Specops: "Halvlånga lösenord en falsk trygghet"

Sitt nu snällt alla & berätta vilken längd ni har på era lösenord så "hackarna" vet vilka dom ska inrikta sig på!

Mitt lösenord här på Sweclockers är 64 karatärer, psuedorandoniserat med både stora och små bokstäver samt specialtecken. Happy hacking.

Jag brukar köra 32. Lycka till till de som vill köra brute force.
Känns inte som om "security through obscurity" gör någon nytta här. Vore skillnad om man körde typ 10-12 tecken.

Om vi utgår från siffrorna i tabellen så bör det handla om typ 72^14 gånger längre tid att knäcka än deras på 18 tecken, så nånstans kring 10^40 år, eller 10^30 gånger universums livstid.
Känns som att det finns nog med säkerhetsmarginal för framtida datorer där också.

En kort mening på svenska borde vara tämligen säker, eller hur? Den lär ju knappast finnas på de "brute force-listor" som cirkulerar.

Förhoppningsvis slipper vi lösenord på internet snart

Trodde först det var något glasögonföretag xD

Långa lösenord gör dock ofta att det tar längre att ta sig vidare i miljön och man har mer tid att hitta intrånget. Samma om ditt konto hamnar i en databasdump, är det långt och algoritmen är sund så tar det bra länge att knäcka.

Förövrigt bygger listan på att man har ett 3090 och kör mot MD5, sidan går faktiskt igenom lite olika lägen. https://www.hivesystems.io/blog/are-your-passwords-in-the-gre...

Det skalar nästan perfekt med fler grafikkort så har man 2 så tar det halva tiden. Folk som håller på med sånt här har ofta 8st eller hyr minst en rigg med 8st. De riktigt stora grupperna (tänk t.ex Conti som drar in miljarder per år) kan ha en hel jävla hangar med grafikkort för att knäcka lösenord.

Ta siffrorna där och ta bort 90% av tiden så hamnar du på dagens nivåer. Det där är räknat på ett grafikkort som inte ens är realistiskt för t.om scriptkiddies har bättre tillgång.

Om Nvidias nya saker för HPC klarar sånt här (lär vara perfekt för det) så räkna med att hur fort vi knäcker lösenord hoppar upp med flera hundra procent i år bara.

OK, fast poängen var ju lite grann att sånt är totalt irrelevant. Om så dagens grafikkort är en miljard gånger snabbare än de räknat med, och kan köras i kluster på en miljard GPU:er, så finns det fortfarande ofattbara mängder marginal kvar.

Men om de får folk att byta till 20, 30, 40 tecken långa meningar nu så kan de ju inte göra exakt samma artikel nästa år och säga att 12 nu inte duger och det är dags för 13 eller 14 tecken!

Det blir nog svårt att komma förbi tvåfaktorsautentiseringen ändå.

Där är också ett exempel på en meningsfull motåtgärd, medan alla såna där upplägg med single point failure är dömda att misslyckas förr eller senare.

Även bcrypt verkar ju realistist att knäcka om det är korta lösenord. MD5 borde ju ha slutat användas för minst 10 år sedan. Om man ändå är kompetent nog att implementera någon form av lösenordshashning, så borde man även vara kompetent nog att googla vilken algoritm som rekommenderas.
Men visst, det är väl ofta entreprenörer med svaga datakunskaper som ligger bakom många mjukvaruprojekt. Fort ska det gå.

Kan man tro att någon på Rysslands centralbank hade tre tänkbara efternamn på politiska ledare vars efternamn slutade på "n" som lösenord?

28 februari 2022
https://www.di.se/digital/anonymous-forklarar-cyberkrig-mot-r...

24 mars 2022
https://www.di.se/live/anonymous-vi-har-hackat-rysslands-cent...

Fast det tog drygt tre veckor. Jag kom på tre tänkbara alternativ på tre sekunder.

Det där måste ju rimligen också förutsätta ett system som det går att göra ett obegränsat antal försök att logga in på, vilket är en säkerhetsrisk fler och fler börjat täppa till (t.ex. Apple efter iCloud-läckor via brute-force) genom att t.ex. deaktivera inloggningen i 60 sekunder efter tre misslyckade försök, och deaktivera kontot tillfälligt vid 10 st misslyckade försök inom en kortare tidsperiod.

Hm, min passphrase till lösenordshanteraren är tydligen rätt säker, ett av "orden" finns dessutom inte i dictionaries, men mina lösenord jag har sedan länge på andra ställen är helt förtappade ser jag. Undantaget mail, mobil, etc, de ligger inte i lösenordshanterare heller, bara i huvudet, och är ganska långa då de skrivs så sällan. (de är oglömbara och nerskrivna på anteckning i hemmet, med lätt kryptering, tänk c+3 fast inte riktigt)
Tror allt mer hamnar bakom typ "bankid" i framtiden, jag skulle vilja kunna logga in på Lastpass med Bank-ID som extra verifikation, etc.