- Passordets æra er over

[Gjest medlem-82119]

Alternativet er vel to stegs autentisering, buypass og bank ID.

 

Det hadde jo væert artig å få testet ut hvor lang tid det tar å knekke passord med x antall tegn. Det jeg personlig ikke skjønner er hvordan dette gjøres i praksis. Normal når man logger seg inn på en side, selv dette forumet, så har man et vindu å logge seg inn i. Om man taster feil X ganger blir man vel sperret ute. Skjønner ikke hvordan man kan knekke en kode i den settingen, man må vel da ha noe som legger koden inn i vinduet, og kombinert med brukernavn?

[srbz]

Vel, iom. at du har et unikt passord for din konto, og ingen andre passord vil fungere, er det vel rimelig åpenbart at "noe" er lagret "et sted" for å kunne kontrollere gyldigheten av passordet.

Dette "noe" er imidlertid sjelden passordet i klartekst, ettersom det ville vært et betydelig sikkerhetshull om noen fikk tak i dette. Isteden lagres en hashet versjon av passordet ditt. Dette er en algoritme som kun fungerer en vei, du kan ikke generere passordet ut av hashen. Du kan imidlertid prøve et passord (en tekststreng) ved å hashe denne og se om den samsvarer med passordhashen som er lagret for din bruker. Er den feil, prøver du neste mulighet. Dette er brute force.

 

Så det man typisk gjør når man logger inn, er altså å hashe passordet på nytt og se om det stemmer med hashen som er lagret fra før.

 

Man vil dermed ikke cracke passord ved å prøve å skrive inn passord i innloggingsfeltet, men heller forsøke å finne hashen i databasen der den er lagret. Dette er dog et annet kapittel. Finner man først hashen kan man, om man vet hvilken algoritme den er hashet med (og kjenner evt. salt), forsøke å brute force. Men det vil være tidkrevende

[Den åttende profet]

Et passord på 41-42 tegn med 96 alternativer hver har flere mulige kombinasjoner enn det finnes atomer i det observerbare universet. Prøv å bruteforce det på et par minutter.

[Terrasque]

Når vi først er inne på forskjellige passord ting her, så er det forsåvidt noen ting jeg vil nevne..

 

Først og fremst, hvor stor tilfeldighet (entropi) passordene har. Hittil har vi antatt at passordene er tilfeldige, men.. Det er som oftest ikke riktig. Mennesker er forferdelig dårlig til å lage tifeldighet, og hvis man bruker faktiske ord og setninger er man spesielt utsatt for det. Her er et blogg-innlegg som snakker litt om det, men det går hovedsaklig ut på at i vanlig tekst så er det noen bokstaver som går igjen oftere enn andre, og flere bokstaver hører "naturlig" sammen. For eksempel så er "U" nesten alltid etter "Q", og f.eks "R" nesten aldri etter "QU", mens "E" og "A" er mye oftere. De fleste passord knekkerene bruker slike regler for å teste ut "naturlige" sammensetninger tidligere, og mange har også regler for å teste stor bokstav først og / eller sist, og bytte ut enkelt bokstaver med vanlige replacements (t -> 7/+, a -> 4, s -> $), og flere har også regler for å prøve samme passordene "forskjøvet" på tastaturet, som "swrrw" (dette).

 

Når det gjelder alternativer til passord:

* 2 faktor autentisering: Noe du har, og og noe du vet er vel de to mest brukte. Som oftest med en kodebrikke eller et program på mobilen, men kan også være f.eks et SSL klient sertifikat.

* OpenID eller Mozilla's BrowserID: Her blir autentiseringen gjort av en 3djepart (f.eks Google eller Livejournal). Websiden du logger inn på sender deg videre til OpenID provideren din, og spør hovedsaklig "hvem er dette?", og hvis det er en gyldig bruker sender provideren tilbake brukeren med en ID streng, som så nettstedet kan sjekke om er i deres liste. Hvis den er, successful login. I praksis for brukeren, hvis allerede logget inn på f.eks Google, er det bare å skrive inn OpenID'en, (eller i noen tilfeller bare trykker på en knapp) og vips, logget inn.

Endret 19. november 2012 av Terrasque

[sinnaelgen]

vel , saken ar nå at mange hakerer klarer å finne passordet utrolig fort , selv om det har mange tegn

 

Her tror jeg også ( uten å være sikker ) at metoden for sjekke passorden omgår begrensningene en vanlig brukere har i antall forsøk

[Terrasque]

Nå er jeg ikke helt sikker på hva du snakker om her, men det vi har snakket om ifra starten på tråden er hvis siden blir hacket, og databasen lastet ned, hvor mye det trengs for å finne passordene bak passord-hash'ene i databasen. Forutsett at de som har laget siden ikke bare har bæsjet på leggen og lagret de i klartekst rett i basen.

[sinnaelgen]

jeg snakker om hvor lett mange hackere finner passordet

[srbz]

Men da spørs det jo om de bruker brute force, som vi snakker om her, eller om de finner det på andre måter. Phishing f.eks., eller cross-site scripting, for å nevne noe.

[Terrasque]

Eller bare endrer det med CSRF, eller henter ut databasen på tullingbloggen.no - finner epost og passordet på kontoen din der - og logger inn på eposten.com med samme passordet (og bruker så den til å resette alle passordene dine), session hijacking, gir deg en sjokolade for passordet ( ), ringe support og får resatt passordet ditt, osv osv osv....

 

Det vi har snakket om her er, igjen, hvor sikre passordene er hvis en hacker får tilgang til databasen de er lagret i.

[srbz]

Syntes å huske vi diskuterte dette for en tid tilbake ja...

 

7970 er fint til sitt bruk , som er grafikk

å bruke dem til finne koder blir noe annet .

 

http://www.hardware....det-ditt/115161

Maskinen består av 10 stk HD 7970, 4 stk HD 5970 (tokjerne), 3 stk HD 6990 (tokjerne) og 1 stk HD 5870. Ifølge artikkelen kan den iterere over samtlige 8-tegns tekststrenger (store+små bokstaver samt tall og spesialtegn), 6,6 billiarder kombinasjoner, på under 6 timer. Videre sier artikkelen at tiden det tar å knekke et passord på denne maskinen øker til 5,5 år om du bare legger til to tegn, til ti tegn totalt. Go figure.

Endret 11. desember 2012 av srbz

[Den åttende profet]

Og jeg føler meg fortsatt trygg