Gå til innhold

- Passordets æra er over


Anbefalte innlegg

Interessant lesning, men for en som er litt grønn på akkurat dette her - gjelder dette kun svake passord på sosiale medier? Hva feks med tilgang til koder på blogger, nettsider, servere etc; en person som hacker mailkontoen din har vel mulighet til å finne ut alt det og? Jeg føler meg ikke så veldig utsatt, men man kan jo aldri bli for forsiktig. Atm har jeg passord med både små og store bokstaver, tall og rare tegn, og det er gjerne 15-18 av dem. Dog bruker jeg det samme passordet på et par tjenester. Er dette en sikkerhetsrisiko? (Dette gjelder ikke mailkontoer, der er alle koder lange og unike).

 

Dette gjelder ALT!

Både epost, sosiale medier, diskusjon.no og (Sett inn ditt nettsted her som har passord)

Og artikkelen nevner ikke dette som at passord databasen blir stjålet under hacking for eksempel eller brute force, men at de nullstiller via "Security question", problemet er dog å lage ett skikkelig bra spørsmål i denne kategorien.

  • Liker 1
Lenke til kommentar
Videoannonse
Annonse
Husk gi tullesvar på sikkerhetsspørsmål. Tenk på dem som et sekundært passord. Bare gjør dem minneverdige. Min første bil? Det var så klart en "Camper Van Beethoven Er Helt Konge!"
Korleis skal ein hugse svaret om det er tullete?Passord har vel aldri vore 100% sikkert uansett, men eg ser ikkje kva det har med passordets æra å gjere. Finnes det betre alternativ? Buypass og den slags, der du må ha ein fysisk dings for å få riktig kode kanskje, men det er litt problematisk å implementere over alt.Å lage gode og unike passord er, som det alltid har vore, det smartaste.

 

Trenger ikke HUSKE sekundærpassordet. For meg holder det lenge å ha unike svar på sikkerhetsspørsmål lagret som et hvilket som helst annet passord i Keepass.

Lenke til kommentar

Bruk et program som KeePass for alle passordene dine, og sikkerhet spørsmål og svar kan du legge under "Notes" på hver oppføring.

 

Da trenger du bare huske et passord, og KeePass genererer unike og alt for vanskelige passord for hver enkel side eller spill du måtte ønske.

Lenke til kommentar

Poenget mitt var at dette er svært gammelt og åpenbart nytt for de som har den minste interesse av å holde seg noenlunde sikker på nett.

 

Sant nok, disse "nye" reglene har jeg for det meste brukt i rundt 10 år nå...

 

http://hashapass.com/en/index.html er en grei måte å enkelt lage forskjellige passord for hver side, uten å måtte tenke på en passord database. Er man paranoid kan man lagre siden offline, eller lage en egen implentasjon. Er ikke akkurat rocket science.

 

Og når det gjelder alternativer til passord.. Min google konto har 2 faktor autentisering. Google kontoer støtter også OpenID. OpenID fungerer faktisk ganske bra, og siden man bare har en plass å gjøre autentisering kan den gjøres skikkelig (med 2 faktor auth, blant annet).

Lenke til kommentar

Dette gjelder ALT!

Både epost, sosiale medier, diskusjon.no og (Sett inn ditt nettsted her som har passord)

Og artikkelen nevner ikke dette som at passord databasen blir stjålet under hacking for eksempel eller brute force, men at de nullstiller via "Security question", problemet er dog å lage ett skikkelig bra spørsmål i denne kategorien.

Aha, det oppklarte litt. Takk takk. :)

 

Men i forhold til databaser og nettsider og sånt, er det noe spesielt jeg bør passe på der? Finnes det evt. en artikkel som du kommer på i farta som kan være bra å lese om akkurat dette?

Lenke til kommentar

" Ikke Bruk samme passord flere steder."

Er man aktiv på nettet har man fort 50+ kontoer, litt slitsomt å huske hvilket passord som hører til alle sidene da :)

 

LastPass!

 

Jeg kan bare 3 passord. Passordet på jobb, passordet til Gmail og passordet til LastPass.

Resten av mine passord er 10-25 randomgenerete tall og bokstaver som LastPass tar seg av.

YubiKey har jeg også som 2. faktor autentisering til Lastpass.

Lenke til kommentar

Ingen som ser ironien i at han påstår at passord er ut og så kommer med fire "ikke" regler for hvordan man skal lage passord?

 

Hvem bryr seg om hvor vanskelig passord jeg lager hvis sosial hacking gjør passordet overflødig?

 

Merkelige forslag på et annet problem.

Lenke til kommentar

" Ikke Bruk samme passord flere steder."

Er man aktiv på nettet har man fort 50+ kontoer, litt slitsomt å huske hvilket passord som hører til alle sidene da :)

 

Bruk av samme passord flere steder er nok en av hovedgrunnene at man mister f.eks. kontoen sin til et online spill.

