Vinnaren i pepparkakshustävlingen!
2018-04-14, 13:32
  #109
Medlem
sinewaves avatar
Citat:
Ursprungligen postat av /Nisse_Hult
Då ursprungsfrågan rör säkra lösenord så vill jag passa på att påpeka att det FINNS en metod för att skapa säkra lösenord som dessutom är både lätta att komma ihåg och att skriva in!

Du börjar med att hitta på en mening med minst 8 ord, och skriver in 1:a tecknet i varje ord som lösenord.

OBS! Använd alltid stor bokstav för namn, 1:a ordet osv. enligt gängse skrivrutiner!
T.ex. så bildar meningen: ”Min katt Misse har svart och vit päls” lösenordet: MkMhsovp eller MkMhs&vp.

På detta sätt skapar du ett STARKT lösenord (som inte finns i ordlistor eller är lätta att gissa sig till) och metoden är så busenkel att t.o.m. små barn kan använda metoden för sina lösenord!
En ytterligare fördel är att ifall någon ser dig skriva in lösenordet "över axeln" på dig så blir det svårare för dom att komma ihåg vad du skrev!

Du kan då t.o.m. skriva ned stödord på en lapp, i mobilen etc. (Katt, färg, päls)
På så sätt har du även en backup till minnet ifall ni glömmer vilket lösenord ni skapat!

Ett lösenord på 8 tecken bör knappast anses som säkert. För en brute-force attack spelar det ingen som helst roll att det är lätt att komma ihåg eller att du alternerar det pyttelite som du gör i dina exempel.

Mitt exempel med 3 olika språk och med stavfel samt specialtecken var på över 16 tecken, betydligt säkrare förutsatt att inte den som knäcker det alltså sitter och kör lösenordet mot 3 ordlistor och dessutom, utöver detta, tar med felstavningar för alla dessa språk osv.

Så:
Blau dog äter glazz!

...och liknande är betydligt säkrare än "MkMhsovp" av ganska uppenbara skäl.

För detta kan man annars med enkelhet använda sig av t ex:
https://howsecureismypassword.net/

Visst testar denna endast ren brute-force, men det ger ändå något av en fingervisning för vanliga användare. Om vi spekulerar kan vi trots allt tänka oss att en "dictionary attack" knappast kommer bestå av 3 olika ordböcker samt felstavningar ovanpå det. Visst kan det ske (allt kan ske, jorden kan teoretiskt gå under imorgon osv), men om vi ska hålla det hela på någon typ av rimlig nivå så...

Men du får gärna berätta för mig och övertyga mig om att jag har fel och att alternativet som du anger alltså är att betrakta som ett säkrare än alternativ än t ex "Blau dog äter glazz!"

Just denna typ av lösenord är för övrigt något jag själv rekommenderar. Det hela är relativt enkelt; ta något som finns "nära" och kasta på lite udda saker ovanpå det eller dylikt samt stava medvetet fel på ett sätt som är lätt för *dig* att minnas. Just "Blå hund äter glass" är ur detta perspektiv faktiskt inte så tokigt att ha som en bas för detta.

Detta förutsätter givetvis, och detta kan inte sägas nog, att man faktiskt ocskå gör denna obfuskering som jag talar om. Precis som du själv säger är annars personliga ord på dessa vis ganska osäkra (pga problematiken med folks i ens närhet).
__________________
Senast redigerad av sinewave 2018-04-14 kl. 13:42.
Citera
2018-04-14, 15:00
  #110
Medlem
Sinewave har väldigt mycket rätt i det han säger.
Citera
2018-04-17, 08:56
  #111
Medlem
/Nisse_Hults avatar
"Men du får gärna berätta för mig och övertyga mig om att jag har fel och att alternativet som du anger alltså är att betrakta som ett säkrare än alternativ än t ex "Blau dog äter glazz!"

