Forum Ljud, bild och kommunikation Nätverk och uppkoppling Tråd Inlägg

Är detta påstående om lösenordssäkerhet sant?

1 2 3
Skriv svar
Permalänk
Medlem

Är detta påstående om lösenordssäkerhet sant?

Redigera
Citera flera Citera
Permalänk
Hedersmedlem

Ja, det är det. Dock gäller ju detta endast när det handlar om datorer som knäcker lösenord. Förr, när man började med de besvärliga lösenorden, så var det ju andra människor som var den största säkerhetsrisken, och då gjorde man ju lösenorden för att de skulle ha svårt att gissa dem.

Visa signatur

CPU: Intel i5 2550K (NH D-14) GPU: Nvidia GTX 570 Mobo: Gigabyte GA-P67-UD7(B2) PSU: Cooler Master Silent Pro 700W

Visste du att om Du inte håller dig till reglerna varje dag, så kommer Arla-haren och skjuter dig i huvudet eller ibland i magen.

Redigera
Citera flera Citera
Permalänk
Entusiast

Så länge datorn som försöker knäcka det är igenom bokstavskombination efter bokstavskombination så låter det logiskt ja. Entropi (är skitsvårt att förklara ordentligt) är hur sannolikt det är att något är på ett visst vis. Ju fler delar, ju mindre sannolikhet. Om datorn som ska knäcka ditt lösen däremot använder sig av ordlistor så är det mer sannolikt att den lyckas om ditt lösen är "tomte" jämfört med "toetm". Samma bokstäver, olika entropi.

Jag tror bästa versionen är att blanda metoderna, och gärna använda dialektspecifika ord och olika språk, typ: two(2)rullebörarklyddarbucket
"two (2) rullebörar klyddar bucket", eller så att även rikssvenskar förstår "two (2) skottkärror krånglar* bucket"

*klyddar är klyddigt att hitta en synonym till. Om något är klyddigt då är det krångligt/omständigt, fast typ med en charmig version av lat invävt. Eller ja, nej det är grymt svårt att förklara. Nästan så att jag hellre förklarar entropi x)

Visa signatur

Mörkt tema till sweclockers | Taklampa med socket 1155

Redigera
Citera flera Citera
Permalänk
Medlem

Finns det någon form av statistik för vilken metod som oftast knäcker folks lösenord?
Dvs, datorer (bruteforce, dictionary, etc), mänsklig faktor (phishing, etc) och dylika?

Jag vill gärna veta hur jag skall skydda mig på bästa sätt.

Edit: Bilden syftar ju endast på bruteforce som Leifson säger.

Visa signatur

Chromebook Pixel 2015 w/ Arch
Taggad inför frame.work!

Redigera
Citera flera Citera
Permalänk
Avstängd
Skrivet av buchno:

Finns det någon form av statistik för vilken metod som oftast knäcker folks lösenord?
Dvs, datorer (bruteforce, dictionary, etc), mänsklig faktor (phishing, etc) och dylika?

Jag vill gärna veta hur jag skall skydda mig på bästa sätt.

Edit: Bilden syftar ju endast på bruteforce som Leifson säger.

Gå till inlägget

Statistik vet jag inte, men phishing är antagligen etta eller tvåa över lyckade lösenordsstölder.
Bruteforcing är tidskrävande och ger inte så ofta resultat, då tack vare entropin som finns (som blarg förklarade bra ändå).

Visa signatur

Delid 3770k@5.9GHz, Mpower, 32GB Corsair Dominator@2600MHz/CL10
XFire 390x@1335/1750, Carbide 540 AIR
E34 S36B38Turbo 897WHP

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av buchno:

Finns det någon form av statistik för vilken metod som oftast knäcker folks lösenord?
Dvs, datorer (bruteforce, dictionary, etc), mänsklig faktor (phishing, etc) och dylika?

Jag vill gärna veta hur jag skall skydda mig på bästa sätt.

Edit: Bilden syftar ju endast på bruteforce som Leifson säger.

Gå till inlägget

Har du en hashad databas blir det ju ordlistor, phishing var/är ju grymt enkelt för folk går ju på allt. (Ser fortfarande många som blir "hackade" på olika forum)
Bruteforce mot en server är ju mindre praktiskt.

