- Passordets æra er over

[Gjest medlem-82119]

I regnestykkene som det henvises til, tenker man seg vel tiden det tar å gå gjennom absolutt alle kombinasjoner. I praksis så er det vel lite sannynlig at riktig treff ville vært det aller siste tallet man testet, og det er vel også sånn at man ikke kan taste inn en million ulike passord uten å bli utestengt. Normalt får man vel 3-5 forsøk, før man blir utestengt.

 

Videre så vil vel mange selv oppgi selv sitt superduperhemmeligeultrapassord, om de lures til å logge seg inn på en falsk side laget som en ekte. Før eller siden lager vel noen en falsk facebook innloggingsside, f.eks og sender ut mail om at facebookkontoen er hacket og så blir man bedt om å logge seg inn med mottatt link som sender en til en fake facebook innloggingsside.

 

Vil tippe det ikke går lang tid før man får brukernavn og passord for å komme inn i bilen og starte den, isteden for dagens bilnøkler, og med mer og mer avanserte tver så vil nok tver også få brukernavn og passord, bl.a for å sile ut hva folk skal få se basert på alder.

 

http://windows.microsoft.com/nb-NO/windows-vista/Change-password-policy-settings

Hvis den korteste passordalderen er angitt til 0, kan brukeren endre passord seks ganger samme dag og begynne å bruke det opprinnelige passordet den samme dagen.

 

http://ipadgjennestad.blogspot.no/2012/10/skjermpassord-til-airplay.html

Dermed slipper vi mange runder med å skifte passord hver uke

 

https://www.diskusjon.no/index.php?showtopic=1296518

Vi har en policy i firmaet som sier at hver 60.dag skal brukerne endre sitt passord i Windows

 

http://www.microsoft.com/norge/sikkerhet/passord.html

tilfeldig rekke med tegn

14 tegn eller mer er ideelt

Kombiner bokstaver, tall og symboler.

Et tomt passord (ikke noe passord, tomt skrivefelt) på kontoen er sikrere enn et svakt passord som "1234"

 

Om man kombinerer disse rådene, skal man altså lage tilfeldige rekker med tegn som inneholder bokstaver, tall og symboler på minimum 14 tegn og dette skal også byttes minimum hver 60. dag. det krever sitt å huske. Ble også overrasket over å lese at det å IKKE ha passord, er SIKRERE enn å ha et enkelt passord.

[xibriz]

Dere snakker om brute force... som er bortkastet tid.

 

 

Social engineering som han i artikkelen ble utsatt for, er mye lettere å noe man trenger nettvett for å unngå, ikke ett langt passord.

 

F.eks. så setter jeg bare opp en side som ser ut som innloggingen til facebook, men den heter noe annet. MEN i e-posten jeg sender deg så er navnet på linken facebook.com.. hvem sjekker adresselinjen i nettleseren etter å ha trykket på linken?

[DrHawkins]

Uansett hvor mye du prøver å beskytte deg så kan de lett komme inn til deg. om du hadde brukt 1024bit kryptering så hadde du alikavel ikke vært sikra. det er mye vanskeligere å brekke en 1024bit enn en 256bit kryptering men langt langt ifra umulig.

og alikavel så er den aller beste sikringa å ha en ekstern hdd som du har all sensitiv data på som du bare tar fram når det trengs. det du har på maskina internt bør ikke være sensitivt. jo mer du prøver å beskytte deg med vanskelige og personlige brannmurer og dill dall. jo mer ønsker hackeren å komme inn til deg pga utfordringen og at han tror du har noe å skjule. ser slike "guider" heile tida og alle sammen er noe forbanna tul og vas.

Gjør det enkelt for deg selv og spar sensitive ting på ekstern hdd og drit i heile bryet med å sitte i mange timer å konfigurere deg fram en egen firewall og bedre kryptering og masse vas. lager bare stress for deg selv in the end.

 

merker du at maskina blir "zombie" eller det er noe merkelig som foregår så ta ei enkel formatering som er gjort på en halvtime uten å miste en eneste ting data så lenge du har vært smart nok til å lagre på anna partisjon eller ekstern hdd.

