Artikel som påstår det motsatta jag lärt mig om lösenord.

Trädvy Permalänk
Medlem
Registrerad
Dec 2004

Artikel som påstår det motsatta jag lärt mig om lösenord.

Förvisso aftonbladet, men damen i artiklen är tydligen "en av Sveriges främsta it-säkerhetsexperter och säkerhetschef för Internetstiftelsen i Sverige". Så då måste hon ju veta vad hon pratar om... eller?

https://www.aftonbladet.se/minekonomi/a/833oQ/sa-skapar-du-sa...

Man ska "skapa ett starkt lösenord genom att sätta ihop en serie tecken bestående av siffror, specialtecken, stora och små bokstäver" och "Använd inte vanliga ord som ”sommar”. Jag hade lärt mig att det som påstås i artiklen är gamla skolan, och inte alls rekommenderas idag.

Att vanliga passphrases, utan specialtecken och annat, är överlägset säkrast, även om det är kombinationer av vanligt förekommande ord så går det inte att bruta-forca utan enorm beräkningskraft (dvs, "jag heter grönsaksröra och bor i badkaret" är extremt bra och kan bara knäckas med social engineering).

Hon rekommenderar också att använda lösenordshanterare. Det är väl betydligt mindre säkert än att återanvända nästan samma passphrase, men lägga till en siffra i slutet för varje ny login? Rekommendera vanliga svenssons med låg datorkunskap att förlita sig på en mjukvara som agerar masterkey, som inte minst öppnar för att svennebanan googlar på "spara lösenord program" och laddar ned malware?

ELLER har jag fått allt om bakfoten? För denna påstådda experten ger ju råd som gällde på 90-talet, såvida inte allt jag läst om passphrases är bullshit. Jag är ingen expert, blir bara förbluffad när jag läser en artikel där någon som är säkerhetsschef påstår motsatsen av vad jag har fått lära mig.

Trädvy Permalänk
Medlem
Registrerad
Jan 2012

Det är säkrare med helt random tecken av alla olika slag. Annat kan knäckas med "dictionary attacks".

Lösenhanterare är rätt trevligt om dina lösenord ser ut som såhär: >*X)y3'ä"q+9-pT¤6s.....
Den bästa varianten av sådan mjukvara är då såklart inte något i molnet. Helst på en separat usb-sticka eller nått sådant.

Trädvy Permalänk
Medlem
Registrerad
Jul 2004

Du får börja med att inse att diskussionen är "det här är bra och det andra är bättre", inte "det här är rätt och det andra är fel". Ok? Båda varianterna, det du fått lära dig och det hon säjer är "korrekt".

Du rycker saker ur hennes artikel och gör till sanningar, samt att det du beskriver som du fått lära dig även det är ryckt och saknar moment/delar.

Du har inte fått det om bakfoten, du läser inte hela artikeln och diskuterar utifrån helheten bara.

Annars är det som Wille säjer, 25 krångliga tecken är alltid bättre än 5x5 vanliga ord. Du ska givetvis inte ha samma lösenord på alla ställen. Ett stort problem är hur man ska minnas dom och där finns det lite att jobba med.

CPU: I7 4770K Grafik: Poseidon Platinum GeForce GTX 980Ti Moderkort: Asus Maximus VI Hero Z87 RAM: 16Gb Corsair Dominator Platinum CL9 Nätagg: Corsair HX1050 Gold SSD: Corsair Force GT 240Gb SSHD: Seagate Desktop 4TB Låda: Corsair Graphite 600T

Trädvy Permalänk
Medlem
Plats
Romelanda
Registrerad
Nov 2009

Tänk på att artikeln är riktad mot svensson som tycker password är ett bra lösen för det är lätt att komma ihåg.
Och det är ju en avvägning mot bekvämlighet med.

För de flesta är en lösenordshanterare ett jättesteg upp i säkerhet.

"When I get sad, I stop being sad and be awsome instead, true story."

Trädvy Permalänk
Medlem
Plats
Karlstad
Registrerad
Nov 2010

Rådet använd en lösenordshanterare, kan man använda vilken som helst bara ta första bästa som man hittar på en skum site? Helst såna som man hittar på en sida med en tidnedräknare på om att erbjudandet försvinner.

Annars är som sagt artiklen skriven för folk utan intresse, jag skulle gärna se en artikel skriven för de med datorintresse. Där kanske en populär lösenordshanterare där varje lösenord saknar eller har ett tecken för mycket. Detta leder till att att om lösenorden läcks så kommer inte ens lösenord först och när de ser vilken loser man är, så går de vidare till nästa person.

i7 7700K & Ryzen 1800X. Båda har 64GB ram, 500 GB 960 Evo m.2. Grafikkort är något jag hittade i en container..

Trädvy Permalänk
Medlem
Plats
Umeå -> Nordmaling
Registrerad
Jul 2007

Är inte frågan "bäst säkerhet delat på det man kan komma ihåg"? Som ovan nämnt 25 slumpmässiga tecken är säkrare än 5*5 ord (minus whitespace), men det är en skev praktisk jämförelse, det är väl snarare frågan om 5 slumpmässiga tecken eller 5 slumpmässiga ord, och då vinner orden då det finns fler ordkombinationer än teckenkombinationer.