Jag vet inte hur många gånger jag skall förklara samma sak..
efter drygt 20år med tät kontakt med "vanliga" användare och privatpersoner så är min erfarenhet att sk. säkerhetsexperter kan svamla på om vad som är världens säkraste lösenord etc. hur mycket de vill.

Användare provar ett mer komplext lösenord, glömmer snart bort det och byter då tillbaka till sitt barns, hustrus eller liknande namn som lösenord.. (och om det borde ALLA vara överrens om att det är det sämsta som finns, och det första närstående testar...)

De vill inte skriva in dussintals tecken etc. sådan är verkligheten, en verklighet som "experter" självutmämnda eller ej inte tycks ta till sig...

Allt som de faktiskt kan använda och som inte är en närståendes namn, deras bilmärke, husdjurs namn etc. är i realiteten långt mycket säkrare än det de använder när experternas supersäkra lösenord dissas.
Citera
2018-04-23, 08:43
  #112
Medlem
Skattebrotts avatar
Citat:
Ursprungligen postat av felfiol
Det har jag nämligen hört flera gånger. Ändå envisas många med att kräva lösen av den krångliga typen.

Det beror på hur tjänstens hantering av lösenord är programmerad. Är den mindre avancerad kan man eventuellt genom en dictionary assisted brute force attack snabbare gissa sig fram till "blåhundäterglass" än det mer random lösenordet. Detta gäller dock främst i praktiken. Programmerare brukar inte lägga ner så mycket energi på finlir såsom att kombinera ord så att de bildar kompletta meningar av den där typen.

Men tar man praktiska omständigheter vågar jag påstå att blåhundäterglass faktiskt är SÄKRARE på grund av att risken att det svårare lösenordet måste nedtecknas är större, och nedtecknade lösenord hamnar lättare i orätta händer än vad lösenord gör som enbart finns i användarens minne.

Den allra mest osäkra typen av lösenord är såna som dikterar "du måste ha minst 2 stora och minst 3 små bokstäver och minst 4 skiljetecken", eftersom man då med mindre sannolikhet kan använda sitt vanliga lösenord, utan måste hitta på ett helt nytt, som då sannolikt måste nedtecknas, typ på en post-it-lapp på skärmen...
Citera
2018-04-23, 08:50
  #113
Medlem
Skattebrotts avatar
Citat:
Ursprungligen postat av sinewave
Ett lösenord på 8 tecken bör knappast anses som säkert.

Det beror på också på i vilken takt som tjänsten tillåter att folk provar lösenord. Har tjänsten en paus på 1 timme för de som försökt med fel pw säg 5 gånger, kan så lite som 5 tecken räcka för att anses säkert.

Citat:
För en brute-force attack spelar det ingen som helst roll att det är lätt att komma ihåg eller att du alternerar det pyttelite som du gör i dina exempel.

Jo, om lösenordet sparas hashat och saltat.
Citera
2018-04-23, 09:04
  #114
Medlem
Skattebrotts avatar
Citat:
Ursprungligen postat av 13120dde
NIST menar att det bästa alternativet för att stärka sina lösenord är att fokusera på längden i första hand och rekommenderar en minsta längd på 14 tecken. NIST rekommenderar även att användare ska kunna använda alla unicode tecken samt blankspace fast det är mer riktad till hur systemet är uppbyggd.

Det är sant att om RÅDET TILL TJÄNSTEUTVECKLARE är att kräva 14 tecken långa lösenord, så blir tjänsten säkrast.

Detta implicerar dock inte att RÅDET TILL ANVÄNDARE måste vara att ha långa och krångliga lösenord för att man ska vara säker. I VISSA fall kan rentav "hej123" vara väldigt säkert.
Citera
2018-04-23, 11:13
  #115
Medlem
sinewaves avatar
Citat:
Ursprungligen postat av /Nisse_Hult
"Men du får gärna berätta för mig och övertyga mig om att jag har fel och att alternativet som du anger alltså är att betrakta som ett säkrare än alternativ än t ex "Blau dog äter glazz!"