Hackeren kommer inn til fbi, nettbankene og over alt de vil. HVIS DE BARE VIL.

det er ingen vits å frykte noe hackere for de er ikke interesert i ola nordmann alikavel. de er interesert i mye større ting, ting som har verdi.

 

helt på trynet med disse guidene da de hjelper null og niks og må gjøres helt om bare etter et par timer alikavel siden det tar hackeren under 1 dag å hacke seg inn på deg uansett hvordan du konfigurerer det, så fremst du ikke setter opp et helsikanes sikring da vel og merke (som nevnt 1024bit kryptering)

 

kan hackeren komme seg inn på FBI og andre heavy security sider og internett så er ola nordmann null problem.

 

det finnes ikke en eneste menneskelagd ting som ikke går ann å brytes gjennom. uansett hva det måtte være så kan man komme gjennom det enten det er digitalt eller i den fysiske verden

 

alt kommer bare ann på hvor mye oppmerksomhet DU trekker til deg selv. jo mer du prøver å sikre deg jo mer viser du at du har noe å skjule jo mer interesant er du for hackeren.

 

edit: beklager mye skrivefeil

Endret 17. november 2012 av DrHawkins

[Gjest medlem-82119]

Denne siden bruker en time på å knekke 4 sifret kode:

http://www.spyshop.no/ios-passordknekking-vi-finner-passord-og-undersoker-iphone-ipad.html

og selv koder med 37 tegn med bokstaver, tall og symboler tilbyr de seg å knekke.

 

Så har man denne http://freak.no/forum/archive/index.php/t-229478.html hvor GPU brukes isteden for CPU.

 

http://www.itavisen.no/493937/skjermkort-knekker-passord

Prossesser som tidligere tok to år på en oppgave kan kuttes ned til to uker ved å bruke skjermkortets behandlingskraft.

 

Så er det vel bare å kjøre flere skjermkort sammen.

 

During a recent password audit, it was found that a blonde was using the following password:

 

"MickeyMinniePlutoHueyLouieDeweyDonaldGoofySacramento"

When asked why she had such a long password, she said

she was told that it had to be at least 8 characters

long and include at least one capital.

[Den åttende profet]

Verktøyet jeg brukte tok høyde for at passordet blir funnet gjennomsnittlig akkurat midtveis i forsøket (noen ganger tidlig, noen ganger sent, men gjennomsnittlig midt i), så tallene kan ganges med to for å finne totalt antall forsøk. Men dette er lek med tall for moro skyld. Hvis du har et langt og komplisert passord, kan du ikke bruteforces. Andre metoder er så sin sak.

Etter denne artikkelen endret jeg både passord og sikkerhetsspørsmål på PayPal til noe som gjør at det ikke vil være mulig å hacke den kontoen, så noe godt kom det ut av det. Ingen kan hacke den sosialt fordi verken passord eller sikkerhetssvar har noe med noe som helst å gjøre, og dessuten legger jeg ikke ut informasjon om meg selv som kan brukes til å gjette denslags.

[Gjest medlem-82119]

Inntil noen hacker paypal

[sinnaelgen]

nå høres det ut som dere bare tenker på at en eller flere personer sitter å taster inn alle kombinasjonene.

i virkeligheten er det et program som gjør det

Da testes mange tusen passord i minuttet

[ATWindsor]

nå høres det ut som dere bare tenker på at en eller flere personer sitter å taster inn alle kombinasjonene.

i virkeligheten er det et program som gjør det

Da testes mange tusen passord i minuttet

 

Hvem er det det høres ut som tenker dette? Jeg tror du kommer lengre med å se hva folk skriver, ikke å gjette hva de tenker.

 

AtW

[Den åttende profet]

Om noen hacker PayPal har det ingenting med hacking av mitt passord å gjøre, og det er noe jeg ikke kan gjøre noe med uansett.

[sinnaelgen]

Hvem er det det høres ut som tenker dette? Jeg tror du kommer lengre med å se hva folk skriver, ikke å gjette hva de tenker.

 

AtW

 

man tenker slikt når det mere eller mindre blir påstått at det tar fler år å knekke et passord på få tegn

[Den åttende profet]

Skjønner ikke hva du fabulerer om, elgulf. Det jeg har sagt er at et standard passord på f.eks. 8 tegn kan bruteforces kjapt (hvis det ikke er begrensninger på antall forsøk), mens avanserte passord kan du glemme å bruteforce. Mulig det var noen andre du siktet til, men du er jo så vag og tåkete i uttalelsene at det ikke er godt å vite.

