Gå til innhold

? Danskene tenker gammeldags


Anbefalte innlegg

Videoannonse
Annonse

Lengde erstatter fort bruken av spesialtegn, men igjen så ender man opp med at man ikke husker passordet.

 

Om man utydeliggjør passordet ved å ikke separere ord og unngår språklig logikk, så er f.eks ip1otatof1irefly1337g1amerl1eet mye tryggere enn #&"77GbJJ.

Endret av Gavekort
Lenke til kommentar

Det er mange som ikke helt forstår hva det faktisk er snakk om her...

 

En av de aller største problemene med passord i dag er gjenbruk (samme passord flere steder). En annen er at man skriver ned passord på usikre steder. En tredje er gjentagende mønster.

 

Å sette spesifikke føringer for hvordan passord skal utformes er helt klart med på å tvinge brukere inn i disse uvanene, og bidrar til å senke sikkerheten vesentlig.

 

Man må stimuleres til å huske passordene sine, og det gjøres best dersom man setter ett eneste krav:

Minimum 15 tegn.

 

De som bruker tradisjonelle "!.#5fS2G"-type passord vil nok få angst når de først leser slike krav, men det går nok ganske raskt opp for dem hva det faktisk betyr når de begynner å bruke slike passord. Man får plutselig mulighet til å uttrykke seg kreativt, og dermed sitter passordene fra første stund.

 

Bare ved å benytte de 26 bokstavene man finner i det engelske alfabetet (worst case scenario) har man fortsatt 1.6*10^21 variasjoner, noe som er ca 10 ganger mer enn et 8-tegns passord dersom brukeren bruker alle ca 250 mulige kombinasjoner som kan skrives på et tastatur (enkelte koder har funksjoner som gjør at de ikke kan benyttes i passord, for eksempel tab og enter).

 

Jeg er med andre ord helt enig i at man bør oppfordre til bruk av naturlige setninger i stedet for å tenke passord, men vil dog allikevel advare mot orddeling ved bruk av space. Taster som space og numerisk tastatur kan lett sees / høres / filmes med mobilkamera, og utgjør derfor en risiko i passord. Skriv fortsatt setninger, men bare ikke del opp ordene da dette lett kan avsløre innhold i passordet.

 

Når alt dette er sagt, har jeg også følgende kommentar til saken over:

 

Dersom en bank ikke klarer å passe på passordhashene sine slik at offline brute force angrep blir mulige, fortjener de ikke bedre enn at brukerne blir svindlet og at de må dekke tapene grunnet dårlig sikkerhet. Med andre ord burde selv en femsiffret pinkode med utestengig etter 10 forsøk være god nok sikkerhet for en hver nettbank.

 

 

 

  • Liker 1
Lenke til kommentar
Gjest Slettet-Pqy3rC

Hovedproblemet med særtegn for ulike språk (som ÆØÅ) er tilgjengelighet når operativsystem eller tastaturet ikke har ønsket språk. Jeg fraråder folk å bruke spesielt disse tegnene. Spesialtegn som benyttes av flere språk er greiere, særlig da /*-+ som finnes på det numeriske delen av tastaturet.

 

For virkelig plage å noen med norske tegn i passordet sitt så sett tastaturet til engelsk og trykk Windowstast + L ...

Endret av Slettet-Pqy3rC
Lenke til kommentar
Per Thorsheim jobber for Evry, som tidligere het EDB Ergogroup og er Norges største IT-tjenesteselskap.

Spennende, har dere mer informasjon om dette Evry, som tidligere het EDB Ergogroup og er Norges største IT-tjenesteselskap?

 

Ellers begynner passord å bli et større og større problem i dag, og regler som dette gjør at du ikke selv kan legge til egne sikkerhetsmekanismer f.eks ved å hashe og salte ditt eget passord før registrerer deg. Det beste er etter min mening å ha en intelligent kompleksitetssjekk ved registrering, men ikke sette krav til hverken lengde eller hvilke tegn du bruker. Selv hadde jeg likt å sett mer til toveisautentisering og fler-faktorautentisering, samt bruk av personlige sertifikater som PGP.

