Gå til innhold

- Passordets æra er over

Niklasp

Av Niklasp
i Diskuter dataartikler (Tek.no)

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
Zeph

Zeph

Skrevet
Skrevet
Husk gi tullesvar på sikkerhetsspørsmål. Tenk på dem som et sekundært passord. Bare gjør dem minneverdige. Min første bil? Det var så klart en "Camper Van Beethoven Er Helt Konge!"

Korleis skal ein hugse svaret om det er tullete?

 

Passord har vel aldri vore 100% sikkert uansett, men eg ser ikkje kva det har med passordets æra å gjere. Finnes det betre alternativ? Buypass og den slags, der du må ha ein fysisk dings for å få riktig kode kanskje, men det er litt problematisk å implementere over alt.

 

Å lage gode og unike passord er, som det alltid har vore, det smartaste.

  • Liker 4
Lenke til kommentar
Occi

Occi

Skrevet
Skrevet

Leste originalen og var ikke helt overbevist over alle poengene.

Enig. F. eks nevnes det at du kan få tilbake passordet ditt på AOL ved kun å vite navnet og kanskje byen personen bor i, men dette er et eksempel på en veldig usikker tjeneste, så blir litt rart å dra frem dette eksempelet som en standard. Deretter sier han at han kan søke opp banken til personen i eposten hans og bruke password reset. Dette vil ikke funke i noen banker som bruker double authentication, med andre ord alle i Norge (hadde vært interessant å vite hvor vanlig dette er i utlandet).

 

Et annet hull som ikke ble nevnt er at du blir logget inn på din Gmail-bruker om du har det og er logget inn på din Google-bruker på Android. Stjeler noen telefonen din trenger de altså ikke passord til eposten din om du har Gmail.

 

Bruker du forskjellige passord og double authentication så er du fortsatt forholdsvis sikker. Helt til det kommer et sikkerhetshull i en tjeneste, men det kan du uansett ikke beskytte deg mot. Kan derfor være lurt å bruke slikt som Lastpass o.l.

Lenke til kommentar
Lycantrophe

Lycantrophe

Skrevet
Skrevet

Til dømes: c0rrect h0rs3 b4ttery st@ple

 

Er det noko lettare for eit program å finne eit passord beståande av ord, enn om du hadde 28 tilfeldige teikn? Gitt at orda er så tilfeldig at ingen kan tippe det sånn heilt utan vidare.

I utgangspunktet ikke - naturlige ord kan fint anses som "tilfeldige tegn".

 

Forøvrig kan man designe brute force-algoritmen sin til å prøve ting i ordboken først da det er "mer naturlig" å bruke.

Lenke til kommentar
srbz

srbz

Skrevet
Skrevet (endret)

Korleis skal ein hugse svaret om det er tullete?

Tenkte nettopp det samme. Om du først har glemt passordet, hva er da oddsen for at du husker et random svar du skrev inn?

Jeg bruker sjelden denne funksjonen, men det hender for konti jeg logger på på årlig basis. Selv når jeg skriver inn seriøse svar på slike spørsmål kan jeg slite med å huske hva det var jeg skrev, og hvordan jeg skrev det.

 

Eller menes det at man skal bruke et standardsvar på slike spørsmål? Strider ikke det isåfall mot nettsikkerhetens aller gylneste av de gylne regler?

 

Haha, her var det mye rare greier.

Er dette en av de selverklærte "ekspertene"?

Jeg skal gi ham timesvis jeg, så får vi se hvor langt han kommer.

Er dette ment som svar til påstanden om at korte passord, selv med spesialtegn, er dårlig?

Korte passord er virkelig en svakhet når det kommer til brute force.

Et passord med 8 tegn, kun lowercase bokstaver i det engelske alfabetet gir 268 = 2,09 * 1011 mulige kombinasjoner (ca 209 mrd).

Utvider du til store bokstaver og tall i tillegg kommer du opp i 628 = 2,18 * 1014 mulige kombinasjoner (ca 218 billioner).

Utvider du isteden med tre ekstra tegn, kun lowercase, er du på 2611 = 3,67 * 1015 mulige kombinasjoner (ca 3,7 billiarder).