 

Siden det kan være vanskelig å hacke selve spillutvikleren, så er det er kjent at hackere går etter forum sider o.l. relatert til spillet, og siden mange bruker samme brukernavn og passord overalt, så er det på denne måten at de kan få tilgang til spill kontoen din.

Lenke til kommentar

" Ikke Bruk samme passord flere steder."

Er man aktiv på nettet har man fort 50+ kontoer, litt slitsomt å huske hvilket passord som hører til alle sidene da :)

 

 

Har unike passord på tjenester jeg bruker, så kjører jeg ett-passords-arkitektur på sider som jeg ikke bekymrer meg for.

For eksempel om det var ett forum hvor jeg måtte ha konto for å lese, da laget jeg en konto med ett simpelt og lett å huske "Søppelpassord" som jeg ikke bryr meg om at noen vet eller finner ut av.

Utenom dette så kjører jeg unike og lange passord på epost og lignende, gjerne opp til maks lengden de tillater, noe som er fy fy å sette, da en hash blir alltid like lang samme om det er 1Gb med data eller 6 tegn.

Dessverre har mange nettsteder en maks lengde på passordene, PayPal har for eksempel en limit på 20 tegn, andre så lavt som 10 tegn!?!

 

Det finnes dog noen tegn du kan bruke for å sjekke om en nettside er sikker.

Om de ikke tillater spesieltegn som =? eller lignende, så er oddsen stor for at de lagrer passordene i klartekst, eller de gjør noe de ikke skal gjøre på backenden under behandlingen av passord.

Om du får tilbake ditt gamle passord når du bruker "Glemt passord" funksjonen så var passordet ditt mest sannsynlig lagret i klartekst og nettsiden er langt ifra sikker.

Lenke til kommentar

Korte passord er virkelig en svakhet når det kommer til brute force.

Et passord med 8 tegn, kun lowercase bokstaver i det engelske alfabetet gir 268 = 2,09 * 1011 mulige kombinasjoner (ca 209 mrd).

Utvider du til store bokstaver og tall i tillegg kommer du opp i 628 = 2,18 * 1014 mulige kombinasjoner (ca 218 billioner).

Utvider du isteden med tre ekstra tegn, kun lowercase, er du på 2611 = 3,67 * 1015 mulige kombinasjoner (ca 3,7 billiarder).

 

Tre ekstra tegn vil i dette tilfellet gi ganske mange flere kombinasjoner enn å utvide til over dobbelt så mange tegnmuligheter. Kombinerer vi disse to til 11 tegn bestående av lower- og uppercase samt tall ender vi på ca 5,20 * 1019 mulige kombinasjoner (ca 50 trillioner).

 

Wikipedia forteller meg at et Quad HD7970-oppsett kan klare ca 16Tflops single-precision (ca 16 billioner flyttallsoperasjoner per sekund for 32-bits tall). Ikke hver operasjon vil gi en ny kombinasjon å prøve, men det skal likevel ikke mange operasjoner til for å generere neste passordstreng. Vi kan derfor snakke om et omtrentlig tidsforbruk for brute force på et slikt system:

 

For 8 tegn kun lowercase er passordet brute forced på om lag et sekund.

For 8 tegn upper+lower+tall er det snakk om noen sekunder, kanskje et minutt.

For 11 tegn kun lowercase trolig 5-15 minutter.

For 11 tegn upper+lower+tall, en drøy måned +++

Tror jeg heller velger å stole på dropbox sin passordstyrkebergning, de opererer med langt tregere bruteforcing.

 

Eksempel:

11 tegn upper+lower+tall: 9HoUlhw78nL > crack time: centuries

8 tegn upper+lower+tall: 8Hu7Kv8U >crack time: 7 years

 

https://tech.dropbox.com/2012/04/zxcvbn-realistic-password-strength-estimation/

https://dl.dropbox.com/u/209/zxcvbn/test/index.html

 

 

Jeg ser for meg at et vanlig forsøk på å cracke passord innebærer å prøve hver kombinasjon på alle brukernavn i en brukerdatabase.

Brutforcing av passordhashes avhenger jo av hvor bra sikkerhet nettstedet har med hensyn til generering av disse.

 

http://stackoverflow.com/questions/6776050/how-long-to-brute-force-a-salted-sha-512-hash-salt-provided

Lenke til kommentar

Tror jeg heller velger å stole på dropbox sin passordstyrkebergning, de opererer med langt tregere bruteforcing.