Jag vet inte hur många gånger jag skall förklara samma sak..
efter drygt 20år med tät kontakt med "vanliga" användare och privatpersoner så är min erfarenhet att sk. säkerhetsexperter kan svamla på om vad som är världens säkraste lösenord etc. hur mycket de vill.

Användare provar ett mer komplext lösenord, glömmer snart bort det och byter då tillbaka till sitt barns, hustrus eller liknande namn som lösenord.. (och om det borde ALLA vara överrens om att det är det sämsta som finns, och det första närstående testar...)

De vill inte skriva in dussintals tecken etc. sådan är verkligheten, en verklighet som "experter" självutmämnda eller ej inte tycks ta till sig...

Allt som de faktiskt kan använda och som inte är en närståendes namn, deras bilmärke, husdjurs namn etc. är i realiteten långt mycket säkrare än det de använder när experternas supersäkra lösenord dissas.

"Jag vet inte hur många gånger jag skall förklara samma sak..
efter drygt 20år med tät kontakt med "vanliga" användare och privatpersoner så är min erfarenhet att sk. säkerhetsexperter kan svamla på om vad som är världens säkraste lösenord etc. hur mycket de vill."

Minst 3 gånger till. :)

Jag är dock inte att betrakta som en säkerhetsexpert då mina kunskaper kring bruteforcing och olika typer av saker som möjligen drar mer åt hållet "blackhat" är relativt begränsade. Jag har t ex ingen burk som dual-bootar Kali eler något sådant. Jag förstår dock vad du menar; att man givetvis också bör ta in faktorn "vanligt folk" (eller "Nisse i Hökarängen"). Det håller jag helt med dig om.

Att jag överhuvudtaget skriver i den här tråden är just pga möten med sk. "säkerhetsexperter" som i regel sätter fullständig idiotiska lösenord som endast är svåra till omöjliga att komma ihåg för användarna och som därav leder till att dessa på olika vis måste skrivas ned. Gärna lösenord som är sönderobfuskerade på ett sätt som en maskin helt struntar i men som försvårar för användaren och i princip tvingar dessa att skriva ned dessa. En typ av "anti-pattern" när det kommer till att sätta lösenord precis som det redan tagits upp i tråden. Typexempel på lösenord är t ex sådana där man byter ut "i" mot 1:or och "a" mot 4:or vilket gör det så knepigt att lösenordet sedan måste hållas mycket kort. Typexempel: 1234fl4shb4ck (1234flashback).

Du har fortfarande inte förklarat hur ett par enkla ord och en felstavning och något "roligt" är ett sämre lösenord generellt sett än ett på endast 8 tecken som dessutom har hela 8 ord man behöver komma ihåg. Min obfuskering av "Blå hund äter glass" var trots allt endast 4 ord och jag har lite svårt att förstå hur du då alltså menar att ett lösenord på hela 8 ord skulle vara enklare att komma ihåg och att skriva?(!) Det förfaller direkt ologiskt då det är allmänt erkänt att det är enklare att komma ihåg färre ord än fler.

Så den enkla rekommendationen:
1. Använd ett par ord
2. Stava fel eller byt ut något av orden till ett annat språk
3. Inkludera minst 1 specialtecken som "!" eller "@" eller t om punkt; "."

...bör i allmänhet ge betydligt bättre lönseord än:
1. Använd minst 8 ord
2. Använd sedan början av varje ord som ditt lösenord

En annan viktig faktor folk i regel brukar strunta i är att lösenordet alltså ska gå att knappa in utan att man får hjärnblödning pga udda tecken och konstiga bokstavskombinationer. Du måste också tänka på att om du säger "ta ett par ord och gör detta till ett lösenord" så är risken överhängande att man får folk som använder sig av lösenord under 6 tecken. Detta blir i princip omöjligt om man ber folk använda ett par ord (utan att korta ned dessa) då det överhuvudtaget, på det svenska språket, är svårt att ha ett lösenord på ett par ord som är under 10 tecken. Något fullständigt idiotiskt typ "ål är öl" ger fortfarande 8 tecken, men då har vi verkligen koncentrerat oss på att också ta de kortaste orden vi kan hitta. Om istället skriver "ål gillar öl." är vi helt plötsligt uppe på 13 tecken.

