Forum Övrigt Nyhetskommentarer Tråd

Specops: "Halvlånga lösenord en falsk trygghet"

1 2 3 4 5 6 7
Skriv svar
Permalänk
Melding Plague

Specops: "Halvlånga lösenord en falsk trygghet"

Långa lösenord är inte lika med säkra lösenord. Säkerhetsföretaget Specops förklarar hur lång tid de tar att knäcka.

Läs hela artikeln här

Visa signatur

Observera att samma trivselregler gäller i kommentarstrådarna som i övriga forumet och att brott mot dessa leder till avstängning. Kontakta redaktionen om du vill uppmärksamma fel i artikeln eller framföra andra synpunkter.

Redigera
Citera flera Citera
Permalänk
Medlem

*Mitt konto blev hackat på grund av osäkert lösenord*
"Skulle gått till Specops"

Förlåt, men jag är småbarnsfar och då har man rätt till pappavitsar

Dold text
Visa signatur

'Three things are infinite. The universe, human stupidity and Winrars trial period.' - Albert Einstein

Redigera
Citera flera Citera
Permalänk
Medlem

Långa lösenord osäkra.
Jag byter till ett som är ett tecken kort.

Redigera
Citera flera Citera
Permalänk
Festpilot 2020, Antiallo

Haha, mitt lösenord är jättesäkert, det är 20 tecken långt, har tre siffror, fyra specialtecken... 😋

Bara skoja, inget av det ovan är sant eller falskt.

Visa signatur

 | PM:a Moderatorerna | Kontaktformuläret | Geeks Discord |
Testpilot, Skribent, Moderator & Geeks Gaming Huvudadmin

Redigera
Citera flera Citera
Permalänk
Medlem

Sitt nu snällt alla & berätta vilken längd ni har på era lösenord så "hackarna" vet vilka dom ska inrikta sig på!

Visa signatur

XFX Speedster MERC 319 RX 6800 Black | AMD Ryzen R7 5700X | Noctua NH-D15 | Asus TUF Gaming B550-Plus | 2x16GB 3200MHz Corsair Vengeance LPX | Samsung 980 Pro 250GB | Samsung 980 1000GB | Corsair HX1000i | Fractal Design Define S | LG 27GL83A | Corsair K95 Platinum | Corsair Gaming M65 Ultra | Corsair Void Elite Wireless

Redigera
Citera flera Citera
Permalänk
Medlem

Inget lösenord är helt säkert. Någon på företagets IT-avdelning fick en snilleblixt och höjde kravet på lösenordslängd till 14 tecken, samt versal/gemen och siffra till senaste lösenordsbytet. Skrev bara en variant av ett gammalt lösenord och la till ett ordliste-ord, som en tyst protest.

Om de har problem med hackers så kommer det inte bero på om om det var 6, 8 eller 14 tecken i lösenordet.

Visa signatur

Guide: Sätta upp en RAM-disk för Nvidia Instant Replay (f.d. Shadowplay)
http://xkcd.com/386/
http://readthefuckingmanual.com/

ZING! pam-PAM pam-PAM!

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Bael:

Sitt nu snällt alla & berätta vilken längd ni har på era lösenord så "hackarna" vet vilka dom ska inrikta sig på!

Gå till inlägget

42, obviously....

Visa signatur

//Gelantious
I heard life sucks, that''s why I''m glad I don''t have one.

Redigera
Citera flera Citera
Permalänk
Medlem

20 faktors autentisering is the shit. Ingen av dessa ska gå att göra från samma enhet eller samma uppkoppling till internet.

Redigera
Citera flera Citera
Permalänk
Medlem

Mitt lösenord här på Sweclockers är 64 karatärer, psuedorandoniserat med både stora och små bokstäver samt specialtecken. Happy hacking.

