Populäraste lösenordet år 2023 är "123456"

Permalänk
Medlem

Känns som att det kommer en sån här nyhet typ en gång i halvåret
Hur kan det fortfarande ha ett nyhetsvärde?

Permalänk
Medlem
Skrivet av Skyflyer:

Nu när jag tänkt efter lite så skulle det kunna gå att spara allt krypterat/hashat men det skulle kräva en massa extra jobb och extra lagrning. De skulle faktiskt kunna hasha och spara varje 3-bokstavskombination i ditt lösenord för att sedan jämföra alla dessa mot 3 bokstavskombinationer i ditt nya lösenord. Då behöver de inte spara lösenorden okrypterade.

Exempel: Så om ditt lösenord hade varit 123456 så hade de först hashat och sparat ditt hela lösenord. Sedan hade de krypterat och sparat varje 3-bokstavskombination från ditt lösenord ("123", "234", "345", "456"). Men detta är som sagt väldigt ineffektivt och om användarna har långa lösenord så blir det ju väldigt mycket extra data som måste sparas för varje lösenord.

Dessutom inbjuder det till att kracka passworden då att prova igenom alla alternativ på en rad tripletter av tecken och symboler tar inte så lång stund och gör situationen värre än med NTLM/SMB v.1 som åtminstone krypterade passworden i 7 teckens block med DES och med förkompilerade tabeller ala rainbow så kan man återskapa password av en DES-hashning på sekundnivå.

även om man nöjer sig att göra hash av inmatad password utom de sista 3 tecken och de sista 3 tecknen som en egen hash för att detektera uppräkning i slutet av passwordet när den (forcerat) byts så har man med detta rejält försvagat användarens password då den förlorat motsvarande tre tecken i styrka eller knappt 20 bit entropi efter som den sista hashen med 3 tecken räknas inte ens som ett hinder i attacken då bara max 830584 kombinationer (857375 kombinationer om mellanslag också inkluderas i teckensekvensen) behöver provas igenom för att finna en matchande hashvärde och användarens sista 3 tecken i passwordet blir med detta känd.

Har man också en 3-teckens hash för börja och mitten så är det inte mycket kvar av attackmotståndet i användarens password.

Permalänk
Medlem

Det var en skum typ som frågade mig vad mitt stjärntecken är. Jag svarade att jag inte har lust att avslöja mitt huvudlösenord!

Visa signatur

MSI B650 Tomahawk Wifi, 7800X3D, Noctua D15, 64GB Kingston Fury Beast, Sapphire Pulse 7900XT, Corsair RM750X V2, Samsung 990 Pro 4TB + MP510 960GB + PNY CS3030 2TB, Define R6, Win 11.
Sig uppdaterad 2023-12-28. Inlägg där bilar jämförs med datorer beaktas inte.

Permalänk
Medlem

Jag kör lösenord på olika språk. Det är ju få som skulle veta: Res ipsa loquitur + specialtecken. Eller штука med specialtecken. 😊

Visa signatur

Att jaga Krokodil 🐊 med en känd profil gör att internetfakturan blir betald med Stil. 🏖

En dammsugare som Suger och inte är Sugen betyder bara att det är ett dåligt märke utan drag i - Ett felaktigt köp...😃

Permalänk
Medlem
Skrivet av landmarks:

Felstavningen var mitt fel haha, missade en tangent och körde därtill copy-paste, varför felet dubblades. Ibland är man bra.

Med det sagt beräknas det ändå ta ett år att knäcka det, rättstavat då!

Om inte någon trebokstavs byrå sitter och smyger på någon kvant dator, då är det betydligt mindre oknäckbart

Permalänk
Medlem
Skrivet av cyklonen:

Jag använder egengenererade lösenord (skrivit en bit kod som gör det med 93 tecken att välja mellan per position) av den här typen (just dessa är så klart inga jag använder):

n44WYe!.A<b8;tGJiM32N]V0_y+(FyJ)

70<s1MKr2<?;6=&C+'jf1)8u0(QyniND

Känner mig trygg med att de är oknäckbara i sig själva. Sen kan ju lösenord lagras dåligt, i klartext, men det kan jag som användare inte riktigt gardera mig mot.

Så även för "skräpkonton" på sidor som tvingar mig att skapa konton använder jag lösenord av hög kvalitet.

Hehe, jo visst, det kan man ju göra. Var lite försiktig med hur du seedar slumpgeneratorn bara, så du inte delar lösenord med 100 000 andra hemmafixare...

