Forum Övrigt Nyhetskommentarer Tråd

Specops: "Halvlånga lösenord en falsk trygghet"

1 2 3 4 5 6 7
Skriv svar
Permalänk
Hedersmedlem
Skrivet av JBerger:

Skillnaden är, om vi bara har a-zA-Z som lösenord så är det 26*2*antal tecken, så ett 12 bokstäver långt lösenord blir då 52^18 kombinationer vilket är 390,877,006,486,250,192,896 kombinationer.
Säg att man bara tar de 30,000 vanligaste orden, och vi chansar på att det är fyra ord som är valda, så blir det intialt 30000^4 vilket är blygsamma 810,000,000,000,000,000 kombinationer. Men släng på att du chansar på att begynnelsebokstaven i varje ord kan vara stor, men kanske inte på alla ord, så måste du testa varje kombination med stor/liten bokstav på varje av de fyra orden, dvs antalet unika ord blir istället 30,000*2*4 = 240,000, som vi tar upphöjt till 4 för vi tror det är fyra ord. 3,317,760,000,000,000,000,000 kombinationer. Vilket är tio gånger så många kombinationer som att använda ett 12 bokstäver långt lösenord som de påstår tar 24 år att knäcka, men är enklare att komma ihåg än 12 a-zA-Z i kombination. Och det förutsätter att de fyra orden du valt finns med i deras dictionary på 30,000ord. Har du valt ett ovanligt ord eller medvetet eller omedvetet felstavat ett ord eller kanske ett namn mitt i det hela eller bara har med en enda siffra så skiter det sig.

Mao, fyra random vanliga ord, som är mycket lättare för människan att komma ihåg, är redan det bättre 12 bokstäver, men väljer du något smartare ord så failar dictionary hacket helt och de får istället köra bruteforce. Meddellängden på engelska ord är 4,7 tecken så 4*4,7=18,8 = ~19 tecken. Så ett par miljarder år att bruteforce knäcka istället. Så nej, du har fel. Fyra ord duger mer än väl, men det viktigaste av allt är att inte återanvända lösenord.

Gå till inlägget

Vad som är av relevans är att man inte måste testa så många som 30.000 ord för att hitta en andel av orden. Redan vid 5000 ord kommer kombinationer av 4 ord ge en del träffar i en större databas. Precis som för 30.000 ord inte täcker in alla ord så gör inte 5000 ord det heller. Men det knäcker en andel av lösenorden - och det snabbt.

Sedan kan man lägga till fler ändringar som du säger. Det ger emellertid många fler kombinationer totalt att bara lägga in ett extra ord. Helst fler. Under 6 ord rekommenderar jag inte. Sedan kan man göra förvrängningar - också. Det är hur bra som helst!

Jag har svarat på ett annat inlägg i tråden där jag ändå tycker svaret passar ganska bra för det du tar upp:
#19540828

Visa signatur

🎮 → Node 304 • Ryzen 7 5700X3D • Nh-D14 • Gainward RTX 2070 • 32GB DDR4 • MSI B450I Gaming Plus AC
🖥️ → Acer Nitro XV273K Pbmiipphzx
💻 → Lenovo Yoga slim 7 pro 14" Oled

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Pirum:

Jag tänker mest på om lösenordshanteraren av olika skäl inte går att använda. Hackad, kraschad, nerstängd, etc. 2FA är också ett litet orosmoment för mig ibland. Vad händer om huset brinner, alla datorer och mobiler med telefoner är otillgängliga ett tag?

Gå till inlägget

Det är därför man får en speciell lösenordsfras som man vid setup uppmanas att skriva ner på papper och förvara på en annan plats.

Jag har både lösenordsfrasen nedskriven (eller om det är återställningsfras det kallas) i ett kassaskåp utanför hemmet. Jag har även min backup YubiKey där. Helst kanske man ska ha dessa på olika ställen, men har inte alltför många i närheten som har kassaskåp speccade att klarar 60-120 minuter i full brand hehe. Man kan även ha flera sorters 2FA aktiverade samtidigt om man så önskar.

Visa signatur

Skrivet med hjälp av Better SweClockers
PC: Ryzen 9 5900X | RTX 4080 Super 16GB | G.Skill Trident Z Neo 64GB 3600MHz CL16 | 12TB NVMe SSD - 4TB SATA SSD = total 16TB SSD + Seagate IronWolf 10TB internal HDD | Synology DS920+ w/20GB RAM SHR 48TB
Skärmar: ASUS PG32UCDM 32" 4K OLED 240Hz, Acer Predator XB323UGX 32" 1440p 270Hz
Foto: Canon 80D & 60D + Canon 17-55/2.8 IS, Canon 10-22, Canon 70-200/2.8L IS II, Canon 100/2.8L IS Macro

Redigera
Citera flera Citera
Permalänk
Hedersmedlem
Skrivet av evil penguin:

Ta regelbunden backup på 2FA-koderna + lösenordshanterarens databas som sparas offsite.

