Annons:
Etikettövrigt
Läst 944 ggr
_Fisken
2017-08-08 14:50

Nya rön vad gäller val av lösenord

Råden angående val av hacksäkra lösenord ändras nu. Han har tydligen ångrat sitt tidigare råd med lösenord som är en mix av siffror, stora o små bokstäver och specialtecken. 

Översatt med Google Translate…

"Experter tror nu långa lösenord som innehåller kanske fyra ord är mycket svårare att bryta än kortare med en blandning av bokstäver, tecken och siffror.

Långpassfraser fungerar bättre eftersom de är väldigt långa och fortfarande lätt att komma ihåg. Även om folk kanske tror att de väljer lösenord, kommer de vanliga människorna brukar sluta använda samma kombinationer gång på gång - saker som Pa $ w0rd eller Monkey1 !.
Anledningen till att du ändrar ett lösenord ofta inte hjälper är att när de flesta ändrar sitt lösenord, gör de mindre ändringar, som att ersätta nummer 1 med ett nummer 2. Dessa små förändringar kallas "transformationer" och hackare är mycket medvetna om dem och bygger dem i sina skript.
Det nya rådet är att använda långa men lätt att komma ihåg "lösenordsfraser", som inte behöver innehålla specialtecken eller siffror."

Artikel funnen här: 
http://www.dailymail.co.uk/sciencetech/article-4771194/The-man-responsible-passwords-says-advice-WRONG.html

Annons:
[VSK]
2017-08-08 20:09
#1

Har endast 18 tecken för inlogg i brandvägg nr 2. Blandat stora och små bokstäver, siffror och specialtecken.

_Fisken
2017-08-08 22:47
#2

Enligt dom räcker en lång ramsa. Gärna med lokala ord (dialekt?).

[VSK]
2017-08-08 23:10
#3

Dialekten uttalas ju. Texten är ju densamma. Såvida det inte handlar om nå inhemska ord. Men ordlistsattacker har förekommit hur många år som helst. 

För ett par månader sen så var det några amatörer som försökte logga in i min brandvägg nr 1 😃 
Man får exakt två försök på sig att skriva rätt lösen, sen blockeras den IP:n i förutbestämd tid.

100% är man aldrig, men det är ju dumt att ha dörren på vid gavel.

_Fisken
2017-08-09 07:59
#4

"StjinnbrackaMaLucku" kan jag garantera dig inte finns i nån ordlista. Men det finns runt midsommarstången här i Dalom. Det kanske är såna lokala, långa. lätt-å-komma-ihåg-meningar jag tänker på. Helst utan stora bokstäver…jobbigt med shift på en biltelefon. 

Det där du nämner om blockering bör jag introducera på en 3G-router jag har i jobbet. Jag ser i loggen hur de scannar portarna och kör med "admin" o "user" o sen en massa tok till lösen.

[VSK]
2017-08-09 08:42
#5

#4

Japp såna lösenord är bra. Släng på lite nuffror och specialtecken på det. Tex StjinnbrackaMaLucku/48**_. eller nåt liknande. Man vet ju aldrig he he.

För finns det inga vanliga ord med så måste programmen räkna och testa med alla tecken och det tar tiiiiiid. Är hundra år sen jag testade mina egna lösenord så jag har glömt bort allt men man körde ett litet program där man fick välja antal tecken samt om det skulle va med specialtecken mm. Och då fick man se IRL uppskattad beräkningstid. Brute Force på säg 25 tecken, jo tjena. Blir nog lättare för skurkarna att bygga en egen kvantdator som är gjord för detta ändamål 🙂

Nä, så gör de inte. Vill de in så attackerar de målet på annat sätt och försöker lura användaren att smitta sin egen dator. Sen styr de allt inifrån via RAT eller nåt annat tråkigt.

Finns ju gratisprogram idag som kan ge starka lösenord. Programmet jag hade var lånat från the dark side. Tänkte det va bäst att köra med skurkarnas egna program.

Anledningen till att jag kör med dual-skin är att jag testar en ny brandvägg nu. Har den först i länken. Det enda loggar jag får i brandvägg nr 2 är typ DHCP förfrågningar (samt mina egna inloggningar i den brandväggen).

Men då det var så många illegala inloggningsförsök så stängde jag faktiskt av inloggning från SSI (Stora Stygga Internet). Körde inte NAT444 då, därav dessa försök antagligen. 