När du har 25 slumpmässiga tecken kommer du inte komma ihåg dem, om du inte följer ett lätt-att-komma-ihåg-mönster, typ flätar två kombinationer. qweasd + 098765 = q0w9e8a7s6d5, eller går i cirkel (wefcxza), fyrkant (qwedcxza), eller andra mönster. Pinkoden 159 456 753 852 951 654 357 258 ex är superlätt att komma ihåg om du bara kommer ihåg att du börjar på 1 och slutar på 2 (bonuspoäng om du ser mönstret).

Det finns många knep att göra "slumpmässiga" lösenord som är säkra och svåra att knäcka, speciellt om du har memoriserat vissa alt-codes och klämmer in dem på ställen du kommer ihåg. Ett annat tips är att inte följa standarder andra människor gör, som när de inkluderar siffror så gör de det på slutet av lösenordet, samt börjar med en stor bokstav, ex Lösenord123, här är lösen123Ord ex mycket säkrare.

Byta ut bokstäver i ett slumpmässigt lösen till siffror gör det lättare att bruteforca, gör tvärtom istället. 1337 -> leet är mycket säkrare (som exempel, båda är svinlätta att cracka).

Jag tror att slumpmässigt masha på sitt tangentbord och sen spara alla lösenord på ett och samma ställe så man kommer ihåg den är det sämsta man kan göra. Då kan man lika gärna ha TeliaLösen på telia.se, SWECLösen på swec, osv.

Unika lösenord som är jobbiga (men inte omöjliga) att ta sig igenom på alla hemsidor är vad jag rekommenderar, det gör det inte för svårt för en i vardagligt användande, men om man glömmer bort ett lösenord kan det vara bra att ha alla samlade bekom ett superstarkt lösen. Hur många här har reggat sig till en beta eller liknande bara för att få reda på att man redan har ett konto där enda spelet de släppt tidigare du känner igen är 10+ år gammal?

Lite random tankar kring lösenord.

Testa passphrases och random lösenord på följande länk, jag tror att om det ger några års säkerhet räcker det gott och väl för mailkontot medan du kanske vill ha ett lösenord för din password manager som håller längre än universum existerat.

"It would take a computer about

5,810 NONAGINTILLION YEARS
to crack your password"

aa, vet inte ens vad en nonagintillion är men det låter säkert nog.
Edit: Det är 10^540 tydligen.

https://howsecureismypassword.net/

Trädvy Permalänk
Avstängd
Registrerad
Jul 2017

Det är nog den mest detaljerade artikel jag någonsin sett på Aftonbladet, de föreslår ju till och med två faktor. Ser inga fel alls i något av det som föreslagits.

Trädvy Permalänk
Medlem
Registrerad
Dec 2011

Det är intressant hur många tycker att ett lösen är svårare bara för att det är svårt att läsa eller innehåller skumma tecken. En dator bryr sig ju inte om vad det står om vi pratar brute force.
Längst lösen som inte finns i ordlista är alltid bäst

Horse battery stapler

Trädvy Permalänk
Hjälpsam
Plats
Luleå
Registrerad
Mar 2004
Skrivet av Spiffman:

Det är intressant hur många tycker att ett lösen är svårare bara för att det är svårt att läsa eller innehåller skumma tecken. En dator bryr sig ju inte om vad det står om vi pratar brute force.
Längst lösen som inte finns i ordlista är alltid bäst

Horse battery stapler

xkcd är fantastisk

Allt jag säger/skriver här är mina egna åsikter och är inte relaterade till någon organisation eller arbetsgivare.

Jag är en Professionell Nörd - Mina unboxing och produkttester (Youtube)
Om du mot förmodan vill lyssna på mig - Galleri min 800D med 570 Phantom SLI

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Jan 2014

@Raphaei:

 159 456 753 852 951 654 357 258 Mönster på telefoner osv

Tröttnat på att ha signatur

Trädvy Permalänk
Medlem
Plats
Umeå
Registrerad
Dec 2004
Skrivet av Raphaei:

Är inte frågan "bäst säkerhet delat på det man kan komma ihåg"? Som ovan nämnt 25 slumpmässiga tecken är säkrare än 5*5 ord (minus whitespace), men det är en skev praktisk jämförelse, det är väl snarare frågan om 5 slumpmässiga tecken eller 5 slumpmässiga ord, och då vinner orden då det finns fler ordkombinationer än teckenkombinationer.

När du har 25 slumpmässiga tecken kommer du inte komma ihåg dem, om du inte följer ett lätt-att-komma-ihåg-mönster, typ flätar två kombinationer. qweasd + 098765 = q0w9e8a7s6d5, eller går i cirkel (wefcxza), fyrkant (qwedcxza), eller andra mönster. Pinkoden 159 456 753 852 951 654 357 258 ex är superlätt att komma ihåg om du bara kommer ihåg att du börjar på 1 och slutar på 2 (bonuspoäng om du ser mönstret).

