Hvorfor ikke bare ha dobbelpassord?

[karakas]

Ok, dette kan kanskje virke som en idiotisk ide, men vil ikke det å måtte taste inn to eller flere passord korekt etter hverandre øke sikkerheten i forhold til hacking som foregår med prøve og feile metoden?

 

Altså at en må taste inn f.eks. 123 *enter* 456 *enter*

 

Om hackeren finner det første passordet, for så å taste feil på den andre så må han først taste inn det første igjen før han kan fortsette med det andre.

 

Altså:

 

"tast passord"

 

123 *enter*

 

"tast passord"

 

234

 

"feil passord" tilbake til start og må taste inn 123 igjen.

 

Eneste problemet jeg ser med dette er at de kan legge inn i hackeprogrammet at når de finner det første passordet så taster den inn det annenhver gang helt til de finner det 2. passordet også.

 

Men kan ikke det problemet løses ved å skjule at en fant rett 1. passord?

 

F.eks. ved at det bare står "tast passord", og at en ikke får noen bekreftelse på at det første passordet var rett?

 

Vil ikke dette løse brute force angrep problemer, eller i det minste gjøre at angrepet tar x ganger så lang tid?

[nets]

God ide, men tenk også på brukervenligheten.

 

Spørsmålet er jo om det er et problem fra før? If it aint broken dont fix it

[zicoz]

Tja, brukervennligheten er vel ikke allverden, bør da være fullt mulig å huske to passord, og når en klarer å taste inn ett passord rett så bør en klare to også. Om en får feil etter å ha tastet inn det første andre starter en bare på nytt.

 

Greit nok at dette ikke er noe passende for "hvermannsen", men for la oss si de som trenger ett hakk høyere sikkerhet er det vel en enkel løsning.

 

Men er det i det hele tatt mulig å holde hvilket passord en skal taste inn godt nok skjult?

Endret 4. oktober 2007 av zicoz

[karakas]

Aner ikke, kan ikke så mye om programering, bare kom på dette "i de sene timer"

[toretors]

Er jo ingen forskjell om du må taste inn 4 siffer i to bokser eller 8 siffer i en boks. For å beskytte mot bruteforce-angrep kan du jo sette opp en captcha og begrensing på antall feil innloggingsforsøk.

 

Her er en oversikt over ca. hvor lang tid det tar å cracke forskjellige typer passord.

http://www.lockdown.co.uk/?pg=combi&s=articles

Endret 4. oktober 2007 av toretors

[karakas]

Det jeg foreslår er litt vanskelig å beskrive, så om du ikke har forstått hva jeg mener så er det forståelig, men det er ikke bare snakk om å måtte skrive inn to "4 tegn to ganger", men å måtte taste inn to riktige passord etter hverandre uten å taste inn feil passord mellom, om du taster inn noe feil imellom så blir en sendt tilbake til start, og om en da ikke vet at en har tastet inn rett passord allerede, men at en tastet feil på det andre passordet så vil han fortsette å gjette på nye passord uten å vite at han allerede har pasert løsningen.

 

Men om det er mulig å skjule det er en annen sak.

 

Da vil det jo ta mye lenger tid å lete etter to rette passord på 4 tegn enn ett på 8.

Endret 4. oktober 2007 av karakas

[Hobbyhorse73]

Da vil det jo ta mye lenger tid å lete etter to rette passord på 4 tegn enn ett på 8.

 

Dette stemmer ikke. Hvis man opererer kun med tall, så er faktaene slik:

4 tall gir 10^4 muligheter som er 10.000 kombinasjoner.

8 tall gir 10^8 muligheter som er 100.000.000 kombinasjoner.

 

Dersom man bruker 1 time på å teste 10.000 kombinasjoner,

så vil man bruke 2 timer på å teste 20.000 kombinasjoner.

 

Og søker man 2 ganger etter 4 tall, så vil dette ta 2 timer.

 

For 8 tall, vil man med samme faktorene bruke 10.000 timer for å teste de 100.000.000 kombinasjonene.

[karakas]

Som sagt, så stemmer matematikken om du bare leser deler av innlegget, men når man legger inn den faktiske endringen som jeg foreslår (om det er mulig) så gjelder ikke den matematikken du her legger frem.

 

Om det jeg foreslår er mulig, så blir som å kjøre på en veg du prøver deg frem avkjørsel etter avkjørsel, og etter 9999999 forsøk så finner du den rette avkjørselen, da kommer du inn på en ny veg med like mange avkjørsler som den forrige (men du vet ikke at du er inne på en ny veg med nye avkjørsler.)

 

Når du kjører langs denne nye vegen så MÅ du treffe rett på første forsøk, om du ikke gjør det så havner du tilbake på den første vegen.

 

Når du kjører ut på denne vegen så fortsetter du med å prøve avkjørsel 10000000, dette er feil avkjørsel, og du havner tilbake på den forrige vegen uten å vite det. Du fortsetter nå videre og prøver med avkjørsel 10000001, 10000002, 10000003 osv osv. Men da vil du altså ikke komme noen veg pga at du har kjørt forbi den rette avkjørselen.

 

Og da min venn blir matematikken totalt unyttig og feil

Endret 9. oktober 2007 av karakas

[simen_k]

Så lenge du holder deg til både små og store bokstaver, tall og evt spesialtegn, så er det utrolig hvor vanskelig passordet ditt er å knekke altså

[Hobbyhorse73]

Og da min venn blir matematikken totalt unyttig og feil

 

Oki. Jeg missforstod, eller tenkte annerledes enn du på det du skrev. Kommer tilbake med mine meninger når jeg er ferdig med å tenkte.

[karakas]

Er litt vanskelig å forklare hva jeg mener

[simen_k]

Fiffig det der karakas!