Gå till inlägget

De flesta sidorna med 2FA har ju även återställningskoder som man kan spara en gång och aldrig behöver uppdatera, som kan användas som engångskoder för att gå runt 2FA.

Självklart tycker jag man även ska ta backup på själva koderna (jag kör Aegis som gör detta automatiskt, synkar sedan det till datorn), men det är inte kritiskt för att inte bli fullkomligt utelåst.

Visa signatur

Asus ROG STRIX B550-F / Ryzen 5800X3D / 48 GB 3200 MHz CL14 / Asus TUF 3080 OC / WD SN850 1 TB, Kingston NV1 2 TB + NAS / Corsair RM650x V3 / Acer XB271HU (1440p165) / LG C1 55"
NAS: 6700K/16GB/Debian+ZFS | Backup (offsite): 9600K/16GB/Debian+ZFS

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Thomas:

Detta har behandlats tidigare i tråden.
Detta handlar om vad som händer när databaser läcker, som när sidor blir hackade.

Gå till inlägget

Men om nu en sida blir hackad och alla lösenord läcker ut, då spelar det väl ändå ingen roll hur långt eller svårt mitt lösenord på den sidan var. Har det väl läckt så står det ju där så att vem som helst kan logga in som mig på den specifika sidan som blivit hackad.
Det viktiga bör ju vara att inte använda samma lösenord på två olika sidor.
Ponera att Sweclockers blir hackade och alla lösenord läcker ut, vad spelar det då för roll om mitt lösenord på den här sidan är *Qwerty eller *E8r9t8@Q#h%Hy+M”.1337 ?

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Levan:

Tack för informativt svar!
Jag kan lite om datorer och algoritmer, men har aldrig läst eller gjort någonting med databaser och dylikt så här är jag väldigt grön.

Så om databasen använt en förhållandevis säker hash-algoritm går det sannolikt inte att hacka den databasen? Jag tänker mig att om man vet nyckeln till algoritmen så bör det väl inte ta många nanosekunder extra att avkoda en bättre hash-algoritm än en sämre? Rätta mig gärna om jag har fel.

Så för att kunna hacka hash-algoritmen så måste man veta lösenordet på minst en av användarna i databasen?

Gå till inlägget

Nja. Själva hash algoritmen är mer eller mindre standardiserad. Det finns ett antal olika alternativ.
Däremot så använder algoritmen en seed i form av ett mycket stort primtal som den använder i beräkningarna av hashen. Det är den som är svår att få reda på.
Själva algoritmen är gjord så att den mycket fort kan räkna ut en hash för ett lösenord men det är mer eller mindre omöjligt att räkna fram lösenordet från hashen. Det går alltså inte att räkna baklänges.
Och även om du har hashalgoritmen och vilken seed som man använder så går det som sagt ändå inte att räkna baklänges utan man är hänvisad till att testa att mata in olika tänkbara lösenord i algoritmen och få fram en hash som man jämför med det som ligger i den läckta databasen.

Dvs du har ingen hjälp av att veta vad något lösenord är innan. Det finns ganska informativa videos på youtube som förklarar hur det går till och hur det fungerar. Computerfile har gjort några stycken om hur hash algoritmer fungerar.

Men i stort så är det så att du bara kan räkna fram en hash från ett lösenord. Inte baklänges. Så hur fort det går att knäcka ett lösenord beror i mångt och mycket på hur mycket datorkraft du har till förfogande då du måste testa att generera massor av hashar som du jämför mot hasharna i en läckt databas.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Stan Carley:

Men om nu en sida blir hackad och alla lösenord läcker ut, då spelar det väl ändå ingen roll hur långt eller svårt mitt lösenord på den sidan var. Har det väl läckt så står det ju där så att vem som helst kan logga in som mig på den specifika sidan som blivit hackad.
Det viktiga bör ju vara att inte använda samma lösenord på två olika sidor.
Ponera att Sweclockers blir hackade och alla lösenord läcker ut, vad spelar det då för roll om mitt lösenord på den här sidan är *Qwerty eller *E8r9t8@Q#h%Hy+M”.1337 ?

Gå till inlägget

Nej. Jag skulle säga att ingen vanligt förekommande tjänst sparar lösenord i klartext längre. Det finns säkert ett litet antal undantag men dom är rejält illa ute och jag skulle personligen aldrig använda en tjänst om dom jag visste att dom hade så dålig säkerhet.

Det dom gör är att dom har en hashalgoritm. När du registrerar dig och anger vilket lösenord du vill ha så räknar dom fram hashen för det lösenordet och sparar den i sin databas.
När du sedan vill logga in så frågar dom om ditt lösenord och du anger det. Då räknar dom ut hashen för det lösenord du angivit och jämför med den hash dom har lagrad i sin databas. Om det är samma hash så är lösenordet rätt. Dvs dom kan verifiera att du använt rätt lösenord utan att ha en aning om vad ditt lösenord är.

Dvs även om databasen läckt så måste dom fortfarande knäcka den. Dvs låta en dator räkna fram hashar för tänkbara lösenord och jämföra mot databasen då det inte går att räkna baklänges.
Men om dom knäcker den och du sedan har samma lösenord på flera ställen så har du problem ja. För då har dom ju automatiskt ditt lösenord till alla dina tjänster där du använt samma lösenord.