Permalänk
Medlem
Skrivet av Olle3:

Hehe, jo visst, det kan man ju göra. Var lite försiktig med hur du seedar slumpgeneratorn bara, så du inte delar lösenord med 100 000 andra hemmafixare...

Vad jag läst mig till använder random-funktionen i java systemtiden i millisekunder som default-seed, så det ska nog väldigt mycket till att det råkar vara samma som nån annan...

Visa signatur

Moderkort: Gigabyte X570 Aorus Master | CPU: AMD Ryzen R9 5900X | CPU-kylare: Noctua NH-D15 chromax.black | RAM: Corsair Vengeance LPX 64 GB (4x16) DDR4-3600 CL18 | GPU: Gigabyte RTX 4080 Eagle OC | SSD: 2 x Samsung 970 EVO Plus 1 TB NVMe + Kingston A400 480 GB + Samsung QVO860 1 TB | PSU: EVGA SuperNOVA G2 1000 W Gold | Chassi: Lian Li O11 Dynamic XL | Skärm: BenQ PD3200U @ 3840x2160 + ASUS ROG Strix XG32VQ @ 2560x1440 | Tangentbord: Corsair K68 RGB Cherry MX Red | Mus: Logitech MX Master 2S

Permalänk
Medlem
Skrivet av cyklonen:

Vad jag läst mig till använder random-funktionen i java systemtiden i millisekunder som default-seed, så det ska nog väldigt mycket till att det råkar vara samma som nån annan...

Ja det är väl ett större problem om man skulle jobba med något språk/bibliotek som sätter en konstant seed som default.

Permalänk
Medlem
Skrivet av cyklonen:

Vad jag läst mig till använder random-funktionen i java systemtiden i millisekunder som default-seed, så det ska nog väldigt mycket till att det råkar vara samma som nån annan...

Det beror ju lite på hur en sådan implementation av en lösenordsgenerator används och av hur många...

Men oavsett hur stor risken är att man har otur att det blir samma av en slump så kan det ju vara ett allvarligt problem att vem som helst som vet när lösenordet skapades (åtminstone ungefärligt) får en genväg att återskapa det.

I de flesta språk med ett omfattande standardbibliotek så finns dels en lite förenklad slumpgenerator (i stil med vad det *låter som* att du pratar om), som typiskt har ett lite enklare gränssnitt i stil med att ta ett heltal som seed (ofta används just nuvarande tid som standard) och som genererar tal, och en separat slumpgenerator som är lämplig för säkerhetskänsliga ändamål, typiskt med ett gränssnitt som är mer byte[]-orienterat.
I java-sammanhang är det väl SecureRandom som gäller (som väl f.ö. implementerar samma gränssnitt, så ingen stor skillnad för användaren), den seedar sig själv, såvitt jag försår, som standard med data ur operativsystemets slumpkälla (exvis /dev/random) och generar slumpdata som duger till säkerhetskänsliga användningsområden.

Visa signatur

Desktop spel m.m.: Ryzen 9800X3D || MSI X870 Tomahawk Wifi || Sapphire Pulse RX 7900 XTX || Gskill FlareX 6000 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Arbetsstation: Ryzen 7945HX || Minisforum BD790i || Asus Proart 4070 Ti Super || Kingston Fury Impact 5600 65 GB || WD SN850 2TB || Samsung 990 Pro 2TB || Fractal Ridge
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304

Permalänk
Medlem

Jag undrar varför qwerty inte är med i topp tio längre.

Visa signatur

| Fractal Design Define R5| Asrock X399 Fatal1ty| Threadripper 1950X| Noctua NH-U14S TR4-SP3| Corsair Vengeance LPX 8x16GB 3200 C16| be quiet! Straight Power 11 Platinum 1000W| ASUS RTX 3080 10GB Strix| LG OLED 4k 42" C2| Debian Sid| KDE 5.x|

Permalänk
Medlem
Skrivet av evil penguin:

Det beror ju lite på hur en sådan implementation av en lösenordsgenerator används och av hur många...

Men oavsett hur stor risken är att man har otur att det blir samma av en slump så kan det ju vara ett allvarligt problem att vem som helst som vet när lösenordet skapades (åtminstone ungefärligt) får en genväg att återskapa det.

Jag är så fascinerad över att folk tar så allvarligt på lösenord som används för att logga in på nätbutikssidor och liknande, av mig som är en helt ointressant person. Självklart ska man ha supersäkra lösenord för saker som verkligen är skyddsvärda och där man kan anta att nån med kapacitet kan och vill lägga tid på att knäcka dem på det viset. Men mina, kom igen!

Visa signatur

Moderkort: Gigabyte X570 Aorus Master | CPU: AMD Ryzen R9 5900X | CPU-kylare: Noctua NH-D15 chromax.black | RAM: Corsair Vengeance LPX 64 GB (4x16) DDR4-3600 CL18 | GPU: Gigabyte RTX 4080 Eagle OC | SSD: 2 x Samsung 970 EVO Plus 1 TB NVMe + Kingston A400 480 GB + Samsung QVO860 1 TB | PSU: EVGA SuperNOVA G2 1000 W Gold | Chassi: Lian Li O11 Dynamic XL | Skärm: BenQ PD3200U @ 3840x2160 + ASUS ROG Strix XG32VQ @ 2560x1440 | Tangentbord: Corsair K68 RGB Cherry MX Red | Mus: Logitech MX Master 2S

Permalänk
Medlem
Skrivet av cyklonen:

Jag är så fascinerad över att folk tar så allvarligt på lösenord som används för att logga in på nätbutikssidor och liknande, av mig som är en helt ointressant person. Självklart ska man ha supersäkra lösenord för saker som verkligen är skyddsvärda och där man kan anta att nån med kapacitet kan och vill lägga tid på att knäcka dem på det viset. Men mina, kom igen!

Jag bryr mig personligen inte särskilt vilka lösenord du väljer att använda, det jag tänkte var snarare att eftersom du pratade om ditt lilla projekt och att ett potentiellt problem kommit upp i diskussionen och bekräftats(?) så kunde det vara intressant med feedback hur just den aspekten borde fungera för att faktiskt eliminera problemet istället för att förklara bort det. Det är allt.

Visa signatur

Desktop spel m.m.: Ryzen 9800X3D || MSI X870 Tomahawk Wifi || Sapphire Pulse RX 7900 XTX || Gskill FlareX 6000 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Arbetsstation: Ryzen 7945HX || Minisforum BD790i || Asus Proart 4070 Ti Super || Kingston Fury Impact 5600 65 GB || WD SN850 2TB || Samsung 990 Pro 2TB || Fractal Ridge
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304

Permalänk
Medlem

Bäst är legitima websiter som bara tillåter bokstäver och siffror, jättesäkert.... speciellt om dom lagrar din kortinformation fullt synligt, hela kortnumret, giltighetstid och ccv....

t.ex Comviq.se

Visa signatur

Ryzen 5 3600|Asus X-470|32Gb DDR4|Asus 2060 Super
Ryzen 5 3600|ASRock B-450 itx|32Gb DDR4|2060FE -snart borta-
i7-11700K|ASUS ROG STRIX B560-F GAMING WIFI|32GbDDR4|RTX3080
2xE5-2630v3|DL360G9|256Gb|8Tb|Server 2019|4 Windows 10 & 11 VM |
NES|SNES|N64|Wii|Switch|PsOne|PS1|PS2|PS3|PS4|PS5|Xbox|Xbox360s|Xbox One X|Xbox Series X|

Permalänk
Medlem
Skrivet av adfactory:

Bäst är legitima websiter som bara tillåter bokstäver och siffror, jättesäkert.... speciellt om dom lagrar din kortinformation fullt synligt, hela kortnumret, giltighetstid och ccv....

t.ex Comviq.se

Bara bokstäver och siffror är väl inte något egentligt problem såvida man får ha långa lösenord. Längden på lösenordet blir snabbt långt mer avgörande...

Sedan är väl hanteringen av kortuppgifter ett kapitel för sig, som i vissa fall borde styras upp helt oavsett lösenordspolicy.

Visa signatur

Desktop spel m.m.: Ryzen 9800X3D || MSI X870 Tomahawk Wifi || Sapphire Pulse RX 7900 XTX || Gskill FlareX 6000 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Arbetsstation: Ryzen 7945HX || Minisforum BD790i || Asus Proart 4070 Ti Super || Kingston Fury Impact 5600 65 GB || WD SN850 2TB || Samsung 990 Pro 2TB || Fractal Ridge
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304

Permalänk

Har så dålig fantasti att jag oftast använder samma lösenord på alla ställen, men är inte så lat att jag bara skulle använda siffror eller ett ord. Händer mer och mer ofta ändå att man får generera ett nytt lösenord om enheten inte kommer ihåg lösenordet. Är ju helt omöjligt att hålla på med internet om alla ställen ska ha jättesäkra lösenord.

Lösenordshanterare litar jag inte på.

Visa signatur

En vis man pissar inte i motvind