Hoppa till innehåll

Sökresultat Sökningen pågår Sökresultaten dyker upp här efterhand. Du kan fortsätta skriva om du vill begränsa sökningen.
Söker efter filmer
Söker efter produktkategorier
Söker efter användare
Söker efter gallerier
Sök forumtrådar
Stäng

Regelstyrda lösenord

29 svar till detta ämne
  • Vänligen logga in för att kunna svara

#1

Postad 09 augusti 2020 - 14:45

hmarkstrom
  • hmarkstrom
  • Guru

  • 4 714 inlägg
  • 0

I en kamp mot alla helt onödiga regelstyrda lösenord måste kunskap om dem fram att de faktiskt inte bidrar ett dugg till någon datasäkerhet snarare tvärt om för de finns olika regler så man kan hitta på något enkelt lösenord som går igenom alla regler som t.ex.: Abcd!234. Är 8 tecken långt, har har minst en stor bokstav, små tecken, siffror och ett övrigt tecken.

 

Vilken av dessa två lösenord är säkrare:

  • !@#¤%&/+
  • AAAAAAAAA

 

Det är det nedre lösenord för det är ett tecken längre än det övre lösenordet.

 

Vilka tecken man har i lösenorden spelar alltså ingen roll för enligt en expert på lösenord är det bara längden på dem som har betydelse. i P1 programmet så visste han inte var ursprunget för dessa regelstyrda lösenord kom ifrån men sa att de hade ingen betydelse. Han sa att lösenordet skulle vara en mening man inte ville avslöja för någon.

 

Jag skickar till alla som har regelstyrda lösenord att de saknar betydelse för säkerheten och att om de ska fortsätta med dem ska regeln inte bara finnas med när man skapar lösenordet skapar utan även när man ska logga in för de finns för många regler på nätet om hur lösenord ska skapas och man kan inte komma ihåg alla dessa regler.

 

Detta forum blev i början hackat och vi fick alla uppmaningen att byta våra lösenord.

 

Själv har mina lösenord ologiska meningar om man får fritt skapa dem eller om de är regelstyrda så enkla att de går igenom.

 



#2

Postad 09 augusti 2020 - 16:55

qahwa
  • qahwa
  • Beroende

  • 1 261 inlägg
  • 0
https://imgs.xkcd.co...rd_strength.png
Får tyvärr inte till bildlänken...

FBI/NIST håller med.

https://www.fbi.gov/...-with-passwords

Redigerat av qahwa, 09 augusti 2020 - 16:59.


#3

Postad 09 augusti 2020 - 17:01

hmarkstrom
  • hmarkstrom
  • Guru

  • 4 714 inlägg
  • 0

Den första länken har jag sett förut. Den andra är ju ett utmärkt initiativ av FBI och gör lösenordsexpertens och mina idéer har fog för sig.

 

Vi får alla hjälpa till att få en ändring.

 

Vi har ett system som kräver minst 42 teckens lösenord men du får göra dem hur du vill.



#4

Postad 09 augusti 2020 - 18:06

Zacabeb
  • Zacabeb
  • Veteran

  • 2 213 inlägg
  • 0
Idén med lösenord som innehåller siffror och symboler kommer sig väl av att folk omkring en inte ska kunna gissa det och att det ska ta längre tid att knäcka, även om man använder ett lösenord som är lätt att komma ihåg för en själv.

Då blir ju k4ttEngust4v säkrare än kattengustav.

Sedan har väl det hängt med, trots att det inte hjälper mot regnbågsattacker och att högre datorkraft tillåtit snabb avkryptering av hela databaser av lösenord.

Så visst är kattengustavaterlasagne säkrare än k4ttEngust4v. Men det skadar ju inte att använda både ett långt lösenord och blandade tecken. K4tt3n9ust4v%t3r74549n3 är väl fortfarande aningen säkrare än kattengustavaterlasagne.

Redigerat av Zacabeb, 09 augusti 2020 - 18:07.


#5

Postad 10 augusti 2020 - 16:26

hmarkstrom
  • hmarkstrom
  • Guru

  • 4 714 inlägg
  • 0

Enligt lösenordsexperten är de bara längden på lösenorden som spelar någon roll för säkerheten. k4ttEngust4v är ju mycket svårare att stava än kattengustav så då kommer k4ttEngust4v att bytas ut oftare när de gäller folk som har svårt att stava.

 

Jag har därför ingen lust med dessa krångliga lösenord man får till livs för man tror enkla går att gissa vilket inte är så lätt att göra som man tror.