[sinnaelgen]

Skjønner ikke hva du fabulerer om, elgulf. Det jeg har sagt er at et standard passord på f.eks. 8 tegn kan bruteforces kjapt (hvis det ikke er begrensninger på antall forsøk), mens avanserte passord kan du glemme å bruteforce. Mulig det var noen andre du siktet til, men du er jo så vag og tåkete i uttalelsene at det ikke er godt å vite.

 

Er det så vanskelig å forstå at man knekker passord ganske kjapt med kraftig maskinvare

Det tar jo bare sekunder å generer uendelig mange kombinasjoner.

 

å teste ut alle disse tar ikke flere år.

 

 

hvis jeg skal sammenligne det med pin koden man har på bankkortet .

Så tak det under et sekund å finne riktig pin kode på en test.

 

så her påståes det av dere hvis man bruker 5 siffer i stedet så kal det ta 10 ganger lengre tid hvis man bruker 5 siffer/tegn i stedet for 4

slik er ikke virkeligheten

 

Enste forskjell er pin koden kan bare bruke tall ( 10 kombinasjoner for hvert siffer ) mens passord bruker tegn 36 kombinasjoner ( ca 100 om man tar med spesialtegn) for hvert siffer

 

Det tar ikke flere år genere all kombinasjoner og så test dem

[Terrasque]

så her påståes det av dere hvis man bruker 5 siffer i stedet så kal det ta 10 ganger lengre tid hvis man bruker 5 siffer/tegn i stedet for 4

 

Med 62 siffer/tegn muligheter tar det faktisk 62 ganger så lang tid..

 

Men, uansett, det tar faktisk tid å kalkulere hashes, og tiden går veldig fort off the hook når lengden økes.

 

Radeon 7970 klarer ca 8213.6 M MD5 c/s

 

speed = 8213000000

for x in range(1,14):
print x,"chars:", 62**x, " - will take", 62**x / speed, "seconds -", 62**x / speed / 3600 /24, "days -", 62**x / speed / 3600 /24 / 365, "years"

 

1 chars: 62 - will take 0 seconds - 0 days - 0 years

2 chars: 3844 - will take 0 seconds - 0 days - 0 years

3 chars: 238328 - will take 0 seconds - 0 days - 0 years

4 chars: 14776336 - will take 0 seconds - 0 days - 0 years

5 chars: 916132832 - will take 0 seconds - 0 days - 0 years

6 chars: 56800235584 - will take 6 seconds - 0 days - 0 years

7 chars: 3521614606208 - will take 428 seconds - 0 days - 0 years

8 chars: 218340105584896 - will take 26584 seconds - 0 days - 0 years

9 chars: 13537086546263552 - will take 1648251 seconds - 19 days - 0 years

10 chars: 839299365868340224 - will take 102191570 seconds - 1182 days - 3 years

11 chars: 52036560683837093888 - will take 6335877351 seconds - 73331 days - 200 years

12 chars: 3226266762397899821056 - will take 392824395762 seconds - 4546578 days - 12456 years

13 chars: 200028539268669788905472 - will take 24355112537278 seconds - 281887876 days - 772295 years

 

Kan dele de med 2 for å få 50% hit chance. Man må også huske på at dette er MD5, SHA512 har f.eks bare 1/100del av hastigheten på brute force.

 

Og hvis det er en liste med (skikkelig) saltede passord må hver entry crackes uavhengig. Så hvis du kjører full pupp og finner Ola Nordmann's passord etter 1 måned, må du starte helt på nytt igjen med Kari Nordmann's passord.

 

Edit : http://www.codinghorror.com/blog/2012/04/speed-hashing.html har grei oversikt

Endret 17. november 2012 av Terrasque

[007CD]

Joda Elgen, jeg kan godt sette opp ett system hvor ett 4-6 tegns passord vil ta noen år å knekke.

Men bakdelen vil være at hver innlogging som er gjort av en vanlig bruker med korrekt passord vil da ta en halv dag eller flere timer så sier det seg selv at det ikke er særlig praktisk.