Det finns många knep att göra "slumpmässiga" lösenord som är säkra och svåra att knäcka, speciellt om du har memoriserat vissa alt-codes och klämmer in dem på ställen du kommer ihåg. Ett annat tips är att inte följa standarder andra människor gör, som när de inkluderar siffror så gör de det på slutet av lösenordet, samt börjar med en stor bokstav, ex Lösenord123, här är lösen123Ord ex mycket säkrare.

Byta ut bokstäver i ett slumpmässigt lösen till siffror gör det lättare att bruteforca, gör tvärtom istället. 1337 -> leet är mycket säkrare (som exempel, båda är svinlätta att cracka).

Jag tror att slumpmässigt masha på sitt tangentbord och sen spara alla lösenord på ett och samma ställe så man kommer ihåg den är det sämsta man kan göra. Då kan man lika gärna ha TeliaLösen på telia.se, SWECLösen på swec, osv.

Unika lösenord som är jobbiga (men inte omöjliga) att ta sig igenom på alla hemsidor är vad jag rekommenderar, det gör det inte för svårt för en i vardagligt användande, men om man glömmer bort ett lösenord kan det vara bra att ha alla samlade bekom ett superstarkt lösen. Hur många här har reggat sig till en beta eller liknande bara för att få reda på att man redan har ett konto där enda spelet de släppt tidigare du känner igen är 10+ år gammal?

Lite random tankar kring lösenord.

Testa passphrases och random lösenord på följande länk, jag tror att om det ger några års säkerhet räcker det gott och väl för mailkontot medan du kanske vill ha ett lösenord för din password manager som håller längre än universum existerat.

"It would take a computer about

5,810 NONAGINTILLION YEARS
to crack your password"

aa, vet inte ens vad en nonagintillion är men det låter säkert nog.
Edit: Det är 10^540 tydligen.

https://howsecureismypassword.net/

Bra tankar, däremot verkar sidan du länkar till inte fungera så bra.
@Spiffmans förslag på lösenord: Horse battery stapler

Det ger enligt sidan:
"596 QUINTILLION YEARS"

Men med en dictionary attack så skulle det knäckas på en sekund, inte på flera quintillioner år.. jag har testat lite snabbt att knäcka lösenord en gång för många år sedan och använde då ett enkelt program jag hittade på nätet där ingen egen kodning behövdes. Det fanns till och med ett grafiskt gränssnitt. Ordlistefunktion fanns inbyggt. Alltså hur lätt som helst att knäcka löseord som består av ett par engelska ord och till och med om de även har 1-2 random bokstäver.

i5 6600k@4,4 Ghz | 32Gb minne | 250 Gb SSD | Canon 70D; 11-16; 18-35 f1,8; 70-300 |
http://www.carpediem86.se

Trädvy Permalänk
Medlem
Registrerad
Feb 2015
Skrivet av Fluf:

xkcd är fantastisk

Även om xkcd är bra på många sätt och vis så håller jag inte med här - en sådan sekvens av ord är inte alls särskilt mycket lättare att komma ihåg.
Dessutom så är det inte helt ovanligt med platser som har begränsningar på längden av lösenord.

Om man skall skydda sig mot slumpmässiga internethackers så är det nog trots allt bättre med ett slumpmässigt lösenord med en massa konstiga tecken som man skriver ner på en lapp för att komma ihåg.

Trädvy Permalänk
Medlem
Plats
Skåneland
Registrerad
Jun 2009

XKCD bilden blev sågad totalt på reddit för ett tag sedan. Det håller inte för det är inte så en "attack" fungerar.

- - - - S.T.A.L.K.E.R FAN - - - -

Trädvy Permalänk
Medlem
Plats
Umeå -> Nordmaling
Registrerad
Jul 2007
Skrivet av imjohannes:

@Raphaei:

 159 456 753 852 951 654 357 258 Mönster på telefoner osv

Och visst är det lätt att komma ihåg!

Skrivet av kaptenperre:

Bra tankar, däremot verkar sidan du länkar till inte fungera så bra.
@Spiffmans förslag på lösenord: Horse battery stapler

Det ger enligt sidan:
"596 QUINTILLION YEARS"

Men med en dictionary attack så skulle det knäckas på en sekund, inte på flera quintillioner år.. jag har testat lite snabbt att knäcka lösenord en gång för många år sedan och använde då ett enkelt program jag hittade på nätet där ingen egen kodning behövdes. Det fanns till och med ett grafiskt gränssnitt. Ordlistefunktion fanns inbyggt. Alltså hur lätt som helst att knäcka löseord som består av ett par engelska ord och till och med om de även har 1-2 random bokstäver.

Heh, det var ett antal år sen jag gick igenom samma grej, glömde lösenordet på en zipfil och hittade någon rarcracker med GUI. Tror det var där jag fick upp ögonen lite runt lösenord, och jag tror det var i den vevan jag hittade den hemsidan jag länkade till. Iirc på den tiden var 7 tecken ocrackbart för en vanlig gamingdator, vet tyvärr inte hur det ser ut idag. Sidan verkar inte inkludera dictionary attack vilket är synd. Jag tror också styrkan kan vara missledande då jag misstänker det är en kontorsdator a la vilket år det nu kan tänkas vara.