Visa signatur

:^)

Redigera
Citera flera Citera
Permalänk
Medlem

Varför rekommenderas det aldrig att köra med lösenordshanterare?
64 karaktärer är ju standard (förutom när Microsoft inte klarar av mer än 16...), med generiska symboler, bokstäver och siffror.

Sedan behöver man bara memorera ett knepigt lösenord

Visa signatur

Krusidullen är stulen

Redigera
Citera flera Citera
Permalänk
Hedersmedlem
Skrivet av Bael:

Sitt nu snällt alla & berätta vilken längd ni har på era lösenord så "hackarna" vet vilka dom ska inrikta sig på!

Gå till inlägget

Jag brukar köra 32. Lycka till till de som vill köra brute force.
Känns inte som om "security through obscurity" gör någon nytta här. Vore skillnad om man körde typ 10-12 tecken.

Om vi utgår från siffrorna i tabellen så bör det handla om typ 72^14 gånger längre tid att knäcka än deras på 18 tecken, så nånstans kring 10^40 år, eller 10^30 gånger universums livstid.
Känns som att det finns nog med säkerhetsmarginal för framtida datorer där också.

Visa signatur

Asus B550M-Plus / Ryzen 5800X / 48 GB 3200 MHz CL14 / Asus TUF 3080 OC / WD SN850 1 TB, Kingston NV1 2 TB + HDDs / Corsair RM650x / Acer XB271HU (1440p165) / LG C1 55"
Mobil: Moto G200

Redigera
Citera flera Citera
Permalänk
Medlem

En kort mening på svenska borde vara tämligen säker, eller hur? Den lär ju knappast finnas på de "brute force-listor" som cirkulerar.

Redigera
Citera flera Citera
Permalänk
Hedersmedlem
Skrivet av p.lindblom:

En kort mening på svenska borde vara tämligen säker, eller hur? Den lär ju knappast finnas på de "brute force-listor" som cirkulerar.

Gå till inlägget

Det finns även dictionary-attacker som kombinerar flera ord från ordböcker (och modifierar dem, så ord med l33tsp3ak är inte garanterat säkra de heller).
20 slumpade bokstäver/siffror/tecken lär vara långt säkrare än en mening på 25-30 tecken.

Visa signatur

Asus B550M-Plus / Ryzen 5800X / 48 GB 3200 MHz CL14 / Asus TUF 3080 OC / WD SN850 1 TB, Kingston NV1 2 TB + HDDs / Corsair RM650x / Acer XB271HU (1440p165) / LG C1 55"
Mobil: Moto G200

Redigera
Citera flera Citera
Permalänk
Medlem

Förhoppningsvis slipper vi lösenord på internet snart

Redigera
Citera flera Citera
Permalänk
Medlem

Trodde först det var något glasögonföretag xD

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Sveklockarn:

Inget lösenord är helt säkert. Någon på företagets IT-avdelning fick en snilleblixt och höjde kravet på lösenordslängd till 14 tecken, samt versal/gemen och siffra till senaste lösenordsbytet. Skrev bara en variant av ett gammalt lösenord och la till ett ordliste-ord, i tyst protest.

Om de har problem med hackers så kommer det inte bero på om om det var 6 eller 14 tecken i lösenordet.

Gå till inlägget

Långa lösenord gör dock ofta att det tar längre att ta sig vidare i miljön och man har mer tid att hitta intrånget. Samma om ditt konto hamnar i en databasdump, är det långt och algoritmen är sund så tar det bra länge att knäcka.

Förövrigt bygger listan på att man har ett 3090 och kör mot MD5, sidan går faktiskt igenom lite olika lägen. https://www.hivesystems.io/blog/are-your-passwords-in-the-gre...

Det skalar nästan perfekt med fler grafikkort så har man 2 så tar det halva tiden. Folk som håller på med sånt här har ofta 8st eller hyr minst en rigg med 8st. De riktigt stora grupperna (tänk t.ex Conti som drar in miljarder per år) kan ha en hel jävla hangar med grafikkort för att knäcka lösenord.