Ett annat hett tips är annars att ta med egennamn i lösenord eller förkortningar av olika slag då många av dessa i regel inte finns med i ordlistor:

hunden kali äter glass! (23 tecken)
Robban cyklar in teh öland! (27 tecken)
Katja kokar öring på grillen. (29 tecken)
Stefan är en bergsget. (22 tecken)
Svante gillar öl och sprit. (27 tecken)
Christer äter klister. (22 tecken)

T ex det väldigt enkla "Katja kokar öring på grillen." skulle ta en ren bruteforce-attack 13 Quatttuor-decillion år * vilket är långt över tiden som universum har existerat (efter "Big Bang" som enligt nuvarande beräkningar inträffade för 13.8 biljarder år sedan). Det gör att det hela dessutom är att betrakta som relativt framtidssäkert; även om datorer blir bättre (kvantdatorer osv) kommer det fortfarande vara en svår nöt att knäcka. Och detta för ett lösenord som trots allt är att betrakta som nästan löjeväckande enkelt.

"Kköpg.", förkortningen av det hela, tar däremot 8 minuter *. Något kortare än universums livslängd.

På tal om "folk sätter deras barns namn osv" så fungerar ju även detta utmärkt (pga egennamn osv) med denna typ av oerhört enkla format: <mitt barns namn> <gör/vill/är> <något roligt/egenskap>

Vilket t ex blir:
Sandra vill äta sten! (21 tecken)
Sandra föddes 1995! (19 tecken)
Peter föddes på bb 1978! (24 tecken)
Nisse bor i Hökarängen! (23 tecken)
Vi är familjen åkerlund. (24 tecken)
Pappa hjalmar föddes 1969! (26 tecken)

* enligt https://howsecureismypassword.net/
Citera
2018-04-23, 11:25
  #116
Medlem
sinewaves avatar
Citat:
Ursprungligen postat av Skattebrott
Det beror på också på i vilken takt som tjänsten tillåter att folk provar lösenord. Har tjänsten en paus på 1 timme för de som försökt med fel pw säg 5 gånger, kan så lite som 5 tecken räcka för att anses säkert.



Jo, om lösenordet sparas hashat och saltat.

Och detta vet du, och framförallt icke-vetande användarna, på förhand? Du kan inte utgå från ett "best case", i sådana fall spelar detta med lösenord väldigt liten roll. Ett oerhört märkligt sett att se på saken då det utgår från att alla tjänster är säkra. Men visst -- om du kan garantera att det faktiskt förhåller sig så för alla tjänster på hela internet så blir denna diskussion givetvis helt onödig.
Citera
2018-04-23, 17:58
  #117
Medlem
Citat:
Ursprungligen postat av sinewave
Och detta vet du, och framförallt icke-vetande användarna, på förhand? Du kan inte utgå från ett "best case", i sådana fall spelar detta med lösenord väldigt liten roll. Ett oerhört märkligt sett att se på saken då det utgår från att alla tjänster är säkra. Men visst -- om du kan garantera att det faktiskt förhåller sig så för alla tjänster på hela internet så blir denna diskussion givetvis helt onödig.
Har du ett typexempel på en VIKTIG tjänst som INTE har skydd mot brute force attacker online?
För som jag sagt tidigare i tråden så skall man ha OLIKA lösenord till olika tjänster.

Om du nu vill dela upp det i sektorer så går det också bra. Till exempel...

