Skift passord nå

[ATWindsor]

 

Å huske flere dårlige passord og å bruke samme passord på flere tjenester er fortsatt sikrere enn å kun ha ett eneste passord. Men hva så? "Fortsatt sikrere enn noe annet" er jo ikke et særlig godt argument"?

 

 

Fordelen med LastPass er at dette er ett selskap som faktisk jobber med sikkerhet. Eg stoler heller på LastPass med ETT sikkert passord enn 10 vilkårlige nettsider med ulike dårlige passord. Any day.

 

 

Igjen "fortsatt sikrere enn noe som er dårligere" argumentet, det er ikke de to eneste valgene du har.

 

AtW

[RattleBattle]

 

Å huske flere dårlige passord og å bruke samme passord på flere tjenester er fortsatt sikrere enn å kun ha ett eneste passord.

Kommer helt an på passordet. Jeg har over 50 teg med bokstaver, tall og tegn i master passordet. Lastpass har også mulighet til totrinns verifisering

[efikkan]

Vi visste alle at dette måtte komme, en slik gullgruve vil selvsagt noen prøve seg på. Men dette er et kroneksempel på at god sikkerhetspolicy fungerer og at det er mulig å gjøre gode tiltak for å oppdage og avgrense skadeomfang.

Hvis informasjonen fra LastPass er riktig skal altså hashede passord med salt ha kommet på avveie, hvis folk har rimelig greie passord så burde ingen bekymre seg for dette så lenge de bytter det innen rimelig tid, og for de som har lengre passord vil det ta ennå lengre tid før det blir kritisk. Og det er nettopp derfor at passord skal hashes med unike salt, slik at det tar lang tid før selv mellomlange passord kan knekkes. Hashing kjøper altså tid, og et veldig langt passord kan ikke knekkes i vår levetid. Har du et godt nok passord, og tjenesteyteren riktige rutiner for hashing, og du bytter ut passordet rutinemessig så kan du være veldig trygg selv om det skulle være innbrudd.

Det som derimot er noe skummelt her er om autentiseringskodene som har blitt stjålet kan misbrukes på noen måte. Jeg tar for gitt at LastPass har invalidert samtlige koder og krever fullstendig innlogging for alle.
 

...Når du lager passordet ditt vil det hashes 5000 ganger (standardvalg, kan økes) på klientsiden før det i det hele tatt forlater maskinen din, deretter vil denne hashen hashes ytterligere 100 000 ganger på serversiden...

Bare så det er sagt; hashing på klientsiden bidrar ikke til noen form for sikkerhet. Hvis klientsiden på noen måte først er kompromitert, så kan du hashe en milliard ganger uten at det gagner noe.
 

(jeg har unngått å gå inn på salting av passord her for det ser ut som om de fikk den med seg i innbrudded og det vil da ikke påvirke kompleksiteten til passordene nevneverdig)

Den siste delen der forstod jeg ikke.
 

Det mest sannsynlige alternativet for meg ville vært like passord på mange tjenester med ett dårlig passord eg lett husket(eller skreiv ned). Nå slipper eg det.

Du vet vel at det finnes andre løsninger enn motsetningene LastPass eller dårlige repeterende passord? Du kan fint oppnå det samme som LastPass med f.eks. KeePassX, KeePass eller andre passordsafer som du hoster selv. De er kanskje ikke like fint integrert i nettleseren som LastPass, men langt sikrere om du tar deg bryet.
 

Dette er jo bare latterlig. Å hashe en ting flere ganger gir absolutt ingen verdi. Og kan lett øke sansynligheten for hash-kollisjoner om man ikke er ytterst forsiktig. Jeg har ingen tro på at et seriøst selskap som LastPass gjør noe så latterlig. Alt du trenger er en god hashing-funksjon, god algoritme for å generere salt og så hashe den en gang så er du være trygg.

Å hashe en hash øker ikke sikkerheten.

Ja og nei, du er inne på noe.

Hva er det som utgjør styrken til et passord? Entropi. Jeg må forklare dette så alle er med på tanken. For en pin-kode på et bankkort er det typisk fire siffer med ti mulige som gir 10.000 mulige kombinasjoner, så det har en entropi på 10.000. På tilsvarende vis har et passord med en vilkårlig bokstav eller tall en entropi på 62(6 bit), to tegn 62*62=3844(12 bit), tre tegn 62^3=238328(18 bit) osv. Hver bit med entropi dobler styrken til passordet, så hvert eneste tegn mangedobler styrken. Tiden det tar å teste ett enkelt passord er konstant så vi får følgende formel for tiden det tar å knekke et passord av n tegn:
f(n) = t * 2^(bit) = t * 62^n
Grunnen til at enkelte ønsker å øke antall iterasjoner er for å veie opp for dårlige passord. Alle som har hatt matematikk i høyere utdanning vil forstå at hvis vi skal skalere videre over tid for å gjøre passordene sikrere, så må antall iterasjoner bli ekstremt høyt. Hvis en tjenestetilbyder dobler antall iterasjoner annenhvert år for å kompensere for stadig mer prosesseringskraft blant angripere så sier det seg selv at det til slutt blir for kostbart sammenlignet med å få brukerne til å bruke et litt bedre passord.