Vanligaste är nog att sno en databas, knäcka den och prova alla användare/lösen överallt. (Händer bra mycket oftare än vad folk tror)
Spara listan och prova den igen senare.

Ska man skydda sig i spel skulle jag rekommendera en ny mail (de spel som använder de som login) och aldrig använda den någonstans.

Visa signatur

i9 11900k ||32GB 4000MHz CL15||ASUS ROG STRIX Z590-E||Noctua NH-D15s
Intel Arc a750 ||Samsung 980 pro|| EVGA Supernova G3 850W
Asus xonar essence STX|| Lian-Li O11 Dynamic XL
Asus VG27AQ 165Hz IPS, Sennheiser HD650, Logitech g502 Hero, fUnc f30r, Vortex TAB90M, Audio-Technicha ATR2500x-USB
Server: x10SL7-F, Xeon E3 1230v3, 32GB Samsung ECC ram, 6x3TB WD RED, FD Node 804.

Redigera
Citera flera Citera
Permalänk
Entusiast

EDIT: (Varning för tankevurpor. Bibehållen för referens och historik. Tankevurpor färgmarkerade)

Inte helt sant, men det ligger något i det. En kombination av ett långt lösenord som innehåller symboler och siffror är det absolut bästa.

Först och främst har vi ett gäng symbolkategorier:

  • Alfabetet: 52 symboler. (a-z), samt versalerna, (A-Z).

  • Siffror: 10 symboler: (0-9)

  • Vanliga skilljetecken: ungefär 40 symboler: . , ; : ( ) [ ] { } ? ! " ' # % & / \ = @ £ $ ¤ + - * ½ § < > | ^ " ~ ' ` - _ €

  • Språkspecifika symboler Då unicode-tabellen innehåller över 65 000 skrivbara tecken från världens alla hörn, så tänker jag inte inkludera dem här. Dessutom är dem många gånger inte giltiga som lösenords-tecken.

Lösenord som består av en lättihågkommen mening, även en relativt lång sådan, är relativt lätt att knäcka.
Ett kort lösenord bestående av bara bokstäver tar en vanlig persondator enbart några sekunder/minuter att knäcka.
Ett kort lösenord bestående av stora och små bokstäver samt siffror tar flera timmar, till några dagar för en vanlig persondator att knäcka.
Ett kort lösenord bestående av symboler, bokstäver (stora och små) samt symboler och skilljetecken tar en vanlig persondator flera år att knäcka.

Lösenord som består av ord, oavsett språk, är oerhört lätta att knäcka, även väldigt långa sådana. Man använder en ordlisteattack. Här kommer även hela meningar och ordkombinationer att knäckas relativt snabbt, då orden kan räknas som enskilda tecken i den typen av attack.
Ett lösenord som består av en mening och/eller ordkombinationer bör innehålla mer än 10 ord, helst från flera språk, för att vara relativt säker.
De flesta lösenordsfält ute på nätet tillåter i regel upp till 255 tecken. I vissa fall upp till 65 535 tecken, så man kan glömma att använda innehållet i shakespeares samlade verk som lösenord. (Skulle ta en livstid bara att logga in)

Då är frågan: Vilka av dessa är lättast att komma ihåg?

  • With my them if up many. Lain week nay she them her she.

  • l33t_P4ssw0rd!_Fr0IVI_I-I3||11

Första varianten är bara en bunt slumpade ord som tar en ordlisteattack några minuter att knäcka.
Andra varianten är ett lösenord baserat på leet-speak (l33t-sp34k) och kan översättas till: Leet Password! From Hell. Den komemr att ta flera år att knäcka även för de mer kraftfulla datorerna.

Nu finns det smarta ordlisteattacker som kan använda leet-speak, och det andra lösenordet kommer att ge in i en sådan attack, men då det finns så oerhört många symbolvarianter i leet-speeak, så kommer det fortfarande ta många år för en sådan attack.
I slutändan handlar det om att ha en kombination av stora och små bokstäver, siffror och enstaka symboler till en vettig längd (Helst över 12 tecken) för att vara på den relativt säkra sidan.

