Passwords vs passphrases?

Min tråd handlar inte om några sajter eller annat. Det handlar om LUKS2 för att låsa upp heldiskkryptering samt låsa upp externa diskar.

Och det har du ju fått bra svar på redan av flera användare. LUKS2 har ingen 2FA, således är fraser överlägsna korta ord, har alltid varit och kommer alltid att vara. TPM och sånt käbbel har lite för mycket Microslop teknik så det får man använda på egen risk.

Vilken tvåstegs-autenticering använder du som inte har lösenord som ett av stegen?

2-steg är dessutom irriterande och helt onödigt om du har bra lösenord. Svårt också att ha tvåsteg på automatiserade grejor tex script som kör via cron.

On topic: en fras är tekniskt samma sak som ett lösenord. En fras på 30 tecken är exakt lika säker som ett ord på 30 tecken. Skillnaden är för oss människor. En fras på 30 tecken kan du lätt memorera. Ett slumpat "ord" klarar nästan ingen komma ihåg. Ett vanligt ord är sårbar för ordboksattacker och jag teor inte det finns ord i svenskan som är så långa heller.

Fördelen med specialtecken och siffror handlar inte om att försvåra gissning för hand, utan om att försvåra automatisk gissning med hjälp av ordlistor, vilket förekommer i viss utsträckning. Man hoppas alltså att lösenordet med några specialtecken gör det tillräckligt ovanligt för att inte ingå i någon ordlista. Att byta ut bokstäver mot specialtecken som liknar dem ($ istället för S, / istället för l, 3 istället för E etc.) är dock ingen bra idé, då några vanliga sådana substitutioner mycket väl kan ingå i en ordlista eller appliceras programmatiskt. Lösenordet S3cret!!! hittar nog de flesta program även om det innehåller både stora och små bokstäver, specialtecken och siffror.

Det Engelska språket har över en miljon ord, varje ord du lägger till i frasen ökar potensen med +1. Bitcoin plånböcker har 12 ord, Monero plånböcker har 24 ord. D.v.s 1,000,000¹² respektive 1,000,000²⁴ möjliga kombinationer. Den som har sådana listor och jobbar på att testa alla kombinationer, kan enkelt lägga in varianter av ord där s blir $ och liknande, men det har de inte mycket för då ditt Facebook konto är värdelöst jämfört med att få jackpot och hitta en Bitcoin plånbok med ett par miljoner kronor i. Båda är lika osannolika. Så skit i specialtecknen och gör en fras med minst 12 ord så blir det omöjligt att kapa dina konton enbart genom brute force.

Ingen hög lön för dig märker jag. Har du läsproblem? Alla tjänster idag kräver 2 stegs verifiering. Netflix? ooo nej nån såg jumanji och mina förslag är fucked upp. Allt viktigt har 2 steg eller bankid

Jag argumenterade alltså inte för att specialtecken är jättebra för att uppnå högre säkerhet, utan mot ditt kategoriska påstående ("ingen som helst betydelse då ingen sitter och gissar lösenord för hand") som var fel på två olika sätt. Felaktigheter är felaktigheter, även när slutsatsen är korrekt. Om felaktigheter inte påpekas sprids de lättare vidare av folk som inte förstår bättre.

"Ingen som helst betydelse" är inte fakta, det är min åsikt, det är fritt fram för var och en att hålla med eller inte. Du håller alltså inte med. Intresseklubben antecknar.

Skulle kalla det en bedömning snarare än en åsikt. Bedömningar kan vara felaktiga. Om det finns realistiska scenarion där något faktiskt har betydelse är det en felaktig bedömning att säga att det inte har någon som helst betydelse. Det menar jag är fallet här – det är enkelt att tänka sig ett scenario där ett lösenord med ett instoppat specialtecken knäcks långsammare eller inte alls än samma lösenord utan specialtecken, och att det har betydelse för ägaren av lösenordet om detta blir knäckt eller inte.

Sökfraser och lösenord är till för att minnas.

Och AnnanBurCirka är längre än ABC, och inte jättemycket svårare för en mänsklig hjärna att minnas, men extremt mycket svårare att gissa sig till

Praktiska saker inte ska underskattas. Orsaken till att vi ens har det här problemet är för att folk tycker att lösenord är omständiga att hantera.

Maximal längd (en mycket kritisk och kanske den mest kritiska delen kring lösenordssäkerhet) med lägsta kognitiva ansträngning får du med en fras.

A9KO!C&s,B4W?!
VS
Alla9KossorOllar!Cool&shit,But4What?!


Högre entropi, lägre mental ansträngning och lättare att minnas. Sökfrasen är överlägsen.

Visst
AjO&9K05z\rOq£{&s172@,B&14W0@t);
är med sin lika längd och väldigt svårgissade kombinationer rent kryptografiskt extremt mycket säkrare än
Alla9KossorOllar!Cool&shit,But4What?!

Men lycka till att hantera det första! Det kan du inte, utan väldigt mycket inlärning - under samma tid kommer någon som valt fraser att ha memorerat fler hundra gånger fler kombinationer

Frasen är såklart mer känsligare för dictionary-attacker, där varje möjligt ord då kan liknas vid ett nytt möjligt tecken, men det är ändå väldigt många möjliga kombinationer

”Men jag kommer att minnas AjO&9K05z\rOq£{&s172@,B&14W0@t);”
Wow, inte illa! Sjukt säkert (särskilt om du gör ett nytt men lika komplext lösenord för varje konto du har).

Men vet vad som är ännu säkrare? Memorera det då som en fras, som gör inte bara gör det lättare att komma ihåg, utan också och ger 28919* nya värden för varje enskild bokstav.

*=Vild gissning, yolo
———

Och att specialtecken inte spelar roll är bullshit. Svammel.

Ett nytt möjligt värde kommer att göra antalet möjliga kombinationer att gissa fler och öka hackarens helvete väldigt snabbt för varje möjlig bokstav.

TLDR: Ju fler kombinationer du vet desto säkrare - både antalet möjliga kombinationer och människans minne är helt avgörande faktorer. Maximera det! Det är väl allmän kännedom/minneslära att fraser är helt överlägsna andra metoder för att minnas samma information. Och på köpet för du ännu högre entropi.

Glöm inte bort att använda mellanrum, man behöver inte skriva ihop alla ord.

2FA är inte onödigt med bra lösenord. Man bör utgå ifrån att en angripare kan snappa upp också ett bra lösenord.
För skript/automatationer där 2FA inte är möjligt, kan man t.ex. använda mTLS.
https://medium.com/@LukV/mutual-tls-mtls-a-deep-dive-into-secure-client-server-communication-bbb83f463292