Trädvy Permalänk
Medlem
Plats
Sthlm
Registrerad
Mar 2011

Väldigt missvisande bild som inte tar i beaktande hälften av som ingår i att bryta ett lösenord. Beräkningen är baserat på att attacken är totalt och fullständigt "korkat", dvs. att den inte viktar något övh. Vilket inte ens den sämsta bruteforce-programmet idag gör.

Fyra stycken vanliga ord som finns i en dictionary, som i denna bild, kommer inte ta många timmar att knäcka för en pythonbaserad bruteforce-program som vilken femtonåring som helst kan få tag på.

|Define XL | AX850W | P8P67 EVO | 2600K | NH-C14 | GTX 980 | Vengeance 2x4GB | 520 240 GB + VelociRaptor 160gb+ F1 1TB + Green 2TB + 2xWD Black 4TB | ROG SWIFT PG279Q | Essence STX | DT880 PRO @ 250 ohm + Modmic V4| MK-85 Pro (Brown)|5K Laser|

Trädvy Permalänk
Medlem
Plats
Skåneland
Registrerad
Jun 2009

Många gånger behöver man inte göra en ren bruteforce utan man kanske har en databas med krypterade lösenord.
Då kan man använda sig av förgenererade tabeller med samma krypteringsmetod.

Alltså ditt lösenord "password" ger följande sha256 hash:
5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8

Spara det till en lista av hash som du sedan jämför med när du kommer över en databas dump med lösenord.

Det finns flera hundra miljoner förgenererade hashar av olika former och med olika tillägg (salt)
Dessa är ofta specialiserade på vanliga ord men även kombinationer av dessa.

Ska man för varje olik bokstavskombination, sifferkombination, teckenkombination generera hash så finns det oändligt många, vilket gör det svårt att bruteforcea.

Det finns sidor och nätverks som sitter på alla möjliga lösenordsdumpar och kombinationer.
Man kan också gå med i nätverk och dela med sig av sin datorkraft för att knäcka de hash som inte finns förgenererade redan.

Man behöver inte göra extremt komplicerade lösenord bara för att de ska vara någorlunda unika:
fredrik
en siffra mellan varannan bokstav, avsluta med ett tecken.
fr 2 ed 3 ri 2 k !
=
fr2ed3ri2k!

Däremot finns det bra anledningar att man har lite längre lösenord än så. Då det utökar bruteforce tiden det tar även om det kan ta lång tid redan nu.

Kombinationer

- - - - S.T.A.L.K.E.R FAN - - - -

Trädvy Permalänk
Medlem
Plats
Falun
Registrerad
Dec 2003
Skrivet av Spiffman:

Det är intressant hur många tycker att ett lösen är svårare bara för att det är svårt att läsa eller innehåller skumma tecken. En dator bryr sig ju inte om vad det står om vi pratar brute force.
Längst lösen som inte finns i ordlista är alltid bäst

Horse battery stapler

Det är bra med ett långt och bra lösenord men problemet som vi inte har tagit upp än är att tjänsten man använder inte behöver hantera lösenorden på ett bra sätt. Brute force är inte nödvändigtvis den mest farliga attacken. Det är ganska många databaser som läcker med kundinformation. Om lösenordet sparas i klartext på tjänsten så behöver man inte brute force.

Oavsett vilket långt och jobbigt lösenord man har så sitter man i skiten om man använder samma lösenord överallt. Så långt lösenord är bra men det löser inte alla säkerhetsproblem.

ηλί, ηλί, λαμά σαβαχθανί!?

Trädvy Permalänk
Medlem
Registrerad
Dec 2011

Nej det är svårt att skydda sig mot klartext galningar :/

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Jan 2014
Skrivet av Raphaei:

Och visst är det lätt att komma ihåg!

Väldigt faktiskt. Alla telefonnummer, kortnummer och allt som kan tänkas ha med siffror att göra kommer jag ihåg enbart pga att jag ser mönstret på knappsatsen

Tröttnat på att ha signatur

Trädvy Permalänk
Medlem
Plats
Rönnigne
Registrerad
Nov 2007
Skrivet av Mithras:

Väldigt missvisande bild som inte tar i beaktande hälften av som ingår i att bryta ett lösenord. Beräkningen är baserat på att attacken är totalt och fullständigt "korkat", dvs. att den inte viktar något övh. Vilket inte ens den sämsta bruteforce-programmet idag gör.

Fyra stycken vanliga ord som finns i en dictionary, som i denna bild, kommer inte ta många timmar att knäcka för en pythonbaserad bruteforce-program som vilken femtonåring som helst kan få tag på.

Men måste inte ett sånt lösen knäckas baserat på antalet bokstäver ändå? Låt oss säga att du har ett lösen på endast 4 bokstäver, "snus". Känt ord, gå igenom ordboken och du knäcker det till slut. Men om dom 4 bokstäverna var två ord då? "enni". Blir inte det dubbelt så svårt att knäcka? Tänk då om det var 6 bokstäver... 8.... 15...Om det är ett långt lösen med okänt antal tecken och med mer eller mindre fantasifulla ord inskjutna här och där... hur fasen ska man knäcka det med dictionary?

snushörningenfnattrarpåkronos

Skulle en ordbok knäcka det på några timmar? Men jag vet inte mycket om lösen kodning.

