Följ Black Week på SweClockers

Är detta påstående om lösenordssäkerhet sant?

Permalänk
Hedersmedlem
Skrivet av MX510.:

Med mycket fort så menar jag att det går och går inom rimlig tid att ta fram lösenordet om det är 20 tecken bestående av ord, tex 5 ord av 4 bokstäver.

Om det är 20 tecken med alla olika sorters tecken så går det inte att ta fram lösenordet, inom rimlig tid, även om man har superdator.

Finns mer info på darknet och en del på flashback. Vill inte länka då det borde nog räknas som olagligt.

Naturligtvis blir det bättre ju fler frihetsgrader man tillåter sig, men när siffrorna ändå börjar bli ekonomiskt stora kan man kanske unna sig ett lösenord som går att komma ihåg. Förutsatt att man inte avslöjar strukturen på sitt lösenord blir det ju inte knäckningen lättare om man bara har ett specialtecken istället för flera, den illasinnade måste ändå använda större ordlistor, och man behöver ju inte begränsa sig till vanliga ord av samma längd. Fyra godtyckliga ord ur SAOL borde till exempel ge 125000^4 = 10^20 kombinationer.

Skrivet av MX510.:

Räkna med hastigheter på ca 30-70 miljarder gissningar i sekunden på en hemdator*.

Det där låter också optimistiskt, men det beror väl också på vilka hash-funktioner det rör sig om. I bitcoin-forumet verkade dock folk ligga runt 500 miljoner/s (SHA-256 om jag såg rätt).

Permalänk
Entusiast
Skrivet av Pimpim666:

Inte undra på att det är så många som blir av med sina spelkonton och e-postlådor.

kolla upp och läs inläggen innan du postar en sådan kommentar.

Citerar mig själv för er som inte kan läsa tråden innan ni kommenterar:

Citat:

Jag nämnde också att sajten ifråga fungerar ypperligt offline. Du kan alltså spara en lokal kopia av den och den kommer att fungera utmärkt helt isolerat. Den utbyter inga som helst data med servern. Du kan själv kolla upp koden. Tittar du på sajten, ser du att det dessutom inte finns någon knapp för att "skicka".

Visa signatur

Bästa programmen till Linux - v2.0
Linux-guide: Val av grafisk miljö. (Att välja distribution).
-
Everyone should have a SGoC in their systems (SGoC: SysGhost on a Chip)

Permalänk
Medlem
Skrivet av SysGhost:

I
Då är frågan: Vilka av dessa är lättast att komma ihåg?

  • With my them if up many. Lain week nay she them her she.

  • l33t_P4ssw0rd!_Fr0IVI_I-I3||11

Första varianten är bara en bunt slumpade ord som tar en ordlisteattack några minuter att knäcka.
Andra varianten är ett lösenord baserat på leet-speak (l33t-sp34k) och kan översättas till: Leet Password! From Hell. Den komemr att ta flera år att knäcka även för de mer kraftfulla datorerna.

Du missar poängen med att använda slumpade ord. En dictionaryattack mot den frasen kommer aldrig gå. Varje ord i sig skulle den hugga på, men att testa alla kombinationer är inte möjligt.

Permalänk
Medlem

suck är helt korrekt.

Jag föreslår att SysGhost läser på lite ang hur säkerhet fungerar. Speciellt ang hur starkt ett lösenord är. Det finns många bra företag som håller föreläsningar sånt.

Jag tänker inte sitta och skriva en uppsats här. Men sjävklart är
mittjättelångasuperduperbralösenord MYCKET MYCKET säkrare än l33t_P4ssw0rd

Permalänk
Medlem
Skrivet av SysGhost:

Wall of text.

Tack för tipset om system på olika sidor.

Visa signatur

Citera mig för svar.
Arch Linux

Permalänk
Medlem
Skrivet av SysGhost:

Då är frågan: Vilka av dessa är lättast att komma ihåg?

  • With my them if up many. Lain week nay she them her she.

  • l33t_P4ssw0rd!_Fr0IVI_I-I3||11

Första varianten är bara en bunt slumpade ord som tar en ordlisteattack några minuter att knäcka.
Andra varianten är ett lösenord baserat på leet-speak (l33t-sp34k) och kan översättas till: Leet Password! From Hell. Den komemr att ta flera år att knäcka även för de mer kraftfulla datorerna.