 

Eksempel:

11 tegn upper+lower+tall: 9HoUlhw78nL > crack time: centuries

8 tegn upper+lower+tall: 8Hu7Kv8U >crack time: 7 years

 

https://tech.dropbox...gth-estimation/

https://dl.dropbox.c...test/index.html

Absolutt, tiden det tar å brute force avhenger jo av en rekke faktorer. Eksempelet mitt er nok ganske banalt. Eksempelvis for 11 tegn upper+lower+tegn:

 

Antall ulike tegn: 26 + 26 + 10 = 62

Antall tegn i passordstrengen: 11

Antall mulige kombinasjoner: 6211 = 5,20 * 1019

 

Med 16 billioner (1,6 * 1013) operasjoner per sekund vil det ta ett sekund å sjekke 16 billioner passordkombinasjoner dersom hvert forsøk tar en slik operasjon. Sistnevnte er jo åpenbart ikke tilfelle, men antall operasjoner som kreves per mulige kombinasjon er jo ikke eksponentiell, den er konstant. Men likevel, basert på denne antagelsen, at en kombo kan prøves per operasjon, vil det ta (5,20 * 1019 operasjoner) / (1,6 * 1013 operasjoner per sekund) = 3,25 * 106 sekunder = 37,6 døgn å utføre alle operasjonene som trengs.

 

Om det f.eks. trengs 100 flyttallsoperasjoner for å sjekke hver mulige passordkombinasjon, vil det ta 100 * 37,6 døgn å gjennomgå alle disse kombinasjonene.

 

Som sagt, en banal tilnærming. Tilnærmingen forutsetter bl.a. at angriperen på forhånd vet lengden på passordet og hvilken mengde av tegn man skal lete fra. Om passordet kun består av små bokstaver (26 mulig tegn) hjelper ikke dette angriperen med mindre han enten vet det på forhånd eller prioriterer å sjekke slike kombinasjoner før han ekspanderer til kombinasjoner som også inkluderer store bokstaver, tall og spesialtegn.

 

En annen, temmelig åpenbar ting er jo at kombinasjoner med 10, 9, 8 osv. tegn sjekkes før kombinasjoner med 11 tegn. Snakker vi kjøretid størrelsesorden for en slik algoritme kan denne kvadreres når vi tar hensyn til dette, jfr.:

 

4a5c1aab5ec9b1bfbc19272bcfa83da4.png ~ n2/2

 

...noe som forøvrig styrker påstanden om at lengre passord er gunstigere.

 

Brutforcing av passordhashes avhenger jo av hvor bra sikkerhet nettstedet har med hensyn til generering av disse.

http://stackoverflow...h-salt-provided

Jepp, brute force kan nok gjøres enda vanskeligere slik den ene lenken din beskriver, f.eks. ved at:

1) Man ikke gir ekstern tilgang til hashes - alle innloggingsforsøk skjer mot et grensesnitt og selve hashingen skjer serverside

2) På denne måten kan man serverside kontrollere hvor ofte man får lov å gjøre et forsøk, f.eks. ved å innføre en "timeout" på fem minutter for hvert 20. mislykkede forsøk.

 

Om både hash, hash-algoritme og evt salt er kjent beror man utelukkende på kompleksiteten til algoritmen og - naturlig nok - passordet, når det kommer til å sørge for tidkrevende brute force.

Endret av srbz
Lenke til kommentar

En ting er passord, men captcha, guuud hvor jeg hater det til tider. Prøver å logge meg inn på min gamle hotmail-adresse. Kommer meg ikke inn, fordi etter å har prøvd X antall passord må jeg taste captcha, og den er til tider så vanskelig å få riktig at jeg ikke vet om det er passordet som er feil eller captchaen!

 

Captcha har bare blitt verre og verre, jeg sliter ofte med å tyde dem korrekt, og når du får en ny en så begynner hele regla på nytt.

Men jeg hater også spambots på forum og diverse, men nå begynner disse å bli menneskelige også, den typen som vil poste noe on topic for å så slenge med en spamlink.

Lenke til kommentar

Ifølge et verktøy jeg fant vil det ta 12,3 milliarder år å prøve alle kombinasjonene for krypteringspassordet mitt hvis man bruker 100 000 datamaskiner med høy ytelse. Hvis noen er SÅ fast bestemt på å knekke koden min, så skal de ha ros for å være utholdne.

 

Et vanlig passord på 8 tegn med store/små bokstaver, ett tall og ett spesialtegn kan knekkes på under 3 timer av én datamaskin.

 

Ifølge det samme verktøyet kan én maskin med svært høy ytelse gjøre 17 milliarder forsøk per time.

 

Nå handler vel artikkelen mer om gjetting av sikkerhetsord, men likevel.

 

Nettsteder tillater vel ikke milliarder av passordforsøk heller? De kan legge inn begrensninger på antall forsøk eller tid mellom hvert forsøk, eller Captcha.

 

 

Og nei, passordets æra er selvfølgelig ikke over. Bare en idiot kan lire noe sånt ut av seg.

Endret av Den åttende profet
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...