Trädvy Permalänk
Medlem
Plats
Skåneland
Registrerad
Jun 2009
Skrivet av murklor:

Men måste inte ett sånt lösen knäckas baserat på antalet bokstäver ändå? Låt oss säga att du har ett lösen på endast 4 bokstäver, "snus". Känt ord, gå igenom ordboken och du knäcker det till slut. Men om dom 4 bokstäverna var två ord då? "enni". Blir inte det dubbelt så svårt att knäcka? Tänk då om det var 6 bokstäver... 8.... 15...Om det är ett långt lösen med okänt antal tecken och med mer eller mindre fantasifulla ord inskjutna här och där... hur fasen ska man knäcka det med dictionary?

snushörningenfnattrarpåkronos

Skulle en ordbok knäcka det på några timmar? Men jag vet inte mycket om lösen kodning.

Jag försökte addressera just detta i mitt inlägg en liten bit längre upp.
Det finns listor som innehåller vanliga ord och ordkombinationer, både vanliga och helt random.

- - - - S.T.A.L.K.E.R FAN - - - -

Trädvy Permalänk
Medlem
Registrerad
Aug 2016
Skrivet av wille93:

Det är säkrare med helt random tecken av alla olika slag. Annat kan knäckas med "dictionary attacks".

Lösenhanterare är rätt trevligt om dina lösenord ser ut som såhär: >*X)y3'ä"q+9-pT¤6s.....
Den bästa varianten av sådan mjukvara är då såklart inte något i molnet. Helst på en separat usb-sticka eller nått sådant.

Inte på rimlig tid om det är tillräckligt många ord i serie och har skiljetecken mellan orden

'>*X)y3'ä"q+9-pT¤6s' ser inte slumpmässigt utan är troligen tillverkad av en hjärna - en äkta slump har väldigt låg sannolikhet att ge så många symboler i en och samma sträng - en slump ser mer ut som "N4Nex6hK€Qdd" dvs. med 1, kanske 2 symboler som mest - sådan av mänsklig hjärna 'tillverkad slump' fälls kvickt av statistisk analys eftersom vi har så skev uppfattning i vad slump är för något och undviker vissa kombinationer när vi försöker som att använda samma tecken mer än en gång eller sätter dem bredvid varandra etc. - i ditt fall så överöste du med symboler istället för bokstäver eller siffror - Jag vet vet att det var ett exempel från din sida men exemplet visar på hur mänskliga hjärnan fungerar undermedvetet och det gäller oss alla....

Skrivet av Raphaei:

När du har 25 slumpmässiga tecken kommer du inte komma ihåg dem, om du inte följer ett lätt-att-komma-ihåg-mönster, typ flätar två kombinationer. qweasd + 098765 = q0w9e8a7s6d5, eller går i cirkel (wefcxza), fyrkant (qwedcxza), eller andra mönster. Pinkoden 159 456 753 852 951 654 357 258 ex är superlätt att komma ihåg om du bara kommer ihåg att du börjar på 1 och slutar på 2 (bonuspoäng om du ser mönstret).

alla sådana 'tangentbordsturer' är lätta att knäcka och finns redan i crackprogrammen, samma sak med olika permuterade sekvenser.

Citat:

Det finns många knep att göra "slumpmässiga" lösenord som är säkra och svåra att knäcka, speciellt om du har memoriserat vissa alt-codes och klämmer in dem på ställen du kommer ihåg. Ett annat tips är att inte följa standarder andra människor gör, som när de inkluderar siffror så gör de det på slutet av lösenordet, samt börjar med en stor bokstav, ex Lösenord123, här är lösen123Ord ex mycket säkrare.

Byta ut bokstäver i ett slumpmässigt lösen till siffror gör det lättare att bruteforca, gör tvärtom istället. 1337 -> leet är mycket säkrare (som exempel, båda är svinlätta att cracka).

Olika substitutioner som ovan förutsätter man också att det görs när man attackerar lösenord - kort sagt alla trix du än hittar på - har tusentals andra redan gjort och många av dem är redan i crackprogrammen som algoritmer...

Citat:

Jag tror att slumpmässigt masha på sitt tangentbord och sen spara alla lösenord på ett och samma ställe så man kommer ihåg den är det sämsta man kan göra. Då kan man lika gärna ha TeliaLösen på telia.se, SWECLösen på swec, osv.

Adressen för den tilltänkta 'kill-kommando' domänen av wannacry-viruset hittade man ganska snabbt med statistisk analys då man hittade ett område i koden som bara kunde göras med sk. försök till slumpmässighet med oplanerad knackande/slående/bankande/handrullande på den övre högra halvan av tangentbordet och man förstod snabbt att den delen kunde vara viktig...

Skrivet av kaptenperre:

Bra tankar, däremot verkar sidan du länkar till inte fungera så bra.
@Spiffmans förslag på lösenord: Horse battery stapler

Det ger enligt sidan:
"596 QUINTILLION YEARS"

Men med en dictionary attack så skulle det knäckas på en sekund, inte på flera quintillioner år.. jag har testat lite snabbt att knäcka lösenord en gång för många år sedan och använde då ett enkelt program jag hittade på nätet där ingen egen kodning behövdes. Det fanns till och med ett grafiskt gränssnitt. Ordlistefunktion fanns inbyggt. Alltså hur lätt som helst att knäcka löseord som består av ett par engelska ord och till och med om de även har 1-2 random bokstäver.