Nu är jag långt ifrån säkerhetsexpert men det där stämmer förmodligen inte. Hur tänker du när du påstår att man knäcker det första lösenordet med "ordlisteattack" på några minuter?

Visa signatur

pfSense: GA-J1900N-D3V Quad-core Celeron 2GHz, Samsung 4GB, pfSense 2.2.2@USB
ESXi: i5 3470S, Gigabyte GA-B75N, Corsair XMS3 16GB, Intel PRO/1000 VT Quad GbE, Streacom F7C, ESXi@USB
Campfire Audio Lyra II, HiFiMAN HE-400, Yamaha EPH-100, Audioengine D1, FiiO E10

Permalänk
Medlem

Jag hänvisar till sidan 302 (21.2) i Cryptography Engineering av Niels Ferguson, Bruce Schneier och Tadayoshi Kohono.
Dessa tre herrar vet vad de talar om. Bruce ligger även bakom föregångaren till denna bok, det totalt lysande Applied cryptography.

Många skulle ha nytta av att i alla fall få en grundläggande förståelse om säkerhet innan de uttalar sig i ämnet IMHO.

Visa signatur

Intel Core i7 6850K 3,6 GHz 15MB @ 4,7GHz kyld med Noctua NH-U9S på MSI X99A Raider
Corsair Vengence LPX 64GB (8x8GB) DDR4 3000MHz @ 3200 MHz
2x MSI GeForce GTX 1080 8GB Aero OC i SLI
HyperX Predator 480GB M.2 och 4x Samsung 750-Series 250Gb i raid 0
Oculus Cv1. Win10 pro

Permalänk
Medlem
Skrivet av simonw:

Nu är jag långt ifrån säkerhetsexpert men det där stämmer förmodligen inte. Hur tänker du när du påstår att man knäcker det första lösenordet med "ordlisteattack" på några minuter?

Det är för att de inte riktigt förstår skillnaden på ett lösenORD och en lösenFRAS. En ordlisteattack på en lite längre FRAS är rätt hopplös. Det är inte ett kombinationslås där varje ord "klickar i" när du får en träff och sen hoppar vidare till nästa. För att en ordlistaattack ska fungera måste tabellerna innehålla alla fraser som kan tänkas användas, inte de enskilda orden. Här snackar vi entropi, inte den variant som fysiker pratar om dock, och inte "gissa rätt ord"

Visa signatur

Intel Core i7 6850K 3,6 GHz 15MB @ 4,7GHz kyld med Noctua NH-U9S på MSI X99A Raider
Corsair Vengence LPX 64GB (8x8GB) DDR4 3000MHz @ 3200 MHz
2x MSI GeForce GTX 1080 8GB Aero OC i SLI
HyperX Predator 480GB M.2 och 4x Samsung 750-Series 250Gb i raid 0
Oculus Cv1. Win10 pro

Permalänk
Medlem
Skrivet av Dimman:

Tack för att jag slapp skriva allt det där och tack för tipset om att sätta upp system, det borde nästan belönas med Sweclockers-tip-of-the-year award om det nu fanns ett sådant!

jag hoppas du var ironisk? Annars föreslår jag du läser det som drefk2000 tipsar om.

Permalänk
Medlem

För den intresserade har jag bifogat några bloggar som är värda att följa. Den första är en kollega till mig som skriver och den andra är en föredetta kollega. Sen bifogade jag även Bruce Scheiers blogg också som alltid är bra, även om den ser ut som den designades runt tiden för slaget vid Hastings. Har man en intresse av säkerhet i stort så är alla tre läsvärda

http://enligthps.wordpress.com/
http://halkrisk.blogspot.se/
http://www.schneier.com/

Visa signatur

Intel Core i7 6850K 3,6 GHz 15MB @ 4,7GHz kyld med Noctua NH-U9S på MSI X99A Raider
Corsair Vengence LPX 64GB (8x8GB) DDR4 3000MHz @ 3200 MHz
2x MSI GeForce GTX 1080 8GB Aero OC i SLI
HyperX Predator 480GB M.2 och 4x Samsung 750-Series 250Gb i raid 0
Oculus Cv1. Win10 pro

Permalänk
Medlem
Skrivet av drefk2000:

Det är för att de inte riktigt förstår skillnaden på ett lösenORD och en lösenFRAS. En ordlisteattack på en lite längre FRAS är rätt hopplös. Det är inte ett kombinationslås där varje ord "klickar i" när du får en träff och sen hoppar vidare till nästa. För att en ordlistaattack ska fungera måste tabellerna innehålla alla fraser som kan tänkas användas, inte de enskilda orden. Här snackar vi entropi, inte den variant som fysiker pratar om dock, och inte "gissa rätt ord"

Nu kommer du och förstör här, ville ju att personen i fråga skulle få förklara sin tankebana..