Så la oss si at du ønsker å gjøre passordene så sikre som om de var "2 tegn lengre", må lasten økes 3844 ganger, to tegn til og du er oppe i 14.776.336 så mye last, to tegn til og det blir 56.800.235.584 så tung som én iterasjon. Alle forstår at siden det trengs eksponentielt mer kraft så blir det etter hvert for tungt lenge før du har klart å kompensere for dårlige passord. I stedet kan du altså be brukerne om å bruke lengre passord som øker entropien mye raskere enn du kan klare med å gjøre flere iterasjoner. Et annet problem er at en som bruteforcer kan gjøre dette mye mer effektivt enn en webserver, så kostnaden for å konkurrere med bruteforcing blir umulig i det lange løp. Det er rett og slett ingen vei utenom entropi.

Et annet problem som du nevner er kollisjoner. Selv om vi antar at hash-algoritmen har ingen svakheter og er "perfekt", så vil kollisjoner skje bare vi kjører nok iterasjoner. Slike ting er ingen problemer for noen tusen iterasjoner, men la oss si at du fortsetter å skalere i millioner eller milliarder av iterasjoner og du har millioner av kunder så vil kollisjoner intreffe. "Heldigvis" vil kostnaden av skaleringen bli for høy lenge før kollisjoner blir et stort problem, men det er absolutt en teoretisk mulighet. For å unngå kollisjoner vil det trengs unike salt i hver iterasjon, og det vil bli svært vanskelig for så mange iterasjoner.
 

Nja det spørs jo om de forteller alt her, kan godt være at de deler noe men holder det verste skjult.

Det er alltid usikkerhet rundt om de forteller hele sannheten. Faktum er at kundene vet ikke om de fleste lekkasjer de er utsatt for, og i en stor andel av tilfellene vet ikke tjenestetilbyderen det en gang. De aktørene du skal være mest skeptisk til er de små "mindre seriøse" forum, butikker, blogger osv. som neppe har kompetanse eller kapasitet til å sikre brukerne.

Et godt eksempel på dette er lekkasjen som skjedde for en stund tilbake som noen hevdet kom fra Google, men som var en samleliste av passord stjålet fra alle mulige småaktører. Blant annet fire norske nettbutikker var tydelige kilder (basert på passordene), hvorav to fremdeles er aktive og godt kjent for oss alle. Såvidt meg bekjent har ingen av disse butikkene offentliggjort at de har vært kompromittert, og det vil ikke overraske meg om de ikke er klar over det selv en gang.

Endret 16. juni 2015 av efikkan

[007CD]

Jeg var skeptisk til LastPass på grunn av noe slikt, og valgte istedet KeePass og står for lagringen selv.

Nå er det ikke sikkert, men skal man ha tak i databasen min og nøkkelfila så må du jobbe betydelig mer enn hva de gjorde for å komme inn hos LastPass,  og i tillegg koster det rett og slett for mye i forhold til hva man får ut av det.

Og grunnet måten det er bygget opp så er det vanskelig å få til en sentral måte å ta samtlige KeePass brukere på grunnet ingen sentral lagring av databasene.

[nomore]

Nå er det ikke sikkert, men skal man ha tak i databasen min og nøkkelfila så må du jobbe betydelig mer enn hva de gjorde for å komme inn hos LastPass,  og i tillegg koster det rett og slett for mye i forhold til hva man får ut av det.

Hvordan vet du det? Eg har ingen tro på at det på noen måte var en lett jobb å skaffe disse dataene.

[RattleBattle]

Jeg var skeptisk til LastPass på grunn av noe slikt, og valgte istedet KeePass og står for lagringen selv.

Nå er det ikke sikkert, men skal man ha tak i databasen min og nøkkelfila så må du jobbe betydelig mer enn hva de gjorde for å komme inn hos LastPass,  og i tillegg koster det rett og slett for mye i forhold til hva man får ut av det.

Og grunnet måten det er bygget opp så er det vanskelig å få til en sentral måte å ta samtlige KeePass brukere på grunnet ingen sentral lagring av databasene.

Det er det nok ikke, men det kan være "sikrere" i form av at du ikke er noe mål for disse. Security by obscurity.

[tommyb]

Det er ikke bare vanskeligere, men tilnærmet umulig å ta samtlige KeePass-brukere. Mange er ikke engang tilknyttet internett.

[nomore]

Ofte handler det ikke om flest mulig, men en konkret person/rolle/bedrift.