Gå til innhold

Dette monsteret finner passordet ditt

Cuneax

Av Cuneax
i Diskuter dataartikler (Tek.no)

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
AdNauseam

AdNauseam

Skrevet
Skrevet (endret)

Fordi en bruteforcer jobber på akkurat denne måten, tipper jeg. Med hjelp av litt rainbow tables stiller du enda svakere. Er passordet helt random generert, eller bygd opp delvis via ord?

Helt "random", altså bygget opp av tilfeldige tegn. Noen av tegnene har betydning. F.eks. tegnet <:> sier noe om hvor kritisk sikkerhetsbehovet er. Dette er for å ytterligere skille nettbank-/e-post-passord med f.eks. Facebook eller Youtube-passord.

 

Det er ikke et eneste ord i passordet, bare kryptiske bokstaver/tegn. F.eks. "e8/w:Rt" :) Men R-en kunne f.eks. være årets bokstav, "8/" kunne f.eks. vært en gruppe (viktige tjenester), "e" kunne vært en "identifikator" til tjenesten som passordet er til. Resten er altså bare tilfeldig valgt, men de statiske modulene går igjen i alle passordene. Faktisk så var "e8/w:Rt" et ganske lignende eksempel på hvordan passordet mitt ser ut, bare at det er på 19 tegn. ;)

 

 

Jeg vil tro at det skal ekstremt mye for å gjette seg til noe sånt, spesielt med så mange tegn, fordelen her er også at jeg har pugget dette systemet, og kan lage et nytt passord til en ny tjeneste i hodet. En algoritme som går etter ord vil altså ikke lykkes, heller ikke ord med bokstaver byttet ut med tall. Dette har jeg unngått. Her er det bare brutforce-metoden som kan finne passordet, og det tar så mange år at personen som prøver å svindle meg har dødd, inkludert hans barnebarn og noen generasjoner etter det. :p

 

 

Skal jeg svindles må det altså andre sikkerhetshull til, noe som faktisk er enda mer sannsynlig.

Endret av Stian Aarskaug
Lenke til kommentar
XmasB

XmasB

Skrevet
Skrevet

Standardpassordet mitt er over 55 karakterer langt og inneholder bokstaver og tegn, så da burde jeg vel føle meg trygg litt til?

 

Ikke hvis du bruker det samme passordet flere steder.

Jeg har et standardpassord på 8 tegn. Det er inkludert i de fleste passord jeg bruker, som typisk er på rundt 20 tegn og unike for hver tjeneste de brukes på. Vanskelig å knekke for en maskin, men en person klarer nok kanskje å se et mønster om han/hun har noen passord i klartekst.

 

Største ulempen er begrensinger nettsider og tjenester legger på passordene, som maks lengde og hvilke tegn som kan og ikke kan være med. 55 tegn må føre til mye frustrasjon i så måte? Jeg har kortversjon av systemet mitt for disse, evt husker jeg ikke passord og bruker bare password reset hver gang. :)

 

Mail er som hos de fleste det svakeste ledd.

Lenke til kommentar
delfin

delfin

Skrevet
Skrevet

Fordi en bruteforcer jobber på akkurat denne måten, tipper jeg. Med hjelp av litt rainbow tables stiller du enda svakere. Er passordet helt random generert, eller bygd opp delvis via ord?

 

Rainbow tables funker bra på ord/uttrykk som er kjente, og korte passord. En kompetent programmerer vil også ha minst ett salt, f.eks hardkodet string += "4je2&/3j2o" slik at rainbow tables blir helt verdiløst. Det største sikkerhetsproblemet er ræva programmerere som har dårlig sikkerhet, og noen passord blir til og med lagret i klartekst!

 

Med bruteforcing av f.eks "4eskerogensvamp" tar det VELDIG lang tid å bruteforce, og selv om man vet hash på "svamp" hjelper det lite.

Lenke til kommentar
delfin

delfin

Skrevet
Skrevet

Blir ikke BF-tiden redusert når man vet den eksakte lengden?

 

Jo, markant. Jo mer man vet om passordet, jo lettere finner man det. Hvis du f.eks vet at det er 15 bokstaver (engelske) og tall får du 36^15 kombinasjoner. Hvis du ikke vet lengden sjekker du sannsynligvis alle passord på under 15 i lengde først. Med større tegnsett blir det også fort VELDIG mange flere passord å sjekke.

Lenke til kommentar
Novazane

Novazane

Skrevet
Skrevet
Hvorfor legger man ikke bare inn en tidssperre på 1 sekund etter man har skrevet feil passord? Det burde være en effektiv stopper mot slike maskiner.
Det er effektiv, men slike maskiner er først og fremst nyttige når en hacker allerede har klart å få tak i en database med alle hashene og kan begynne å gyve løs på knekkinga, noe artikkelforfatter selvsagt utelater å nevne...

 

Siden mange ikke vet hva hash er...

Lenke til kommentar
aC

aC

Skrevet
Skrevet

Hvorfor legger man ikke bare inn en tidssperre på 1 sekund etter man har skrevet feil passord? Det burde være en effektiv stopper mot slike maskiner.

 

I mange tilfeller har man tilgang til hash eller til handshake for bruk offline, når man sitter på an hash trenger du ikke få det opprinnelige systemet til å regne ut hash collision, men du bruteforcer den selv.

Lenke til kommentar
Den åttende profet

Den åttende profet

Skrevet
Skrevet

Sant, og om man har en maskin som klarer 350 milliarder operasjoner i sekundet er det bare snakk om tid. Noen som tar seg bryet på å regne ut hvor lang tid den bruker på et passord på 15 tegn, bygget opp random?

 

Det er bare snakk om tid, men mye mer tid enn du har til rådighet i livet ditt, og hvis det er langt nok tar det lenger tid enn universets levetid.

 

https://www.grc.com/haystack.htm

 

Eksempelet ditt vil ta 425 millioner år for å prøve alle kombinasjoner med 350 milliarder forsøk i sekundet, og kombinasjonen blir gjenomsnittlig funnet halvveis. De fleste tar ikke inn over seg hvor ufattelig mange ulike kombinasjoner det blir hvis du bruker litt lengde på passordet, 15 tegn og oppover. Med 15 tegn blir det 95^15 kombinasjoner, et tall med 30 sifre. 20 tegn blir et 40-sifret antall kombinasjoner, og med 41 tegn blir det like mange kombinasjoner som det finnes atomer i det observerbare universet. Da hjelper det sørgelig lite med noen ynkelige hundre milliarder forsøk i sekundet.

Lenke til kommentar
AnaXyd

AnaXyd

Skrevet
Skrevet

Spennende link!

 

Takk for utregning, det blir noen år ja! Men hva lønner seg av å sette opp 4 random ord mot hverandre (hestsklirskjeofte) mot et random generert passord på 15 tegn? Vil det ikke gå kjappere å knekke det førstnevnte, ettersom det ikke har noen tall og tegn i seg? Tenker spesielt på det bildeeksemplet som ble nevnt tidligere i denne tråden.

Lenke til kommentar
fenele

fenele

Skrevet
Skrevet (endret)

Spennende link!

 

Takk for utregning, det blir noen år ja! Men hva lønner seg av å sette opp 4 random ord mot hverandre (hestsklirskjeofte) mot et random generert passord på 15 tegn? Vil det ikke gå kjappere å knekke det førstnevnte, ettersom det ikke har noen tall og tegn i seg? Tenker spesielt på det bildeeksemplet som ble nevnt tidligere i denne tråden.

 

Poenget med bildeeksempelet er at lange passord er sikrere. Så hvis du sammenligner "hestsklirskjeofte" som kun inneholder små bokstaver og rg passord med si store og små bokstaver + tall.

 

Entropy brukes til å måle sikkerheten til et passord, jo høyere tall jo mer sikkert. Formelen som brukes er H = L*log2(N) der L er lengden på passordet og N er hvor mange mulige tegn som er brukt.

 

"hestsklirskjeofte": L = 17, N = 26(alfabetstørl). H = 80

"7JcoFTtd4qAsnuQ": L = 15, N = 62, H = 90

 

Her er rg passordet mest sikkert men begge passordene er sikre.

 

I eksempelet:

"Tr0ub4dor&3": H = 73

"correcthorsebatterystaple": H = 131

 

Tror nok den største sikkerhetsriskoen er passordgjennbruk, hvis en database med hashes blir hacket og kriminelle har brukernavn/mail og passord er det bare å gjøre tester på vanlige tjenester som mail og sosiale medier.

 

password_reuse.png

 

 

For passord til login på PC og tjenester man må skrive inn passord ofteville jeg brukt passphrases og for andre tjenester kan man bruke KeePass og ha rg passord for å hindre gjennbruk.

 

(med forbehold om regnefeil, poenget er der).

 

tl;dr: Passordlengde og det å unngå gjennbruk av passord er viktigst.

Endret av fenele
  • Liker 2
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...