13. Övrigt

Nya rön vad gäller val av lösenord

2017-08-08 14:50 #0 av: _Fisken

Råden angående val av hacksäkra lösenord ändras nu. Han har tydligen ångrat sitt tidigare råd med lösenord som är en mix av siffror, stora o små bokstäver och specialtecken. 

Översatt med Google Translate...

"Experter tror nu långa lösenord som innehåller kanske fyra ord är mycket svårare att bryta än kortare med en blandning av bokstäver, tecken och siffror.

Långpassfraser fungerar bättre eftersom de är väldigt långa och fortfarande lätt att komma ihåg. Även om folk kanske tror att de väljer lösenord, kommer de vanliga människorna brukar sluta använda samma kombinationer gång på gång - saker som Pa $ w0rd eller Monkey1 !.
Anledningen till att du ändrar ett lösenord ofta inte hjälper är att när de flesta ändrar sitt lösenord, gör de mindre ändringar, som att ersätta nummer 1 med ett nummer 2. Dessa små förändringar kallas "transformationer" och hackare är mycket medvetna om dem och bygger dem i sina skript.
Det nya rådet är att använda långa men lätt att komma ihåg "lösenordsfraser", som inte behöver innehålla specialtecken eller siffror."

Artikel funnen här: 
http://www.dailymail.co.uk/sciencetech/article-4771194/The-man-responsible-passwords-says-advice-WRONG.html

Anmäl
2017-08-08 20:09 #1 av: VSK

Har endast 18 tecken för inlogg i brandvägg nr 2. Blandat stora och små bokstäver, siffror och specialtecken. 

33 titlar20 SM-Guld, 7 World Cup, 5 Europacupen & 1 Svenska Cupen. Gillar du att fota eller att kolla på foton, kika än här. Gillar du allt med sport, kika in sidan. Intresserad av det rymden har att erbjuda? Tryck här

Anmäl
2017-08-08 22:47 #2 av: _Fisken

Enligt dom räcker en lång ramsa. Gärna med lokala ord (dialekt?).

Anmäl
2017-08-08 23:10 #3 av: VSK

Dialekten uttalas ju. Texten är ju densamma. Såvida det inte handlar om nå inhemska ord. Men ordlistsattacker har förekommit hur många år som helst. 

För ett par månader sen så var det några amatörer som försökte logga in i min brandvägg nr 1 Skrattar 
Man får exakt två försök på sig att skriva rätt lösen, sen blockeras den IP:n i förutbestämd tid.

100% är man aldrig, men det är ju dumt att ha dörren på vid gavel. 

33 titlar20 SM-Guld, 7 World Cup, 5 Europacupen & 1 Svenska Cupen. Gillar du att fota eller att kolla på foton, kika än här. Gillar du allt med sport, kika in sidan. Intresserad av det rymden har att erbjuda? Tryck här

Anmäl
2017-08-09 07:59 #4 av: _Fisken

"StjinnbrackaMaLucku" kan jag garantera dig inte finns i nån ordlista. Men det finns runt midsommarstången här i Dalom. Det kanske är såna lokala, långa. lätt-å-komma-ihåg-meningar jag tänker på. Helst utan stora bokstäver...jobbigt med shift på en biltelefon. 

Det där du nämner om blockering bör jag introducera på en 3G-router jag har i jobbet. Jag ser i loggen hur de scannar portarna och kör med "admin" o "user" o sen en massa tok till lösen. 

Anmäl
2017-08-09 08:42 #5 av: VSK

#4

Japp såna lösenord är bra. Släng på lite nuffror och specialtecken på det. Tex StjinnbrackaMaLucku/48**_. eller nåt liknande. Man vet ju aldrig he he.

För finns det inga vanliga ord med så måste programmen räkna och testa med alla tecken och det tar tiiiiiid. Är hundra år sen jag testade mina egna lösenord så jag har glömt bort allt men man körde ett litet program där man fick välja antal tecken samt om det skulle va med specialtecken mm. Och då fick man se IRL uppskattad beräkningstid. Brute Force på säg 25 tecken, jo tjena. Blir nog lättare för skurkarna att bygga en egen kvantdator som är gjord för detta ändamål Glad

Nä, så gör de inte. Vill de in så attackerar de målet på annat sätt och försöker lura användaren att smitta sin egen dator. Sen styr de allt inifrån via RAT eller nåt annat tråkigt.

