Gå til innhold

Hvorfor ikke bare ha dobbelpassord?

karakas

Av karakas
i IKT-drift og sikkerhet

Anbefalte innlegg

karakas

karakas

Skrevet
  • Forfatter
Skrevet

Som sagt tidligere, så gjelder ikke den matematikken om den må treffe rett to ganger på rad og programmet ikke vet når den traff rett på den første.

 

BF gjetter og gjetter, og finner til slutt det første passordet, DEF, men BF vet ikke at den har funnet riktig passord, og fortsetter så å gjette videre med DEG DEH osv, og vil da fortsette hele vegen opp til Zx100 uten å komme inn, om passordet da hadde vert Zx100, så hadde den funnet det passordet før DEF ABC.

Lenke til kommentar

Videoannonse

Videoannonse
Annonse
Milktea

Milktea

Skrevet
Skrevet

Men slik som jeg igjen har forklart tidligere vil ikke bruteforce hoppe fra "DEF DEH" til "DEG DEH" (eller "DEG DEG" om det er det du mener). Den vil gå til fra "DEF DEH" til "DEF DEI". Det spiller ingen rolle om programmet ikke vet at "DEF ABA" er mer riktig enn "DEG ABA", for det vil kjøre gjennom alle mulige kombinasjoner uansett!

 

Når jeg tenker meg om kan jeg nok si meg enig i at det vil være vanskeligere å gjette seg frem til passordene om de har ulik lengde, for da skiller serveren mellom "AB CDEF" og "ABC DEF". I ett passord ville dette vært "ABCDEF" uansett, så sånn sett tror jeg to passord virker bedre enn ett med (antall muligheter)^x der x tilsvarer antall tegn i passordet. Men dersom passordet bare "deles" på midten, to like lange passord, tror jeg nok ikke det gjør noen forskjell for programmet.

 

Forresten, Z*100 er et dårlig passord uansett hvordan du ser på det. Brute force-programmer prioriterer gjerne passord med like bokstaver og slik. Så spørs det hvilke tjenester som tillater et passord med 100 tegn da!

Lenke til kommentar
atrax

atrax

Skrevet
Skrevet (endret)

Si at du har to passord, begge med tre bokstaver, og du har 29 bokstaver til rådighet (ser altså bort fra forskjellen på store og små bokstaver). Du må først gjette det første passordet, og der har du 29^3 forskjellige kombinasjoner. Tilsvarende for det andre passordet: 29^3

 

Da må du prøve 29^3 * 29^3 for å dekke alle mulighetene. Dette er det samme som 29^6, og som du skjønner, er det også mulighetene for ett passord med 6 bokstaver.

 

Det eneste som to eller flere passord vil gjøre, er å redusere brukervennligheten. Hvis poenget ditt var at det skulle ta lenger tid mellom hvert forsøk, så er det jo bare å legge inn en tvungen forsinkelse mellom hvert forsøk. Og den har andre allerede oppfunnet.

Endret av atrax
Lenke til kommentar
Milktea

Milktea

Skrevet
Skrevet

Når det er snakk om å tilby flere passord i varierende lenger er det klart at dette selvfølgelig økter sikkerheten, det tror jeg ingen vil si deg imot. Baksiden er at det er vanskelig å huske på.

 

Dersom man allerede tilbyr brukeren å lage passord med store og små bokstaver, tall og tegn og tillater en fornufig lengde i tillegg vil selv de kraftigste maskinene som finnes bruke årevis på å finne passordet ditt. De fleste som driver med brute force gidder ikke engang prøve dersom passordet kan bestå av nesten 100 forskjellige tegn og er mer enn 8 bokstaver, det tar rett og slett for lang tid. Setter man en tidsbegrensning på f. eks. 10 sekunder per innlogging vil det praktisk talt ta en evighet før passordene blir funnet.

Lenke til kommentar
atrax

atrax

Skrevet
Skrevet

Greia er at om du har to korte passord eller ett langt, vil det gi samme antall muligheter (forutsatt at de to korte til sammen består av like mange tegn som det lange). Du kan selvfølgelig ha to lange passord, men hvorfor ikke bare ha ett ekstra langt passord da?

Lenke til kommentar
karakas

karakas

Skrevet
  • Forfatter
Skrevet
Men slik som jeg igjen har forklart tidligere vil ikke bruteforce hoppe fra "DEF DEH" til "DEG DEH" (eller "DEG DEG" om det er det du mener). Den vil gå til fra "DEF DEH" til "DEF DEI". Det spiller ingen rolle om programmet ikke vet at "DEF ABA" er mer riktig enn "DEG ABA", for det vil kjøre gjennom alle mulige kombinasjoner uansett!

 

Forresten, Z*100 er et dårlig passord uansett hvordan du ser på det. Brute force-programmer prioriterer gjerne passord med like bokstaver og slik. Så spørs det hvilke tjenester som tillater et passord med 100 tegn da!

 

Men når BF ikke vet at det er to passord der, så vil den ikke søk DEF ABA, DEF ABB, DEF ABC, da vil den søke først på DEF, DEG, DEH osv og senere DEFABA, DEFABB, DEFABC. Den vil da IKKE finne DEF ABC.

 

Og Z*100 var også bare ett eksempel for å vise ett poeng, men det skjønte du nok :)

Lenke til kommentar
atrax

atrax

Skrevet
Skrevet

Hackeren som tar i bruk et "brute force"-program, forteller det selvfølgelig at det er to (eller flere passord). Jeg forstår ikke helt hvordan du tenker. BF-programmer jobber ikke på egenhånd, og skanner nettet for steder de kan putte inn passord, og så fiser ut store mengder forslag til de endelig finner det rette ...

Lenke til kommentar
VirtualBox

VirtualBox

Skrevet
Skrevet

En grei måte å lage gode passord på er å hashe passordet som du husker og så bruke hashen som det "reelle" passordet.

 

Har du nett-tilgang, kan du gå til f.eks. http://www.movable-type.co.uk/scripts/sha1.html . Husk at Ctrl+C (copy) lagres i minnet til du sletter det selv (men sjekk Passwordsafe fra Bruce Schneier, som sletter minnet etter passordet er brukt).

 

I Debian-systemer (f.eks Ubuntu) kan du kjøre hashalot fra kommandolinjen og velge mellom et uttall av algoritmer.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...