Men självklart skall det va konfat så att man blir utestängd om man inte lyckas logga in på säg två försök. Man får inte göra misstaget att sätta spärrtiden på en vecka bara. Är så tråkigt att vänta så länge (utifall man skall logga in själv men blandat ihop lösen) ☝️

Höll på lite mer med sånt här förut men det kom av sig. Försöker hitta tillbaka men det går trögt. Nöjer mig egentligen med en kopp kaffe idag ha ha

_Fisken
2017-08-09 08:49
#6

Det du pratar om NAT o nätverkssäkerhet o sånt behöver jag lära mig mer om. Det är ett svart hål för mig. Medan jag ojjar mig tar jag en kopp kaffe.  :-)

Annons:
[VSK]
2017-08-09 08:52
#7

Ojja på du för nu tänker jag ta en till kopp kaffe 🤦‍♂️😃

cookies
2017-08-12 14:55
#8

Själv tycker jag det är enklare att antingen genererar 16 bitars lösenord med tecken och bokstäver blandat eller bara trycka in en massa slumpat på tangentbordet och lära sig det utantill 😃 Inte ens de som är en nära och kära orkar lägga sådana lösenord på minnet 😐

JonasDuregard
2017-08-15 17:10
#9

#0 Inspirerat av den här: https://xkcd.com/936/

Dock tror jag de tagit den på lite mer allvar än vad som är avsett. Beräkningarna är väldigt förenklade och avsedda mest som ett skämt. 

Jag undrar hur många det är som använder correcthorsebatterystaple som lösenord nu, förmodligen fler än man vill tro 🙂.

En sak som kan vara problematisk med väldigt långa lösenord är att man lätt skriver fel och de tar lång tid att skriva om. 

#8 Menar du 16 tecken? Problemet med slumpmässiga lösenord är just att de är svåra att minnas, det leder bland annat till att folk skriver ner dem.  Att trycka slumpmässigt på tangentbordet kan också vara mer förutsägbart än vad man tror.

_Fisken
2017-08-15 18:47
#10

Det är förvånansvärt att inte det kommit fram en lösning än som tar bort problemet med lösenord. Det finns ju en jättemarknad. Det finns säkert nåt redan typ usb Sticka med fingeravtrycksscanner men det tycks inte ha slagit igenom än.

Kameratrollet
2017-08-17 11:19
#11

Med ighashgpu som en gång i tiden fanns kunde man med ett grafikkort (ATI 5790) dra 6-8 miljarder lösenord/sekund.
http://2we26u4fam7n16rz3a44uhbe1bq2.wpengine.netdna-cdn.com/wp-content/uploads/071813_1109_PasswordCra10.png
Med versaler, gemener, siffror och specialtecken tar det några minuter att få fram MD5 på 6 tecken om man har en hastighet på 1 miljard lösenord/sekund. Har man bara gemener och siffror och 6 tecken tar det mindre än en sekund att knäcka.

Med Vega FE och Hashcat drar man 24 miljarder lösenord/sekund för att knäcka MD5. Med Nvidia 1080 drar man 26 miljarder.

Att ha ett längre men enkelt lösen så som Kameratangentbord1! ger ett bra skydd under förutsättning att ägaren till servern inte sparar lösenord i klartext.

JonasDuregard
2017-08-17 11:31
#12

#11 Beräkningarna som jag länkar till i #9 utgår uttryckligen från att man inte har kommit över någora hashsummor, med hänvisning till att "It's not what the average user should worry about", vilket kanske stämmer. Svårt att skydda sig mot den sortens attack du beskriver eftersom ett längre lösenord inte nödvändigtvis är bättre pga hashkollisioner.

[VSK]
2017-08-17 11:52
#13

#11

Visst är GPU betydligt snabbare än CPU att beräkna men det är som tex i mitt fall en enorm skillnad på 6 st tangentnedsättningar mot 18 st tangentnedsättningar. Sen handlar det ju om hur många felaktiga försök som tillåts innan försöken blockeras. Att byta IP-adress via script mellan varje utelåsning och sen finna rätt lösenord, ja då är brandväggen skrotad för länge sen pga ålder och jag är begraven. Antagligen så är det istid då med. 

Betydligt lättare och snabbare att försöka smitta dator som finns bakom brandvägg isf. Om vi nu pratar brandväggar. Finns ingenting som är 100% säkert idag så länge man är ute på nätet eller nån får fysisk tillgång till hårdvaran.

Det absolut viktigaste är ju att man håller efter sin mjukvara så gott det går samt håller sig uppdaterad samt använder sunt förnuft och lite kunskap. Och har viktiga filer på backup offline. Allt är relativt vad som är viktigt för användaren och för den som attackerar. 

Jag är enorm slarvig numer mot vad jag har varit en gång i tiden. Orkar inte hänga med i svängarna längre då buset ändå ligger ljusår före skydden. Lättast och smidigast för en "hacker" vore nog att skicka ett pm eller mejl till mig om de vill ha några kopior på foton jag tagit. Om inte annat så skulle jag uppskatta det mer än om nån går in och roffar åt sig utan tillåtelse. Hemliga kakrecept har jag inte så där går de bet.

Vara hemlig vill jag inte heller. För då skulle jag knappast köra det OS jag kör, ha fb, Android telefon (Google), kortbetalning mm mm. Då skulle jag bo i en koja långt in i urskogen och koka lim dagarna i ända.