  • Liker 1
Lenke til kommentar
Det er allerede mulig å bruke mellomrom i passord hos flere tjenester.

"Allerede"? Jeg har da brukt mellomrom i passordene mine så lenge jeg kan huske.

 

Mellomrom er et spesialtegn i datasystemer, og med tanke på både brukervennlighet og sikkerhet vil det være en fordel å tillate bruken av mellomrom.

Hva skal det bety? Mellomrom er del av både standard ASCII, Windows-1252 og ISO-8859-1 såvidt jeg vet. Koden er vel 32/0200, men det kan slås opp relativt kjapt.

 

Mellomrommet er ikke et spesialtegn i det hele tatt.

 

 

I Windows har det for eksempel vært mulig å bruke mellomrom i passord i alle år.

Kanskje det, men har du en maskin på nettverket ditt som kjører Win95/98/ME så kan du ikke bruke passord som er lenger enn 14 tegn uansett (om du kjører NTLM autentisering).

 

Thorsheim forteller at det ikke er mulig å knekke den type passord ved å prøve alle mulige kombinasjoner

Da tror jeg du har misforstått ham, eller så har han ikke peiling (men om det stemmer som du sier at han har "studert passord i 10 år" så har han sikkert peiling - så du misforsto).

  • Liker 1
Lenke til kommentar

Da tror jeg du har misforstått ham, eller så har han ikke peiling (men om det stemmer som du sier at han har "studert passord i 10 år" så har han sikkert peiling - så du misforsto).

Du er ikke bare litt vanskelig nå da? Altså om det tar 10 år, eller 99 år med bruteforce, er vel kneggende likegyldig og kan likegreit stemples "umulig" med èn gang. Hvertfall inntil du eller noen andre finner om en brukbar kvantemaskin..
Lenke til kommentar

Denne fyren er helt på jordet, men det er ikke så rart - det er jo tidligere EDB som ikke klarer å holde banksystemer i drift, og som mener at gjennomkorrupte hviterussland er et fint land å lagre sensitive opplysninger i.

 

Jeg er enig i at å nekte noen type tegn er idiotisk, men jeg syns ikke det er noe vits å blåse seg opp av den grunn.

 

Om et system krever BARE tall og bokstaver, med litt vettug lengde, og de har mekanismer for å forhindre brut-force knekking - så er passordet trygt. Jeg har jobbet som utvikler, drifter og IT support. Faktisk rotet med data siden midten av 90 tallet. Opplevd kun et fåtalls hacks som inbefatter der man kjente passordet, og ingen som inbefatter brute-force.

 

Hvor mange saker har det vært der man har brute-force-knekket et passord? Det er ikke mange. Et visa kort har 4 tall. Altså ca 10.000 kombinasjoner, men bare 3-4 forsøk. Gjennbruker du passordet på ørten steder så skal det godt gjøres for en kriminell å finne alle stedene, og systematisk utnytte det faktum.

 

Dette passordhysteriet er latterlig. Det er bare syke mennesker som krever sinnsvake kombinasjoner, lengder og innhold av rare tegn, og hyppige passordbytter. Resultatet er at da skriver folk ned passordet, og man er FØKKT. Så her holder jeg med dansken - det er bedre med et passord som huskes, enn et som ikke huskes.

 

Denne Evry fyren er bare syk, makt-syk og pr-kåt. Det er nemlig kun i hans hode at enkle passord er et problem, resten av verden funker kjempefint fordi de fleste systemer ikke er helt på jordet.

Lenke til kommentar
Du er ikke bare litt vanskelig nå da? Altså om det tar 10 år, eller 99 år med bruteforce, er vel kneggende likegyldig og kan likegreit stemples "umulig" med èn gang. Hvertfall inntil du eller noen andre finner om en brukbar kvantemaskin..

