Passwords vs passphrases?

Börjar se mer och mer på internet numera angående lösenord vs lösenfraser(?), där det senare skulle vara mycket säkrare. Braxman säger samma sak i den här videon: https://www.youtube.com/watch?v=6R1DfG8HiCs

Så vad säger experterna? Har även sett artiklar om Diceware, KeePassXC, Keeper och liknande som kan skapa lösenfraser(?) med olika längder. Såg även någon video som påpekade att man även kunde lägga till någon siffra vid vissa av orden i frasen för att ytterligare försvåra allting.

Så är passphrases det nya för att låsa ner LUKS2 stenhårt, eller vad finns det annars som inte statliga aktörer, kvantdatorer eller annan skit rår på?

En tumregel är väl att det längsta lösenordet är det bästa.

Passphrases är ofta längre

Blir du hackad betyder det inget. Men ja det kan ha en mening. Om du har ett lösen som du är betrodd med. Lägg till typ !Ac på slutet av det. Det multiplicerar detta med att bli icke hackad 3 ggr. Det är ju något iaf.

Att jag ens en okänd nämner det. Blir ju ytterligare plus. Någon en jävul inte kan fundera till.

Sedan iofs frukar jag !Ac är det enkla när man måste skriva specialtecken och stor bokstav. Så helt random blir J/r

Ett stort plus är att skriva upp detta. Man har ju blivit dösur mer än en gång att man varit smart och skapat ett skitsvårt lösenord, sedan har man själv inte minns det och inte kunnat logga in...

Orkar inte se klippet, men längre är bättre.
Gamla tipset minst 8 tecken, minst en stor och en liten bokstav, en siffra och ett specialtecken ger, vid en längd på 8 tecken ca* (26+26+10+15)^8=1,236×10¹⁵ kombinationer. Öka till nio tecken så får du 77 gånger så många kombinationer och svårare att komma ihåg lösenordet.

Använder du bara små bokstäver och lyckas komma ihåg en mening på 32 tecken så har du 32^26=1,361×10³⁹ kombinationer och du får 26 fler för varje bokstav du lägger till.

Även om du bara använder små bokstäver så behöver inte den som gissar veta det, vilket innebär att fler kombinationer behöver testas. Och man ska givetvis inte använda något uppenbart lösenord. Så 30+cmSlak är ett dåligt lösenord till Flashbackkontot.

* Jag hoppade över åäö och nöjde mig med 15 specialtecken.

Och bara för att ge lite perspektiv så är 8 tecken något som en dator knäcker på några timmar. https://www.security.org/how-secure-is-my-password/

En hyfsad kompromiss mellan återanvändning och unika lösenord är att ha en sträng, säg till exempel vM42&/ och så slänger du bara på den i början eller i slutet på ett hyfsat annat lösenord. Så ett lösenord kan då vara hejhoppdittfettovM42&/ och ett annat gillarintesnusispritvM42&/

Gammal myt att konstiga tecken skulle öka säkerheten. I verkligheten är ett enda långt ord, passphrase, överlägset. Men gamla vanor sitter i.


mengamlavanorsitteritrotsattlångaordärbäst

är det 2005 eller, man har 2 verifierings- inte nåt jäkla lösenord. Är du orolig att nån ska stjäla ditt myspace konto?

Om man jämför en 30 tecken lång lösenfras uppbyggd med 5 riktiga ord och ett lösenord med 30 helt slumpmässiga tecken, är det senare mycket svårare att knäcka maskinellt. Men tanken är väl att det är så pass lätt att komma ihåg en sådan lösenfras att folk faktiskt kan göra det utan att behöva skriva upp den eller lagra den på något potentiellt sårbart ställe, samtidigt som den ändå har tillräckligt många möjliga kombinationer för att vara svårknäckt i praktiken. Om man tänker på vilket faktiskt beteende en rekommendation ger kan därför lösenfrasen vara att föredra. Klassisk xkcd-strip i ämnet:

https://xkcd.com/936

Kvantdatorer ändrar inte på detta utan handlar mer om att höja tröskeln för vad som kan anses som säkra lösenord/lösenfraser. Statliga aktörer har ofta möjligheter att komma runt kryptografisk säkerhet genom att utnyttja någon annan svag punkt i systemen, som möjlighet till infiltration av företag och organisationer som har tillgång till känsligt nyckelmaterial. Exempel: Det gamla 2G-systemet för mobiltelefoni använde kryptering mellan telefon och basstation som kryptografiskt var rätt svag, men ändå tillräcklig för att förhindra massövervakning i praktiken förutsatt att nycklarna i systemet var okända. En säkerhetstjänst infiltrerade en stor tillverkare av SIM-kort och stal i hemlighet databaserna över alla nycklar som användes i deras SIM-kort. Den kryptografiska säkerheten spelade då inte längre någon roll, och massövervakning blev möjlig även i praktiken. Hårdvarustöd för kryptografiska funktioner i datorer och mobiltelefoner kan stärka säkerheten förutsatt att det fungerar som avsett, men kan istället sänka den om någon säkerhetstjänst lyckats plantera säkerhetsbrister där. Sedelärande historia:

https://en.wikipedia.org/wiki/Crypto_AG

Fördelen med fras är att det är lättare att komma ihåg, då minskar risken att du skriver ner det på en post it lapp eller lägger in det i nån lösenordshanterare som sen hackas.

En annan fördel med fras är längden, nästan alla lösenord sparas som en hash, vilket till skillnad från kryptering bara räknas om en gång och aldrig återställs. För att knäcka en hash måste man testa alla tänkbara kombinationer tills man hittar den som matchar exakt, således gör varje extra tecken att lösenordet blir exponentiellt säkrare.

Specialtecken har ingen som helst betydelse då ingen sitter och gissar lösenord för hand, nästan alla som försöker sno lösenord använder brute force, eller hackar nån tjänst och hoppas på att användarna där är korkade nog att använda samma lösenord på flera sajter.

Ytterligare tips är att aktivera 2FA, då genereras en kod utifrån ett nyckelpar där endast du själv har den privata nyckeln, vilket gör att om du återanvänt en fras, eller om nån på något sätt kommit över din fras, så kommer de ändå inte in eftersom att de saknar nyckeln för att generera koden, här kan du också få en kod skickad via e-post eller SMS vilket ger dig en snabb notifikation så fort nån försöker komma åt ett av dina konton.

Därför används 2 stegsverfiering, hur jävla svårt är det att fatta även för IT Nissar som verkar vara födda bakom sin mamma och börjar snacka om PHP eller annan säkerhet.

Kul att slänga en känga också då IT avdelningen verkar sakna vilja och driv.

2FA ska implementeras säkert på sajten också, alla tjänster har inte det ännu. Sen är det komiskt hur dagens utvecklare som inte ens kan göra en enkel beräkning utan att importera ett bibliotek på 2GB fullt av säkerhetshål sitter och klankar ner på PHP, som användes på mer än 70% av alla sajter och med åren faktiskt har förbättrats säkerhetsmässigt.

Om du inte vet vad LUKS2 är, så behöver du inte heller kommentera.