Annons:
JonasDuregard
2017-08-17 14:25
#14

#13 Jag tror det #11 talar om är att hitta ett lösenord för en känd hashsumma, man har alltså innan hackat till sig en databas med användarnamn och hashade lösenord. Det finns alltså inte något maximalt antal försök och det är ingen nätverkskommunikation eller så inblandat (det är därför det går så fort). 

Då spelar inte heller längden på det ursprungliga lösenordet särskilt stor roll eftersom det lösenord man till slut hittar förmodligen är ett annat (som också fungerar pga. hashkollisioner). 

XKCD hävdar att det inte är något vanliga användare behöver oroa sig för, men jag är inte övertygad om att det stämmer, det händer ju då och då att stora databaser med hashade lösenord+mailadresser läcker, och eftersom människor tenderar att återanvända lösenord så skulle det nog fungera för att komma åt det mesta av en "vanlig användares" nättjänster den vägen.

JonasDuregard
2017-08-17 14:32
#15

#13 "Att byta IP-adress via script mellan varje utelåsning och sen finna rätt lösenord, ja då är brandväggen skrotad för länge sen pga ålder och jag är begraven. Antagligen så är det istid då med."

Och om man lyckas byta IP så många gånger som det krävs så DOSar man brandväggen genom att fylla dess minne med blockerade adresser 🙂.

[VSK]
2017-08-17 19:22
#16

#14

Du har rätt. Vi kom om varandra lite då vi tidigare pratat om hacka inloggning. Hade lite bråttom när jag skrev men hemma igen som sagt.

När det gäller hacka lösenordsfil så är det datorkraft och tid det handlar om. Men om vi går till tex webbservrar som varit så omtalade där många lösenord lagrats i klartext, så räcker det som sagt att penetrera brandvägg och server. Skriver brandvägg trots server då det finns eller skall finnas (är väl bäst att tillägga) brandväggar som analyserar beteende. 

Hur som, lösenord skall alltid krypteras och saltas. 

#15

Njae, DDOS och testa lösenord är knappast samma sak. Förstår hur du menar dock. Kan man överlasta en brandväggs processorkraft och arbetsminne via inloggningsförsök så bör man nog byta brandvägg för då suger mjukvaran. Däremot så går det äta upp all bandbredd om det bara är tillräckligt många "inloggare" precis som du säger. 

På tal om överlasta (OT-varning): hade Bonet ADSL en gång i tiden. Kunde pinga (utan fragmenterade paket) med MTU 4000 , de du 😎

cookies
2017-09-11 14:06
#17

#9 Ah precis, 16 tecken, 16 bitar blev lite fel ☺️ Slumpar fram 16 random bokstäver/siffror/tecken på en sida (eller 8 + 8) och sedan lär mig det :)

Kaj
2017-09-12 08:22
JonasDuregard
2017-09-12 08:51
#19

#18 Den tycker till exempel "Passw0rd!" är ett starkt lösenord 🙂

Det här lösenordet får 100% lösenordsstyrka: 1234567890!!!!

Kaj
2017-09-12 11:34
#20

#19
det är därför du även måste titta i tabellen nedan på vad du fått plus respektive minus på. Värdet du får fram är bara en indikation. Tabellen nedan ger dig bättre vägledning om lösenordet är lämpligt eller ej (vilket inget av dina 2 exempel faktiskt är).

Passw0rd! får minus på repeterande characters och på flera lowecase i rad. Vidare får den låga poäng på Additions (under 20 är inte jättebra)
1234567890!!!! får 100% mest beroende på att det är 14 tecken. Men kolla värdena på Addition och deduction. Där har du facit att du nog borde ha ett annat lösenord (men gärna på 14 tecken)

Annons:
JonasDuregard
2017-09-12 11:47
#21

#20 Tack, jag kollade på dem redan. Det var så jag konstruerade dåliga lösenord med hög poäng. Att titta på de siffrorna räcker dock inte heller, speciellt inte om man inte vet hur man ska tolka dem, och vet man det behöver man inte verktyget. 

"Passw0rd! får minus på repeterande characters och på flera lowecase i rad."

Vilket ju inte alls är det som är det egentliga problemet (problemet är att det är en enkel variation av ett av de absolut vanligaste lösenorden). 

Men jag förstår att sådana här verktyg inte är helt lätta att göra, och de är säkert bättre än ingenting. Just repeterade bokstäver har de uppenbarligen tänkt lite fel på i det här verktyget, eftersom en del lösenord får sämre värden av att man lägger till fler tecken (bara för att dessa förekommer upprepat). Typ att "!!!!aaaa" är ett bättre lösenord än "!!!!aaaabbbb".

Zpookey
2017-09-14 10:03
#22

Tips….
Testa inte lösenord på websidor.
Många av dessa sidorna lägger testade lösenord i dictionarys som gör det ännu enklare för hackare att knäcka lösenord.

Upp till toppen
Annons: