Över 20 miljoner lösenord hittar ut på webben efter rekordstor läcka

Har lösenorden nedskrivna på ett papper i lådan här bredvid datorn. Först måste någon få fysisk åtkomst till dem, sedan ska de också lista ut vart lösenorden är.

Inte en chans att man skulle kunna hålla reda på alla lösenord annars. Nej, jag vägrar lösenordshanterare på datorn... det känns inte lika säkert. Samt irriterande när man behöver skriva in lösenorden på olika enheter, vilket lösenordshanterarna inte klarar.

Eller så kollar man upp vad de faktiskt gör med datan du matar in, vilket är väldigt simpelt.

T.ex. matar du in test så hashar de lösenordet, tar ut de första 5 teknena av hashen och skickar detta till sitt API

Där får du ut en lång lista med hashat resutlat https://api.pwnedpasswords.com/range/A94A8 t.ex. för Test och sedan gämförs resten i din webläsare.

Dit själva lösenord skickas aldrig någonstans.

mer info vid deras API.

https://haveibeenpwned.com/API/v2#SearchingPwnedPasswordsByRa...

Du kan verifiera allt detta under nätverks aktivitet i din debugger i din webbläsare när du använder verktyget. Så ifall ni frågar mig, att använda lösenords kollen är helt säker för skrivande stund.

svårt - med salt och en SHA256/512 (bara för att det är 512 bit med SHA512 innebär inte automatiskt att det är säkrare än med 256 bit från SHA256) och det som avgör är att man har en inte allt för lättgissad passord.

Salt gör inte hashet säkrare men hindrar effektivt användande av rainbow-listor som kan förkorta attacktiden väldigt mycket annars. för NTLM v.1 - som inte använder salt - finns rainbowlistor som kan göra uppslaget på bara ett antal tiotal sekunder oavsett vilken passord (upp och till och med 14 tecken) användaren har skrivit i då listan innehåller samtliga kombinationer som är möjliga - därav kravet minst 15 tecken passord i windows!

Maskingenererad slumpsekvens med stora, små, nummer och symboler så är 12 tecken ett minimum, för windows minst 15 tecken av olika historiska skäl, bla. för att garanterat inte NTLM v.1-protokollet kan användas av misstag med passordet även om de av okunnighet/misstag fortfarande är aktiv i tex. företagsnät (vilket är nästan standard för att den där skrivaren eller NAS:en 'skall synas över nätverket (sic)' ).

Kör man maskingenererad passfras ur en ordlista av 7776 ord (ala diceware) så är 6 ord med skiljetecken mellan orden ett minimum. - Och det viktigaste! att det är just maskinframslumpade eller framkastade fysiska sekvenser av tex. tärningar och inget som du själv hittar på

- för hittar du själv på något själv, hur påhittig du än själv tror att du är, så är det väldigt stor sannolikhet att sekvensen redan finns i publika 'doomsday'-lista med mer än 500 miljoner unika passord i teckenområdet 8-12 teckens längd... passfraser baserade på upp till 3 ord knäcks också på närmast rutinmässig sätt - medans vid 5 ord är det riktigt svårt och med 6 ord har man skaffat sig marginal och motsvarar nästan att knäcka en 160-bitars felfri hashsumma (med 80 bitas attacktålighet) då det motsvarar 77.5 bitars attacktålighet. ger ca 3000 års attacktid vid 1000 miljarder beräkningar i sekunden - dvs. det går att knäcka på något eller några år eller så men man skall vara väldigt angelägen och är villig att spendera miljoner kronor i bara elströmmen på rader av parallellt arbetande GPU-maskinerna som räknar på detta.

Som sagt den är legit och Troy är seriös och siten har ett API för att testa sina passord via att man generera en SHA1-summa av sitt passord och sedan bara skriver in de 5 första värdena för Haveibeenpwned - får en lista tillbaka på mellan 200 - 1000 rader och så tittar man själv om värde 6 och efter från sin SHA1-hassumma av passordet förekommer i listan, finns inte sekvensen där så är passordet ej känt läckt.

en beskriven procedur närmare:

se #17502437

Det börja vara allt fler passordshanterare som har funktionen att prova passord mot Haveibeenpwned enligt proceduren ovan.