Specops: "Halvlånga lösenord en falsk trygghet"

Vad som är av relevans är att man inte måste testa så många som 30.000 ord för att hitta en andel av orden. Redan vid 5000 ord kommer kombinationer av 4 ord ge en del träffar i en större databas. Precis som för 30.000 ord inte täcker in alla ord så gör inte 5000 ord det heller. Men det knäcker en andel av lösenorden - och det snabbt.

Sedan kan man lägga till fler ändringar som du säger. Det ger emellertid många fler kombinationer totalt att bara lägga in ett extra ord. Helst fler. Under 6 ord rekommenderar jag inte. Sedan kan man göra förvrängningar - också. Det är hur bra som helst!

Jag har svarat på ett annat inlägg i tråden där jag ändå tycker svaret passar ganska bra för det du tar upp:
#19540828

Det är därför man får en speciell lösenordsfras som man vid setup uppmanas att skriva ner på papper och förvara på en annan plats.

Jag har både lösenordsfrasen nedskriven (eller om det är återställningsfras det kallas) i ett kassaskåp utanför hemmet. Jag har även min backup YubiKey där. Helst kanske man ska ha dessa på olika ställen, men har inte alltför många i närheten som har kassaskåp speccade att klarar 60-120 minuter i full brand hehe. Man kan även ha flera sorters 2FA aktiverade samtidigt om man så önskar.

De flesta sidorna med 2FA har ju även återställningskoder som man kan spara en gång och aldrig behöver uppdatera, som kan användas som engångskoder för att gå runt 2FA.

Självklart tycker jag man även ska ta backup på själva koderna (jag kör Aegis som gör detta automatiskt, synkar sedan det till datorn), men det är inte kritiskt för att inte bli fullkomligt utelåst.

Men om nu en sida blir hackad och alla lösenord läcker ut, då spelar det väl ändå ingen roll hur långt eller svårt mitt lösenord på den sidan var. Har det väl läckt så står det ju där så att vem som helst kan logga in som mig på den specifika sidan som blivit hackad.
Det viktiga bör ju vara att inte använda samma lösenord på två olika sidor.
Ponera att Sweclockers blir hackade och alla lösenord läcker ut, vad spelar det då för roll om mitt lösenord på den här sidan är *Qwerty eller *E8r9t8@Q#h%Hy+M”.1337 ?

Nja. Själva hash algoritmen är mer eller mindre standardiserad. Det finns ett antal olika alternativ.
Däremot så använder algoritmen en seed i form av ett mycket stort primtal som den använder i beräkningarna av hashen. Det är den som är svår att få reda på.
Själva algoritmen är gjord så att den mycket fort kan räkna ut en hash för ett lösenord men det är mer eller mindre omöjligt att räkna fram lösenordet från hashen. Det går alltså inte att räkna baklänges.
Och även om du har hashalgoritmen och vilken seed som man använder så går det som sagt ändå inte att räkna baklänges utan man är hänvisad till att testa att mata in olika tänkbara lösenord i algoritmen och få fram en hash som man jämför med det som ligger i den läckta databasen.

Dvs du har ingen hjälp av att veta vad något lösenord är innan. Det finns ganska informativa videos på youtube som förklarar hur det går till och hur det fungerar. Computerfile har gjort några stycken om hur hash algoritmer fungerar.

Men i stort så är det så att du bara kan räkna fram en hash från ett lösenord. Inte baklänges. Så hur fort det går att knäcka ett lösenord beror i mångt och mycket på hur mycket datorkraft du har till förfogande då du måste testa att generera massor av hashar som du jämför mot hasharna i en läckt databas.

Tack, sjukt bra och pedagogiskt förklarat nu förstår jag poängen!

Nej, för databasen innehåller inte ditt lösenord i klartext utan det är kodat. Så även om databasen läcker ut så är det ingen skada skedd för dig som användare om du har ett säkert lösenord.

Fast som sagt, behöver inte fler än 4 ord för det är så många kombinationer att det tar en sjujäkla massa år att knäcka.
Du kan knäcka massa lösenord genom att bara testa 6-8 tecken också, så förstår inte riktigt vad ditt svar om "Redan vid 5000 ord kommer man få träffar" har med det att göra; Ha inte ett lösenord på 6-8 tecken, och ha inte ett lösenord som använder de allra vanligaste orden du kan komma på "HundKattApaGris" utan ta lite mer exotiska som "TellusLemurSkytteHarakiri" så är du säker, framförallt om du använder svenska ord eller kombination av olika språk så är du uppe i ofantligt mycket fler kombinationer än sex ord hade gett förutsatt att det är samma språk.