Visa signatur

pfSense: GA-J1900N-D3V Quad-core Celeron 2GHz, Samsung 4GB, pfSense 2.2.2@USB
ESXi: i5 3470S, Gigabyte GA-B75N, Corsair XMS3 16GB, Intel PRO/1000 VT Quad GbE, Streacom F7C, ESXi@USB
Campfire Audio Lyra II, HiFiMAN HE-400, Yamaha EPH-100, Audioengine D1, FiiO E10

Permalänk
Medlem
Skrivet av simonw:

Nu kommer du och förstör här, ville ju att personen i fråga skulle få förklara sin tankebana..

my bad

Visa signatur

Intel Core i7 6850K 3,6 GHz 15MB @ 4,7GHz kyld med Noctua NH-U9S på MSI X99A Raider
Corsair Vengence LPX 64GB (8x8GB) DDR4 3000MHz @ 3200 MHz
2x MSI GeForce GTX 1080 8GB Aero OC i SLI
HyperX Predator 480GB M.2 och 4x Samsung 750-Series 250Gb i raid 0
Oculus Cv1. Win10 pro

Permalänk

Visst var delar av sysghost resonemang inte helt rätt men hans sätt att koppla lösenord och plats samman tycker jag är en bra lösning. Förutsatt man skapar ett system som är svårt att lista ut hur man gjort det.
Känns som bästa systemet om man vill ha olika lösenord överallt och lätt att komma ihåg. Använder något liknande och rekommenderar det så slipper man använda något lösenordsprogram (som nog kan vara en säkerhetsrisk i sig).

Permalänk
Medlem
Skrivet av =JoNaZ=:

Det är helt korrekt med bilden. Var på en föreläsning av ett säkerhetsföretag ang just hur viktigt det är med säkra lösenord.
Nu för tiden är GPUerna så snabba att dom gissar typ 12 miljoner lösenordskombinationer i sekunden.

Därför bör man nu för tiden bygga sina lösenord efter en hög med ord i en mening. Som då blir 30-40 tecken.

Ren fakta:

Mitt HD R6970 knäcker 1.8 miljarder lösenord per sekund.
(i oclhashcat, md5, 1885.2M c/s Real, 2538.9M c/s GPU (real är inklusive tiden det tar att kopiera in lösenorden i minnet.))

Ett lösenord, A-z 0-9, med

  • 6 tecken tar 5 minuter att knäcka

  • 7 tecken tar 5.5 timmar att knäcka

  • 8 tecken tar 14 dagar att knäcka

  • 9 tecken tar 2.5 år att knäcka

Alltså i sämsta fall, dela med två för ett mer realistiskt tal.

(62^6/180000000/60)
(62^7/180000000/60/60)
(62^8/180000000/60/60/24)
(62^9/180000000/60/60/24/365)
62^9/180000000/60/60/24/365

Visa signatur

Programmerare -> PHP | HTML | CSS | JS | Java.

Permalänk
Medlem
Skrivet av Elgot:

Fyra godtyckliga ord ur SAOL borde till exempel ge 125000^4 = 10^20 kombinationer.

Skulle ta 43009 år för mig att knäcka. Alltså säkert med 4 random ord.

(125000^4/180000000/60/60/24/365)

Visa signatur

Programmerare -> PHP | HTML | CSS | JS | Java.