 

Jeg skjønner tankegangen, men det er noe jeg ikke er helt sikker på.

Passordet som brukeren lager i windows bli kryptert som en LM hash og en NT hash i Security Account Manager (SAM) som en systemfil. NT hash'en er en rimelig kraftig kryptering, mens LM er ikke det. Man kan jo alltids få dratt ut LM hash-koden ut av SAM-filen, og et av de kjente svakhetene med LM HASH er at et passord på mer enn 7 tegn bli delt opp i to deler, og hver av dem har hver sin hash. Disse krypterte delene kan derfor knekkes individuelt. Er det under selve kodeknekkingen, enten det er brute force eller liknende, at man skal bli sendt til starten hvis maskinen "gjetter" feil på neste forsøk?

Eller er det sånn at brukeren blir sendt til starten hvis han gjetter feil?

 

Må bare forsikre meg om at jeg har skjønte det her

[karakas]

Som sagt så har ikke jeg noen inngående kunnskap i passordsikkerhet, var bare en tanke som slo meg i de tidlige nattetimer.

 

Tenkte at alle som taster feil 2. passord sendes tilbake til start ja, både bruker og en eventuell angriper.

 

Altså det går greit å gjette på 1. passordet, men på det andre så MÅ en treffe på første for ikke å bli sendt tilbake til start.

 

Samtidig er det (om det er mulig) helt skjult for både en eventuell bruker og for programmer/maskiner hvilket passord man skal taste inn. Dette kan selvfølgelig by på litt småirritasjon, men det får en leve med.

[simen_k]

Smart

[karakas]

Takk, men som sagt så har ikke jeg noe innsikt i hvordan passord og bruteforce virker, så er mulig det ikke er mulig, eller at det har noen åpenbare svakhete

Endret 14. oktober 2007 av karakas

[Milktea]

Godt mulig jeg har misforstått hva du egentlig mener nå, men jeg tror ikke to passord på 5 bokstaver er noe sikrere enn ett på 10.

 

Bruteforce virker jo slik at det bare går gjennom alle mulige kombinasjoner. I bunn og grunn må det da bli det samme om brute force-programmet prøver passord "abcdefghij" etterfulgt av "abcdefghik" eller "abcde fghij" etterfulgt av "abcde fghik". I et passord på 10 tegn vil programmet bare komme frem til riktig kombinasjon én gang, og har det funnet fem av tegnene vil det ikke kunne vite det før programmet har prøvd seg frem med de siste fem heller.

[simen_k]

Godt mulig jeg har misforstått hva du egentlig mener nå, men jeg tror ikke to passord på 5 bokstaver er noe sikrere enn ett på 10.

Det er sant, men som jeg har skjønt det, så mener han to passord på 10 tegn i steden for ett passord på 10 tegn

[karakas]

Godt mulig jeg har misforstått hva du egentlig mener nå, men jeg tror ikke to passord på 5 bokstaver er noe sikrere enn ett på 10.

 

Bruteforce virker jo slik at det bare går gjennom alle mulige kombinasjoner. I bunn og grunn må det da bli det samme om brute force-programmet prøver passord "abcdefghij" etterfulgt av "abcdefghik" eller "abcde fghij" etterfulgt av "abcde fghik". I et passord på 10 tegn vil programmet bare komme frem til riktig kombinasjon én gang, og har det funnet fem av tegnene vil det ikke kunne vite det før programmet har prøvd seg frem med de siste fem heller.

 

Det der er greit nok det, men som sagt så går mitt forslag på mer enn bare å ha to passord, en må taste inn de to passordene rett etter hverandre også, og da vil det i teorien (ihvertfall i min forenklede teori) vere mer sikkerhet i to passord med 3 tegn enn ett med 100 tegn, ihvertfall om vi går ut ifra at bruteforce angrepet starter på a og slutter på ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ

ZZZZZZZZZ (tror det skal være 100 Z'er der )

 

Om jeg f.eks. har DEF som første passord og ABC som andrepassord så vil ett bruteforceangrep som starter med ABC og fortsetter med BCD, CDE, DEF "aldri" finne den rette kombinasjonen. Men den vil derimot finne Z(x100)

Endret 17. oktober 2007 av karakas

[simen_k]

Nå ble jeg plutselig ikke med lengre!

 

tror jeg avslutter mitt kapittel i denne tråden før jeg får vondt i hue

 

og da mener jeg meg selv, ingen andre!

[Milktea]

(...)

Om jeg f.eks. har DEF som første passord og ABC som andrepassord så vil ett bruteforceangrep som starter med ABC og fortsetter med BCD, CDE, DEF "aldri" finne den rette kombinasjonen. Men den vil derimot finne Z(x100)

 

Den der kan jeg ikke si meg med på. Bruteforce-programmet vil gå gjennom ALLE mulige kombinasjoner. Dette innbærer at den vil gå gjennom DEFABC enten det skrives i ett eller to ord.

 

Se for deg at den har gått fra AAA, BAA, CAA osv. helt til DAA og så til DEF i det første feltet. Da vil den prøve alle 29^3 kombinasjonene (A-Z) i det andre passordet etterpå med DEF som første passord. Dette vil den gjøre for alle de 29^3 kombinasjonene av det første passordet! Har den kommet til punktet der den søker etter DEF*** vil den først prøve DEFAAA, DEFAAB, og så videre, helt den kommer frem til det riktige, DEFABC.

 

Matematisk sett vil to passord på tre bokstaver tilsvare 29^3 * 29^3, altså 594823321 kombinasjoner.

 

29^6, et passord på 6 tegn, er 594823321, altså nøyaktig det samme!

 

Derimot, et passord på 100 tegn vil tilsvare 29^100, altså 1,737E146.