Men problemet är återigen att folk återanvänder lösenord snarare än att de har korta lösenord, och folk återanvänder lösenord för någon idiot sysadmin eller dennes chef kräver att användarna ska ha stor+liten bokstav + siffra + specialtecken + får inte vara två av samma typ i följd + ska bytas varannan torsdag om det inte är en helgdag då ska det bytas onsdagen därpå och det ska vara minst 10 tecken men också INTE längre än 14 tecken.

Tänkte skriva något utförligt svar men jag ids inte diskutera det mer. Spelar ingen roll om datorer blir snabbare om något snabbt blir exponentiellt större (För datorer blir inte exponentiellt snabbare på att knäcka lösenord för varje år) utan du är ändå säkrare med fyra ord även om du så använder samma språk som om du använde 14 bokstäver som lösenord, alternativt 12 specialtecken-bokstäver-siffror kombo. Med skillnaden att fyra ord är oändligt mycket lättare at komma ihåg. Och använder du två språk så är du praktiskt taget helt skyddad för antalet kombinationer blir så ofantligt många att även om du har den dator som är 1000ggr kraftfullare än de använt i den här artikeln så tar det fortfarande flera miljoner år av konstant brutforce:ande.

Meh, nu blev det långt svar ändå. En juävla massa kombinationsmöjligheter = säkert lösenord, om det så är random bokstäver+siffror+tecken eller fyra ord i följd. Men det senare är mycket lättare att komma ihåg.

Har du samma till allt möjligt eller är det till en specifik sida du menar?
Att ha ett starkt lösenord är ju bra, men är det samma till allt så är det bara bra tills någon sida man använder på det blir hackad, sen finns risken att det läcker. (Speciellt från sidor som lagrar i plaintext eller använder kryptering istället för hashning.)
Händer det så kan ju alla konton man har potentiellt ryka när som helst sedan, vilket är varför nästan alla säkerhetsexperter rekommenderar att använda en lösenordshanterare och unika lösenord för varje sida.

Kolla in https://haveibeenpwned.com/ åtminstone.

Hur ofta blir man "hackad" genom att någon lyckas gissa ens lösenord? Ofta blir man ju blockerad efter 3-5 försök ändå. Känns som det oftast beror på att någon databas med lösenord läcker ut, och då är man mer skyddat om man helt enkelt inte har använt det lösenordet någon annanstans...

int3 om_du_använder_dig_av_varierande Skiljetecken?

Detta gör lösenordet säkert som tusan, simpelt att få opersonligt och är dessutom möjligt att komma ihåg enkelt. Slumpade långa lösenord är sådana man har i lösenordshanteraren och inte behöver komma ihåg.

Spelar ju roll vid privilege escalation vilket är hur man faktiskt får ut någon data av värde.

Du kommer in genom att någon klickar på en dålig länk (nästan aldrig en med admin), sen letar du efter databas internt för konton.

Om du har en policy att alla konton ska vara max 7 tecken så knäcker man en sån databas väldigt fort när man väl hittar en.

Under förutsättning lösenorden är maskingenererade - annars går det fortare att prova med dom olika regelverken i hur folk skapar lösenorden är att försöka angripa dessa via rainbow-metoder mfl.

den största säkerhetsrisken är vi själva med för förutsägbara lösenord.

Salt är tyvärr ingen garanti för att det blir "rätt". Aktuellt exempel, mjukvarulicens, tillverkat och sålt av stort svenskt företag för sexsiffriga belopp, lätt rundat med hårdvara från wish för 500 spänn. Inte ens IQ 85 har svårigheter att "knäcka" det.

Men då är väl "sssssssssssssssssssssssssss" väldigt säkert tänker jag. Kan inte tänka mig att det finns med "sss" eller liknande i rainbowtables.

Dictionary är brute force i att den testar alla kombinationer av ord i dictionary:t, medan "brute force" testar alla kombinationer av de tecken du väljer ska ingå.

Edit: Sedan får vi inte glömma att sannolikt vet inte attackeraren vad för typ av lösenord du har, så den kommer ändå köra bruteforce med massa teckenkombinationer OCH dictionary, vilket gör att det blir än mer kombinationer att testa, vilket gör att ditt, för dig, lättihågkomna lösenord på fyra ord ännu säkrare. Snarare än att ha valt ett lika säkert men väldigt mycket svårare lösenord att komma ihåg.

Om vi säger att vi väljer 4 ord i följd som lösenord, hur många ord finns det? Om vi begränsar oss till några vanliga språk som ändå kan vara relevanta i Sverige, säg tyska, spanska, franska, engelska och svenska, hur många potentiella kombinationer finns det? Och i ditt exempel säger du tre ord men om vi istället säger fem så är problemet löst.