Redigera
Citera flera Citera
Permalänk
Medlem

Problemet är lite att man kan använda ett rätt säkert lösenord överallt som innehåller små och stora bokstäver, siffror och specialtecken, men säkerheten kan brista markant när man använder samma lösenord på en websida, som kanske lagrar lösenorden i klartext är det kört ändå

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av sba74:

Nej. Jag skulle säga att ingen vanligt förekommande tjänst sparar lösenord i klartext längre. Det finns säkert ett litet antal undantag men dom är rejält illa ute och jag skulle personligen aldrig använda en tjänst om dom jag visste att dom hade så dålig säkerhet.

Det dom gör är att dom har en hashalgoritm. När du registrerar dig och anger vilket lösenord du vill ha så räknar dom fram hashen för det lösenordet och sparar den i sin databas.
När du sedan vill logga in så frågar dom om ditt lösenord och du anger det. Då räknar dom ut hashen för det lösenord du angivit och jämför med den hash dom har lagrad i sin databas. Om det är samma hash så är lösenordet rätt. Dvs dom kan verifiera att du använt rätt lösenord utan att ha en aning om vad ditt lösenord är.

Dvs även om databasen läckt så måste dom fortfarande knäcka den. Dvs låta en dator räkna fram hashar för tänkbara lösenord och jämföra mot databasen då det inte går att räkna baklänges.
Men om dom knäcker den och du sedan har samma lösenord på flera ställen så har du problem ja. För då har dom ju automatiskt ditt lösenord till alla dina tjänster där du använt samma lösenord.

Gå till inlägget

Tack, sjukt bra och pedagogiskt förklarat nu förstår jag poängen!

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Stan Carley:

Men om nu en sida blir hackad och alla lösenord läcker ut, då spelar det väl ändå ingen roll hur långt eller svårt mitt lösenord på den sidan var. Har det väl läckt så står det ju där så att vem som helst kan logga in som mig på den specifika sidan som blivit hackad.
Det viktiga bör ju vara att inte använda samma lösenord på två olika sidor.
Ponera att Sweclockers blir hackade och alla lösenord läcker ut, vad spelar det då för roll om mitt lösenord på den här sidan är *Qwerty eller *E8r9t8@Q#h%Hy+M”.1337 ?

Gå till inlägget

Nej, för databasen innehåller inte ditt lösenord i klartext utan det är kodat. Så även om databasen läcker ut så är det ingen skada skedd för dig som användare om du har ett säkert lösenord.

Visa signatur

5700x3D | RTX 3080 | 2 TB M.2 | 32 GB RAM

Redigera
Citera flera Citera
Permalänk
Medlem

Jag brukar hitta på fejkord som är lätta att säga på svenska och slå ihop dem med siffror och skiljetecken. Vad sägs om Flupp2tjolabing3bopp!, till exempel? Enklare att lära sig än helt slumpmässiga lösenord men borde samtidigt stå mot ordlisteattacker.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Söderbäck:

Vad som är av relevans är att man inte måste testa så många som 30.000 ord för att hitta en andel av orden. Redan vid 5000 ord kommer kombinationer av 4 ord ge en del träffar i en större databas. Precis som för 30.000 ord inte täcker in alla ord så gör inte 5000 ord det heller. Men det knäcker en andel av lösenorden - och det snabbt.

Sedan kan man lägga till fler ändringar som du säger. Det ger emellertid många fler kombinationer totalt att bara lägga in ett extra ord. Helst fler. Under 6 ord rekommenderar jag inte. Sedan kan man göra förvrängningar - också. Det är hur bra som helst!

Jag har svarat på ett annat inlägg i tråden där jag ändå tycker svaret passar ganska bra för det du tar upp:
#19540828

Gå till inlägget

Fast som sagt, behöver inte fler än 4 ord för det är så många kombinationer att det tar en sjujäkla massa år att knäcka.
Du kan knäcka massa lösenord genom att bara testa 6-8 tecken också, så förstår inte riktigt vad ditt svar om "Redan vid 5000 ord kommer man få träffar" har med det att göra; Ha inte ett lösenord på 6-8 tecken, och ha inte ett lösenord som använder de allra vanligaste orden du kan komma på "HundKattApaGris" utan ta lite mer exotiska som "TellusLemurSkytteHarakiri" så är du säker, framförallt om du använder svenska ord eller kombination av olika språk så är du uppe i ofantligt mycket fler kombinationer än sex ord hade gett förutsatt att det är samma språk.

Men problemet är återigen att folk återanvänder lösenord snarare än att de har korta lösenord, och folk återanvänder lösenord för någon idiot sysadmin eller dennes chef kräver att användarna ska ha stor+liten bokstav + siffra + specialtecken + får inte vara två av samma typ i följd + ska bytas varannan torsdag om det inte är en helgdag då ska det bytas onsdagen därpå och det ska vara minst 10 tecken men också INTE längre än 14 tecken.

