Dropp passordene

[tjodrik]

Det heter ikke bakdeler - det heter ulemper.

I følge Norsk språkråd er det nå lov til å si bakdel i betydningen ulempe.

 

Ord på to eller flere bokstaver uten konsonanter vil f.eks være svært skjeldne (om de i det finnes i det hele tatt).

- Norsk språkråd har ingen myndighet når det gjelder hva som kan eller ikke kan sies, og heller ingen myndighet når det gjelder hva som er lov å skrive. I motsetning til det folk går rundt og tror.

 

- 'øya'

[pertm]

Det er jo riktig det jeg hørte en gang at jo sikrere passord en har jo mer usikkert blir systemet, hvis en har varianter av samme passord flere steder og slikt. Med passfraser så blir det jo mer å skrive inn, om det virklig blir sikkrere er jeg ikke helt overbevist over. Passord er ikke noe bra hvis det er så perfekt og det henger en gul lapp like ved skjerment med det på. Jeg kan fort tenke meg noe tilsvarende for passfraser.

[Terrasque]

Ganske misvisende artikkeltittel. "Dropp passordene" - det artikkelen egentlig sier er "bruk lengre passord". (Og ja, flere ord satt sammen regner jeg som passord, et mellomrom er bare et ASCII tegn tross alt. Og som Simen1 sier, kan det bli brukt ganske mange triks til å kutte ned på en "passphrase" cracking)

 

Og som tidligere nevnt, å skrive 50 tegn riktig uten en eneste skrivefeil når du ikke engang kan se hva du skriver er ... vanskelig.

 

Videre så er det noen faktafeil i artikkelen, som for eksempel LM-hash... Et passord som lagres i LM-hash går igjennom disse tingene:

 

*Om lenger enn 14 bokstaver, kort ned til til 14

*Konverter til UPPERCASE

*Om under 14 bokstaver, pad med 0

*Splitt i to 7-bokstavers deler.

 

Så, om et program skal cracke det, så vil det trenge å teste alle UPPERCASE kombinasjoner mellom 1 og 7 bokstaver. Intet mer.

Så at de DVD'ene inneholder "et visst antall passord, som oftest mellom 6 til 10 bokstaver." høres ganske idiotisk ut, og ærlig talt høres det ut som bullshit tatt fra løse luften.

 

Det kan og nevnes at Microsoft har prøvd å kvitte seg med gamle LM-hasher i flere år nå, men pga bakover-kompabilitet så blir LM-hasher brukt ganske mye.

[Ernie]

Å gå igjennom 1,6bill. kombinasjoner og teste den mot noe med en middels pc tar under et døgn. (Passord på opptil 8 tegn er med andre ord ubrukelig hvis noen får tak i hashen) På 1,6bill kombinasjoner kan man gjøre mye. F.eks teste 1,6bill fraser. Å da legge inn noen vanlige skrivefeil er jo enkelt. Å dele listen med fraser i to og gi hver halvdel til hver sin pc vil halvere tiden man bruker. I det heltatt. Dette gjør ting overhode ikke vanskelig, tvert imot. Dette kan faktisk gjøre jobben enklere siden man dramatisk reduserer antall kombinasjoner. Man kan ikke, som Simen1 sier, tenke på at man har 80^50 kobinasjoner. Det finnes faktisk grunnleggende regler for hvordan en settning er bygd opp.

Endret 7. mai 2005 av Ernie.

[whom]

Jeg kan faktisk se for meg et problem med komiske passfraser, da slike komiske sitèringer fra f.eks Futarama, kan lett rulle på tungen.

Etter jeg kom over et program diskutert om her:Avslør (nesten) alle passord lagret på din PC:, så er jeg ganske redd for alt som har med passord å gjøre. Ser ut som om det går ann å hente fram alt

[Gronz]

God artikkel Men dere kunne kanskje nevnt noe om Shadow/etc. under Linux/UNIX og?

[kilogram]

Angående artikkelen: Er egentlig passfraser så lure som det gis uttrykk for? Jeg mener, det kommer jo veldig an på angriperen, men om det er en virkelig smart angriper med teft for språk og kryptografi så går det an å redusere antall muligheter veldig mye i frohold til det du oppgi her. F.eks trenger man ikke å teste for hele 80 tegn på hver plass, og man trenger ikke begrense seg til ordboken. Denne superhackeren kan lage et program som bruker ordbok og tester passfraser ut fra kunnskap om setningsoppbygging (f.eks at to verb aldri kommer etter hverandre) og at store bokstaver aldri forekommer midt inne i ord eller før det har kommet et punktum. Etter punktumer og kommaer er det alltid et mellomrom slik at man kan betrakte de to tegnene som ett. Ord har også sin spesielle oppbygging. F.eks er det kun bokstavkombinasjoner som lar seg uttale som vil være logiske å bruke i en passfrase. Ord på to eller flere bokstaver uten konsonanter vil f.eks være svært skjeldne (om de i det finnes i det hele tatt). Passfrase-knekkeren kan altså med litt dyptgående kunnskap om språk, programmering, kryptografi og algoritmer kunne redusere sikkerheten til langt under 10^32 forsøk på passfraser. Trolig ikke så langt ned som til 8-tegns passord, men likevel ikke så sikkert som det gis inntrykk av i artikkelen.

Matematikken i artikkelen er grovt forenkla, som eg nemnte på førstesida, men eg rekna med at nokon sannsynligvis kom til å kommentere dette...

 

Uansett, tala frå Norsk Språkråd sa ingenting om at dei 10 000 orda i normale menneskers vokabular inkluderte eller ekskluderte bøyningsformar. Eg går ut ifrå at dette er 10 000 ord utan bøyningsformer, så om du tar med alle bøyningsformer kan du gange det tallet med 3. Videre så kjem feilstavinger, som må seiast å relativt normalt. Store bokstavar på plassar som ikkje er vanleg gjer ting endå vanskelegare.

 

Kunnskap om setningsoppbygging vil nok redusere talet på ord som kan komme i ulike posisjonar, men etter all sannsynlighet vil ikkje dette vege opp for dei mange ulike skrivemåtane ein kan få for kvart enkelt ord.

[riktig]

腭-ẹԭ-āĂăȣȉȹ∩ﰢ3覽촕{Lj̕ϛʎŁ

 

Kanskje dette kan være et ok passord for de med superhukommelse.

 

Uansett, alt kan og vil crackes før eller senere. Vi lager hele tiden nye sikkerhetssystemer, men de er alle døgnfluer.

[Terrasque]

Å gå igjennom 1,6bill. kombinasjoner og teste den mot noe med en middels pc tar under et døgn. (Passord på opptil 8 tegn er med andre ord ubrukelig hvis noen får tak i hashen)

Selvfølgelig, å sjekke "er a lik a" er ganske enkelt, og man kan sikkert få et par billioner slike i døgnet (og kanskje til og med per time om gjort riktig), MEN! det du ikke tenker på her er HASHING av stringen man skal teste

 

Benchmark fra denne maskina: (laptop Pentium M 1.7 Ghz med 512 ram)

Benchmarking: Standard DES [48/64 4K]... DONE
Many salts:     207744 c/s real, 210693 c/s virtual
Only one salt:  228864 c/s real, 228864 c/s virtual

Benchmarking: BSDI DES (x725) [48/64 4K]... DONE
Many salts:     7952 c/s real, 7983 c/s virtual
Only one salt:  7768 c/s real, 7878 c/s virtual

Benchmarking: FreeBSD MD5 [32/32]... DONE
Raw:    4138 c/s real, 4155 c/s virtual

Benchmarking: OpenBSD Blowfish (x32) [32/32]... DONE
Raw:    250 c/s real, 251 c/s virtual

Benchmarking: Kerberos AFS DES [48/64 4K]... DONE
Short:  225843 c/s real, 226750 c/s virtual
Long:   613734 c/s real, 614964 c/s virtual

Benchmarking: NT LM DES [48/64 4K]... DONE
Raw:    1898457 c/s real, 1906081 c/s virtual

[Eyzteinn]

Jeg har brukt det geniale xh56rt700 i 5 år nå, og ikke fortalt det til en sjel..

 

Fungerer utmerket !

[Terrasque]

Har lekt meg litt her nå, og laget et lite regneark.

 

Det er sannsynligvis veldig unøyaktig, og det kan være feil i det, men føler det gir et godt intrykk om hvor sterkt et passord er.

 

http://terrasque.mine.nu/~terra/password%20hash.xls

 

EDIT: Fikset url

Endret 7. mai 2005 av Terrasque

[Ernie]

Terrasque: det var i og for seg med "hele pakka" jeg tenkte på. Brukte en XP1800 til å knekke et testpassord på 8 tegn hashet v.hj.a md5 på godt under 8 timer.

[Signatur]

Ja dette var jo genialt for meg som jobber i forsvaret, som har 5 minutter timer på skjermspareren, og skriver passordet mitt 20 ganger om dagen.......NOT

[Terrasque]

Terrasque: det var i og for seg med "hele pakka" jeg tenkte på. Brukte en XP1800 til å knekke et testpassord på 8 tegn hashet v.hj.a md5 på godt under 8 timer.

Ok, da tipper jeg du brukte et dårlig eksempel, og/eller et passord som kan taes på et dictionary angrep, noe som er en helt annen bolle fisk. Ta en titt på regnearket jeg hev ut litt lenger oppe.

 

Og, bare på gøy, knekk dette passordet: dea684000b093c4a1f133ef82b1bd92e

Det er en hex-encoda md5 hash, og passordet er 8 bokstaver, og består av små og store bokstaver, og tall. Ingenting mer

[aurstad]

Herligt. Nå når jeg kommer på jobb på mandag, så har systemansvarlig valgt en 50-bokstavers minimum passord på alle tilganger... Hvis dette er så fordømt sikkert, hvorfor ikke inføre dette på hw.no nettverket??

 

[kindings]

Herligt. Nå når jeg kommer på jobb på mandag, så har systemansvarlig valgt en 50-bokstavers minimum passord på alle tilganger... Hvis dette er så fordømt sikkert, hvorfor ikke inføre dette på hw.no nettverket??

 

Må si jeg bekymrer meg litt også, ikke bare over såkalt autogenererte passord(unnskyld fraser), men også fordi jeg ser for meg at det hele blir mer tungvindt.. Ser for meg tiden det kommer til å ta for å skrive inn en 50 tegn passfrase; var det stor eller liten bokstav i den andre setningen, komma eller punktum.. Ser for meg at IT support vil lide under dette

[ninjacrap]

Synes det var en grei artikkel for personer som har problemer med å huske passordene sine.

 

Men jeg synes det var en litt misvisende overskrift og ingress til artikkelen, da de aller fleste forbinder ordet "passord" med det du en måtte skrive inn i passord-feltet, uansett om dette måtte være flere ord eller bare ett. "Forbedre dine passord", eller "Passfraser istede for passord" e.l. synes jeg personlig ville fungert bedre, da "Dropp passordene" i følge min mening hinter om ny teknologi som Biometrisk identifikasjon, DNA, fingeravtrykk eller annen teknologi som gjør at brukeren slipper å skrive inn passord (eller passfrase) for å komme inn på systemet.

 

I midlertid kan jeg komme med et tips relatert til passfrase og Simen1 sitt poeng med avansert cracking av passfraser. (Selv om det skal være et temmelig interessant mål for at en cracker vil ta slike metoder i bruk.)

 

Ta en liten setning som "Dette er bare en liten setning til eksempel" og gjøre om til "dEb3LsTe". Eneste jeg gjorde var å ta første bokstav i hvert ord og satte sammen, deretter byttet jeg ut noen av dem med passende tall, f.eks. E = 3, og byttet på bruk av stor/små bokstav. Ikke så veldig vanskelig å huske, men vanskelig å gjette eller bruteforce'e.

 

Har du vanskeligheter med å komme på en setning du kommer til å huske, kan du f.eks. trykke på "Tilfeldig side" i http://no.wikipedia.org, huske hva resultatet ble, i mitt tilfellet "Tellus", og deretter finne en passende setning som kan fungere som passfrase: "Hennes festival ble feiret 15. april, og var kjent som Fordicia" Her kan en forkorte passordet til "Hfbf15.4,0vksF".

 

Dette kan vel kanskje sies å ikke være et lett passord å huske, men ordet Tellus er temmelig enkelt å huske, og da er det ikke så vanskelig å finne tilbake passordet om en måtte glemme det.

Endret 8. mai 2005 av ninjacrap

[Maztermin]

hva med PGP/GPG keys?

det er en skvett sikrere. siden du da bruker en passphrase for å låse opp nøkkelen, og passordet dermed blir rimelig kryptisk..

(vet ikke om det funker på windows) funker ihvertfall som ei kule på linux)

[DanteUseless]

Lengere passord/fraser er en "enkel" løsning på et av de mindre problemene som er ved et stort system. Sjeldent brukes en vanlig brukers rettigheter for å nå informasjon. Da er det oftest enklere å gå igjennom tjenester/hull/etc som gjør det mulig å eksalere rettigheter helt opp mot root/administrator/system-nivå.

Og det hjelper INGENTING mot den største trusselen som er mot passordautentisering: Post-it's ifra M3!

 

Da har jeg større tiltro til to-faktorsløsninger. Eks RSA's SecurID.

 

Tips: ikke alle av disse bruteforce-verktøyene tar høyde for ikke-engelske tegn.

 

-Dante

[Lautsprecher]

ang. disse LM-hashene så kan man jo bare skru de av i registeret. Bare å sette nolmhash til 1.