Jeg er uenig. Det er ingenting umulig med å brute force "Jeg digger Vikingarna!", det vil bare i de fleste former kreve mye kalkulasjonskraft. 10 eller 99 år med kalkulasjonskraft er _ingenting_ når det kommer til kryptografi og kan nok reduseres til et par uker dersom du kan betale for det. I det man snakker millioner og milliarder av år er vi oppe i hva som trolig vil defineres som strong hvertfall ut tiåret, men det kan godt være det utsagnet må revideres. Umulig er det hvertfall ikke.

  • Liker 1
Lenke til kommentar

Takk for hyggelig tilbakemelding! ;-)

 

Jeg krever ikke sinnsvake kombinasjoner eller rare tegn, ei heller regelmessig skifte av passord. Det jeg *anbefaler* er at man:

 

- har unike passord på hver enkelt tjeneste

- bruker lange passord på hver sted (en positiv setning anbefales)

 

Jeg har bistått i, og håndtert såpass mange saker de siste 15 årene at jeg har sett hvilke konsekvenser det kan få dersom man er uheldig. Men selvfølgelig; du bestemmer selv.

 

Mvh.

Per Thorsheim

 

 

  • Liker 1
Lenke til kommentar

Når alt dette er sagt, har jeg også følgende kommentar til saken over: Dersom en bank ikke klarer å passe på passordhashene sine slik at offline brute force angrep blir mulige, fortjener de ikke bedre enn at brukerne blir svindlet og at de må dekke tapene grunnet dårlig sikkerhet. Med andre ord burde selv en femsiffret pinkode med utestengig etter 10 forsøk være god nok sikkerhet for en hver nettbank.

 

Heisann!

 

En av utfordringene for ethvert kommersielt selskap - og offentlig sektor for den saks skyld, er balansen mellom kostnadene for sikkerhetstiltak vs verdien på det man skal beskytte.

 

Når det gjelder sikkerheten i forhold til lagrede passordhasher generelt, så er det et stadig voksende marked for 0-day exploits. Sikkerhetshull som ikke er kjent offentlig enda, ei heller for systemprodusenten. Slike benyttes i målrettede angrep, og det er vanskelig å beskytte seg mot en sårbarhet du ikke vet finnes.

 

Det man kan gjøre er å beskytte seg gjennom gode rutiner for hendelseshåndtering, inkludert informasjon til sluttbrukere. Sist men ikke minst; forsikringsordninger. Gode forsikringsordninger. Det er et område som Norge er gode på.

 

Mvh.

Per Thorsheim

 

 

Lenke til kommentar
Det er allerede mulig å bruke mellomrom i passord hos flere tjenester.
"Allerede"? Jeg har da brukt mellomrom i passordene mine så lenge jeg kan huske.
Mellomrom er et spesialtegn i datasystemer, og med tanke på både brukervennlighet og sikkerhet vil det være en fordel å tillate bruken av mellomrom.
Hva skal det bety? Mellomrom er del av både standard ASCII, Windows-1252 og ISO-8859-1 såvidt jeg vet. Koden er vel 32/0200, men det kan slås opp relativt kjapt.Mellomrommet er ikke et spesialtegn i det hele tatt.
I Windows har det for eksempel vært mulig å bruke mellomrom i passord i alle år.
Kanskje det, men har du en maskin på nettverket ditt som kjører Win95/98/ME så kan du ikke bruke passord som er lenger enn 14 tegn uansett (om du kjører NTLM autentisering).
Thorsheim forteller at det ikke er mulig å knekke den type passord ved å prøve alle mulige kombinasjoner
Da tror jeg du har misforstått ham, eller så har han ikke peiling (men om det stemmer som du sier at han har "studert passord i 10 år" så har han sikkert peiling - så du misforsto).