Redigera
Citera flera Citera
Permalänk
Avstängd
Skrivet av JBerger:

Fast som sagt, behöver inte fler än 4 ord för det är så många kombinationer att det tar en sjujäkla massa år att knäcka.
Du kan knäcka massa lösenord genom att bara testa 6-8 tecken också, så förstår inte riktigt vad ditt svar om "Redan vid 5000 ord kommer man få träffar" har med det att göra; Ha inte ett lösenord på 6-8 tecken, och ha inte ett lösenord som använder de allra vanligaste orden du kan komma på "HundKattApaGris" utan ta lite mer exotiska som "TellusLemurSkytteHarakiri" så är du säker, framförallt om du använder svenska ord eller kombination av olika språk så är du uppe i ofantligt mycket fler kombinationer än sex ord hade gett förutsatt att det är samma språk.

Gå till inlägget

Jo, men dictionaries kan vara rätt stora och ändå effektiva. Datorernas ökande prestanda underlättar inte bara brute-force-attacker liksom, även övriga går ju snabbare ju snabbare datorn är. Det engelska språket har exempelvis sjukt många ord eftersom det pratas på så många ställen och så, men 5000 ord täcker in de flestas vardagliga vokabulär, och då täcker man nästan alla passfraser som faktiskt används på engelska. Andra språk kan absolut göra skillnad, speciellt om man kombinerar ord från olika språk, men det hjälper inte så mycket att använda typ svenska och engelska på en svensk sida för det är ganska logiskt att de på den sidan kan dessa språk. Stoppar du in ett Swahili-ord också så borde det vara bättre förstås.

Citat:

Men problemet är återigen att folk återanvänder lösenord snarare än att de har korta lösenord, och folk återanvänder lösenord för någon idiot sysadmin eller dennes chef kräver att användarna ska ha stor+liten bokstav + siffra + specialtecken + får inte vara två av samma typ i följd + ska bytas varannan torsdag om det inte är en helgdag då ska det bytas onsdagen därpå och det ska vara minst 10 tecken men också INTE längre än 14 tecken.

Ja absolut. Olika lösenord på olika sidor, framför allt sidor du bryr dig om. Tvinga inte byte av lösenord någonsin om inte man får indikationer på att lösenordet är knäckt eller på annat vis kommit ut. 2FA ger förstås ytterligare ett lager säkerhet och bör användas på kritiska tjänster som ens huvud-mail, jobbkonton, där man har kortuppgifter sparade och liknande.

Problemet är att det inte går att ha unika lösenord eller passfraser som är tillräckligt bra på alla de (sannolikt hundratals) tjänster man använder som också går att komma ihåg. Alltså är det mycket enklare att ha en lösenordshanterare som genererar, sparar och automatiskt fyller i lösenorden åt en.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av snajk:

Jo, men dictionaries kan vara rätt stora och ändå effektiva. Datorernas ökande prestanda underlättar inte bara brute-force-attacker liksom, även övriga går ju snabbare ju snabbare datorn är. Det engelska språket har exempelvis sjukt många ord eftersom det pratas på så många ställen och så, men 5000 ord täcker in de flestas vardagliga vokabulär, och då täcker man nästan alla passfraser som faktiskt används på engelska. Andra språk kan absolut göra skillnad, speciellt om man kombinerar ord från olika språk, men det hjälper inte så mycket att använda typ svenska och engelska på en svensk sida för det är ganska logiskt att de på den sidan kan dessa språk. Stoppar du in ett Swahili-ord också så borde det vara bättre förstås.

Gå till inlägget

Tänkte skriva något utförligt svar men jag ids inte diskutera det mer. Spelar ingen roll om datorer blir snabbare om något snabbt blir exponentiellt större (För datorer blir inte exponentiellt snabbare på att knäcka lösenord för varje år) utan du är ändå säkrare med fyra ord även om du så använder samma språk som om du använde 14 bokstäver som lösenord, alternativt 12 specialtecken-bokstäver-siffror kombo. Med skillnaden att fyra ord är oändligt mycket lättare at komma ihåg. Och använder du två språk så är du praktiskt taget helt skyddad för antalet kombinationer blir så ofantligt många att även om du har den dator som är 1000ggr kraftfullare än de använt i den här artikeln så tar det fortfarande flera miljoner år av konstant brutforce:ande.

Meh, nu blev det långt svar ändå. En juävla massa kombinationsmöjligheter = säkert lösenord, om det så är random bokstäver+siffror+tecken eller fyra ord i följd. Men det senare är mycket lättare att komma ihåg.

Redigera
Citera flera Citera
Permalänk
Avstängd
Skrivet av JBerger:

Tänkte skriva något utförligt svar men jag ids inte diskutera det mer. Spelar ingen roll om datorer blir snabbare om något snabbt blir exponentiellt större (För datorer blir inte exponentiellt snabbare på att knäcka lösenord för varje år) utan du är ändå säkrare med fyra ord även om du så använder samma språk som om du använde 14 bokstäver som lösenord, alternativt 12 specialtecken-bokstäver-siffror kombo. Med skillnaden att fyra ord är oändligt mycket lättare at komma ihåg. Och använder du två språk så är du praktiskt taget helt skyddad för antalet kombinationer blir så ofantligt många att även om du har den dator som är 1000ggr kraftfullare än de använt i den här artikeln så tar det fortfarande flera miljoner år av konstant brutforce:ande.