Finns ju gratisprogram idag som kan ge starka lösenord. Programmet jag hade var lånat från the dark side. Tänkte det va bäst att köra med skurkarnas egna program.

Anledningen till att jag kör med dual-skin är att jag testar en ny brandvägg nu. Har den först i länken. Det enda loggar jag får i brandvägg nr 2 är typ DHCP förfrågningar (samt mina egna inloggningar i den brandväggen).

Men då det var så många illegala inloggningsförsök så stängde jag faktiskt av inloggning från SSI (Stora Stygga Internet). Körde inte NAT444 då, därav dessa försök antagligen. 

Men självklart skall det va konfat så att man blir utestängd om man inte lyckas logga in på säg två försök. Man får inte göra misstaget att sätta spärrtiden på en vecka bara. Är så tråkigt att vänta så länge (utifall man skall logga in själv men blandat ihop lösen) Får idé

Höll på lite mer med sånt här förut men det kom av sig. Försöker hitta tillbaka men det går trögt. Nöjer mig egentligen med en kopp kaffe idag ha ha 

33 titlar20 SM-Guld, 7 World Cup, 5 Europacupen & 1 Svenska Cupen. Gillar du att fota eller att kolla på foton, kika än här. Gillar du allt med sport, kika in sidan. Intresserad av det rymden har att erbjuda? Tryck här

Anmäl
2017-08-09 08:49 #6 av: _Fisken

Det du pratar om NAT o nätverkssäkerhet o sånt behöver jag lära mig mer om. Det är ett svart hål för mig. Medan jag ojjar mig tar jag en kopp kaffe.  :-)

Anmäl
2017-08-09 08:52 #7 av: VSK

Ojja på du för nu tänker jag ta en till kopp kaffe YrarSkrattar

33 titlar20 SM-Guld, 7 World Cup, 5 Europacupen & 1 Svenska Cupen. Gillar du att fota eller att kolla på foton, kika än här. Gillar du allt med sport, kika in sidan. Intresserad av det rymden har att erbjuda? Tryck här

Anmäl
2017-08-12 14:55 #8 av: cookies

Själv tycker jag det är enklare att antingen genererar 16 bitars lösenord med tecken och bokstäver blandat eller bara trycka in en massa slumpat på tangentbordet och lära sig det utantill Skrattar Inte ens de som är en nära och kära orkar lägga sådana lösenord på minnet Oberörd


Anmäl
2017-08-15 17:10 #9 av: JonasDuregard

#0 Inspirerat av den här: https://xkcd.com/936/

Dock tror jag de tagit den på lite mer allvar än vad som är avsett. Beräkningarna är väldigt förenklade och avsedda mest som ett skämt. 

Jag undrar hur många det är som använder correcthorsebatterystaple som lösenord nu, förmodligen fler än man vill tro Glad.

En sak som kan vara problematisk med väldigt långa lösenord är att man lätt skriver fel och de tar lång tid att skriva om. 

#8 Menar du 16 tecken? Problemet med slumpmässiga lösenord är just att de är svåra att minnas, det leder bland annat till att folk skriver ner dem.  Att trycka slumpmässigt på tangentbordet kan också vara mer förutsägbart än vad man tror. 

Medarbetare på Skepticism, Vetenskap och Andlig Skepticism

Anmäl
2017-08-15 18:47 #10 av: _Fisken

Det är förvånansvärt att inte det kommit fram en lösning än som tar bort problemet med lösenord. Det finns ju en jättemarknad.
Det finns säkert nåt redan typ usb Sticka med fingeravtrycksscanner men det tycks inte ha slagit igenom än.

Anmäl
2017-08-17 11:19 #11 av: Kameratrollet

Med ighashgpu som en gång i tiden fanns kunde man med ett grafikkort (ATI 5790) dra 6-8 miljarder lösenord/sekund.
http://2we26u4fam7n16rz3a44uhbe1bq2.wpengine.netdna-cdn.com/wp-content/uploads/071813_1109_PasswordCra10.png
Med versaler, gemener, siffror och specialtecken tar det några minuter att få fram MD5 på 6 tecken om man har en hastighet på 1 miljard lösenord/sekund. Har man bara gemener och siffror och 6 tecken tar det mindre än en sekund att knäcka.

Med Vega FE och Hashcat drar man 24 miljarder lösenord/sekund för att knäcka MD5. Med Nvidia 1080 drar man 26 miljarder.