återigen missar man exponetial-funktionernas värld - med 2-3 ord så är det lätt att knäcka, precis som 4-6 tecken och symboler i rad - men prova med 6 (slumpvalda) ord i passfrasen med skiljetecken mellan orden, även vald med begränsad ordlista av 7776 ord som du känner till och har kopia av.

6 tecken av ett val av 94 tecken ger 94*94*94*94*94*94 alternativ (skrivs också som 94^6) = 689869781056 möjligheter vilket löses på några sekunder med dagens beräkningsnätverk, för varje tecken man lägger till till så ökar beloppet med 64 gånger fler alternativ än innan, med 12 tecken blir summan ungefär 475.9*10^21 alternativa kombinationer och man beräknar ha kommit igenom dessa till hälften efter 3500 år med en räknesnurra som klarar 1000 miljarder beräkningar i sekunden

Med 3 ord vald ord ur en lista på 7776 ord så blir det med 3 ord 7776*7776*7776 eller omskrivet 7776^3 = 470184984576 möjliga kombinationer, vilket löses på sekunder med dagens HW, med 6 ord (7776^6) får man 221.1*10^21 alternativa kombinationer och det tar ca 3000 år att komma igenom till hälften med 1000 miljarder beräkningar i sekunden, varje ord man lägger till i passfrasen ökar beräkningstiden med 7776 gånger.

Även med känd ordlista för attackeraren så blir det väldigt snabbt väldigt jobbigt att prova fram alla alternativ

Allt bygger dock på att både tecknen och orden tas fram maskin-slumpmässigt, nästan alla attackmetoder som går fortare än 'brute force' bygger på att använda svagheter som finns i algoritmer, och finns inte det - hur hjärnan bygger ihop passord och passfraser, i det fallet är människa väldigt lika i tänket.

Skrivet av mannen99:

XKCD bilden blev sågad totalt på reddit för ett tag sedan. Det håller inte för det är inte så en "attack" fungerar.

Det viktiga är att orden som används i passfrasen är slumpmässigt valda och inte är 'konstruerad' med logik så att det har någon mening för den som kommer ihåg den (den skapar man i efterhand för att komma ihåg den utantill - inte börja med det) - med 6 slumpmässiga valda ord (med skiljetecken mellan) så gäller XKCD mycket väl - det viktiga är om man själv styr över urvalet av orden eller om de slumpas fram och användaren får ta sekvensen som den är - däri ligger hela säkerheten och XKCD kanske inte trycker på just den punkten tillräckligt mycket - dvs. slumpmässig utvalda och tillräckligt många ord.

Skrivet av mannen99:

Många gånger behöver man inte göra en ren bruteforce utan man kanske har en databas med krypterade lösenord.
Då kan man använda sig av förgenererade tabeller med samma krypteringsmetod.

Alltså ditt lösenord "password" ger följande sha256 hash:
5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8

Spara det till en lista av hash som du sedan jämför med när du kommer över en databas dump med lösenord.

Det finns flera hundra miljoner förgenererade hashar av olika former och med olika tillägg (salt)
Dessa är ofta specialiserade på vanliga ord men även kombinationer av dessa.

Har kikat lite i dessa hash-listor - det är väldigt få av dem som har knäckta passfraser på mer än 2-3 ord, däremot är dom väldigt duktiga att plocka tämligen komplicerade teckensekvenser i intelligenta substitutioner och sekvenser etc. med tekniker som redan skrivits här, och i vissa fall när man använder 1 eller 2 riktiga ord i sekvensen och den vägen knäcker passord bit över 16 tecken längd som om orden mitt i sekvensen inte fanns alls som skydd - annars verkar gränsen vara runt 10 tkn om det är hyfsat slumpmässiga gjorda teckensekvenser.

Varför det är så beror på att de flesta crack-vertygen är specialiserade på just just passord (<= 16 tkn) med mer eller mindre påhittade med hjärnan tillverkade teckenkombinationer och med dess invävda svagheter och inte är specialiserade på passfraser med mer än 3-4 ord då svårighetsgraden ökar väldigt snabbt med antal ord.

Sedan skall man ha klart för sig att det finns andra sekvenser som kan ge samma hashsumma ut (en kollision) med tex. SHA1, md5 och skulle fungera lika bra med denna som den korrekta passordet men inte fungera alls om man använde denna 'passord' på annan site med annan hash-agoritm, vilket det skulle göra om man hade orginal-passordet om dessa är samma på båda ställena.

md5 är 160 bitar vilket innebär att risken för kollision (annan indata ger samma hashsumma) kan inträffa med en sannolikhet av 2^80 (1.2*10^24) försök om algoritmerna är perfekta, men både SHA1 och MD5 har visat sig har brister som ger betydligt högre sannolikhet av krock och med md5 i storleksordningen 2^63 eller en chans av en träff med en kombination som ger samma hashsumma som en annan kombination per 2.2*10^18 försök (med 1000 miljarder tester i sekunden så tar det fortfarande 2.2 miljoner sekunder, eller 611 timmar att hitta en sådan kollision i genomsnitt) - den mest berömda exemplet är att man gjorde två olika pdf-filer med något olika innehåll som gav samma md5-summa - medans om hash-algoritmen hållit måttet så skulle det vara en sådan kollision per ca 38335 år med samma beräkningskraft

Det betyder att de olika passords-listorna med klartext <-> hashes-par som kan finna hos hashes.org mfl. ställen inte garanterat är passordet som användes när hashsumman skapades - utan det finns en viss, dock mycket liten sannolikhet att man funnit en annan kombination som ger samma hash-summa.