 

detvarenlitenmussomkomfram. Detta lösenord är lätta att komma ihåg men svårt att gissa då det är 26 tecken lång. Det var just meningar man skulle ha som lösenord enligt lösenordsexperten. Så inga kryptiska stavningar som ändå glöms bort hur de var konstruerade utan långa meningar istället.



#6

Postad 10 augusti 2020 - 17:19

Bill Lumbergh
  • Bill Lumbergh
  • Beroende

  • 1 193 inlägg
  • 0
Det där med långa meningar har gett upphov till många skratt i kontorslandskapet när någon ringer IT supporten och skall säga sitt lösenord, vilket blir en så tyst som möjligt viskning... en svavelosande mening med flera ord i kategorin mellan naveln och knäna! Det skall vara lätt att komma ihåg helt enkelt.

Då snacket vi ett stort företag med högpresterande civilingenjörer/mjukvaruingenjörer ...

#7

Postad 10 augusti 2020 - 18:06

jn82
  • jn82
  • Veteran

  • 1 620 inlägg
  • 0
Det företaget borde avskeda hela sin it-avdelning, du ska aldrig behöva berätta ditt lösenord för någon

#8

Postad 10 augusti 2020 - 19:28

hmarkstrom
  • hmarkstrom
  • Guru

  • 4 714 inlägg
  • 0

Håller med. Det enda publika lösenord vi har är till enkla funktioner som att komma åt vissa datorer via nätet för att komma in i datorerna måste man ändå logga in som vanligt.

 

Har jobbat med IT i decennier och ingen support har någonsin frågat efter några lösenord bara gett initital lösenord alltså sådana du genast måste ändra på.



#9

Postad 10 augusti 2020 - 19:34

boombaaz
  • boombaaz
  • Beroende

  • 1 022 inlägg
  • 0

Det är lite jobbigt med antika system som inte klarar fler än åtta tecken i lösenordet :)



#10

Postad 10 augusti 2020 - 20:34

Eufemism
  • Eufemism
  • Forumräv

  • 860 inlägg
  • 0

Nu är inte jag någon itsäkerhetsexpert men att det bara är längden som är av betydelse är ju uppenbart inte korrekt?

 

Ordet glesbygdsbefolkning består av 19 tecken, lika många tecken som FzvEG4@'4M9G$]PEG]x. Om man använder en ordbok som grund i sina brute force attacker kommer ett av dessa lösenord knäckas relativt fort medan det andra kommer ta rätt mycket längre tid.

 

På samma sätt kommer med största sannolikhet AAAAAAAAAA vara med i en lista över kända lösenord som ofta används i dessa syften, medan (=]d3&kV! som är ett tecken mindre, troligtvis inte kommer vara med i dessa listor. Det första lösenordet kommer knäckas mycket snabbare.

 

Eller var hela den här trådstarten sarkastisk och jag tar detta på för stort allvar för att missa det?



#11

Postad 10 augusti 2020 - 20:38

SilverDogg
  • SilverDogg
  • Guru

  • 4 181 inlägg
  • 0
Är inte ordboksbruteforce enbart ett ord i taget, eller läggs orden också ihop?

Jag såg den xkcd-serien för flera år sen, men har faktiskt inte orkat göra såna lösenord. Dumt egentligen kanske. Kör med lastpass som genererar såna mixade lösenord.

#12

Postad 10 augusti 2020 - 21:07

Eufemism
  • Eufemism
  • Forumräv

  • 860 inlägg
  • 0

Är inte ordboksbruteforce enbart ett ord i taget, eller läggs orden också ihop?

Jag såg den xkcd-serien för flera år sen, men har faktiskt inte orkat göra såna lösenord. Dumt egentligen kanske. Kör med lastpass som genererar såna mixade lösenord.

 

Beror på hur de utförs men de kan absolut läggas ihop. Om det bara är brutforce vi funderar på kan vi räkna på följande (jag är ingen matematikprofessor men jag tror att jag har någorlunda rätt siffror): 

 

Engelska ordboken består av ca 273 000 ord. Låt oss säga att vi vill ha 4 st i slumpmässig följd, det får vara samma ord flera gånger och ordningen spelar ingen roll för att räkna fram antalet kombinationer. Då får vi fram 5.554571841e+21 kombinationer.

 

Genomsnittslängden på ett ord är 4,7 bokstäver, så motsvarande längden på vårt slumpmässiga lösenord skulle bli 18,8 men vi räknar på 18 för att ge det en ärlig chans. Det finns 94 tecken som vanligtvis kan användas i lösenord, vilket resulterar i 3.2832304338e+35 möjliga kombinationer.