Temporära e-post konton: "sugminballe"
Forum och dylikt som jag bryr mig sådär om: "röfslickarebertil"
Tjänster med lite känsligare information: "gå and sueg scrutum din daggsmask"
Ekonomiska tjänster som paypal osv: "Ich är 4in3 B3rl1n32, just like JFK! 100%"
Citera
2018-04-24, 00:20
  #118
Medlem
Skattebrotts avatar
Citat:
Ursprungligen postat av sinewave
Och detta vet du, och framförallt icke-vetande användarna, på förhand? Du kan inte utgå från ett "best case", i sådana fall spelar detta med lösenord väldigt liten roll. Ett oerhört märkligt sett att se på saken då det utgår från att alla tjänster är säkra. Men visst -- om du kan garantera att det faktiskt förhåller sig så för alla tjänster på hela internet så blir denna diskussion givetvis helt onödig.

Jag har inte påstått att man vet eller inte vet det. Jag påpekade bara att detta kan vara en faktor. Huruvida det faktiskt är en faktor i ett givet fall X, kan vi inte veta förrän du beskriver det exakta fall vi ska diskutera.

Om man har hela natten på sig att dyrka ett hänglås, så behöver hänglåset vara säkrare än om det är placerat med sådan uppsikt att potentiella angripare sällan är ensamma med hänglåset mer än 10 sekunder.

Om vi inte ska diskutera specifika fall alls utan bara kläcka ur oss snusförnuftiga påståenden om säkerhet, så kan jag lika gärna säga "använd inte teknik alls", då har jag mitt på det torra (vilket verkar vara det viktiga i Sverige).
Citera
2018-04-24, 02:18
  #119
Medlem
sinewaves avatar
Citat:
Ursprungligen postat av Skattebrott
Jag har inte påstått att man vet eller inte vet det. Jag påpekade bara att detta kan vara en faktor. Huruvida det faktiskt är en faktor i ett givet fall X, kan vi inte veta förrän du beskriver det exakta fall vi ska diskutera.

Om man har hela natten på sig att dyrka ett hänglås, så behöver hänglåset vara säkrare än om det är placerat med sådan uppsikt att potentiella angripare sällan är ensamma med hänglåset mer än 10 sekunder.

Om vi inte ska diskutera specifika fall alls utan bara kläcka ur oss snusförnuftiga påståenden om säkerhet, så kan jag lika gärna säga "använd inte teknik alls", då har jag mitt på det torra (vilket verkar vara det viktiga i Sverige).

Min fetning.

Men då vi inte vet vilka parametrar som spelar in är det väl ändå rimligt att anta att vi siktar mot att försäkra oss mot att parametern "säkerhet" i detta fall är dålig? Varför vill du, eller menar du, att vi ska behandla det hela som om det vore tvärt om?

Du kan inte be mig om ett specifika parametrar då alla parametrar, system, jag skulle säga kan vara helt irrelevanta för användaren a, b, c .. q ... a1 .. b2 ..a22 ... q^4231. Alltså förefaller det orimligt att förutsätta A, B eller C.

I detta fallet blir det inte en faktor då det som diskuteras är säkra lösenord i allmänhet. Inte i specifika fall för system A, B eller C där detta mycket väl kan vara en faktor. Det bör dock inte vara det då tänket att "det går fint med värdelösa lösenord" verkar tämligen idiotiskt att ha av uppenbara skäl.

Alternativt förstår jag inte vad du pratar om då jag spenderat merparten av dagen/natten åt att skriva olika algoritmer.
Citera
2018-04-24, 04:23
  #120
Medlem
Och fortfarande, om ditt lösenord är omöjligt att knäcka under hela universums existens med hela universums datorkraft så spelar det NOLL roll om sidan som du har lösenordet till blir hackad/social engineerad/såld/tagen med våld. Då skyddar ditt lösenord exakt noll eftersom datan som ditt lösenord skall skydda INTE är krypterad.
Citera

Stöd Flashback

Flashback finansieras genom donationer från våra medlemmar och besökare. Det är med hjälp av dig vi kan fortsätta erbjuda en fri samhällsdebatt. Tack för ditt stöd!

Stöd Flashback