Skrivet av Thomas:

Om vi utgår från siffrorna i tabellen så bör det handla om typ 72^14 gånger längre tid att knäcka än deras på 18 tecken, så nånstans kring 10^40 år, eller 10^30 gånger universums livstid.
Känns som att det finns nog med säkerhetsmarginal för framtida datorer där också.

Gå till inlägget

Ta siffrorna där och ta bort 90% av tiden så hamnar du på dagens nivåer. Det där är räknat på ett grafikkort som inte ens är realistiskt för t.om scriptkiddies har bättre tillgång.

Om Nvidias nya saker för HPC klarar sånt här (lär vara perfekt för det) så räkna med att hur fort vi knäcker lösenord hoppar upp med flera hundra procent i år bara.

Visa signatur

i9 11900k ||32GB 4000MHz CL15||ASUS ROG STRIX Z590-E||Noctua NH-D15s
Intel Arc a750 ||Samsung 980 pro|| EVGA Supernova G3 850W
Asus xonar essence STX|| Lian-Li O11 Dynamic XL
Asus VG27AQ 165Hz IPS, Sennheiser HD650, Logitech g502 Hero, fUnc f30r, Vortex TAB90M, Audio-Technicha ATR2500x-USB
Server: x10SL7-F, Xeon E3 1230v3, 32GB Samsung ECC ram, 6x3TB WD RED, FD Node 804.

Redigera
Citera flera Citera
Permalänk
Medlem

Gillar deras kategorisering, 69000 år är orange och det tolkar jag som ett mindre bra lösenord

Visa signatur

i7-8700k | RTX 3080

Redigera
Citera flera Citera
Permalänk
Medlem
Citat:

Problemet med lösenord enligt Specops är däremot att många använder vanliga ord som gör dem extra lätta att knäcka

Trams. Ett lösenord bestående av en kombination av tre eller fyra vanliga ord är oändligt mycket lättare att komma ihåg, och oändligt mycket svårare att knäcka, än en random sträng bokstäver+siffror+symboler på 12 tecken.

SirapBananYodaKamikaze

Fullt med vanliga ord, men enligt deras egen uträkning så tar det 999999999999999 miljarder år att knäcka det lösenordet. Jämfört med t.ex. X3j%Sj24X"! som enligt deras lista tar 34 år att knäcka och är tusen gånger svårare att komma ihåg.

Skit i den satans jävla komplexiteten och tvinga användare till längre lösenord och rekommendera en sträng med lite random ord.

Redigera
Citera flera Citera
Permalänk
Hedersmedlem
Skrivet av BergEr:

Ta siffrorna där och ta bort 90% av tiden så hamnar du på dagens nivåer. Det där är räknat på ett grafikkort som inte ens är realistiskt för t.om scriptkiddies har bättre tillgång.

Gå till inlägget

OK, fast poängen var ju lite grann att sånt är totalt irrelevant. Om så dagens grafikkort är en miljard gånger snabbare än de räknat med, och kan köras i kluster på en miljard GPU:er, så finns det fortfarande ofattbara mängder marginal kvar.

Visa signatur

Asus B550M-Plus / Ryzen 5800X / 48 GB 3200 MHz CL14 / Asus TUF 3080 OC / WD SN850 1 TB, Kingston NV1 2 TB + HDDs / Corsair RM650x / Acer XB271HU (1440p165) / LG C1 55"
Mobil: Moto G200

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av JBerger:

Trams. Ett lösenord bestående av en kombination av tre eller fyra vanliga ord är oändligt mycket lättare att komma ihåg, och oändligt mycket svårare att knäcka, än en random sträng bokstäver+siffror+symboler på 12 tecken.