Jag själv har ett lösenordssystem jag enkelt kommer ihåg.
Den baseras på webbsajtens adress, landet webbsajten huserar i, och en ordkombination jag lätt kan accosiera till webbsajten ifråga.
Exempel för sweclockers:

  • Adress: www.sweclockers.com . Notera fetmarkerade detaljer: w s s com . Det är första bokstaven i www (hade det varit forum.adress.com så blir det "f" som i forum) , första och sista i adressen, samt toppdomänen.)

  • Land: Sverige, ISO-kod: SE

  • Ord jag associerar: dator, hårdvara, bränt, cement (Jag väljer ut ett ord som har en humoristisk koppling: "bränt" i det här fallet, samt cement. När jag byter lösenordet byter jag bara orden. Dessa ord l33tifierar jag: bränt + cement = br4n7c3m3n7

  • Sist lägger jag till en fin symbolkombination: Jag kommer lätt ihåg linux-disten hashbang, och symbolerna är: #!

Sedan trycker jag ihop detaljerna ovan: wsscomSEbr4n7c3m3n7#!
Där har jag nu ett lösenord som inte kan knäckas i en ordlisteattack, inte ens en smart sådan som kan l33tsp34k.
Den innehåller stora och små bokstäver, siffror samt symboler.

Lätt för mitt system att komma ihåg, och unikt för sajten ifråga, samtidigt som det är säkert.

wsscomSEbr4n7c3m3n7#!

OBS: Detta är självfallet inte mitt riktiga sweclockers-lösenord, jag har ett helt annat system, men det fungerar på ett liknande sätt som jag uppgav ovan som exempel. Jag rekommenderar att ni skapar ett eget system.

Sist men inte minst vill jag tipsa om denna sajt:
http://www.passwordmeter.com/

Ni kan sluta posta kommentarer om att sajten "stjäl lösenord".
Det är ett helt legalt verktyg, som dessutom fungerar offline. Ni kan själva kolla upp koden. Dessutom finns det inget fält för användarnamn, och det finns ingen knapp för att "skicka". Den utbyter eller lagrar inga som helst data.

Återigen för 100nde gången: LÄS ALLT INNAN NI KOMMENTERAR!

Visa signatur

Bästa programmen till Linux - v2.0
Linux-guide: Val av grafisk miljö. (Att välja distribution).
-
Everyone should have a SGoC in their systems (SGoC: SysGhost on a Chip)

Redigera
Citera flera Citera
Permalänk
Medlem

Mja.. just såna här siter man inte ska plutta in sina pw i.

Skrivet av SysGhost:

Sist men inte minst vill jag tipsa om denna sajt:
http://www.passwordmeter.com/

Gå till inlägget
Redigera
Citera flera Citera
Permalänk
Avstängd
Skrivet av SysGhost:

Inte helt sant, men det ligger något i det. En kombination av ett långt lösenord som innehåller symboler och siffror är det absolut bästa.

Först och främst har vi ett gäng symbolkategorier:

  • Alfabetet: 52 symboler. (a-z), samt versalerna, (A-Z).

  • Siffror: 10 symboler: (0-9)

  • Vanliga skilljetecken: ungefär 40 symboler: . , ; : ( ) [ ] { } ? ! " ' # % & / \ = @ £ $ ¤ + - * ½ § < > | ^ " ~ ' ` - _ €

  • Språkspecifika symboler Då unicode-tabellen innehåller över 65 000 skrivbara tecken från världens alla hörn, så tänker jag inte inkludera dem här. Dessutom är dem många gånger inte giltiga som lösenords-tecken.

Lösenord som består av en lättihågkommen mening är relativt lång, och är därför i sig rätt svårt att knäcka.
Ett kort lösenord bestående av bara bokstäver tar en vanlig persondator enbart några sekunder/minuter att knäcka.
Ett kort lösenord bestående av stora och små bokstäver samt siffror tar flera timmar, till några dagar för en vanlig persondator att knäcka.
Ett kort lösenord bestående av symboler, bokstäver (stora och små) samt symboler och skilljetecken tar en vanlig persondator flera år att knäcka.

Lösenord som består av ord, oavsett språk, är oerhört lätta att knäcka, även väldigt långa sådana. Man använder en ordlisteattack. Här kommer även hela meningar och ordkombinationer att knäckas relativt snabbt, då orden kan räknas som enskilda tecken i den typen av attack. Ett lösenord som består av en mening och/eller ordkombinationer bör innehålla mer än 10 ord, helst från flera språk, för att vara relativt säker.
De flesta lösenordsfält ute på nätet tillåter i regel upp till 255 tecken. I vissa fall upp till 65 535 tecken, så man kan glömma att använda innehållet i shakespeares samlade verk som lösenord. (Skulle ta en livstid bara att logga in)

Då är frågan: Vilka av dessa är lättast att komma ihåg?

  • With my them if up many. Lain week nay she them her she.

  • l33t_P4ssw0rd!_Fr0IVI_I-I3||11

Första varianten är bara en bunt slumpade ord som tar en ordlisteattack några minuter att knäcka.
Andra varianten är ett lösenord baserat på leet-speak (l33t-sp34k) och kan översättas till: Leet Password! From Hell. Den komemr att ta flera år att knäcka även för de mer kraftfulla datorerna.

Nu finns det smarta ordlisteattacker som kan använda leet-speak, och det andra lösenordet komemr att ge in i en sådan attack, men då det finns så oerhört många symbolvarianter i leet-speeak, så kommer det fortfarande ta många år för en sådan attack.
I slutändan handlar det om att ha en kombination av stora och små bokstäver, siffror och enstaka symboler till en vettig längd (Helst över 12 tecken) för att vara på den relativt säkra sidan.

Jag själv har ett lösenordssystem jag enkelt kommer ihåg.
Den baseras på webbsajtens adress, landet webbsajten huserar i, och en ordkombination jag lätt kan accosiera till webbsajten ifråga.
Exempel för sweclockers:

  • Adress: www.sweclockers.com . Notera fetmarkerade detaljer: w s s com . Det är första bokstaven i www (hade det varit forum.adress.com så blir det "f" som i forum) , första och sista i adressen, samt toppdomänen.)

  • Land: Sverige, ISO-kod: SE

  • Ord jag associerar: dator, hårdvara, bränt, cement (Jag väljer ut ett ord som har en humoristisk koppling: "bränt" i det här fallet, samt cement. När jag byter lösenordet byter jag bara orden. Dessa ord l33tifierar jag: bränt + cement = br4n7c3m3n7

  • Sist lägger jag till en fin symbolkombination: Jag kommer lätt ihåg linux-disten hashbang, och symbolerna är: #!

Sedan trycker jag ihop detaljerna ovan: wsscomSEbr4n7c3m3n7#!
Där har jag nu ett lösenord som inte kan knäckas i en ordlisteattack, inte ens en smart sådan som kan l33tsp34k.
Den innehåller stora och små bokstäver, siffror samt symboler.

Lätt för mitt system att komma ihåg, och unikt för sajten ifråga, samtidigt som det är säkert.

wsscomSEbr4n7c3m3n7#!

OBS: Detta är självfallet inte mitt riktiga sweclockers-lösenord, jag har ett helt annat system, men det fungerar på ett liknande sätt som jag uppgav ovan som exempel. Jag rekommenderar att ni skapar ett eget system.

Sist men inte minst vill jag tipsa om denna sajt:
http://www.passwordmeter.com/

Gå till inlägget

Jag tar ett ord, eller en kombination utav nummer och bokstäver, skiftkänsligt såklart.
T.ex en kombination jag kan komma ihåg; Qwerty1984 (Qwerty för de fem första på alfabetiska raden, och 1984 för fahrenheit-boken).
Sedan tar jag Q+1=R. W-2=P. E*3(Alltså 5*3)=15, vilket ger bokstaven O. R/4(avrundar till 5)=5. T*2=40. 1+1=2. 9-2=7. 8*3=24. 4/4=1.
Det betyder Qwerty1984=Rpo54027241.
Rpo54027241. Beroende på hur paranoid man är, så kan man dela det hela i två, och sedan höja upp varenda siffra med 3 t.ex. Kan dock bli svårt att håla reda på allting i huvudet efter ett tag.