Permalänk
Medlem

Skulle det finnas något intresse för en mastodonttråd där vi fritt snackar säkerhet, cryptologi, cryptograpy, cryptoanalasis, lösenord, hash, blockchipers, pentester, social engineering och sånt? Jag har lång erfarenhet på ställen som jag inte kanske alltid kan prata om men jag kan exempel och analogier från dem. Ett ställe för seriösa disskutioner mellan experter, jag är knappast den enda. Och en tråd att läsa, fråga i och lära sig av för det som har ett intresse. Kan bli skitkul. Ni som jobbar med det här vet ju vikten av att snacka med andra experter. Vem vet, några av oss kanske skriver säkerhetsboken med stort S i framtiden? HAHA

Skickades från m.sweclockers.com

Visa signatur

Intel Core i7 6850K 3,6 GHz 15MB @ 4,7GHz kyld med Noctua NH-U9S på MSI X99A Raider
Corsair Vengence LPX 64GB (8x8GB) DDR4 3000MHz @ 3200 MHz
2x MSI GeForce GTX 1080 8GB Aero OC i SLI
HyperX Predator 480GB M.2 och 4x Samsung 750-Series 250Gb i raid 0
Oculus Cv1. Win10 pro

Permalänk
Medlem

Hur användbart är bruteforce egentligen?
De flesta servrar upptäcker väl och spärrar det mer eller mindre direkt?

Att det fungerar på krypterade saker man fått tag på förstår jag ju, men annars?

Visa signatur

"When I get sad, I stop being sad and be awsome instead, true story."

Permalänk
Medlem

Att anvænda å,æ,ø ær væl ganska så sækert också?

Notera att jag sitter på ett Norskt tangentbord, så jag menar givetvis "æ,ø" på svenska. Men om detta fungerar så vore norska ord bokstaver inte heller så dumt

Permalänk
Medlem
Skrivet av Json_81:

Hur användbart är bruteforce egentligen?
De flesta servrar upptäcker väl och spärrar det mer eller mindre direkt?

Att det fungerar på krypterade saker man fått tag på förstår jag ju, men annars?

Om attacken är att gå via applikationen så sänks kraven på lösenordet markant. En antagonist använder dock inte den typen av attack utan att i förväg veta lösenordet, t.ex via csrf eller keylogger. Starka lösenord används främst som skydd för offline-attacker.

Skrivet av Burks:

Att anvænda å,æ,ø ær væl ganska så sækert också?

Notera att jag sitter på ett Norskt tangentbord, så jag menar givetvis "æ,ø" på svenska. Men om detta fungerar så vore norska ord bokstaver inte heller så dumt

Att använda high-ascii är ett gammalt knep för att öka entropin på lösenordet. Nackdelen är att det inte alltid fungerar, t.ex onlinesidor med sanitering av indata för lösenord där endast 7bit tillåts av applikationen.

Permalänk
Avstängd
Skrivet av Sony?:

Skulle ta 43009 år för mig att knäcka. Alltså säkert med 4 random ord.

(125000^4/180000000/60/60/24/365)

4st 5970 och en linux dist just för knäcka hash, tar ca 30 miljarder gissningar i sekunden, alltså knäckt efter ca 3 månader / ca 94 dagar.
Tänk dig nu ett helt rackskåp med parallell GPU kraft från 20st 5970 = Knäckt på 18 dagar och kostar därefter att få hash knäckt fort och de som sälja program och annan kod för knäckning.

Permalänk

gud vad är alla är satsiga på sina lösenord, jag bar tar en ord och sedan en 1 efter om det kräver siffror

Visa signatur

AMD FX-6100, 8GB ram 1600MHz, Asus DirectCU II GTX580, 500GB Seagate, 500W random gammalt nätagg, 3,14 Hallon modell B

Permalänk
Medlem
Skrivet av MX510.:

4st 5970 och en linux dist just för knäcka hash, tar ca 30 miljarder gissningar i sekunden, alltså knäckt efter ca 3 månader / ca 94 dagar.
Tänk dig nu ett helt rackskåp med parallell GPU kraft från 20st 5970 = Knäckt på 18 dagar och kostar därefter att få hash knäckt fort och de som sälja program och annan kod för knäckning.

Det förutsätter att du fått tag i databasen med de hashade lösenorden. Sen gäller det att lösenorden inte är saltade för det blir det svårare. Är de dessutom streachade innan saltning så blir det ofantligt svårt. Är de dessutom 50+ tecken långa original som mina viktiga är så kan du ta din beräkning och gå och skämmas lite. Ta och läs i alla fall EN av böckerna jag tipsade om så du fattar

Skickades från m.sweclockers.com

Visa signatur

Intel Core i7 6850K 3,6 GHz 15MB @ 4,7GHz kyld med Noctua NH-U9S på MSI X99A Raider
Corsair Vengence LPX 64GB (8x8GB) DDR4 3000MHz @ 3200 MHz
2x MSI GeForce GTX 1080 8GB Aero OC i SLI
HyperX Predator 480GB M.2 och 4x Samsung 750-Series 250Gb i raid 0
Oculus Cv1. Win10 pro