Citat:

Man behöver inte göra extremt komplicerade lösenord bara för att de ska vara någorlunda unika:
fredrik
en siffra mellan varannan bokstav, avsluta med ett tecken.
fr 2 ed 3 ri 2 k !
=
fr2ed3ri2k!

Däremot finns det bra anledningar att man har lite längre lösenord än så. Då det utökar bruteforce tiden det tar även om det kan ta lång tid redan nu.

Sådan substitutioner som ovan knäcks på ingen tid alls - dom som gör crackprogrammen vet precis hur människor tänker...

Det som förstärker en passord maximalt är sann slumpmässighet utan mänsklig hjärna involverad - sann slumpmässighet!! - och tillräckligt många tecken och tillräckligt många tillåtna tecken per tecken - ASCII-tabellens 94 skrivbara tecken har en entropi värt 6.55 bitar per tecken - använder man 128-255 delen också av ASCII-tabellen (totalt 218 valbara tecken) så ökar 'värdet' av detta med drygt en bit till - 7.77 bitar per tecken.

en diceware ord vald ur en 'Alfabet' av 7776 ord har en entropi av 12.92 bitar per ord.

grovt sett kan man säga att att en slumpmässigt vald diceware-ord är värt 2 slumpmässigt valda tecken som inkluderar stora och små bokstäver, siffror och symboler (utom mellanslag)

Skrivet av murklor:

Men måste inte ett sånt lösen knäckas baserat på antalet bokstäver ändå? Låt oss säga att du har ett lösen på endast 4 bokstäver, "snus". Känt ord, gå igenom ordboken och du knäcker det till slut. Men om dom 4 bokstäverna var två ord då? "enni". Blir inte det dubbelt så svårt att knäcka? Tänk då om det var 6 bokstäver... 8.... 15...Om det är ett långt lösen med okänt antal tecken och med mer eller mindre fantasifulla ord inskjutna här och där... hur fasen ska man knäcka det med dictionary?

snushörningenfnattrarpåkronos

Skulle en ordbok knäcka det på några timmar? Men jag vet inte mycket om lösen kodning.

om du stoppar in ett skiljetecken mellan orden så ökar svårigheten markant

dvs.

snus-hörningen-fnattrar-på-kron-os

Det är sex ord och kan anses som mycket starkt - under förutsättningen att det är slumpmässigt framtagen med tex. tärningskast och slå upp i en ordlista efter vissa regler och det finns inte någon tankegång varför blev som den är. Även om attackeraren känner till vilken ordlista orden är urplockade ifrån så hjälper det inte denne ett skvatt. Så arbetar tex. diceware där varje ord är en 'tecken' på ett alfabet av 7776 tecken - åter igen sann och opåverkad slumpmässighet är det viktiga när man skapar starka passord/passfraser

Så fort du använder hjärnan när du skapar sekvenserna så är det genast lättare att hacka passordet/passfrasen.

Trädvy Permalänk
Medlem
Registrerad
Jan 2012

@xxargs: Tänkte faktiskt bara att jag skulle skapa ett lösenord som såg ut att vara knepigt att komma ihåg, men samtidigt fungerade som någon form av demonstration av poängen. Hur svårt det var att knäcka var aldrig något jag riktigt tänkte kring. Men klart intressant att programmen är utformade med det i åtanke. Liksom resterande utav texten

Trädvy Permalänk
Medlem
Plats
Umeå -> Nordmaling
Registrerad
Jul 2007
Skrivet av xxargs:

alla sådana 'tangentbordsturer' är lätta att knäcka och finns redan i crackprogrammen, samma sak med olika permuterade sekvenser.

Olika substitutioner som ovan förutsätter man också att det görs när man attackerar lösenord - kort sagt alla trix du än hittar på - har tusentals andra redan gjort och många av dem är redan i crackprogrammen som algoritmer...

Du får det låta som att alla lösenord oavsett hur man konstruerar dem är redan antingen knäckta eller lätta att knäcka. Jag tror jag kan göra ett ganska säkert 64 tecken långt lösenord med en blandning av ovanstående tekniker som kommer hålla sig säker några år framöver, och lätt att komma ihåg. Eller det kanske var din poäng, att den inte skulle vara säker med ovanstående tekniker oavsett längd för isf missade jag den.

Trädvy Permalänk
Medlem
Registrerad
Jul 2013

En mening med felstavade ord lär ju vara succé om "dictionary attacks" är ett hot.
...eller bara byta plats på sista och nästsista bokstaven.