 

Tre ekstra tegn vil i dette tilfellet gi ganske mange flere kombinasjoner enn å utvide til over dobbelt så mange tegnmuligheter. Kombinerer vi disse to til 11 tegn bestående av lower- og uppercase samt tall ender vi på ca 5,20 * 1019 mulige kombinasjoner (ca 50 trillioner).

 

Wikipedia forteller meg at et Quad HD7970-oppsett kan klare ca 16Tflops single-precision (ca 16 billioner flyttallsoperasjoner per sekund for 32-bits tall). Ikke hver operasjon vil gi en ny kombinasjon å prøve, men det skal likevel ikke mange operasjoner til for å generere neste passordstreng. Vi kan derfor snakke om et omtrentlig tidsforbruk for brute force på et slikt system:

 

For 8 tegn kun lowercase er passordet brute forced på om lag et sekund.

For 8 tegn upper+lower+tall er det snakk om noen sekunder, kanskje et minutt.

For 11 tegn kun lowercase trolig 5-15 minutter.

For 11 tegn upper+lower+tall, en drøy måned +++

 

Et slikt oppsett bør være mulig å få tak i her til lands til godt under 20.000 kr inkl mva.

 

Jeg ser for meg at et vanlig forsøk på å cracke passord innebærer å prøve hver kombinasjon på alle brukernavn i en brukerdatabase. Noen av disse brukerne vil ha dårlige passord, noen vil ha lange, noen få vil igjen ha veldig lange og komplekse passord. En cracker vil avslutte angrepet før han finne alle passordene - et 30 tegn langt passord med 96 forskjellige tegn vil ha 9630 = 2,94 * 1059 ulike kombinasjoner, og kan ta størrelsesorden sekstilliarder (1039) år å brute force. En cracker vil dermed holde på en liten stund, frem til han blir fornøyd, ettersom mannen i gata ikke bruker slike passord. "The long tail principle" - vi forholder oss heller til de 95% (or whatever) av populasjonen som er hensiktsmessig for vår del.

 

Dermed gjelder det å være blant de siste 5% - de som har et passord som ikke er hensiktsmessig å brute force. Å variere tegnene i passordet er vel og bra, men det er ikke nok dersom passordet fremdeles er for kort. Passordet vil fremdeles ligge innenfor tidsrammen for et brute force-angrep.

 

edit: Jeg tar selvsagt ikke hensyn til smartere brute force-algoritmer som sjekker ordlister osv., som diskuteres i de siste innleggene. Oxfords ordliste har om lag 600.000 ord, og en brute force-algoritme som utelukkende søker på strenger bestående av fire ord fra denne ordlisten vil ha ca 1,29 * 1023 mulige kombinasjoner å lete blant. Det vil ta størrelsesorden hundrevis av år å lete gjennom hele listen, men man kan optimere dette ved å prioritere å søke på hyppig brukte ord. Passordet "i you is we are" vil i så måte være veldig svakt.

Endret av srbz
  • Liker 6
Lenke til kommentar
ATWindsor

ATWindsor

Skrevet
Skrevet

Korleis skal ein hugse svaret om det er tullete?

 

Passord har vel aldri vore 100% sikkert uansett, men eg ser ikkje kva det har med passordets æra å gjere. Finnes det betre alternativ? Buypass og den slags, der du må ha ein fysisk dings for å få riktig kode kanskje, men det er litt problematisk å implementere over alt.

 

Å lage gode og unike passord er, som det alltid har vore, det smartaste.

 

Man må jo huske det, men det trenger ikke å være noe som er relatert direkte. Det er jo så mange idiotiske "secret questions", som er trivielt å finne ut av for andre, og mange lar deg ikke lage custom spørsmål heller.

 

AtW

Lenke til kommentar
Kakeshoma

Kakeshoma

Skrevet
Skrevet

Er dette ment som svar til påstanden om at korte passord, selv med spesialtegn, er dårlig?