Visa signatur

Delid 3770k@5.9GHz, Mpower, 32GB Corsair Dominator@2600MHz/CL10
XFire 390x@1335/1750, Carbide 540 AIR
E34 S36B38Turbo 897WHP

Redigera
Citera flera Citera
Permalänk
Medlem

Även om ett lösenord baserat på några slumpade ordlisteord är relativt lätt att knäcka om man vet att det är uppbyggt på just det sättet, så är det ju i dagsläget bättre än ett kort lösenord som är svårare att komma ihåg. Vist det är ju en form av "Security through obscurity" där man antar att den som försöker brute forca lösenordet inte vet hur man byggt upp sitt lösenord, men det är ju alla lösenord som inte är helt slumpmässiga. Om många börjar anväda just en metod för att skapa sina lösenord blir det ju vanligare att man använder just den algoritmen för att brute force knäcka lösenord.
Men det problemet har även metoden som till exempel SysGost kör med, den är ju bara mycket säkrare än alternativen om man inte vet att det är den typ av algoritm som används.

Sen är nog ganska ovanligt att "bra" lösenord knäcks via brute force attacker, det finns lättare sätt att få tag i lösenord.

Har man bara ett rimligt långt lösenord som inte är helt baserat på ord som finns i ordlistor/enkla varianter på sådana ord, typ byt ut i mot 1, och inte återanvänder lösenord har man kommit en bra bit på vägen mot att slippa bli "hackad". Just att man inte återanvänder lösenord är ju fördelen med algoritmbaserade lösenord som använder typ sidans adress för att hitta på ett lösenord.

Ett exempel på varför man aldrig ska återvända sitt jättebra oknäckbara lösenord.

1. Någon skapar en hemsida som kräver registrering med lösenord/e-posts adress, jättevanligt.
2. Sedan testar hemsideskaparen att logga in på alla registrerade användares mail med de lösenord de använde till hemsidan.
3. Proffit, på alla klantskallar som använde samma lösenord över allt.

Visa signatur

"Jag har inte gått 5 år på Chalmers, men till och med jag vet att det är en dum idé att blanda vatten och elektronik"
Min Fru

Redigera
Citera flera Citera
Permalänk
Entusiast
Skrivet av Unpoor:

Mja.. just såna här siter man inte ska plutta in sina pw i.

Gå till inlägget

Det är ingen fara. Vad för nytta har dem av en fullkomligt slumpmässig sträng från en okänd IP-adress som inte kan kopplas någonstans?
Är du riktigt paranoid kan du ju alltid använda sajten via en anonym proxy.
Är du extremt paranoid och har foliehatt, kan du gå offline medans du använder sajten och tömma webbläsarens cache och cookies när du är klar.

Jämförelse:
Här är ett lösenord som jag använder: 13n165/1302&f620cN#!
Här är en IP jag använder: 2.66.158.211
Koppla den om du kan.

Senast redigerat
Visa signatur

Bästa programmen till Linux - v2.0
Linux-guide: Val av grafisk miljö. (Att välja distribution).
-
Everyone should have a SGoC in their systems (SGoC: SysGhost on a Chip)

Redigera
Citera flera Citera
Permalänk
Medlem

Det är helt korrekt med bilden. Var på en föreläsning av ett säkerhetsföretag ang just hur viktigt det är med säkra lösenord.
Nu för tiden är GPUerna så snabba att dom gissar typ 12 miljoner lösenordskombinationer i sekunden.

Därför bör man nu för tiden bygga sina lösenord efter en hög med ord i en mening. Som då blir 30-40 tecken.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av SysGhost:

Sist men inte minst vill jag tipsa om denna sajt:
http://www.passwordmeter.com/

Gå till inlägget

VARNING! Det är ju fruktansvärt IDIOTISKT att skriva in sitt lösenord på en sådan site. En seriös människa skulle aldrig rekommendera någon att skriva sitt lösenord någonstans!

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av SysGhost:

Det är ingen fara. Vad för nytta har dem av en fullkomligt slumpmässig sträng från en okänd IP-adress som inte kan kopplas någonstans?
Är du riktigt paranoid kan du ju alltid använda sajten via en anonym proxy.
Är du extremt paranoid och har foliehatt, kan du gå offline medans du använder sajten och tömma webbläsarens cache och cookies när du är klar.

Jämförelse:
Här är ett lösenord som jag använder: 13n165/1302&f620cN#!
Här är en IP jag använder: 2.66.158.211
Koppla den om du kan.