"Ne menign mde felstavaed odr"

Kanske byta ut space mot något...

"Ne?menign?mde?felstavaed?odr"

Trädvy Permalänk
Medlem
Plats
Tyskland
Registrerad
Dec 2008

XKCD har FEL. Människor ska INTE välja ut lösenord. Det är därför något som keepass (som inte sitter i molnet) är bästa säkerhet. Är det enkelt att komma ihåg är det enkelt att knäcka. Speciellt då enorma mängder lösenord läckt så att man vet väldigt bra hur människor tänker så att lösenord som vi kommer upp med är ännu lättare att knäcka än vad rent matte säger.

Helt slumpmässiga lösenord som är genererade av datorer är de absolut säkraste. Med en lösenordshanterare kan man garantera att man har väldigt bra lösenord samtidigt som du behöver komma ihåg endast ett bra lösenord. Det betyder att när en sida blir knäckt, och det är garanterat, så slipper du bli hackad på alla andra sidor med. Detta är varför "system" lösenord är osäkra. Några läckor kommer garanterat att visa hur dit system fungerar och sannolikheten att du är ensam med den är ganska så försvinnande liten.

Trädvy Permalänk
Medlem
Plats
Tyskland
Registrerad
Dec 2008
Skrivet av sickhouse:

En mening med felstavade ord lär ju vara succé om "dictionary attacks" är ett hot.
...eller bara byta plats på sista och nästsista bokstaven.

"Ne menign mde felstavaed odr"

Kanske byta ut space mot något...

"Ne?menign?mde?felstavaed?odr"

Du tror väl inte på allvar att du är först att tänka på det eller att den inte ingår i attacker redan? Samma med a utbytt mot @ och resten av vanliga substitutioner som folk gör och tror att de är listiga som fan. Är det enkelt att komma ihåg så är det enkelt att knäcka!

Trädvy Permalänk
Medlem
Plats
Trollhättan
Registrerad
Jun 2011

Ett valfritt ord måste väl ändå oftast vara starkare än ett valfritt tecken?

MSI Z77A-GD65 | Intel Core i5 3570K @ 4,2 GHz | Palit Geforce GTX 1070 JetStream | 16 GB Corsair Vengeance 1600 MHz

You must come with me, young ones, for I am the grim reaper.

Trädvy Permalänk
Medlem
Plats
Götet
Registrerad
Okt 2013

Majoriteten av gammal mjukvara (som storföretag sitter med internt) har ofta en begränsning på lösenordets längd. Inga meningar för min del på jobbet

Skickades från m.sweclockers.com

Processor: Motorola 68000 | Klockfrekvens: 7,09 Mhz (PAL) | Minne: 256 kB ROM / 512 kB RAM | Bussbredd: 24 bit | Joystick: Tac2 | Operativsystem: Amiga OS 1.3

Trädvy Permalänk
Medlem
Registrerad
Jan 2003
Skrivet av AxMi-24:

XKCD har FEL. Människor ska INTE välja ut lösenord.

Det XKCD föreslår är 4 slumpmässigt valda ord, inte att man ska försöka tänka ut en nonsensmening som är lätt att komma ihåg. Så metoden fungerar, men som strippen är skriven så är det stor risk att läsaren missar betydelsen av "random" och hittar på ett passfras själv, och råkar ut för exakt det problem du tar upp.

En slumpmässig serie vanliga ord som t.ex en dator genererat är fortfarande mycket lättare att komma ihåg än en sträng tecken med motsvarande entropi.

Skrivet av grönsaksröra:

Att vanliga passphrases, utan specialtecken och annat, är överlägset säkrast, även om det är kombinationer av vanligt förekommande ord så går det inte att bruta-forca utan enorm beräkningskraft (dvs, "jag heter grönsaksröra och bor i badkaret" är extremt bra och kan bara knäckas med social engineering).

AB-artikeln har faktiskt med alternativet med passfras, men bara i förbifarten: "Eller välj en lösenfras som består av slumpmässigt valda ord, minst 20 tecken.". Så det är inte helt negligerat. Ditt exempel med badkaret är dock inte så bra för det är grammatiskt korrekt, vilket drastiskt drar ner mängden möjliga kombinationer, jämfört med en slumpmässig serie ord.

Datorparken över tid: Pentium 150MHz non-MMX @208MHz OC (1997-1998), Dual PentiumII-350 @2x350MHz (1998-2008), DEC Alpha 21164 @500MHz (1999-2001), Pentium4 @2.53GHz (2004-2008), Athlon x2 be2300 @2x1.9GHz (2008-2011, 2017), C2D(laptop) @2x2.53GHz (2008-2011), PhenomII x4 910e @4x2.6GHz (2011-2012, 2018-), Dual Opteron 6140 @2x8x2.6GHz inkl. virtuell Win8 + GPU (2011-2017), Atom Avoton C2550 @4x2.4GHz (2014-), i7 8700 @6x3.2GHz inkl. virtuell Win10 + GPU (2017-)
Färgnyckel: Desktop/spel (primärt windows), Server (primärt *nix), Wks/Server (primärt *nix).