SirapBananYodaKamikaze

Fullt med vanliga ord, men enligt deras egen uträkning så tar det 999999999999999 miljarder år att knäcka det lösenordet. Jämfört med t.ex. X3j%Sj24X"! som enligt deras lista tar 34 år att knäcka och är tusen gånger svårare att komma ihåg.

Skit i den satans jävla komplexiteten och tvinga användare till längre lösenord och rekommendera en sträng med lite random ord.

Gå till inlägget

Men om de får folk att byta till 20, 30, 40 tecken långa meningar nu så kan de ju inte göra exakt samma artikel nästa år och säga att 12 nu inte duger och det är dags för 13 eller 14 tecken!

Visa signatur

i9 11900k ||32GB 4000MHz CL15||ASUS ROG STRIX Z590-E||Noctua NH-D15s
Intel Arc a750 ||Samsung 980 pro|| EVGA Supernova G3 850W
Asus xonar essence STX|| Lian-Li O11 Dynamic XL
Asus VG27AQ 165Hz IPS, Sennheiser HD650, Logitech g502 Hero, fUnc f30r, Vortex TAB90M, Audio-Technicha ATR2500x-USB
Server: x10SL7-F, Xeon E3 1230v3, 32GB Samsung ECC ram, 6x3TB WD RED, FD Node 804.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av BergEr:

Långa lösenord gör dock ofta att det tar längre att ta sig vidare i miljön och man har mer tid att hitta intrånget. Samma om ditt konto hamnar i en databasdump, är det långt och algoritmen är sund så tar det bra länge att knäcka.

Förövrigt bygger listan på att man har ett 3090 och kör mot MD5, sidan går faktiskt igenom lite olika lägen. https://www.hivesystems.io/blog/are-your-passwords-in-the-gre...

Det skalar nästan perfekt med fler grafikkort så har man 2 så tar det halva tiden. Folk som håller på med sånt här har ofta 8st eller hyr minst en rigg med 8st. De riktigt stora grupperna (tänk t.ex Conti som drar in miljarder per år) kan ha en hel jävla hangar med grafikkort för att knäcka lösenord.

Gå till inlägget

Det blir nog svårt att komma förbi tvåfaktorsautentiseringen ändå.

Där är också ett exempel på en meningsfull motåtgärd, medan alla såna där upplägg med single point failure är dömda att misslyckas förr eller senare.

Visa signatur

Guide: Sätta upp en RAM-disk för Nvidia Instant Replay (f.d. Shadowplay)
http://xkcd.com/386/
http://readthefuckingmanual.com/

ZING! pam-PAM pam-PAM!

Redigera
Citera flera Citera
Permalänk
Hedersmedlem
Skrivet av JBerger:

Fullt med vanliga ord, men enligt deras egen uträkning så tar det 999999999999999 miljarder år att knäcka det lösenordet.

Gå till inlägget

Det är för att tabellen bara visar brute force. Slår du ihop ett par vanliga ord kan det knäckas väldigt mycket snabbare än så trots att det kan vara 20+ tecken långt.

En brute force-attack kanske alltså testar: aaaaaaaaaa, aaaaaaaaab, aaaaaaaaac... abaaaaaaaa, abaaaaaaab osv.
En kombinerad dictionary-attack kanske snarare testar ord1+ord2+ord3, ord1+ord2+ord4, ord1+ord2+ord5 osv. Eftersom en ordlista kanske bara är typ 200 000 ord så blir antalet kombinationer med 3 ord bara typ 6*10^15 kombinationer, vilket i denna tabellen motsvarar mindre än 7 timmar.
Då finns det en del utrymme att även testa med specialtecken mellan ord, ersätta O med 0, a med @ och sånt.

För att få fram det räknade jag på kolumnen med uppercase/lowercase/siffror, vilket med engelska alfabetet ger 62 tecken per plats.
Enligt tabellen tar 9 tecken 7 timmar, dvs 62^9 = 10^16 kombinationer tar 7 timmar.
Sedan kan vi dela det med 10 enligt andra inlägg i tråden.