Permalänk
Medlem

Euphoria Forever, ‘til the end of time

Ett tips för ett säkert lösenord är att ta en text-sträng (låt, bok, dikt etc.) som du kommer ihåg och gärna associerar med tjänsten du loggar in på. Utifrån frasen bygger du ett lösenord som blir lagom långt. "e8f7t3t3e3o2t4?" är inget som fastnar i skallen. Men tänker du på låttexten blir det genast mycket enklare att komma ihåg hur du tänkte, efter ett tag sitter lösenordet men efter semestern?

På företag kan jag tänka mig att många har "Semester2012" och liknande. Vilket borde fungera så länge man har diverse låsfunktioner som 3 försök och du blir utelåst (som vi bankomaten).

Permalänk
Medlem

Nån här inne som kollade på Stargate Atlantis, för den här tråden påminner mig om ett avsnitt där?

De kommer inte åt datorsystemet för det är lösenordsskyddat, men så visar det sig att Sheppard kan det 14-tecken långa lösenordet "16431879196842" eftersom McKay hade berättat det för honom...McKay trodde inte att Sheppard skulle komma ihåg det. Men det fanns en genväg...

http://stargate.wikia.com/wiki/Quarantine
Teyla: McKay told you his password?
Sheppard: He didn't think I'd remember it. (types it down) 16431879196842. See? Doesn't take a genius.
Teyla: It doesn't?
Sheppard: 1643 is the year Isaac Newton was born, 1879, Einstein, and 1968...
Teyla: The year Rodney was born.
Sheppard: Never underestimate the size of that man's ego.
Teyla: Wait, weren't there other numbers?
Sheppard: Forty two.
Teyla: What is that?
Sheppard: It's the Ultimate Answer to the great question of life, the universe and everything. (Teyla has a blank look on her face)

Dold text

Annars, när ni pratar om att lösenord som är uppbyggda med ett par ord lätt kan knäckas av program som använder ordlistor... men hur tusan vet datorn att det är just ord den skall leta efter och hur långa orden är och hur många ord lösenordet består av? Kan ju lika gärna vara massa random siffror och nummer som ord?

Permalänk
Medlem
Skrivet av drefk2000:

Skulle det finnas något intresse för en mastodonttråd där vi fritt snackar säkerhet, cryptologi, cryptograpy, cryptoanalasis, lösenord, hash, blockchipers, pentester, social engineering och sånt? Jag har lång erfarenhet på ställen som jag inte kanske alltid kan prata om men jag kan exempel och analogier från dem. Ett ställe för seriösa disskutioner mellan experter, jag är knappast den enda. Och en tråd att läsa, fråga i och lära sig av för det som har ett intresse. Kan bli skitkul. Ni som jobbar med det här vet ju vikten av att snacka med andra experter. Vem vet, några av oss kanske skriver säkerhetsboken med stort S i framtiden? HAHA

Skickades från m.sweclockers.com

Ja!

Jag vill absolut ha en sådan tråd, kan bidra med webbsäkerhets frågor (folk använder ju fortfarande <form action="<?= $_SERVER['php_self']; ?>"...).

Visa signatur

Programmerare -> PHP | HTML | CSS | JS | Java.

Permalänk
Medlem
Skrivet av suck:

Om attacken är att gå via applikationen så sänks kraven på lösenordet markant. En antagonist använder dock inte den typen av attack utan att i förväg veta lösenordet, t.ex via csrf eller keylogger. Starka lösenord används främst som skydd för offline-attacker.

Vad har CSRF med lösenord att göra?

Skrivet av suck:

Att använda high-ascii är ett gammalt knep för att öka entropin på lösenordet. Nackdelen är att det inte alltid fungerar, t.ex onlinesidor med sanitering av indata för lösenord där endast 7bit tillåts av applikationen.

De sajterna är riktigt dumma, man hashar ju endå lösenordet, aaaargh så irriterad jag blir på sajter som inte tillåter mig skriva in vad jag vill i lösenords fälten.

Visa signatur

Programmerare -> PHP | HTML | CSS | JS | Java.

Permalänk
Medlem
Skrivet av =JoNaZ=:

suck är helt korrekt.