 

Antalet kombinationer med 18 slumpmässiga tecken är alltså ca 5.9108614e+13 gånger större än antalet kombinationer med 4 ord ur engelska ordboken.

Skulle vi ta 5 ord ur 10 olika språks ordböcker kommer vi upp i 1.5163981125e+32 kombinationer, större men fortfarande inte tillräckligt.

 

Ska vi ha lika många tecken som correcthorsebatterystaple (25) men slumpmässigt från vår lilla teckenuppsättning får vi istället 2.1291013728e+49 kombinationer.

 

Jag lägger definitivt hellre 4 ord på minnet än 25 slumpmässiga tecken, men det är ju en annan sak.

 

Edit: menar naturligtvis permutationer, inte kombinationer


Redigerat av Eufemism, 10 augusti 2020 - 21:10.


#13

Postad 13 augusti 2020 - 14:09

hmarkstrom
  • hmarkstrom
  • Guru

  • 4 714 inlägg
  • 0

Nu är inte jag någon itsäkerhetsexpert men att det bara är längden som är av betydelse är ju uppenbart inte korrekt?

 

Ordet glesbygdsbefolkning består av 19 tecken, lika många tecken som FzvEG4@'4M9G$]PEG]x. Om man använder en ordbok som grund i sina brute force attacker kommer ett av dessa lösenord knäckas relativt fort medan det andra kommer ta rätt mycket längre tid.

 

På samma sätt kommer med största sannolikhet AAAAAAAAAA vara med i en lista över kända lösenord som ofta används i dessa syften, medan (=]d3&kV! som är ett tecken mindre, troligtvis inte kommer vara med i dessa listor. Det första lösenordet kommer knäckas mycket snabbare.

 

Eller var hela den här trådstarten sarkastisk och jag tar detta på för stort allvar för att missa det?

Det är att hackerprogram tar och testar tänkta lösenord mot ett ett eller flera tal och antalet tecken gör denna process långsammare ju fler tecken ett lösenord har. Vilka tecken lösenordet har spela ingen roll. FzvEG4@'4M9G$]PEG]x är svårstavat och farligt därför tiden att logga in kan också spela roll i säkerhetsarbetet.
 



#14

Postad 14 augusti 2020 - 21:10

Eufemism
  • Eufemism
  • Forumräv

  • 860 inlägg
  • 0

Det är att hackerprogram tar och testar tänkta lösenord mot ett ett eller flera tal och antalet tecken gör denna process långsammare ju fler tecken ett lösenord har. Vilka tecken lösenordet har spela ingen roll. FzvEG4@'4M9G$]PEG]x är svårstavat och farligt därför tiden att logga in kan också spela roll i säkerhetsarbetet.
 

 

What? Hur menar du att ett "hackerprogram" testar tänkta lösenord mot ett eller flera tal? Det är mycket vanligare att man använder dictionary attacks alternativt tar fram ett lösenord med hjälp av phishing eller social engineering. Används detta så har längden på lösenordet mycket mindre betydelse än vad själva lösenordet är. Ett ord från en ordlista eller ett vanligt lösenord är det sämsta du kan ha. Lösenordet Password123! kommer vara knäckt på några sekunder, lösenordet g7!Hf95 är mycket kortare och mycket säkrare.

 

Och på vilket sätt är ett slumpmässigt starkt lösenord farligt?



#15

Postad 15 augusti 2020 - 09:41

hmarkstrom
  • hmarkstrom
  • Guru

  • 4 714 inlägg
  • 0

What? Hur menar du att ett "hackerprogram" testar tänkta lösenord mot ett eller flera tal? Det är mycket vanligare att man använder dictionary attacks alternativt tar fram ett lösenord med hjälp av phishing eller social engineering. Används detta så har längden på lösenordet mycket mindre betydelse än vad själva lösenordet är. Ett ord från en ordlista eller ett vanligt lösenord är det sämsta du kan ha. Lösenordet Password123! kommer vara knäckt på några sekunder, lösenordet g7!Hf95 är mycket kortare och mycket säkrare.

 

Och på vilket sätt är ett slumpmässigt starkt lösenord farligt?