 

Gitt nok datakraft, type National Security Agency, så kan man bruteforce relativt store keyspacer, men også de har en grense der ift hva som er praktisk gjennomførbart. Det er mange faktorer som spiller inn, og http://xkcd.com/538/ viser i praksis hvordan passord kan knekkes relativt raskt.

 

Min uttalelse som gjengitt korrekt kunne ha vært skrevet slik:

"Det er ikke mulig å knekke den type passord ved å prøve alle mulige kombinasjoner, når angriper ikke har 1) ekstrem flaks, eller 2) besitter massiv datakraft om i de fleste tilfeller vil innebære en større kostnad enn verdien man får ved å knekke passordet man forsøker å få tak i."

 

Jeg kunne ha skrevet en avhandling også om det, men det egner seg normalt som artikkel hos Teknofil eller andre nyhetssider på nett. :-)

 

Mvh.

Per Thorsheim

Lenke til kommentar
Du er ikke bare litt vanskelig nå da? Altså om det tar 10 år, eller 99 år med bruteforce, er vel kneggende likegyldig og kan likegreit stemples "umulig" med èn gang. Hvertfall inntil du eller noen andre finner om en brukbar kvantemaskin..
Jeg er uenig. Det er ingenting umulig med å brute force "Jeg digger Vikingarna!", det vil bare i de fleste former kreve mye kalkulasjonskraft. 10 eller 99 år med kalkulasjonskraft er _ingenting_ når det kommer til kryptografi og kan nok reduseres til et par uker dersom du kan betale for det. I det man snakker millioner og milliarder av år er vi oppe i hva som trolig vil defineres som strong hvertfall ut tiåret, men det kan godt være det utsagnet må revideres. Umulig er det hvertfall ikke.

 

Hei!

Dersom man brute forcer "Jeg digger Vikingarna!" med hundre trillioner forsøk i sekundet, vil det allikevel ta ca. 9 millioner trillioner århundrer å cracke det.

 

Jeg tolker det som umulig. Hva med deg?

 

Ha en fin dag.

Lenke til kommentar

Hvis noen har lyst til å få "visualisert" hva et bredt tegnsett kan bety for et passord, så kan kanskje denne siden være av interesse: https://www.grc.com/haystack.htm

 

Ja, denne kunne vært fin! La inn sjekk på følgende tenkte passord:

 

#Dette er 1 ¤!¤fûkíng~s test!#

 

Tar bare "68.97 billion trillion trillion trillion centuries" på "Online Attach Scenario", "6.90 hundred trillion trillion trillion centuries" på Offline Fast Attack Scenario" og 6.90 hundred billion trillion trillion centuries" på "Massive Cracking Array Scenario".

 

:-)

Lenke til kommentar

Jeg er uenig. Det er ingenting umulig med å brute force "Jeg digger Vikingarna!", det vil bare i de fleste former kreve mye kalkulasjonskraft. 10 eller 99 år med kalkulasjonskraft er _ingenting_ når det kommer til kryptografi og kan nok reduseres til et par uker dersom du kan betale for det. I det man snakker millioner og milliarder av år er vi oppe i hva som trolig vil defineres som strong hvertfall ut tiåret, men det kan godt være det utsagnet må revideres. Umulig er det hvertfall ikke.

 

For "Jeg digger Vikingarna!":

 

"Massive Cracking Array Scenario:

(Assuming one hundred trillion guesses per second):

 

9.01 million trillion centuries"

 

Det er også teoretiske grenser for computation. Så man kan ikke alltid si "Bare kast mer hardware på det!"

 

Også : "A star like the sun which is a Gv2 class, yellow dwarf has a life span of about 10 billion years." - Så vil si alt som ikke kan bli knekt innen den perioden, kan vel for alle praktiske hensyn kalles umulig.

Endret av Terrasque
Lenke til kommentar
  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...