 

Nei, mer til sikkerhetstipsene hans. Er ikke at splitter ny revolusjonerende rakettforskning for å få mennesker opp på Mars i 2013 akkurat.

Ser ut som han har vært en tur på google og lest på forumet til VG...

 

Er en del bra info her:

http://security.stackexchange.com/questions/22717/how-secure-are-passwords-made-of-whole-english-sentences

http://security.stackexchange.com/questions/21143/confused-about-password-entropy

Lenke til kommentar
Zeph

Zeph

Skrevet
Skrevet

Man må jo huske det, men det trenger ikke å være noe som er relatert direkte. Det er jo så mange idiotiske "secret questions", som er trivielt å finne ut av for andre, og mange lar deg ikke lage custom spørsmål heller.

 

AtW

Kva er sjansen for å hugse eit ord eller ein setning ein definerte for fleire år sidan og aldri brukt i ettertid? For min del blir det litt som PUK-koden til mobiltelefonen. Eg har det lagra på papir i leilegheita, samtidig som det er alt for langt til å kjøre brute force på.

 

I så måte er det gjerne sikrare å ha eit langt og vanskeleg passord på ein gul lapp ved PC-en enn eit kortare og enklare passord ein hugsar. Sjansen er større for at nokon bryt seg inn elektronisk enn fysisk.

  • Liker 1
Lenke til kommentar
appelsinbrus

appelsinbrus

Skrevet
Skrevet

Interessant lesning, men for en som er litt grønn på akkurat dette her - gjelder dette kun svake passord på sosiale medier? Hva feks med tilgang til koder på blogger, nettsider, servere etc; en person som hacker mailkontoen din har vel mulighet til å finne ut alt det og? Jeg føler meg ikke så veldig utsatt, men man kan jo aldri bli for forsiktig. Atm har jeg passord med både små og store bokstaver, tall og rare tegn, og det er gjerne 15-18 av dem. Dog bruker jeg det samme passordet på et par tjenester. Er dette en sikkerhetsrisiko? (Dette gjelder ikke mailkontoer, der er alle koder lange og unike).

Lenke til kommentar
del_diablo

del_diablo

Skrevet
Skrevet

Er det noko poeng i å putte inn tal, store bokstavar og spesialteikn i eit passord som det?

 

Til dømes: c0rrect h0rs3 b4ttery st@ple

 

Er det noko lettare for eit program å finne eit passord beståande av ord, enn om du hadde 28 tilfeldige teikn? Gitt at orda er så tilfeldig at ingen kan tippe det sånn heilt utan vidare.

 

40.000^4 er fortsatt et fint tall, dog det finnes mindre ordbøker som er mer presise.(The Oxford English mini-dictionary has 40,000 different words)

Lenke til kommentar
Kaymeerah

Kaymeerah

Skrevet
Skrevet

Haha, her var det mye rare greier.Er dette en av de selverklærte "ekspertene"?Jeg skal gi ham timesvis jeg, så får vi se hvor langt han kommer.

 

Hva faen snakker du om? Disse tipsene var helt gunstig, spesielt det med 2-faktor autentisering. Personlig ville jeg foretrukket at RSA-nøkler hadde vært mer i bruk, men disse tipsene er gode for passordautentisering. Det med tullesvar på spørsmål er også helt gunstig hvis tjenesten er usikker, men det betyr ikke at det alltid er nødvendig, selv om det fortsatt er greit å gjøre. Det finnes selvfølgelig flere tips som funker bedre, men det invaliderer ikke disse.

 

Uansett, bruk keypassx og lange random-genererte passord i tillegg til disse tipsene. Sikkerhet er ikke noe man burde slacke med.

Lenke til kommentar
Kakeshoma

Kakeshoma

Skrevet
Skrevet

Tror faen ikke du skjønner... ;)

Poenget mitt var at dette er svært gammelt og åpenbart nytt for de som har den minste interesse av å holde seg noenlunde sikker på nett.

Men bare flott at HW skriver om det, skjønner jo at han blir brukt som eksempel her fordi han ble pwnd, bare mener han ikke har fulgt helt med i timen i utgangspunktet.

  • Liker 2
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...