Gå till inlägget

13165 nacka? ^_^ är ju värt ett försök haha

Visa signatur

.:. Expect disappointment and you won't be disappointed .-. Inaktiv/AFK sedan 2024-06-04 19:39 .:.

Redigera
Citera flera Citera
Permalänk
Medlem

Nej det stämmer inte. Den som gjort bilden saknar grundläggande praktisk kunskap om lösenordsknäckning, medan han har kunskap om matematiken.

Det han missar är att om den som försöker knäcka ditt lösenord använder en eller flera ordlistor för att knäcka ditt lösenord så går det extremt fort att få fram lösenordet.

Sämst:
- Korta lösenord
- Ord som finns i en ordlista

Bäst:
- Minst 22 tecken
- Blanda olika sorters tecken
- Inga ord alls
- Inga leet-ord där du har ett ord fast du har ersättningstecken

Jag rekommenderar lastpass så du kan ha 20 tecken lösen ord på dina siter utan att du behöver komma ihåg dem.
Last pass finns som plugin/addon till firefox, explorer och chrome.

Redigera
Citera flera Citera
Permalänk
Entusiast
Skrivet av =JoNaZ=:

VARNING! Det är ju fruktansvärt IDIOTISKT att skriva in sitt lösenord på en sådan site. En seriös människa skulle aldrig rekommendera någon att skriva sitt lösenord någonstans!

Gå till inlägget

Jag citerar mig själv:

Citat:

Det är ingen fara. Vad för nytta har dem av en fullkomligt slumpmässig sträng från en okänd IP-adress som inte kan kopplas någonstans?
Är du riktigt paranoid kan du ju alltid använda sajten via en anonym proxy.
Är du extremt paranoid och har foliehatt, kan du gå offline medans du använder sajten och tömma webbläsarens cache och cookies när du är klar.

Jämförelse:
Här är ett lösenord som jag använder: 13n165/1302&f620cN#!
Här är en IP jag använder: 2.66.158.211
Koppla den om du kan.
Senast redigerat av SysGhost idag klockan 07:54.

Sedan är en slumpmässig sträng från en totalt slumpmässig "surfare" utan ett användarnamn rätt värdelöst i sig.
Nu är ni bara löjliga.

Visa signatur

Bästa programmen till Linux - v2.0
Linux-guide: Val av grafisk miljö. (Att välja distribution).
-
Everyone should have a SGoC in their systems (SGoC: SysGhost on a Chip)

Redigera
Citera flera Citera
Permalänk
Entusiast
Skrivet av XrOo:

13165 nacka? ^_^ är ju värt ett försök haha

Gå till inlägget

Som ni säkert upptäcker så är ett ensamt lösenord, utan vetskap om vart den går, en rätt värdelös bit information.
Än mer värdelös är den om det inte finns ett användarnamn kopplat till den heller.

Visa signatur

Bästa programmen till Linux - v2.0
Linux-guide: Val av grafisk miljö. (Att välja distribution).
-
Everyone should have a SGoC in their systems (SGoC: SysGhost on a Chip)

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av SysGhost:

Som ni säkert upptäcker så är ett ensamt lösenord, utan vetskap om vart den går, en rätt värdelös bit information.
Än mer värdelös är den om det inte finns ett användarnamn kopplat till den heller.

Gå till inlägget

Gjorde en långshot

3 80.251.201.33 (80.251.201.33) [AS 44034] 1.202 ms 1.178 ms 1.193 ms
Och sedan då 2.66.158.211.

Satt gjorde en långshot då nacka ligger inom området

Visa signatur

.:. Expect disappointment and you won't be disappointed .-. Inaktiv/AFK sedan 2024-06-04 19:39 .:.

Redigera
Citera flera Citera
Permalänk
Medlem

En anon proxy är inte alltid säker. Kanske bör nämnas.

Visa signatur

.:. Expect disappointment and you won't be disappointed .-. Inaktiv/AFK sedan 2024-06-04 19:39 .:.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av SysGhost:

Jag citerar mig själv:

Sedan är en slumpmässig sträng från en totalt slumpmässig "surfare" utan ett användarnamn rätt värdelöst i sig.
Nu är ni bara löjliga.

Gå till inlägget

Eftersom sånna sidor med största sannolikhet används för att generera rainbowtables så skulle jag aldrig aldrig fylla i mitt lösenord någonstans för att "testa" det!