Återigen vad detta var svårförståeligt för er. Det är en lösenordsexpert och ingen amatör som påstår att de finns bara längden på lösenord som gör dem säkra. Vad de innehåller för tecken har ingen betydelse. Det är alltså en myt att typen av tecken gör det. Krångliga lösenord är lättare att stava fel som gör att inloggningar går långsammare med den. Vi fick i vårt jobb ett lösenord som såg ut ungefär så här HAN!@xwe12#&nx3#x.  Ja de var mycket långt och ett initialt lösenord alltså ett som bara gäller till man loggar in och direkt måste byta de till ett nytt. Han som provade det lyckade aldrig få det rätt så vi fick begära ett enklare lösenord. I hacker miljö så är lösenordsfiler de kommer över och sedan görs ett program som ska bakvägen avslöja lösenord och detta går långsamma ju längre de är. I OpenVMS som jag kan bäst är lösenordets hash lagrat i ett 64-bitar heltal i en fil som inte är lätt att titta i. Det går inte med en editor eller liknande att titta i filen och får något vettigt ur den. UNIX hade i början ett för osäkert system där lösenordens data låg i en textfil så de har lag till ytterligare filer för att göra det säkrare. Windows har filer med hash lösenord. Det finns olika knep att få fram lösenordet i dem med Windows funktioner vilket för mig låter osäkert.  Även i Linux finns olika knep att få fram lösenorden. I OpenVMS känner jag inte till något knep att få fram lösenorden.

 

Alltid när OpenVMS nämns är få som vet vad det är för något. Det är jordens mest stabila operativsystem för serverar och det är inte ovanligt med OpenVMS servrar som gått i ett decennium vilket vi fick se på en OpenVMS träff men vi tycket de var mer anmärkningsvärt att när servern bootade så anslöt sig en process mot databasen och låg kvar så den hade varit ansluten mot databasen i över 3300 dagar. Rekordet sedan boot har ett OpenVMS system på irländska järnvägarna. Det är 17 år sedan det systemet startade. Varför är OpenVMS så stabilt? Det är ett enkelt OS där Windows är en enda röra och Linux en enda djungel i jämförelse. Man ska kunna köra OpenVMS program långt bak i tiden i dagens versioner av OpenVMS. Om Internet bara sköttes av OpenVMS servrar skulle vi bli förvånade när något gick fel. Varför är det så få som hört något om OpenVMS. Det utvecklades av Digital Equipment under 1980-talet som fick ekonomiska problem och köptes upp av Compaq som i sin tur såldes till HP som sedan hanterade OpenVMS mycket illa.Vad man på HP:s hemsida var de omöjligt att hitta något om OpenVMS. 2014 meddelade HP att de skulle sluta med OpenVMS och efter ett halvår togs utvecklingen över av VMSsoftware ägt av svenska Teracloud i Malmö så kontoren finns i Malmö och i Bolton i USA. Man håller på att göra en version av OpenVMS som ska köras på Xeon processorer som även Windows och Linux serverar använder. Xeon är dock en enklare CPU än de OpenVMS använt tidigare så man har måst köra en del funktioner mjukvarumässigt som tidigare hårdvaran klarade av.  
 



#16

Postad 15 augusti 2020 - 12:58

Eufemism
  • Eufemism
  • Forumräv

  • 860 inlägg
  • 0

Återigen vad detta var svårförståeligt för er. Det är en lösenordsexpert och ingen amatör som påstår att de finns bara längden på lösenord som gör dem säkra. Vad de innehåller för tecken har ingen betydelse. Det är alltså en myt att typen av tecken gör det. Krångliga lösenord är lättare att stava fel som gör att inloggningar går långsammare med den. Vi fick i vårt jobb ett lösenord som såg ut ungefär så här HAN!@xwe12#&nx3#x.  Ja de var mycket långt och ett initialt lösenord alltså ett som bara gäller till man loggar in och direkt måste byta de till ett nytt. Han som provade det lyckade aldrig få det rätt så vi fick begära ett enklare lösenord. I hacker miljö så är lösenordsfiler de kommer över och sedan görs ett program som ska bakvägen avslöja lösenord och detta går långsamma ju längre de är. I OpenVMS som jag kan bäst är lösenordets hash lagrat i ett 64-bitar heltal i en fil som inte är lätt att titta i. Det går inte med en editor eller liknande att titta i filen och får något vettigt ur den. UNIX hade i början ett för osäkert system där lösenordens data låg i en textfil så de har lag till ytterligare filer för att göra det säkrare. Windows har filer med hash lösenord. Det finns olika knep att få fram lösenordet i dem med Windows funktioner vilket för mig låter osäkert.  Även i Linux finns olika knep att få fram lösenorden. I OpenVMS känner jag inte till något knep att få fram lösenorden.

