är det väl då att ofta byta ut det.

Permalänk
Medlem

Vad om man blandar ord och ett mer traditionellt slumpmässigt lösenord? Typ "en häst står på flera ben Dr@G0n$!aY3r" eller nåt. Då kan de iallafall inte knäckas med enbart ordboks attack. Visst, det ökar svårigheten att komma ihåg igen men det är kanske ett bra sätt att förbättra sitt nuvarande lösenord?

Permalänk
Medlem
Skrivet av krigelkorren:

En fotnot:
Har länge funderat över hur dessa "testa mitt lösenord" -sidor funkar, det ultimata vore ju för hackers (crackers) att erbjuda tjänsten som i sin tur sparar allt som folk skriver in där för att på så sätt producera en hygglig rainbow-table som kan användas vid crackning.
Användarna gör jobbet själva vill säga.

Precis vad jag också tänkt. Det lär inte vara så marigt att logga alla lösenordstest.

Permalänk
Medlem
Skrivet av pigge_85:

@Thomas: såvida man inte knäcker lastpass kontot...

Därför man kombinerar med 2FA för att öka säkerheten ytterligare. Därmed inte sagt att 2FA är bombsäkert heller för den delen.

Permalänk
Medlem

Tidigare nämnda två-faktors-autentisering. Är det inte i princip oslagbart i sammanhanget?

T.ex. att när du fått in rätt lösenord måste du även komplettera med en kod som genereras i realtid och smsas till din telefon?

Ok, om NSA/FBI/WTF/KGB vill åt dig förstår jag att de även kan ta sig in i 4G-nätet osv... men för en random ryssliga?

/hulle.

Permalänk
Inaktiv
Skrivet av backfeed:

Om man uppfinner ett eget språk med ord som aldrig funnits i någon ordbok så fungerar det nog bra, men XKCD:s exempel är tämligen lättknäckt.

Likt @Thomas kör jag med långa "slumpade" (nära-nog-slump, inte perfekt) lösenord, unikt för varje konto. Men inser givetvis att KeePass, som jag använder, är sårbart i sig. Det finns ingen perfekt lösning som även är smidig att använda.

xkcd är i princip fel. För att det ska vara sant det han säger måste det vara en stor ordlista, lösenordet måste ha många tecken (ord i detta fall) och de måste vara slumpmässigt utvalda. Om de är enkla att komma ihåg och låter fint är det ytterst sannolikt att de är också enkla att knäcka. Sedan kommer problemet att många sidor inte tillåter extremt långa lösenord (för att deras säkerhet suger då det första man gör är hasha och då får man alltid lika långt svar ut).

keepass är betydligt bättre val än lastpass då det är svårare att komma åt databasen för att knäcka den än med lastpass som är tillgänglig för alla på internet i princip.

Permalänk
Medlem
Skrivet av Hulle:

Tidigare nämnda två-faktors-autentisering. Är det inte i princip oslagbart i sammanhanget?

T.ex. att när du fått in rätt lösenord måste du även komplettera med en kod som genereras i realtid och smsas till din telefon?

Ok, om NSA/FBI/WTF/KGB vill åt dig förstår jag att de även kan ta sig in i 4G-nätet osv... men för en random ryssliga?

/hulle.

Det skyddar exempelvis inte mot att enheten inte redan är infekterad med en RAT, vilket kan ge en form av falsk trygghet.

Jag tror att de flesta som använder 2FA loggar in och bockar i "Lita på den här enheten", vilket inte promptar 2FA vid nästa inloggning från samma enhet.

Permalänk
Medlem

En dictionary attack är knappast till hjälp mot en kombination av ord, lösenord av typen correcthorsebatterystable måste fortfarande knäckas via bruteforceattacker (eller ja, just correcthorsebatterystable lär finnas med i de flesta dictonaries) där man testar sig fram med ord istället för tecken.

Man borde även vara mer skyddad om man kör på fyra ord och någon strategi för att bland stora och små bokstäver. I engelskan ligger antal bokstäver i ett ord på 8 i genomsnitt (http://www.ravi.io/language-word-lengths) det vill säga att det finns 2^8 = 256 möjliga kombinationer per genomsnittsord vilket gör att man istället för ~171 000 ord får ~43.7 miljoner möjliga kombinationer. Fyra ord ger då en möjlig kombination av (43.7*10^6)^4 = ~3.7*10^30 vilket ungefär motsvarar ett slumgenererat lösenord på 15 tecken i antal möjliga kombinationer.