Teknikken som da brukes er at man kjører hashingen i en loop, som da vil si at man hasher passordet og får hashen som er en rekke med tegn, og så hasher denne igjen til neste rekke med tegn og samme sak igjen til du har gått noen millioner med runder.

 

Når vi snakker om brute force så snakker vi ikke innskriving, vi snakker maskiner som prøver og prøver og hvor de råeste bruker skjermkort.

[sinnaelgen]

her undervurdere du regnekraften hackerne bruker.

Radeon 7970 blir for simpelt

[Looke]

På mange sider hvis du skriver feil passord for mange ganger vil du jo bli IP banna etterhvert, slik at du ikke får skrevet inn nytt passord på en time , evt at du må skrive inn det som står på et bilde som dukker opp. Har dem en måte for å overgå dette eller ?

[sinnaelgen]

er det noen spesielle sider du tenker på ?

[srbz]

Dere snakker om brute force... som er bortkastet tid.

 

 

Social engineering som han i artikkelen ble utsatt for, er mye lettere å noe man trenger nettvett for å unngå, ikke ett langt passord.

 

F.eks. så setter jeg bare opp en side som ser ut som innloggingen til facebook, men den heter noe annet. MEN i e-posten jeg sender deg så er navnet på linken facebook.com.. hvem sjekker adresselinjen i nettleseren etter å ha trykket på linken?

Nuvel. Brute force er kanskje bortkastet tid de fleste plasser, men kombinert med social engineering kan det fort bli skummelt. Om man hyppig gjenbruker kombinasjoner av brukernavn/passord, også på steder som slurver med sikkerheten, er det fort gjort å få tak i innloggingsinformasjon ved å angripe det svakeste leddet - gjerne med brute force.

 

her undervurdere du regnekraften hackerne bruker.

Radeon 7970 blir for simpelt

Det er greit nok, men hvis et HD7970 bruker 772295 år på å knekke et 13 tegn langt passord, vil en datamaskin som er 772295 ganger raskere enn et enkelt HD 7970 fremdeles bruke et helt år på å knekke passordet.

 

Og om i det hele tatt en så rask maskin eksisterer: dersom man salter passord unikt vil man kun kunne knekke ett passord om gangen. Tviler på at det er gunstig for noen hacker å bruke verdens raskeste datamaskin et helt år i strekk for å få tak i Ola Nordmann sitt Facebook-passord.

 

edit: Verdens raskeste supercomputer per i dag heter Titan, yter 17,59 petaflops, og kostet om lag 97 millioner USD (561,5 mill NOK). Til sammenligning yter HD7970 947 gigaflops double-precision. Hvis denne flops-målingen i det hele tatt er sammenlignbar (noe den neppe er), er verdens raskeste maskin altså drøyt 18500 ganger raskere enn et HD 7970 målt i antall flops.

 

Om disse antagelsene (mot formodning) skulle stemme, ville altså Titan brukt ca 41,6 år på den samme utregningen HD790 trenger 772295 år til. Betraktelig forbedring, men likevel langt utenfor både økonomiske rammer og tidsrammer for den jevne hacker.

Endret 17. november 2012 av srbz

[sinnaelgen]

ja , det var et passord om gangen jeg tenkte på.

nå er jeg lit i tvil om de bruker så lang tid som et år på et vanskelig passord.

 

De bruker jo alle mulige logaritmer for begrense kombinasjonene også

nå tester nok ikke bare et passord i gangen heller

 

Her er det lett å undervurdere hvor heftig stem de bruker

[srbz]

De bruker jo alle mulige logaritmer for begrense kombinasjonene også

nå tester nok ikke bare et passord i gangen heller

Hvordan i alle dager ser du for deg at man kan filtrere bort passordkombinasjoner uten å prøve dem, eller for den saks skyld prøve flere på en gang?

 

Man kan selvsagt implementere smart søking, som f.eks. prioritere ordlistetreff eller varianter av disse, men så lenge du ikke på forhånd har grunnlag for å vite noe om passordet kan du ikke annet enn å prøve alle tenkelige kombinasjoner frem til du treffer.

Endret 17. november 2012 av srbz