Redigera
Citera flera Citera
Permalänk
Entusiast
Skrivet av =JoNaZ=:

Eftersom sånna sidor med största sannolikhet används för att generera rainbowtables så skulle jag aldrig aldrig fylla i mitt lösenord någonstans för att "testa" det!

Gå till inlägget

Tänker man sitta och testa in vartenda litet lösenord man har... ja.. då har man inte alla indianerna i kanoten.
...och har man ett och samma lösenord till allt och inget... ja då är den indiankanoten tom.
Min tanke är att man skall testa lösenordssystemet man skapar. (Om du läser resten av mitt första inlägg så förstår du nog bättre)

Sedan är rainbow tables mer lämpade för att knäcka krypteringar och hashningar. Inte för lösenord i klartext.
Att man testar sitt lösenordsystem, eller rentav ett lösenord, kommer inte göara ett smack på en sådan sajt.
Läs igen: När inga kopplingar finns, och användarnamn saknas, är ett ensamt lösenord i klartext värdelöst.

EDIT:
Jag nämnde också att sajten ifråga fungerar ypperligt offline. Du kan alltså spara en lokal kopia av den och den kommer att fungera utmärkt helt isolerat. Den utbyter inga som helst data med servern. Du kan själv kolla upp koden. Tittar du på sajten, ser du att det dessutom inte finns någon knapp för att "skicka".

Det är bra att vara lite paranoid, men man behöver inte vara d... *nevermind*...

Senast redigerat
Visa signatur

Bästa programmen till Linux - v2.0
Linux-guide: Val av grafisk miljö. (Att välja distribution).
-
Everyone should have a SGoC in their systems (SGoC: SysGhost on a Chip)

Redigera
Citera flera Citera
Permalänk
Medlem

Då det årligen hackas databaser med full text lösenord så har ju hackarna en ganska bra koll på hur lösenordsstatistiken ser ut och kommer naturligtvis först använda dessa listor mot eventuella hashar, sen dict + mutation (o = 0 osv) och sist brute force ("rainbow tables" någonstans där i mitten).

Redigera
Citera flera Citera
Permalänk
Medlem

Tja, har inte hård statistik på allt men gissar på:
(vi antar ung. lika lång lösenordslängd)

1. phising/etc - olika sett att helt gå förbi kryptering och lura till sig nycklar
2. ordlisteattacker i olika mem. smarta kombinationer
3. bruteforce

3 är troligen inte aktuellt på hård kryptering men kan funkar på enklare system/mindre nycklar, speciellt om man vet nån svaghet i algoritm eller annan defekt

Visa signatur

|[●▪▪●]| #Lekburk#: Ryzen 3700X >-< GB-X570-AE >-< 32GB DDR4 >-< MSI RTX 3070 >-< 970 EVO 1TB SSD>--
--< Arctic Freezer 34 >-< FD Define R4 >-< Seasonic F.+ 650W >-< Acer XF270HUA >-< AOC Q2778VQE >--
#Servering#: Ryzen 1700@3,6GHz >-< Prime X470 Pro >-< 16GB DDR4 >-< GTX 1030 >-< 970 EVO 500GB SSD >--
--< Stockkylare >-< Antec P182 >-< Silver Power 600W >-< Samsung 245T |[●▪▪●]|

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av SysGhost:

Sist men inte minst vill jag tipsa om denna sajt:
http://www.passwordmeter.com/

Gå till inlägget

Inte undra på att det är så många som blir av med sina spelkonton och e-postlådor.

Visa signatur

Sex kärnigt på modermodemet och ett gäng 680s i hårddisken

Redigera
Citera flera Citera
Permalänk
Medlem

Sen är det väl en fråga om var lösenordet är exponerat? Jag menar, de flesta ställen där man anger lösenord tillåter ju bara 3-5 försök innan kontot är låst. Så om man inte har fysisk tillgång till en db/fil som man skall knäcka, så känns ett normalsvårt lösenord ganska bra.

// LZ

Redigera
Citera flera Citera
Permalänk
Medlem

Brukar använda meningar, namn och ord från ovanliga språk ur diverse Fantasy-litteratur t.ex Tolkiens Middle Earth mfl.