Jag föreslår att SysGhost läser på lite ang hur säkerhet fungerar. Speciellt ang hur starkt ett lösenord är. Det finns många bra företag som håller föreläsningar sånt.

Jag tänker inte sitta och skriva en uppsats här. Men sjävklart är
mittjättelångasuperduperbralösenord MYCKET MYCKET säkrare än l33t_P4ssw0rd

Skrivet av =JoNaZ=:

jag hoppas du var ironisk? Annars föreslår jag du läser det som drefk2000 tipsar om.

Jag måste erkänna att jag enbart läste hans tips om att sätta upp system för olika sidor, vilket jag gillade iden med men drog lite förhastade slutsatser kanske.

Visst är det så att i största allmänhet så är det den totala entropin för ett lösenord som är viktig, även om det inte är hela sanningen.
Det finns inte heller _en_ möjlig typ av "dictionaryattack" utan oändligt många. Har du ett långt lösenord sammansatt av väldigt frekvent använda ord och sedan kör en viss typ av dictionaryattack som enbart fokuserar på just ett fåtal av de flest förekommande orden så kommer ditt långa lösenord inte alls vara säkert, trots hög entropi.

I det fall man har ett långt lösenord sammansatt av en drös ickefrekvent förekommande ord, vilket kräver sin ordlista, så blir kostnaden (pga storleken på ordlistan och antalet möjliga kombinationer) närmast oändlig med dagens beräkningskapacitet.

Ett enkelt sätt att lösa det hela om man vill använda sig av sammansatta ord som lösenord är att kasta in några slumpvis valda tecken på olika ställen.

Ditt exempel var väl inte det bästa egentligen, men har ingen plan på att analysera det vidare.

Vidare kan man senare diskutera hash-algoritmer, vilket jag inte kommer göra mer än att nämna att MD5/SHA inte är algoritmer menade att användas i lösenordssammanhang. Det går helt enkelt för snabbt att generera hashar. Det man vill använda sig av är algoritmer som är betydligt mer kostsamma (läs långsamma). Ja, det är ett helt kapitel för sig det också, stannar där

(Som kuriosa har själv läst/studerat grundläggande säkerhet på civ.ing-nivå och kan väl konstatera att det är ett komplext område.)

Visa signatur

Citera mig för svar.
Arch Linux

Permalänk
Entusiast
Skrivet av suck:

Du missar poängen med att använda slumpade ord. En dictionaryattack mot den frasen kommer aldrig gå. Varje ord i sig skulle den hugga på, men att testa alla kombinationer är inte möjligt.

Skrivet av simonw:

Nu är jag långt ifrån säkerhetsexpert men det där stämmer förmodligen inte. Hur tänker du när du påstår att man knäcker det första lösenordet med "ordlisteattack" på några minuter?

Skrivet av drefk2000:

Det är för att de inte riktigt förstår skillnaden på ett lösenORD och en lösenFRAS. En ordlisteattack på en lite längre FRAS är rätt hopplös. Det är inte ett kombinationslås där varje ord "klickar i" när du får en träff och sen hoppar vidare till nästa. För att en ordlistaattack ska fungera måste tabellerna innehålla alla fraser som kan tänkas användas, inte de enskilda orden. Här snackar vi entropi, inte den variant som fysiker pratar om dock, och inte "gissa rätt ord"

Jo. Ni har rätt. Jag har råkat ut för en så kallad tankevurpa. Får be om ursäkte för felaktiga påståenden.
Självfallet känner jag till hur lösenord fungerar och borde ha fattat bättre.
Jag skriver ju själv en del skyddsrutiner för webbsajter titt som tätt.

Självfallet är ett långt lösenord bestående av bokstäver likvärdigt ett kortare med alla tänkbara symboler.
Som jag skrev i min ursprunliga post, så är seriestrippen inte helt fel. (Elller ja, jag skrev ju "inte helt korrekt", men jag ville också hålla med till viss del).
Jag vill dock fortfarande nämna att ett lösenordssystem där man skapar en fullkomligt kryptisk sträng med allehanda tänkbara skrivbara tecken, fortfgarande är bättre.

Varför jag anser varför ett lösenord på 12 - 32 tecken med specialtecken och total kryptik är bättre än ett 100+ tecken lång lösenord av slumpmässiga ord:

  • Många lösenordfält/databaser använder inte mer än 16 - 32 tecken långa lösenord, även om lösenordfältet tillåter mer. (Eller liknande begränsningar. Vissa riktigt dåliga sajter tillåter/använder bara 8 tecken i lösenordet). Bra sajter tillåter upp till 65 536 tecken, medemåttiga sajter tillåter 256 tecken. Usla sajter tillåter/använder färre än 256 tecken. Tyvärr är dem två sistnämnda mest förekommande.

  • Jag själv anser att det är lättare att komma ihåg ett lösenord bestående av det system jag skrev om i ett tidigare ilägg i tråden, än motsvarande kombination slumpmässiga ord.

  • Jämför: 15 tecken lång kryptisk sträng med alla skrivbara symboler som grund, versus ett 25 tecken lång sträng innehållandes 2 - 4 ord med enbart alfabetet (a-z + å,ä,ö) som grund. Jag tror att den förstnämnda fortfarande vinner. Dock har jag inga konkreta fakta på detta, så korrigera mig om jag har fel.

  • Lösenord snappast oftast upp av folk som tittar över axeln i smyg när man skriver in sitt lösenord, och skriver man en bunt ord i lösenordsfältet är det direkt givet av den som tittar över axeln, även om denn missar vissa tecken då orden kan gissas fram till. Säg att någon lyckats "spana" till sig någons lösenord på ett Café: "et_ sl_mpm_ss_gt _lös_enor_". Det är bara att försöka fylla i dem saknade/missade bokstäverna och voilá! Magi!
    Det är genast mycket svårare för samma person som tittar över axeln att hålla rätt på var och när man skriver in sina specialtecken som oftast måste användda tangentkombinationer. -" var det där en etta, ett utropstecken eller två separata tecken? tryckte han på skift eller inte?". Det är svårt att bevaka hela tangentbordet samtidigt.

Sedan får vi inte glömma att lösenord knäcks inte med råkraft/ordlistor så ofta, utan det är vanligare att lösenord snappas upp av olika metoder såsom keyloggers (Både mjukvaru- och hårdvaru-baserade), fel personer som står i direkt närhet och spanar in tangentbordet vid tillfället, lösenord skrivna på lappar , social koppling där "skurken" känner offret till den grad att han kan gissa sig fram till lösenordet och liknande situationer.
Återigen, så anser jag att ett kryptisk lösenord i det här fallet är bättre. Det är svårare att snappa upp (förutom för keyloggers) och att man inte behöver skriva upp lösenordet.

Visa signatur

Bästa programmen till Linux - v2.0
Linux-guide: Val av grafisk miljö. (Att välja distribution).
-
Everyone should have a SGoC in their systems (SGoC: SysGhost on a Chip)

Permalänk
Medlem
Skrivet av Dimman:

Vidare kan man senare diskutera hash-algoritmer, vilket jag inte kommer göra mer än att nämna att MD5/SHA inte är algoritmer menade att användas i lösenordssammanhang. Det går helt enkelt för snabbt att generera hashar. Det man vill använda sig av är algoritmer som är betydligt mer kostsamma (läs långsamma). Ja, det är ett helt kapitel för sig det också, stannar där

Fast man kan keystretcha dem. (md5(md5(md5(md5($passwd)))). Men ja, finns bättre algoritmer som b_crypt.

Visa signatur

Programmerare -> PHP | HTML | CSS | JS | Java.

Permalänk
Entusiast
Skrivet av Sony?:

Fast man kan keystretcha dem. (md5(md5(md5(md5($passwd)))). Men ja, finns bättre algoritmer som b_crypt.

Nu är MD5 relativt dåligt, och bör endast användas för att gömma lösenord från direkt insyn. Tyvärr är det fortfarande rätt valigt förekommande, men många avhjälper det med så kallade "saltade" lösenord, men den metoden är i sig bara relativt säker på serversidan, och fungerar inte så bra på klientsidan.

När man "avkrypterar" en md5-sträng, och får fram något som också ser ut som en md5-sträng, så är det givet, även för amatör-hackers, att repetera processen tills man får fram något vettigare.

Exempel på att MD5 inte är en så vettig metod:
http://www.md5decrypt.org/

Visa signatur

Bästa programmen till Linux - v2.0
Linux-guide: Val av grafisk miljö. (Att välja distribution).
-
Everyone should have a SGoC in their systems (SGoC: SysGhost on a Chip)