Att ha ett längre men enkelt lösen så som Kameratangentbord1! ger ett bra skydd under förutsättning att ägaren till servern inte sparar lösenord i klartext.

Anmäl
2017-08-17 11:31 #12 av: JonasDuregard

#11 Beräkningarna som jag länkar till i #9 utgår uttryckligen från att man inte har kommit över någora hashsummor, med hänvisning till att "It's not what the average user should worry about", vilket kanske stämmer. Svårt att skydda sig mot den sortens attack du beskriver eftersom ett längre lösenord inte nödvändigtvis är bättre pga hashkollisioner. 

Medarbetare på Skepticism, Vetenskap och Andlig Skepticism

Anmäl
2017-08-17 11:52 #13 av: VSK

#11

Visst är GPU betydligt snabbare än CPU att beräkna men det är som tex i mitt fall en enorm skillnad på 6 st tangentnedsättningar mot 18 st tangentnedsättningar. Sen handlar det ju om hur många felaktiga försök som tillåts innan försöken blockeras. Att byta IP-adress via script mellan varje utelåsning och sen finna rätt lösenord, ja då är brandväggen skrotad för länge sen pga ålder och jag är begraven. Antagligen så är det istid då med. 

Betydligt lättare och snabbare att försöka smitta dator som finns bakom brandvägg isf. Om vi nu pratar brandväggar. Finns ingenting som är 100% säkert idag så länge man är ute på nätet eller nån får fysisk tillgång till hårdvaran.

Det absolut viktigaste är ju att man håller efter sin mjukvara så gott det går samt håller sig uppdaterad samt använder sunt förnuft och lite kunskap. Och har viktiga filer på backup offline. Allt är relativt vad som är viktigt för användaren och för den som attackerar. 

Jag är enorm slarvig numer mot vad jag har varit en gång i tiden. Orkar inte hänga med i svängarna längre då buset ändå ligger ljusår före skydden. Lättast och smidigast för en "hacker" vore nog att skicka ett pm eller mejl till mig om de vill ha några kopior på foton jag tagit. Om inte annat så skulle jag uppskatta det mer än om nån går in och roffar åt sig utan tillåtelse. Hemliga kakrecept har jag inte så där går de bet.

Vara hemlig vill jag inte heller. För då skulle jag knappast köra det OS jag kör, ha fb, Android telefon (Google), kortbetalning mm mm. Då skulle jag bo i en koja långt in i urskogen och koka lim dagarna i ända. 

33 titlar20 SM-Guld, 7 World Cup, 5 Europacupen & 1 Svenska Cupen. Gillar du att fota eller att kolla på foton, kika än här. Gillar du allt med sport, kika in sidan. Intresserad av det rymden har att erbjuda? Tryck här

Anmäl
2017-08-17 14:25 #14 av: JonasDuregard

#13 Jag tror det #11 talar om är att hitta ett lösenord för en känd hashsumma, man har alltså innan hackat till sig en databas med användarnamn och hashade lösenord. Det finns alltså inte något maximalt antal försök och det är ingen nätverkskommunikation eller så inblandat (det är därför det går så fort). 

Då spelar inte heller längden på det ursprungliga lösenordet särskilt stor roll eftersom det lösenord man till slut hittar förmodligen är ett annat (som också fungerar pga. hashkollisioner). 

XKCD hävdar att det inte är något vanliga användare behöver oroa sig för, men jag är inte övertygad om att det stämmer, det händer ju då och då att stora databaser med hashade lösenord+mailadresser läcker, och eftersom människor tenderar att återanvända lösenord så skulle det nog fungera för att komma åt det mesta av en "vanlig användares" nättjänster den vägen.

Medarbetare på Skepticism, Vetenskap och Andlig Skepticism

Anmäl
2017-08-17 14:32 #15 av: JonasDuregard

#13 "Att byta IP-adress via script mellan varje utelåsning och sen finna rätt lösenord, ja då är brandväggen skrotad för länge sen pga ålder och jag är begraven. Antagligen så är det istid då med."

Och om man lyckas byta IP så många gånger som det krävs så DOSar man brandväggen genom att fylla dess minne med blockerade adresser Glad.

Medarbetare på Skepticism, Vetenskap och Andlig Skepticism

Anmäl

Det finns en till kommentar till den här diskussionen. Den är bara synlig för medlemmar på iFokus. För att läsa kommentaren, logga in eller registrera dig på iFokus.