Visa signatur

Asus B550M-Plus / Ryzen 5800X / 48 GB 3200 MHz CL14 / Asus TUF 3080 OC / WD SN850 1 TB, Kingston NV1 2 TB + HDDs / Corsair RM650x / Acer XB271HU (1440p165) / LG C1 55"
Mobil: Moto G200

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av BergEr:

Långa lösenord gör dock ofta att det tar längre att ta sig vidare i miljön och man har mer tid att hitta intrånget. Samma om ditt konto hamnar i en databasdump, är det långt och algoritmen är sund så tar det bra länge att knäcka.

Förövrigt bygger listan på att man har ett 3090 och kör mot MD5, sidan går faktiskt igenom lite olika lägen. https://www.hivesystems.io/blog/are-your-passwords-in-the-gre...

Det skalar nästan perfekt med fler grafikkort så har man 2 så tar det halva tiden. Folk som håller på med sånt här har ofta 8st eller hyr minst en rigg med 8st. De riktigt stora grupperna (tänk t.ex Conti som drar in miljarder per år) kan ha en hel jävla hangar med grafikkort för att knäcka lösenord.

Ta siffrorna där och ta bort 90% av tiden så hamnar du på dagens nivåer. Det där är räknat på ett grafikkort som inte ens är realistiskt för t.om scriptkiddies har bättre tillgång.

Om Nvidias nya saker för HPC klarar sånt här (lär vara perfekt för det) så räkna med att hur fort vi knäcker lösenord hoppar upp med flera hundra procent i år bara.

Gå till inlägget

Även bcrypt verkar ju realistist att knäcka om det är korta lösenord. MD5 borde ju ha slutat användas för minst 10 år sedan. Om man ändå är kompetent nog att implementera någon form av lösenordshashning, så borde man även vara kompetent nog att googla vilken algoritm som rekommenderas.
Men visst, det är väl ofta entreprenörer med svaga datakunskaper som ligger bakom många mjukvaruprojekt. Fort ska det gå.

Redigera
Citera flera Citera
Permalänk
Medlem

Kan man tro att någon på Rysslands centralbank hade tre tänkbara efternamn på politiska ledare vars efternamn slutade på "n" som lösenord?

28 februari 2022
https://www.di.se/digital/anonymous-forklarar-cyberkrig-mot-r...

24 mars 2022
https://www.di.se/live/anonymous-vi-har-hackat-rysslands-cent...

Fast det tog drygt tre veckor. Jag kom på tre tänkbara alternativ på tre sekunder.

Visa signatur

| Fractal Design Define R5| Asrock X399 Fatal1ty| Threadripper 1950X| Noctua NH-U14S TR4-SP3| Corsair Vengeance LPX 8x16GB 3200 C16| be quiet! Straight Power 11 Platinum 1000W| ASUS RTX 3080 10GB Strix| LG OLED 4k 42" C2| Debian Sid| KDE 5.x|

Redigera
Citera flera Citera
Permalänk
Medlem

Hur funkar det med bruteforce när sidor exempelvis låser dig ute i x antal minuter efter exempelvis 5 felgissningar? Har de möjlighet att gå runt det på något sätt?

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Thomas:

Det är för att tabellen bara visar brute force. Slår du ihop ett par vanliga ord kan det knäckas väldigt mycket snabbare än så trots att det kan vara 20+ tecken långt.

En brute force-attack kanske alltså testar: aaaaaaaaaa, aaaaaaaaab, aaaaaaaaac... abaaaaaaaa, abaaaaaaab osv.
En kombinerad dictionary-attack kanske snarare testar ord1+ord2+ord3, ord1+ord2+ord4, ord1+ord2+ord5 osv. Eftersom en ordlista kanske bara är typ 200 000 ord så blir antalet kombinationer med 3 ord bara typ 6*10^15 kombinationer, vilket i denna tabellen motsvarar mindre än 7 timmar.
Då finns det en del utrymme att även testa med specialtecken mellan ord, ersätta O med 0, a med @ och sånt.