 

Alltid när OpenVMS nämns är få som vet vad det är för något. Det är jordens mest stabila operativsystem för serverar och det är inte ovanligt med OpenVMS servrar som gått i ett decennium vilket vi fick se på en OpenVMS träff men vi tycket de var mer anmärkningsvärt att när servern bootade så anslöt sig en process mot databasen och låg kvar så den hade varit ansluten mot databasen i över 3300 dagar. Rekordet sedan boot har ett OpenVMS system på irländska järnvägarna. Det är 17 år sedan det systemet startade. Varför är OpenVMS så stabilt? Det är ett enkelt OS där Windows är en enda röra och Linux en enda djungel i jämförelse. Man ska kunna köra OpenVMS program långt bak i tiden i dagens versioner av OpenVMS. Om Internet bara sköttes av OpenVMS servrar skulle vi bli förvånade när något gick fel. Varför är det så få som hört något om OpenVMS. Det utvecklades av Digital Equipment under 1980-talet som fick ekonomiska problem och köptes upp av Compaq som i sin tur såldes till HP som sedan hanterade OpenVMS mycket illa.Vad man på HP:s hemsida var de omöjligt att hitta något om OpenVMS. 2014 meddelade HP att de skulle sluta med OpenVMS och efter ett halvår togs utvecklingen över av VMSsoftware ägt av svenska Teracloud i Malmö så kontoren finns i Malmö och i Bolton i USA. Man håller på att göra en version av OpenVMS som ska köras på Xeon processorer som även Windows och Linux serverar använder. Xeon är dock en enklare CPU än de OpenVMS använt tidigare så man har måst köra en del funktioner mjukvarumässigt som tidigare hårdvaran klarade av.  
 

 

Du lyckas åter igen inte svara på någon av frågorna som ställs, jag förstår att du kan kopiera och klistra in text, men det bidrar inte med mycket i en diskussion. Jag har bemött ditt påstående med fakta och allt du säger är att en expert tycker något, sen börjar du svamla om lösenordsfiler. Förmodligen tänker du på, men inte vet hur det fungerar, hashade och saltade lösenord som används för att matcha ett resultat från det användaren skriver in, och det är inte alls som du tror att tiden det tar att knäcka det är beroende av lösenordets längd. Ja, med en korkad bruteforce attack är det så, men sådana attacker är långsamma och ineffektiva och används inte förutom som sista utväg. Har du ett enkelt lösenord, även om det är långt, så har detta hittats efter några sekunder. Ett lösenord som är passwordpasswordpasswordpassword kommer jag kunna knäcka på några sekunder, trots att det är långt.

 

Men men, då är det väl bara att du och din P1-expert fortsätter att använda långa lösenord som alla redan känner till och hittas direkt med en dictionary attack, så använder vi andra komplexa lösenord som bara kan knäckas med bruteforce vilket tar bra mycket längre tid.  :rolleyes:

 

Jag lämnar er med detta och önskar er lycka till i framtiden med era lösenord.



#17

Postad 15 augusti 2020 - 13:41

hmarkstrom
  • hmarkstrom
  • Guru

  • 4 714 inlägg
  • 0

Du lyckas åter igen inte svara på någon av frågorna som ställs, jag förstår att du kan kopiera och klistra in text, men det bidrar inte med mycket i en diskussion. Jag har bemött ditt påstående med fakta och allt du säger är att en expert tycker något, sen börjar du svamla om lösenordsfiler. Förmodligen tänker du på, men inte vet hur det fungerar, hashade och saltade lösenord som används för att matcha ett resultat från det användaren skriver in, och det är inte alls som du tror att tiden det tar att knäcka det är beroende av lösenordets längd. Ja, med en korkad bruteforce attack är det så, men sådana attacker är långsamma och ineffektiva och används inte förutom som sista utväg. Har du ett enkelt lösenord, även om det är långt, så har detta hittats efter några sekunder. Ett lösenord som är passwordpasswordpasswordpassword kommer jag kunna knäcka på några sekunder, trots att det är långt.

 

Men men, då är det väl bara att du och din P1-expert fortsätter att använda långa lösenord som alla redan känner till och hittas direkt med en dictionary attack, så använder vi andra komplexa lösenord som bara kan knäckas med bruteforce vilket tar bra mycket längre tid.  :rolleyes:

 

Jag lämnar er med detta och önskar er lycka till i framtiden med era lösenord.

Hur kommer du att knäcka passwordpasswordpasswordpassword på några sekunder?

 

Du har 1000 användare. Inte ovanligt och en av dem har detta lösenord.


Redigerat av hmarkstrom, 15 augusti 2020 - 13:44.


#18

Postad 15 augusti 2020 - 14:03

Demon Slayer
  • Demon Slayer
  • Guru

  • 4 144 inlägg
  • 1
För att program som knäcker lösenord (f.eks Hydra) kör igenom dictionary, vanliga kombinationer och tangentbordskombinationer först, vilket tar mycket kort tid, om det inte finns en match så går den över på brute force.

En fördel med långa lösenord är att flera lösenordsknäckar-program inte kan hantera mer än ett visst antall tecken. För 7år sedan kraschade L0phtcrack om man försökte knäcka ett lösenord med mer än 8 tecken. Troligtvis tar de fler idag, men sunt förnuft säger att det finns en gräns, troligtvis runt 15 eller så, men med takten datorer blir snabbare så får man lägga på ett tecken eller 2 i året.

Redigerat av Demon Slayer, 15 augusti 2020 - 14:04.


#19

Postad 15 augusti 2020 - 15:38

hmarkstrom
  • hmarkstrom
  • Guru

  • 4 714 inlägg
  • 0

Något vi inte heller får glömma är om operativsystemet upptäcker inbrottsförsök. OpenVMS tillåter 3 felaktiga inloggningar efter det sätt du som "suspect" får du ytterligare 3 felaktiga inloggningar så stängs du av enligt några parametrar man kan ställa om men om man tar man standardvärdena är de 15 minuter först. Nu kan man inte logga in alls inte ens om man anger rätt lösenord. Missar man igen 3 gånger fördubblas tiden så nu är de 30 minuter. Vi har i OpenVMS när användare hört av sig sett personer som varit avstängda i timmar.

 

Men som sagt. Långa lösenord som är meningar så de går att komma ihåg är alltså något alla ska sträva efter.


Redigerat av hmarkstrom, 15 augusti 2020 - 15:41.


#20

Postad 15 augusti 2020 - 16:38

Demon Slayer
  • Demon Slayer
  • Guru

  • 4 144 inlägg
  • 0
Vi bör gå över mer och mer mot passordslösa system. Se på banken f.eks med pinkod och 2-faktor.

#21

Postad 15 augusti 2020 - 18:11

Mr_Tom
  • Mr_Tom
  • Forumräv

  • 701 inlägg
  • 1

Intressant diskussion men jag tycker den bygger på ganska mycket antaganden. Om jag ser till min arbetsplats så finns regler för lösenorden. Minst en viss längd, specialtecken, versaler och gemener osv, ganska normalt tror jag på många håll.

 

Nu skall jag attackera ett specifikt konto. Password följer inte reglerna, men Password123! kan vara okej men det kan Password123" också vara. Och eftersom jag inte vet antalet tecken som innehavaren av kontot använt så kan det bli många kombinationer som börjar med "Password" av det skälet. Det är ju ganska enkelt att omvandla "enkla" lösenord till brute force. Password kanske inte är det enklaste exemplet men ta Ormbunke123! , samma förutsättningar men jag undrar om det går snabbt att knäcka. Jag utgår från att jag inte får någon användbar info från systemet jag försöker knäcka när jag provar lösenord. 

 

Sedan ordlistor och enskilda ord, beror inte det lite på språk också? Te x å,ä och ö är ju specialtecken i stora delar av världen  :) .

 

Jag skrev antaganden i början, hur bra mitt lösenord är styrs väl i hög grad av hur man attackerar det :) ?

 

Jag läste för inte så länge sedan en artikel om lösenord. Den byggde på en intervju med en av dom som tagit fram en standard för lösenord i USA. Grundregeln att byta lösenord relativt ofta tyckte han inte var bra idag. Byter man ofta så innebär det att man ofta väljer ett enklare lösenord. Har man starka lösenord så behöver man inte byta lika ofta. Egentligen ganska självklart men så fungerar ju inte företag normalt, åtminstone inte vad jag hört  :) .

 

Jag hörde vid ett tillfälle om en organisation men väldigt höga krav på it-säkerhet. Deras "lösenord" är tangentsekvenser. Ett exempel är: Password "radera" "radera" rd, Ett enkelt ord skapas med tolv tangenttryckningar. 



#22

Postad 15 augusti 2020 - 18:47

wickerman
  • wickerman
  • Mästare

  • 2 517 inlägg
  • 0

Det är inte lösenordet till din lokala dator som är det stora problemet, det är i de flesta fall lösenordet till de tjänster du använder på nätet då databaser titt som täck läcker ut efter intrång. Det är med tillgång till dessa databaser och de hashade lösenorden däri som komplexa attacker används.

 

Det finns tjänster som övervakar om dina inloggningsuppgifter förekommer i en läcka, t.ex: https://monitor.firefox.com/

 

Ett bra lösenord är lätt för en människa att komma ihåg men svårt för en dator att gissa, t.ex:

 

gladaaporkastarintebajspåtröttapensionärerundersemesterveckan

 

Jag tvekar att detta återfinns i dictionairy attacks eller bruteforcas särskilt lätt, samtidigt kommer man jättelätt ihåg det. Släng in en siffra någonstans och kanske en versal så är det än lite bättre. Komplexa lösenordsregler leder lätt till post-it på skärmen eller att de skrivs ner på ett annat ställe. Samma gäller tvingad lösenordsrotation.

 

Men det kan faktiskt också vara väldigt bra om det skrivs ner, ifall det görs i en lösenordshanterare. Jag kan verkligen rekommendera https://1password.com/ helhjärtat. Då kan ni ha slumpmässiga lösenord med 50+ tecken.

 

När det gäller lokal säkerhet bör man såklart också använda bra lösenord eller bra biometric som t.ex IOS face unlock. Det är också viktigt att ALDRIG SPARA LÖSENORD I WEBBLÄSAREN (undantag finns, t.ex firefox lockwise. men läs på först) och ALLTID AKTIVERA DISKKRYPTERING. Krypterar du inte disken är hela datorn en öppen bok, sparar du dessutom lösenord i webbläsaren är även de okrypterade och finns att läsa i denna bok.

 

På Linux-servrar använder man inte lösenord utan publik nyckelkryptografi, förstår inte varför det svamlas om lösenord i Linuxsystem i tråden. Självklart krypterar man också systemen så att inga filer går att läsa utan rätt nyckel.



#23

Postad 15 augusti 2020 - 21:02

Demon Slayer
  • Demon Slayer
  • Guru

  • 4 144 inlägg
  • 0

Man brukar inte bruteforca vanliga windows-logins utan man angriper SSH eller Telnet. Om man ska åt enskilda konton så skaffar man lösenord-filen från systemet och tar reda på hur det systemet krypterar och saltar för att så testa f.eks "passord" så kryptera och salta det och jämföra mot listan, och så vidare tils strängen passar, man sitter inte och testar direkt mot ett konto och helt plötsligt kommer in.

 

Dom tillfällen där man testar direkt mot login är när man kör ut en scriptad attack mot f.eks alla SQL-tjänster man ser och prövar admin123 dvs standard-lösenordet. 1 gång per IP och så går man vidare. Man får oftast tillbaka så många hits att man inte behöver bruteforca.

 

Vill man däremot in på ett spesifikt konto så kommer man alltid in på ett eller annat sätt, men det kräver social engineering i tillägg. Ofta en epost med en pdf som startar en keylogger i bakgrunden. Just därför som flerfaktor är så kraftfullt då det inte spelar någon roll om någon får tag i 1 faktor då man behöver de andra och ofta samma session också dvs även om man sitter bakom personen ifråga (eller remote och ser samma skärm) och skriver in samma sak i sin egen browser så godkänner den bara där frågan initierats. Dom flesta godkänner inte hux flux en challenge request som kommer helt från ingenstans på mobilen. Så jag upprepar mig att bankerna är inte idioter, dom har valt ett system som är lätt att använda och reltivt säkert. Vi kommer nog gå en liten annan väg då man ser att företagverkar akseptera windows-hello och swipe-mönster så det lättaste idag är att sända en flerfaktor push via Azure som du bara godkänner på mobilen då kan folk ha pinkod eller fingeravtryck som sin ena faktor istället för lösenord även om det alltid initiellt ligger ett AD-lösenord i botten for varje användare, men det blir nog snart standard att inte tvinga folk byta detta så ofta.



#24

Postad 03 oktober 2020 - 21:57

hmarkstrom
  • hmarkstrom
  • Guru

  • 4 714 inlägg
  • 0

Eftersom de som har regelstyrda lösenord aldrig skriver ut om det är 3 eller 4 reglers lösenord när man ska ange lösenordet har jag nu börjat jag lagra dessa lösenord i textfiler bara för att visa på dess onödighet och osäkerhet.

 

Kommer ni ihåg hur många regler lösenordet ni skapade hade?



#25

Postad 05 oktober 2020 - 22:24

Ageve
  • Ageve
  • Über-Guru

  • 10 916 inlägg
  • 0

Här kan man testa hur säkert ett lösenord är:

https://howsecureismypassword.net

 

Rekommenderar inte att skriva sitt riktiga lösenord där såklart, men liknande, t ex Mobiltelefon8! istället för Barbaraphone5#

 

passwordpasswordpassword som nämndes, tar "7 QUADRILLION YEARS" att knäcka. Men det beror ju helt på hur hackern angriper. Är det bara bruteforce så japp, men i verkligheten när dictionaries används, så är det inte alls ett säkert lösenord.

 

Ankanbengtköperhaschpånätet är säkrare än ∞§|[]]z[≈@©£]8[K]≈@[£ även om det ser enklare ut. ;) 

 

När tvingande lösenordsregler infördes i Windows Server för många år sedan, så blev det standard att använda 1! på slutet. Enkelt och bra. ;)


Redigerat av Ageve, 05 oktober 2020 - 22:48.


#26

Postad 05 oktober 2020 - 22:38

Demon Slayer
  • Demon Slayer
  • Guru

  • 4 144 inlägg
  • 1
Finns en kul seriestripp där dom frågar ett företags IT-grupp:
-Hur säker är eran Firewall?

Svaret:
-Den är kanonsäker, ingen kommer igentligen ihåg var den står och lösenordet är glömt för längesen! :D

#27

Postad 07 oktober 2020 - 15:58

Trasan
  • Trasan
  • Veteran

  • 2 050 inlägg
  • 0

Tja de senaste råden från ex. NIST är en passphrase med osammanhängande ord, tror väl just nu att det är minst 12 tecken som rekommenderas.

 

Med det sagt så är det inte ofta någon knäcker lösenord genom att brute force'a lösenord.

Vad som används är att man tar hashen av lösenordet och sen kollar om hashen finns i någon av alla miljarder lösenord/hashes som finns i div. databaser.

Ex. lösenordet AAAAAAAAA har hittats 420ggr enligt haveibeenpwned, med andra ord så finns hashen där ute också så att man enkelt kan jämföra hash mot password.

Ytterligare ett A har hittats 2600ggr :)

 

Att använda stora tecken och symboler ökar "character set", med andra ord antalet tecken som det kan vara.

Det ökar svårigheten att knäcka lösenordet men det ökar inte lika mycket som om man ökar mängden tecken i lösenordet.

 

Så det gäller att hitta balansen mellan att ha så pass många tecken som folk kommer ihåg och inte allt för enkelt, som 20 tecken av samma bokstav eller sin hemadress etc.


Redigerat av Trasan, 08 oktober 2020 - 00:14.


#28

Postad 07 oktober 2020 - 22:36

SC-Zap
  • SC-Zap
  • Guru

  • 6 920 inlägg
  • 0
”Karaktärer”?
Menar du det som på engelska heter ”characters”?
Det är INTE samma sak som ”karaktärer”. Dags att ta en mellanstadiekurs svenska?

#29

Postad 08 oktober 2020 - 00:13

Trasan
  • Trasan
  • Veteran

  • 2 050 inlägg
  • 0

Det var bara jag som råkade blanda engelska/svenska, "skada" från jobbet där 80% av konversationer/meddelanden är på engelska.

Men vill inte vara sämre än att tipsa dig om att gå en kurs i hövlighet 



#30

Postad 21 februari 2021 - 10:53

hmarkstrom
  • hmarkstrom
  • Guru

  • 4 714 inlägg
  • 0

Tja de senaste råden från ex. NIST är en passphrase med osammanhängande ord, tror väl just nu att det är minst 12 tecken som rekommenderas.

 

Med det sagt så är det inte ofta någon knäcker lösenord genom att brute force'a lösenord.

Vad som används är att man tar hashen av lösenordet och sen kollar om hashen finns i någon av alla miljarder lösenord/hashes som finns i div. databaser.

Ex. lösenordet AAAAAAAAA har hittats 420ggr enligt haveibeenpwned, med andra ord så finns hashen där ute också så att man enkelt kan jämföra hash mot password.

Ytterligare ett A har hittats 2600ggr :)

 

Att använda stora tecken och symboler ökar "character set", med andra ord antalet tecken som det kan vara.

Det ökar svårigheten att knäcka lösenordet men det ökar inte lika mycket som om man ökar mängden tecken i lösenordet.

 

Så det gäller att hitta balansen mellan att ha så pass många tecken som folk kommer ihåg och inte allt för enkelt, som 20 tecken av samma bokstav eller sin hemadress etc.

Lösenordet i OpenVMS lagras i ett 64 bitars heltal och hashen har ändrats flera gånger under åren.
.





0 användare läser detta ämne

0 medlemmar, 0 gäster, 0 anonyma medlemmar

Prisjakt © 2000 - 2021 Prisjakt   Denna sajt använder cookies.   Våra regler.   Personuppgiftspolicy.