Meh, nu blev det långt svar ändå. En juävla massa kombinationsmöjligheter = säkert lösenord, om det så är random bokstäver+siffror+tecken eller fyra ord i följd. Men det senare är mycket lättare att komma ihåg.

Gå till inlägget

Jo, men problemet är inte brute-force utan dictionary.

Sen tillkommer problemet med att hålla ordning på alla dessa fraser, utan att upprepa sig, och det är väldigt svårt, så istället skapar man mönster och då går det ännu lättare att knäcka om någon skulle vara intresserad av dig. Så varför spendera en massa tid och tankekraft på att tänka på och hålla ordning på alla dessa fraser när det finns utmärkta tekniska lösningar som automatiserar hela skiten, dessutom gratis?

Redigera
Citera flera Citera
Permalänk
Medlem

Suttit länge på ett 20+ tecken långt lösen länge nu aldrig blivit hackad peppar peppar

Mitt lösen jag hade på mitt spray och Hotmail konto dock kunde nog en 10 åring kunnat lösa dom är numera stängda så nu är det lungt

Visa signatur

Chassi: Enthoo EVOLV mATX Moderkort: MSI M75A-E33 CPU: i5 3570K 4.4GHz Kylare: Corsair H75(P&P) Nätagg: FD Newton R2, 650W RAM:Corsair Vengence 16GB GPU: EVGA SSC ACX GTX 970 SSD: Japp Tangentbord: Gigabyte Aivia Ghost (röda brytare) Mus: QPAD 5K Ljud: Turtlebeach Earforce
OS: Win 10 pro Mobil: Motorola G5 Plus.

Redigera
Citera flera Citera
Permalänk
Hedersmedlem
Skrivet av MeatWeed:

Suttit länge på ett 20+ tecken långt lösen länge nu aldrig blivit hackad peppar peppar

Gå till inlägget

Har du samma till allt möjligt eller är det till en specifik sida du menar?
Att ha ett starkt lösenord är ju bra, men är det samma till allt så är det bara bra tills någon sida man använder på det blir hackad, sen finns risken att det läcker. (Speciellt från sidor som lagrar i plaintext eller använder kryptering istället för hashning.)
Händer det så kan ju alla konton man har potentiellt ryka när som helst sedan, vilket är varför nästan alla säkerhetsexperter rekommenderar att använda en lösenordshanterare och unika lösenord för varje sida.

Kolla in https://haveibeenpwned.com/ åtminstone.

Visa signatur

Asus ROG STRIX B550-F / Ryzen 5800X3D / 48 GB 3200 MHz CL14 / Asus TUF 3080 OC / WD SN850 1 TB, Kingston NV1 2 TB + NAS / Corsair RM650x V3 / Acer XB271HU (1440p165) / LG C1 55"
NAS: 6700K/16GB/Debian+ZFS | Backup (offsite): 9600K/16GB/Debian+ZFS

Redigera
Citera flera Citera
Permalänk
Medlem

Hur ofta blir man "hackad" genom att någon lyckas gissa ens lösenord? Ofta blir man ju blockerad efter 3-5 försök ändå. Känns som det oftast beror på att någon databas med lösenord läcker ut, och då är man mer skyddat om man helt enkelt inte har använt det lösenordet någon annanstans...

Visa signatur

Ryzen 9 5950X, Asus Prime X370 Pro, 32 GB LPX 3600, Gainward RTX 3060 Ti Ghost, 7 TB SSD + 4 TB HDD

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Pepsin:

Hur ofta blir man "hackad" genom att någon lyckas gissa ens lösenord? Ofta blir man ju blockerad efter 3-5 försök ändå. Känns som det oftast beror på att någon databas med lösenord läcker ut, och då är man mer skyddat om man helt enkelt inte har använt det lösenordet någon annanstans...

Gå till inlägget

För tydlighets skull:
Artikeln handlar om scenariot där någon tjänsts lösenordsdatabas kommit på villovägar (vilket ju tyvärr är ett återkommande problem) och hur snabbt någon som fått tag på denna då kan ta reda på vad olika konton har för lösenord.

I det läget finns det ingen begränsning hur många försök som kan göras.

Och skadan av att lösenorden knäcks blir förstås maximal om användarna återanvänder sina lösenord även till andra tjänster.

Visa signatur

Desktop spel m.m.: Ryzen 9800X3D || MSI X870 Tomahawk Wifi || Sapphire Pulse RX 7900 XTX || Gskill FlareX 6000 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Arbetsstation: Ryzen 7945HX || Minisforum BD790i || Asus Proart 4070 Ti Super || Kingston Fury Impact 5600 65 GB || WD SN850 2TB || Samsung 990 Pro 2TB || Fractal Ridge
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304

Redigera
Citera flera Citera
Permalänk
Medlem

Problemet är inte dictionary eller urvalet av ord eller bokstäver - utan att det är mänskliga hjärnan som väljer ut dem eller försöker skapa 'påhitt' - vi är jättedåliga på det och därför finns omfattande regelverk för krackning utformade efter hur vi tänker när vi skapar lösenord. Det är så effektivt att lösningar med tex. saltning (för att försvåra rainbow-tabeller) har i stort sett spelat ut sin roll.

Skall man förbättra sin lösenords eller passfras-kvalitet väsentligt så är det att maskingenerera dessa och inte försöka hitta på dessa själva med huvudet.

Även med 12 tecken från en lista av 94 tecken (versaler, gemena, siffror och symboler - dock ej åäö eller andra nationella tecken inräknat) eller 6 passfrasord från en lista av 7776 ord så är det himla jobbigt att försöka göra brute-force på dem.

Det går inom rimlig tid med många parallella riggar men det kostar dyr HW och elström - mycket elström och tar ändå tid innan man kommit igenom 50% av alternativen och är det dessutom keystretching på dessa så är det lika många gånger i tid ytterligare som antal varv som man gör i keystretchingen

- så börja man med typiskt 3000 år för 50% genomgången brute force för 12 teckens slumpsekvens med urval av 94 tecken (eller 6 ord ur urval av 7776 ord) vid 1000 miljarder tester i sekunden och på detta har en keystretching av 32768 varv (har för mig att bitlocker har det) så är det 3000 år * 32768 = 98304000 år - dvs. man behöver 98304000 st riggar med 1000 miljarder tester i sekunden var och en om man skall nå igenom till 50% av alla alternativen på 1 år - vem tar den fakturan på HW som krävs samt elräkningen för att tugga fram det??

Att man knäcker så många lösenord idag från olika hashar beror just på att lösenorden är påhittade av mänsklig hjärna och inte maskinframslumpad.

Typisk maskinslumpad 12 tkn lösen kan se ut som "BXk4NzRUzWAh"

Observera att symboler ingick i urvalet men dök inte upp i just denna sekvens och det är bara en enda siffra... - folk när de gör sk. 'slumpmässiga' sekvenser har väldigt ofta övervikt av både siffror och symboler eller tecken som tex. kan härröras från en viss område av tangentbordet och den som är lite van med detta kan nästan se med en blick att 'denna sekvens' är inte maskinslumpad och därmed är den hackningsbar med större effektivitet än brute force.

Själv har jag ett kort från https://www.passwordcard.org/en när jag behöver en slumpsekvens och vet att den har bra entropi och man kan ha den i plånboken/kredikortsfodralen som backup och ändå inte lätt för en utomstående att veta vilken linje, rad, diagonal, mitt, kant etc. man har använt sig av på en viss inloggning...

när det gäller passfraser använder jag

https://www.rempe.us/diceware/#swedish och frasen är lokalgenererad i din browser och kan välja olika ordlistor på olika språk.

En typisk 6-ords passfras som är nära ekvivalent med 12 maskinslumpade tecken i attackmotstånd (~3000 år vid 1000 miljarder tester i sekunden) är tex. epok-inuti-salu-mallig-irisk-bloss

vilket är lättast att lära sig utantill

"BXk4NzRUzWAh"

eller

"epok-inuti-salu-mallig-irisk-bloss"

för i stort sett samma attackmotstånd ??

med ovanstående så hjälper det inte att angriparen känner till vilken ordlista som används för att skapa passfrasen - lika lite som de 94 tecken för en lösenord - det är fortfarande jättesvårt och mycket dyrt att knäcka.

Senast redigerat
Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Thomas:

Det finns även dictionary-attacker som kombinerar flera ord från ordböcker (och modifierar dem, så ord med l33tsp3ak är inte garanterat säkra de heller).
20 slumpade bokstäver/siffror/tecken lär vara långt säkrare än en mening på 25-30 tecken.

Gå till inlägget

int3 om_du_använder_dig_av_varierande Skiljetecken?

Detta gör lösenordet säkert som tusan, simpelt att få opersonligt och är dessutom möjligt att komma ihåg enkelt. Slumpade långa lösenord är sådana man har i lösenordshanteraren och inte behöver komma ihåg.

Visa signatur

Sweclockers 2024:
"
Eftersom vi tillhandahåller en öppen diskussionsplattform har vi ett berättigat intresse av att behålla användargenererat innehåll även efter en eventuell radering eller anonymisering av ditt användarkonto. Vi kommer även att fortsätta lagra vissa uppgifter för att upprätthålla säkerheten och förhindra missbruk av våra tjänster.
"

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av IKEA Billy Bokhylla:

Ofta har väl företag också max 3-4 försök innan kontot låses? I sådana fall spelar det ingen större roll antar jag.

Gå till inlägget

Spelar ju roll vid privilege escalation vilket är hur man faktiskt får ut någon data av värde.

Du kommer in genom att någon klickar på en dålig länk (nästan aldrig en med admin), sen letar du efter databas internt för konton.

Om du har en policy att alla konton ska vara max 7 tecken så knäcker man en sån databas väldigt fort när man väl hittar en.

Visa signatur

i9 11900k ||32GB 4000MHz CL15||ASUS ROG STRIX Z590-E||Noctua NH-D15s
Intel Arc a750 ||Samsung 980 pro|| EVGA Supernova G3 850W
Asus xonar essence STX|| Lian-Li O11 Dynamic XL
Asus VG27AQ 165Hz IPS, Sennheiser HD650, Logitech g502 Hero, fUnc f30r, Vortex TAB90M, Audio-Technicha ATR2500x-USB
Server: x10SL7-F, Xeon E3 1230v3, 32GB Samsung ECC ram, 6x3TB WD RED, FD Node 804.

Redigera
Citera flera Citera
Permalänk
Avstängd

Många ställen saltar ju även lösenorden, ifall hackaren inte kommer över den biten, blir det ju ljusår svårare.

Redigera
Citera flera Citera
Permalänk
Medlem

Under förutsättning lösenorden är maskingenererade - annars går det fortare att prova med dom olika regelverken i hur folk skapar lösenorden är att försöka angripa dessa via rainbow-metoder mfl.

den största säkerhetsrisken är vi själva med för förutsägbara lösenord.

Redigera
Citera flera Citera
Permalänk
Vila i frid
Skrivet av stgr:

Många ställen saltar ju även lösenorden, ifall hackaren inte kommer över den biten, blir det ju ljusår svårare.

Gå till inlägget

Salt är tyvärr ingen garanti för att det blir "rätt". Aktuellt exempel, mjukvarulicens, tillverkat och sålt av stort svenskt företag för sexsiffriga belopp, lätt rundat med hårdvara från wish för 500 spänn. Inte ens IQ 85 har svårigheter att "knäcka" det.

Visa signatur

https://andersbrink.se/
https://www.userbenchmark.com/UserRun/32673274

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av xxargs:

Problemet är inte dictionary eller urvalet av ord eller bokstäver - utan att det är mänskliga hjärnan som väljer ut dem eller försöker skapa 'påhitt' - vi är jättedåliga på det och därför finns omfattande regelverk för krackning utformade efter hur vi tänker när vi skapar lösenord. Det är så effektivt att lösningar med tex. saltning (för att försvåra rainbow-tabeller) har i stort sett spelat ut sin roll.

Skall man förbättra sin lösenords eller passfras-kvalitet väsentligt så är det att maskingenerera dessa och inte försöka hitta på dessa själva med huvudet.

[...]

Gå till inlägget

Det är en bra poäng -- mänsklig bias. För (främst) diceware så skulle man kunna bygga en Markov-kedja baserat på föregående ord. Har du hyfsat stor bias i distributionen så kommer sökrymden förminskas avsevärt. Om vi tar fallet med fyra ord och testar de tio mest sannolika efterkommande orden, så blir gissningskomplexiteten 10³N istället för N⁴.

Med 5000 ord (med antagandet att alla dras uniformt och oberoende) är entropin ungefär 49.15 bitar, men komplexiteten är bara ~ 2²² med en sådan Markovkedja. Gör man det på en stor lösenordsdump som man håller i en hashtabell i minnet (vilket då innebär O(1) kostnad att testa alla lösenord samtidigt) skulle jag gissa att man har en relativt bra success rate.

Problemet är förstås att man måste ha apriori-information om hur människor brukar tänka, men initialt skulle man nog kunna använda sig av språkanalys (dvs vilken sannolikhet har ett ord att komma efter ett annat i vanlig skriven text) och uppdatera sannolikheterna allt eftersom.

Visa signatur

• Sun SPARC

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av sba74:

Inte ett dugg. Just teckenkombinationer som qwerty finns i de ordlistor som hackarna använder. Likaså fraser som 123456. Ett sådant lösenord knäcks på sekunder.

Det framgår rätt tydligt i artikeln att det dom pratar om i tabellerna är att det ska vara slumpvis tecken som inte finns i några ordlistor. Dom är rätt tydliga med att om man bygger upp lösenord på ord från ordlistor så kan även ett relativt långt lösenord knäckas på sekunder istället för miljoner år.

Gå till inlägget

Men då är väl "sssssssssssssssssssssssssss" väldigt säkert tänker jag. Kan inte tänka mig att det finns med "sss" eller liknande i rainbowtables.

Visa signatur

Hur många datorer är för många?

Redigera
Citera flera Citera
Permalänk
Medlem

3/10 får förmodligen panik, inget lösenord under 4 bokstäver lowcase från NÅGON "leverantör" med lösenord som är seriös tillåter mer än 3 felaktiga login (väldigt få 5 försök...) Men.. har DU givit bort lösenordet / krypterad data med samma lösen.. skyll dig själv i princip (enligt mig) jag har 13 low, upper och special tecken, att dom skulle lösa det MOT en server som blockar inlogging med 2:a verifiering (old style, 3 försök har gjorts att logga in, vänligen se över försöket blaha blaha a'la 2000 tals 2:a stegs verifiering) på 112k år är skrattretande, snarare kan jag bara höfta till med 284636373636373836379293636839 biljarder år, jag finns inte kvar, inte heller min e-mail, ej heller tjänsten dom vill in på... Så happy hacking! (Snälla, se till så rubriken / infon är korrekt, detta gäller bruteforce med lokal tillgång t.ex rarfil utan restriktioner till antal försök att "låsa upp" innehållet utan att antingen timeout kickar in eller 2:a verfiering a'la 2000 tal kickar in, numera så oavsett rätt eller fel lösen blir man informerad omgående och ingen inloggning sker förens man svarat på om det är en godkänd eller inte inloggning...

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Panterria:

3/10 får förmodligen panik, inget lösenord under 4 bokstäver lowcase från NÅGON "leverantör" med lösenord som är seriös tillåter mer än 3 felaktiga login (väldigt få 5 försök...) Men.. har DU givit bort lösenordet / krypterad data med samma lösen.. skyll dig själv i princip (enligt mig) jag har 13 low, upper och special tecken, att dom skulle lösa det MOT en server som blockar inlogging med 2:a verifiering (old style, 3 försök har gjorts att logga in, vänligen se över försöket blaha blaha a'la 2000 tals 2:a stegs verifiering) på 112k år är skrattretande, snarare kan jag bara höfta till med 284636373636373836379293636839 biljarder år, jag finns inte kvar, inte heller min e-mail, ej heller tjänsten dom vill in på... Så happy hacking! (Snälla, se till så rubriken / infon är korrekt, detta gäller bruteforce med lokal tillgång t.ex rarfil utan restriktioner till antal försök att "låsa upp" innehållet utan att antingen timeout kickar in eller 2:a verfiering a'la 2000 tal kickar in, numera så oavsett rätt eller fel lösen blir man informerad omgående och ingen inloggning sker förens man svarat på om det är en godkänd eller inte inloggning...

Gå till inlägget

Vilket lyfts flera gånger i tråden redan.

Självklart rör det sig om att nån fått tag på databasen så de kan försöka hur många gånger de vill

Visa signatur

5700x3D | RTX 3080 | 2 TB M.2 | 32 GB RAM

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av snajk:

Jo, men problemet är inte brute-force utan dictionary.

Sen tillkommer problemet med att hålla ordning på alla dessa fraser, utan att upprepa sig, och det är väldigt svårt, så istället skapar man mönster och då går det ännu lättare att knäcka om någon skulle vara intresserad av dig. Så varför spendera en massa tid och tankekraft på att tänka på och hålla ordning på alla dessa fraser när det finns utmärkta tekniska lösningar som automatiserar hela skiten, dessutom gratis?

Gå till inlägget

Dictionary är brute force i att den testar alla kombinationer av ord i dictionary:t, medan "brute force" testar alla kombinationer av de tecken du väljer ska ingå.

Edit: Sedan får vi inte glömma att sannolikt vet inte attackeraren vad för typ av lösenord du har, så den kommer ändå köra bruteforce med massa teckenkombinationer OCH dictionary, vilket gör att det blir än mer kombinationer att testa, vilket gör att ditt, för dig, lättihågkomna lösenord på fyra ord ännu säkrare. Snarare än att ha valt ett lika säkert men väldigt mycket svårare lösenord att komma ihåg.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Thomas:

Det är för att tabellen bara visar brute force. Slår du ihop ett par vanliga ord kan det knäckas väldigt mycket snabbare än så trots att det kan vara 20+ tecken långt.

En brute force-attack kanske alltså testar: aaaaaaaaaa, aaaaaaaaab, aaaaaaaaac... abaaaaaaaa, abaaaaaaab osv.
En kombinerad dictionary-attack kanske snarare testar ord1+ord2+ord3, ord1+ord2+ord4, ord1+ord2+ord5 osv. Eftersom en ordlista kanske bara är typ 200 000 ord så blir antalet kombinationer med 3 ord bara typ 6*10^15 kombinationer, vilket i denna tabellen motsvarar mindre än 7 timmar.
Då finns det en del utrymme att även testa med specialtecken mellan ord, ersätta O med 0, a med @ och sånt.

För att få fram det räknade jag på kolumnen med uppercase/lowercase/siffror, vilket med engelska alfabetet ger 62 tecken per plats.
Enligt tabellen tar 9 tecken 7 timmar, dvs 62^9 = 10^16 kombinationer tar 7 timmar.
Sedan kan vi dela det med 10 enligt andra inlägg i tråden.

Gå till inlägget

Om vi säger att vi väljer 4 ord i följd som lösenord, hur många ord finns det? Om vi begränsar oss till några vanliga språk som ändå kan vara relevanta i Sverige, säg tyska, spanska, franska, engelska och svenska, hur många potentiella kombinationer finns det? Och i ditt exempel säger du tre ord men om vi istället säger fem så är problemet löst.

Redigera
Citera flera Citera
1 2 3 4 5 6 7
Skriv svar