För att få fram det räknade jag på kolumnen med uppercase/lowercase/siffror, vilket med engelska alfabetet ger 62 tecken per plats.
Enligt tabellen tar 9 tecken 7 timmar, dvs 62^9 = 10^16 kombinationer tar 7 timmar.

Gå till inlägget

Det där måste ju rimligen också förutsätta ett system som det går att göra ett obegränsat antal försök att logga in på, vilket är en säkerhetsrisk fler och fler börjat täppa till (t.ex. Apple efter iCloud-läckor via brute-force) genom att t.ex. deaktivera inloggningen i 60 sekunder efter tre misslyckade försök, och deaktivera kontot tillfälligt vid 10 st misslyckade försök inom en kortare tidsperiod.

Visa signatur

Guide: Sätta upp en RAM-disk för Nvidia Instant Replay (f.d. Shadowplay)
http://xkcd.com/386/
http://readthefuckingmanual.com/

ZING! pam-PAM pam-PAM!

Redigera
Citera flera Citera
Permalänk
99:e percentilen
Skrivet av JBerger:

Trams. Ett lösenord bestående av en kombination av tre eller fyra vanliga ord är oändligt mycket lättare att komma ihåg, och oändligt mycket svårare att knäcka, än en random sträng bokstäver+siffror+symboler på 12 tecken.

SirapBananYodaKamikaze

Gå till inlägget

Även känt som correct horse battery staple.

Visa signatur

Skrivet med hjälp av Better SweClockers

Redigera
Citera flera Citera
Permalänk
Medlem

Hm, min passphrase till lösenordshanteraren är tydligen rätt säker, ett av "orden" finns dessutom inte i dictionaries, men mina lösenord jag har sedan länge på andra ställen är helt förtappade ser jag. Undantaget mail, mobil, etc, de ligger inte i lösenordshanterare heller, bara i huvudet, och är ganska långa då de skrivs så sällan. (de är oglömbara och nerskrivna på anteckning i hemmet, med lätt kryptering, tänk c+3 fast inte riktigt)
Tror allt mer hamnar bakom typ "bankid" i framtiden, jag skulle vilja kunna logga in på Lastpass med Bank-ID som extra verifikation, etc.

Visa signatur

ASUS P8Z68-v Pro i7 2600K@4.5, RX 570, 4K Samsung u24e590, Intel SSD, Seagate SSHD, LG BH16NS55 BD/RW, MacOS Monterey, Win 10+11, Linux Mint

Macbook Pro 2009, 6GB RAM, SSD, MacOS Catalina + Windows 7

Redigera
Citera flera Citera
Permalänk
Medlem

Värt att påpeka är att tabellen för hur lång tid det tar att knäcka ett lösenord handlar om hur lång tid det tar att knäcka ett osaltat MD5 hash för ett lösenord (med 8x Nvidia A100). Om någon fått tag på ett sånt hash så har man sannolikt värre problem än hur långt lösenordet är, eftersom vem som helst som kan något om säkerhet vet att man alltid saltar lösenordshash.

Men tyvärr så kan man inte anta att den som implementerat säkerheten på en sida faktiskt är någorlunda kompetent. Är det riktigt illa så kanske lösenorden inte ens är hashade, och då spelar det ju ingen roll hur långt lösenord man än har. Så att använda olika lösenord på alla sidor är nog mer viktigt än långa lösenord, men det bästa är förstås både och.

Redigera
Citera flera Citera
Permalänk
Sötast

Ogillar deras färgskala.
Orange färg är mellan 4 till 69.000 år.

Klassas de som lika dåliga?

Visa signatur

https://imgur.com/sxldiIg

Redigera
Citera flera Citera
1 2 3 4 5 6 7
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara