Säkerhetsexpert från forumet tipsar – så surfar du säkert

Permalänk
Medlem
Skrivet av nevada:

Om man ändå kör med 2FA vad spelar då lösenordet för roll egentligen?

Jag är benägen att hålla med. Framförallt när man som jag har 2FA och lösenordet i samma hanterare. Kommer någon åt hanteraren så får dom bägge delar.
Det man -borde- göra är ju att antingen ha lösenordet i huvudet, eller ha 2FA koden i en annan lösenordshanterare än den man har lösenordet i.

Men det är klart, säg att man råkar spara lösenordet i en browser nånstans av misstag, då kommer ju nån annan inte in utan 2FA, men då kan man ju ifrågasätta varför man behöver lösenordet öht.

Jag kör ju min Yubikey överallt det går. Både hos microsoft och github så loggar jag in enbart med yubikeyn nu. Dock så har jag ju en pincode på den som låser sig efter 3 försök tror jag.

Permalänk
Medlem
Skrivet av Tigerhamster:

I isolation, visst.
Ta hänsyn till ordboksattacker. Att ersätta bokstäver med specialtecken och att blanda versaler/gemener i "vanliga" ord är säkrare än vanliga ord, men hjälper till för de lösenord du måste kunna komma ihåg i huvudet.

Håller delvis med om forumtråden angående just hur själva lösenord skall formuleras eller vad man nu ska kalla det.
Men att säga att lösenordet 3f5kP23! är speciellt mycket säkrare än potatis23! är inte helt sant, som ni skriver för en människa ja, i kracksyfte njae inte riktigt.

Jag brukar ge förslaget att skapa lösenord som går komma ihåg till sin lösenords-hanterare, med en ihopsättning av ord som man så att säga kapar av, om vi tar då 4 ord som är gärna på svenska, och man anväder inte typ vinter, sommar, jobb etc (vanligt förekommande ord i lösenord) utan säg exempelvis orden : gratinerad, ugnsrostad, potatiskaka, skrivbordsstol.

så kan lösenordet bli ex: gra_tineradugnsro_stadpotatiska_ka_skrivbor_dsstol (går såklart göra kortare) går även snörare in siffror också

Permalänk
Medlem
Skrivet av akn3:

Diskuterar gärna citatet ovan.

För en dator så spelar det ingen roll om du använt tecknet "#" eller "e" (kanske för en människa som försöker gissa sig till ett lösenord). Det är egentligen längden på lösenordet som är helt avgörande, inte om du använt specialtecken och siffror.

Men som sagt. Använder du en lösenordshanterare spelar det ingen roll.

Hade en kollega som nördade ner sig i hur lång tid det tar för en dator att knäcka olika lösenord. Han kom fram till samma slutsats. Längden på lösenordet är det primära för att det ska ta tid att knäcka. Specialtecken är sekundärt.

Permalänk
Medlem

Beroende på vad som accepteras så kör jag en kombination av hårdvarunyckel, lösenordshanterare, autentiserare samt långa och starka lösenord som slumpas fram av lösenordshanteraren, som självklart aldrig återanvänds.

Permalänk
Medlem

Att använda en pålitlig vpn såsom mullvad, proton eller ovpn och Tor samt verifiering med hårdvarunyckel, 2fa och använda lösenordshanteraren som finns på iPhone tex. så surfar man väl hyfsat säkert på nätet? Sen finns det ju alltid qubes, whonix och tails om man vill dra säkerheten ytterligare ett snäpp. Dock inte super insatt i exempelvis tails men ska väl lämna 0 spår efter sig.

Annars kan man köpa en pixel 8 som kör med Graphene OS och göra alla bankärenden med mera….

Visa signatur

Desktop: ASUS ROG Maximus XII APEX Z490 | Intel i9-10850K 5.2Ghz | G.Skill 32Gb Trident Z Neo | MSI GeForce RTX 4080 Super 16Gb Suprim X | Phanteks 500A | Seasonic PX850W Platina | Fury Renegade 2TB | Samsung 980 Pro 1TB | NZXT Kraken Z73 | Monitor: Alienware AW2721D 27” IPS QHD 240Hz | Varmilo VA88M TKL | Ducky One 2 Mini MX Silent Red | HyperX Cloud II | SteelSeries Rival 600 | XBOX Series X | Console: XBOX One Elite Series 2 Controller | Mobile: Apple iPhone 15 Pro Max 256Gb Blå Titan | TV: LG 65” OLED65C35LA EVO 4K | Laptop: Acer Predator Helios 16” / 2560 x 1600 / Mini-LED / 250Hz / Intel i9-13900HX / DDR5 32Gb 5600Ghz / 2Tb / NVIDIA RTX 4080 12Gb |

Permalänk
Medlem
Skrivet av DLM:

Hade en kollega som nördade ner sig i hur lång tid det tar för en dator att knäcka olika lösenord. Han kom fram till samma slutsats. Längden på lösenordet är det primära för att det ska ta tid att knäcka. Specialtecken är sekundärt.

Jag håller helt med, vill bara påpeka att slutsatsen i sin mest grundläggande form inte är något som är så besvärligt att nå till egentligen, så det behöver inte lämnas som hörsägen.

Oavsett vad man tycker rent instinktivt så blir det nämligen snabbt tydligt om man tittar på själva matematiken för ett framslumpat lösenord:

antal_kombinationer = antal_möjliga_tecken^antal_tecken

(respektive då antal_kombinationer = antal_möjliga_ord^antal_ord om man bygger ett lösenord av slumpade ord istället)

Man ser då snabbt att antal_tecken är det som är exponenten, så när man vrider upp denna så växer antal_kombinationer exponentiellt(!). Dvs sån där utveckling där grafen börjar "rimligt" och sedan skjuter allt mer rakt upp.
Om man istället vrider upp antal_möjliga_tecken så får man ju bara en sån vanlig gradvis förbättring...

Se t.ex. denna graf där jag bara som demonstration valde exemplet att man som grund tar A-Z+a-z+0-9 (26*2+10) och antingen varierar längden på lösenordet eller lägger till fler möjliga tecken men har fast längd (i exemplet 10). Och man ser ju rätt tydligt hur det det omedelbart när man når punkten att man har ett längre lösenord blir mycket mindre relevant att lägga till ett extra möjligt tecken:

(Genererad via https://www.wolframalpha.com/input?i=plot+%2826*2%2B10%2Bx%29... )

Visa signatur

Desktop spel m.m.: Ryzen 9800X3D || MSI X870 Tomahawk Wifi || Sapphire Pulse RX 7900 XTX || Gskill FlareX 6000 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Arbetsstation: Ryzen 7945HX || Minisforum BD790i || Asus Proart 4070 Ti Super || Kingston Fury Impact 5600 65 GB || WD SN850 2TB || Samsung 990 Pro 2TB || Fractal Ridge
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304

Permalänk
Medlem

En teknisk miniräknare har funktionen Y^x - vilket menas Y*Y*Y*...*Y x antal gånger (och tillåter också att x kan vara flyttal)

alla skrivbara ASCII-tecken räknas till 95 st - 94 st om mellanslag undantas

Så för 12 tecken password kan skrivas som 94¹² - dvs 94*94*94*...*94 tolv gånger vilket ger en entropi på 425.9*10²¹ olika möjliga kombinationer. Dela detta med 1*10¹² (tester per sekund) * 3600 (antal sekunder på en timme) * 24 (timmar på dygn) * 365 (antal dagar på året) = 15091 år och för 50% chans att hitta rätt så måste man ha räknat igenom halva mängden kombinationer dvs. 7546 år om man gör 1000 miljarder tester i sekunden.

Skulle man prova med 13 tecken så är det 94 gånger mer kombinationer än vid 12 tecken, dvs. 94¹³ ger 447*10²³ olika kombinationer.

svårigheten att räkna igenom alla alternativ ökar markant - istället för 7546 år för att komma igenom 50% vid 1000 miljarder tester per sekund så tar det med 13 tecken nu 1.4 miljoner år att nå 50% för att man la till ett enda tecken i sin password.

Med diceware-passfras är det samma sak - där har man en ord-alfabete (ordlista) på 7776 poster att välja mellan

med 6 ord blir det då 7776⁶ = 221.1 * 10²¹ ger att det tar 7010 år att räkna igenom hela volymen med 1000 miljarder tester i sekunden och man når 50% vid 3505 år. - även om använda ordlista är publik och alla känner till den och vet att den användes för att skapa passfrasen - så hjälper det inte i försöken att kunna hacka det fortare om passfrasen är sant slumpmässigt framtagen.

skulle vi ha 7 ords passfras - slumpade ur diceware-alfabetet så blir det 7776⁷ = 1.719 * 10²⁷ kombinationer - om vi kör hela raddan ovan igen så är vi uppe i 54.5 miljoner år för att räkna igenom alla kombinationer och för 50% ligger man då 27.26 miljoner år.

med andra ord antalet tecken i password och antalet ord i passfrasen är kung när det gäller att göra det svårhackat - så länge man låter dessa slumpas fram maskinellt eller med fysiska processer som vitt brus i grunden (eller med fysiska tärningskast vilket var dicewares idé när det gäller att välja passfras).

- så fort hjärnan skall hitta på något 'slumpmässigt' så kanske angreppet bara tar dagar och veckor... då algoritmerna, reglerna och filtren i hashcat, john the ripper och en bunt till har med olika analyser av befintliga läckor hittat huvuddragen hur folk gör när de skapar password och provar med det först och lyckas väldigt ofta - för vi människor gör ungefär på samma sätt vid samma situationer och undviker väldigt många alternativ som man tror att man inte kan lära sig utantill (vilket är korrekt) vilket gör att en 85 bitar starkt password om det är maskinslumpat hamnar under 50 bitar i styrka och kan knäckas på dagar och veckor när den tänks ut av hjärnor för att vi för ofta tänker på samma sätt när vi forceras att skapa 'slumpmässiga' password och passfraser.

tillägg:

enligt https://haveibeenpwned.com så är det nu ca 12.96 miljarder läckta unika password

det motsvarar att man utnyttjat 0.00000000000002723 (2.723 * 10⁻¹⁴) -del av antalet möjliga kombinationer som har läckt gentemot antalet möjliga kombinationer som går att skapa med en 12-teckens password.

Det fins alltså ordentligt med armbågsutrymme för nya varianter av password på 12 tecken storlek som _inte_ fins med i listan innan man börja krocka med någon annan som skapar en likadan kombination.

Permalänk

Jag använder Bitwarden, YubiKey, Google Authenticator och långa lösenord. Vad mer kan man göra?

Permalänk
Medlem
Skrivet av The K-Man:

Jag använder Bitwarden, YubiKey, Google Authenticator och långa lösenord. Vad mer kan man göra?

Det är ju avgrundsdjupt vad man kam göra. Frågan är bara om du inte gjort så mycket redan att andra mål än du är lättare att attackera. Sen finns det ju alltid mer stt göra, mycket är ju OpSec. Finns ju en bra svensk podcast på ämnet av Nikka här på forumet: Blk Säker-podden.. Om du inte redan lyssnar är det ett tips.