Visa signatur

Riggen:ASRock X570M Pro4 - AMD Ryzen 7 3700X - Corsair 32GB DDR4 3200MHz - Corsair MP510 960Gb NVME - EVGA 1080ti SC2 - 3x Samsung 840 500GB - EVGA SuperNOVA G1+ 650W - Fractal Design Meshify C Mini Dark TG
NAS: FreeNAS @ HP Proliant MicroServer Gen 8 - Xeon E3-1230 V2 - 16Gb Kingston ECC RAM - Intel 530 120Gb - IBM m1015/LSI 9220-8i - 4x WD Red 3Tb

Redigera
Citera flera Citera
Permalänk
Hedersmedlem
Skrivet av MX510.:

Nej det stämmer inte. Den som gjort bilden saknar grundläggande praktisk kunskap om lösenordsknäckning, medan han har kunskap om matematiken.

Det han missar är att om den som försöker knäcka ditt lösenord använder en eller flera ordlistor för att knäcka ditt lösenord så går det extremt fort att få fram lösenordet.

Sämst:
- Korta lösenord
- Ord som finns i en ordlista

Bäst:
- Minst 22 tecken
- Blanda olika sorters tecken
- Inga ord alls
- Inga leet-ord där du har ett ord fast du har ersättningstecken

Jag rekommenderar lastpass så du kan ha 20 tecken lösen ord på dina siter utan att du behöver komma ihåg dem.
Last pass finns som plugin/addon till firefox, explorer och chrome.

Gå till inlägget

Det han försöker visa är väl främst att längd lätt kan kompensera för avsaknad av exotiska tecken och även om vanliga ord används är väl sannolikheten att en ordlista innehåller den kompletta frasen liten?

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Elgot:

Det han försöker visa är väl främst att längd lätt kan kompensera för avsaknad av exotiska tecken och även om vanliga ord används är väl sannolikheten att en ordlista innehåller den kompletta frasen liten?

Gå till inlägget

Ja fler tecken utan exotiska tecken är bättre än få tecken med exotiska tecken. Så långt har han rätt.

Ordens ordning är helt oviktig. Det viktiga är om de finns i ordlistor eller inte.

Finns orden i ordlistor så kommer det gå mycket fort att få fram lösenordet även om det är 20 tecken.

LastPass har eget inbyggt password generator. Här är några online:
http://www.pctools.com/guides/password/ <<< 4-64 tecken
http://strongpasswordgenerator.com/ <<< 5-30 tecken
https://www.grc.com/passwords.htm <<< Bara 64 tecken

Senast redigerat
Redigera
Citera flera Citera
Permalänk
Hedersmedlem
Skrivet av MX510.:

Finns orden i ordlistor så kommer det gå mycket fort att få fram lösenordet även om det är 20 tecken.

Gå till inlägget

Nja, även om man begränsar sig till att kombinera ord från listor är antalet kombinationer stort. Om man till exempel vet att frasen består av fyra ord med fem tecken och att det endast finns 1000 sådana att välja på blir ju antalet kombinationer 1000^4 och sådan förhandsinformation har man ju rimligen inte i praktiken.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Elgot:

Nja, även om man begränsar sig till att kombinera ord från listor är antalet kombinationer stort. Om man till exempel vet att frasen består av fyra ord med fem tecken och att det endast finns 1000 sådana att välja på blir ju antalet kombinationer 1000^4 och sådan förhandsinformation har man ju rimligen inte i praktiken.

Gå till inlägget

Det vore olämpligt att länka till guider, så jag låter bli. Guiderna säger dock att ord underlättar väldigt mycket.
Räkna med hastigheter på ca 30-70 miljarder gissningar i sekunden på en hemdator*.
*Låter specifikationerna vara borta då det blir för lätt att googla fram guider och program annars.
Om man då har ett kluster tillgängligt så blir det ännu lättare.

Siter som har lösenord-test visar hur lång tid det tar med X gissningar i sekunden har de väldigt dålig teknik för att kolla det.

Det finns det inga genvägar vill jag påstå för att skapa ett bra lösenord, förutom att man har ett program som kommer ihåg lösenorden åt en som tex LastPass. https://lastpass.com/

Senast redigerat
Redigera
Citera flera Citera
1 2 3
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara