? Spesialtegn gjør ikke passord sikrere

[Redaksjonen.]

Dansk bank lar ikke kundene bruke passord med spesialtegn.

 

? Spesialtegn gjør ikke passord sikrere

 

[kfs]

"[...]det er mulig å opprette sterke passord selv uten spesialtegn.

Et eksempel han drar frem er "Olsen1." "

 

Et typisk svakt passord, som en enhver passordgenerator-algoritme ville klart å prøve seg fram til lynkjapt. Faktum er at å ha et spesialtegn ikke nødvendigvis gjør det til et bra passord, men jo flere tegn man har tilgjengelig jo flere muligheter har man i teorien for å lage et passord på f.eks. 8 tegn.

 

Det beste er jo å ha et relativt langt passord ~12 tegn som ikke finnes i en ordbok (dvs. heller ikke enkle varianter der en bokstav er byttet med et lignende tall som "UNS4FE"), men som er lett å huske.

 

[Überadri]

Videre påpeker Munkedal at det er mulig å opprette sterke passord selv uten spesialtegn. (...) Et eksempel han drar frem er "Olsen1." – som inneholder store og små bokstaver, tall og tegn. Samtidig er det lett å huske.

 

Er han seriøs? Må huske å aldri opprette konto hos Nykredit.

[hvakrg]

Eller man kan bruke LastPass og ha passord som f.eks. UC6F7ckaG@RrSTQjffvwz9R^o2Gh*2L

[ShadowMaster]

Morro påstand om at Olsen1. er et sterkt passord.

 

password: Olsen1.
entropy: 18.573
crack time (seconds): 19.494
crack time (display): instant
score from 0 to 4: 0
calculation time (ms): 0
match sequence:
'Olsen'
pattern: dictionary
entropy: 10.002815015607053
dict-name: surnames
rank: 513
base-entropy: 9.002815015607053
upper-entropy: 1  

'1'
pattern: dictionary entropy: 2
dict-name: english rank: 2
base-entropy: 1
upper-entropy: 0
l33t-entropy: 1
l33t subs: 1 -> i
un-l33ted i:

'.'
pattern: bruteforce
entropy: 6.569855608330948
cardinality: 95

 

Virkelig sterkt passord indeed. I tillegg til at passordet er ordbok basert så følger det et standard mønster hvor man starter med en stor bokstav og avslutter med et tall, noe som også gjør passordet enklere å bryte.

Må si jeg er mektig imponert over kunnskapsnivået til denne konsulenten.

 

Det er fullt mulig å få sterke passord med 8 tegn uten spesial tegn, men da må man holde seg langt unna navn og ordbok. Håper denne konsulent Ulf Munkedal ikke har noe med reell sikkerhet å gjøre.

 

Når det gjelder banken så synes jeg det er påfallende at de faktisk nekter brukere å benytte sterke passord, men når man har konsulenter slik som ovenfor som klarer å påstå at Olsen1. er et sterkt passord så skjønner jeg hvordan en sikkerhetsansvarlig for en bank kan få det for seg at det er sikrere å ikke la brukerne få tilgang til å benytte sikrere passord.

 

Nå skal man i begges forsvar nevne at man ikke vil få anledning til å gå til bruteforce angrep på dette (sansynligvis?) så man kan argumentere med at Olsen1. er et sikkert passord i den forstand at man vil ha vanskeligere for å manuelt gjette seg fram til rett passord, forutsatt at . ikke tolkes som et spesialtegn, noe det ofte gjør. Ellers er det mest relevant med passord styrke i forhold til om noen får tak i det krypterte passordet, i hvilket tilfelle man kan argumentere med at banken har så dårlig sikkerhet i utgangspunktet at hva brukerne gjør spiller liten rolle.

[Incumbent]

Videre påpeker Munkedal at det er mulig å opprette sterke passord selv uten spesialtegn. (...) Et eksempel han drar frem er "Olsen1." – som inneholder store og små bokstaver, tall og tegn. Samtidig er det lett å huske.

Er han seriøs? Må huske å aldri opprette konto hos Nykredit.

 

Det er nok ikke Sikkerhetssjef i Nykredit, Niels O. Rasmussen, som sier dette.

 

Uttalelsen du har sittert er i utgangspunktet uttalt av sikkerhetskonsulenten Ulf Munkedal fra Fort Consult. Ut fra artikkelen kommer det på ingen måte frem at Ulf yter tjenester overfor Nykredit, og man kan konkludere med at det ikke er grunn til å være redd av den grunn.

Endret 24. april 2012 av LaE

[Isbilen]

Noen er tydeligvis eitrande bitter på vanskelige passord.

[Steina]

 

 

Mer om dette:

http://crypto.stackexchange.com/questions/484/dictionary-attack-on-pass-phrases-on-common-algorithms

[Überadri]

Stemmer det virkelig at 4 ord er sikrere enn 11 tegn?

Flere kilder på det?

 

Min (ikke veldig grundige) utregning sier det motsatte:

172000 ord i Oxford dictionary opphøyet i 4 ord = 8.75213056 × 10^20

128 ASCII-tegn opphøyd i 11 tegn = 1.51115727 × 10^23

[Xito]

Stemmer det virkelig at 4 ord er sikrere enn 11 tegn?Flere kilder på det?Min (ikke veldig grundige) utregning sier det motsatte:172000 ord i Oxford dictionary opphøyet i 4 ord = 8.75213056 × 10^20128 ASCII-tegn opphøyd i 11 tegn = 1.51115727 × 10^23

 

Trenger ikke stoppe med fire ord, feks: Detteeretmegetsikkertpassord.

Tar nok mer tid å finn ut av det enn 574Xygh@

[ShadowMaster]

Her er en fin liten post på dette med passord sikkerhet: http://tech.dropbox.com/?p=165 og her er direktelenke hvor du kan teste selv: https://dl.dropbox.com/u/209/zxcvbn/test/index.html og få opp vekting som ligger til grunn for vurderingen av passordet.

 

Kortversjon

password: Detteeretmegetsikkertpassord
entropy: 94.555
crack time (seconds): 1.4548761143956243e+24
crack time (display): centuries

password: 574Xygh@
entropy: 31.98
crack time (seconds): 211767.331
crack time (display): 4 days

 

Og for morro litt spesialtegn lagt inn i den første, og fjernet stor bokstav på første ord.

password: dette er et meget sikkert passorD
entropy: 140.486
crack time (seconds): 9.759017762810366e+37
crack time (display): centuries

password: @dette er et meget sikkert passorD 2012!
entropy: 161.679
crack time (seconds): 2.3404903783818865e+44
crack time (display): centuries

 

Personlig har jeg oppfordret alle til å benytte passord setninger hvor det er mulig.

1) Dette gir lange passord som ikke kan bruteforces på fornuftig måte

2) Dette gir passord som er lette å huske

3) Disse er meget lette å gjøre sikrere ved å legge til tegn og tall som er lette å huske.

 

Jeg oppfordrer alle som spør om å benytte et slikt sterkt passord i kombinasjon med LastPass hvor man kan generere unike sterke passord for hver enkelt nettsted/tjeneste/server, Dermed sitter man med kun ett passord som må huskes, og kan ha helt unike passord som ikke kan brytes i overskuelig framtid på alle andre steder man har mulighet.

 

password: 2P3q8$$m63SRMz@eNsfaFU6v
entropy: 150.181
crack time (seconds): 8.088338624343255e+40
crack time (display): centuries

 

Merk at selv om det er lite relevant i realiteten, så er dette passordet på 24 helt random tegn svakere enn passordsetningen med kun en stor bokstav, to spesialtegn + space og 4 tall, og den sterkeste av de kan du huske uten problemer, og sannsynligheten for at noen gjetter passordet er vel ikke eksisterende.

[Überadri]

Bra verktøy

 

Testet raskt med det og 11 tegn ble en del sterkere enn 4 ord.

Men dette var fordi den fant 3 av ordene jeg brukte i «passwords»-ordlista, mao valgte jeg for vanlige ord. Brukte jeg litt mindre vanlige ord nærmet det seg ca det samme.

 

En løsning som gjorde passordet supersterkt er å putte et par tall og tegn inni ordene. Gjør du dette med vanskelige lange ord ble det selvfølgelig enda sterkere.

 

11 tegn:

password: Tq6%H8f!B&H
entropy: 67.699
crack time (seconds): 11974738784767622
crack time (display): centuries
score from 0 to 4: 4

 

4 ord

password: deerfucksausagestick
entropy: 37.103
crack time (seconds): 7378404.173
crack time (display): 4 months
score from 0 to 4: 3

 

4 mindre vanlige ord

password: comprehensiverevelationslenderarticulate
entropy: 54.517
crack time (seconds): 1288992570672.809
crack time (display): centuries
score from 0 to 4: 4

 

4 ord med tall og tegn

password: de%erfu7cksau?sagesti.ck
entropy: 115.355
crack time (seconds): 2.655437836422738e+30
crack time (display): centuries
score from 0 to 4: 4

 

4 mindre vanlige ord med tall og tegn

password: comp/rehensiverevel$ationslen-derarticu4late
entropy: 150.672
crack time (seconds): 1.1373157615250009e+41
crack time (display): centuries
score from 0 to 4: 4

[MooYak]

password: s e c r e t w o r d

entropy: 111.77

crack time (seconds): 2.2139011483440237e+29

crack time (display): centuries

score from 0 to 4: 4

---------------------------

password: m i t t p a s s o r d

entropy: 115.092

crack time (seconds): 2.213901148344012e+30

crack time (display): centuries

score from 0 to 4: 4

---------------------------

Selv "Olsen1" blir sikrere hvis man bare deler det opp litt :-)

password: O l s e n 1

entropy: 67.699

crack time (seconds): 11974738784767622

crack time (display): centuries

score from 0 to 4: 4

---------------------------

Bytter man ut '1' med f.eks. 'l', blir det enkle passordet enda sikrere.

password: O l s e n l

entropy: 70.503

crack time (seconds): 83671621844807570

crack time (display): centuries

score from 0 to 4: 4

---------------------------

 

Enkelt og greit.. Lett å huske også.

 

"dette er et langt passord" blir straks mindre sikkert hvis man benytter en norsk ordbok.

[Überadri]

Det med å putte mellomrom (eller et annet spesifikt tegn) mellom hvert tegn må da være en svakhet i passordtesteren? Å bruteforce for det tar jo bare dobbelt så lang tid (evnt 128 ganger så lang tid med et annet asciitegn).

[ShadowMaster]

Det er ikke en svakhet siden du framdeles må teste for alle mulige tegn. Ved å benytte spesialtegn utvider du antall mulige tegn for hvert mulig tegn i passordet. Du har ingen mulighet til å vite hvor mange "ord" et passord består av, eller hvor langt selve passordet er.

 

Du kan sjekke for space først, men det utgjør ingen forskjell da du må treffe rett på _alle_ tegnene før du har løst passordet, og for å løse passordet må du teste alle muligheter.

 

Om man tenker at det er enkelt å løse passordsetninger fordi man bare kan kjøre dictionary, så må man ta med i betraktning at det engelske språket alene har ca 170000 ord. Dette gir en passordsetning med 6 ord et utgangspunkt på 6^170000 eller 24 tusen billioner billioner billioner. Da har man ikke en gang tatt med i betraktning store/små bokstaver eller spesialtegn.

[ShadowMaster]

Får ikke redigert, så da blir det dobbelpost.

 

Skriveleif, 170000^6, ikke omvendt.

 

Re. space mellom hver, så kan du korte ned på tiden, men da kun om du faktisk vet på forhånd at passordet vil ha et spesielt tegn mellom hver bokstav/tall, noe som er umulig å vite i utgangspunktet.

[mikeys]

Mer om dette:http://crypto.stackexchange.com/questions/484/dictionary-attack-on-pass-phrases-on-common-algorithms

 

Noe a la diceware:

 

http://world.std.com/~reinhold/diceware.html

 

Passord lengde er bedre enn passord kompleksitet.

[ATWindsor]

Spesialtegn er greit det, jo flere tegn å velge blant, jo sikrere i utganspunktet, men at man må ha ett spesialtegn føler jeg ikke har så mye for seg, det innskrenker hva man kan velge ganske kraftig, og det er nok de samme få som går igjen. Man må også huske vi snakker om mennesker her, tvinger man folk til å ha masse kryptiske passord, så vil det åpne seg usikkerhet på andre måter.

 

AtW

[tommyb]

Olsen1 er et håpløst svakt passord

[tommyb]

Ved å kombinere passordfraser med kun små tillegg av "gammeldags" passordtenking, så vil man jo ikke finne ordene i ordboksøk.

 

'passord' står jo i ordboken, mens 'Ørdpaass' ikke gjør det...