Gå til innhold

Nå er ikke lenger «passord» det mest populære passordet

Smedsrud

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
meitemark

meitemark

Skrevet
Skrevet

Alle brukere vil ha det enklest mulig. Noen helt få vil ha det enklest mulig i forhold til realistiske trusler, og noen enda færre tror at alt og alle er ute etter de og bruker paranoide systemer som er alt annet enn enkle.

 

Hvorfor det er en "nyhet" i det hele tatt slår meg som pussig. Folk vil ha enkelhet. Man kommer ikke bort fra det poenget, uansett hvordan man snur og vender på det. Greit nok, da får man heller gjøre det enkelt for brukerne men vanskelig for hackere. Sperre for topp 100 brukte passord for brukerne er helt greit, minimumslengde eventuelt foreslå passord for brukere ut fra ordlister ("Cat Horse Dog House" er et helt fint passord) samt å slutte å lagre passord i MD5 på nettsteder.

  • Liker 2
Lenke til kommentar
Labia

Labia

Skrevet
Skrevet (endret)

Det beste passordet er de mest vulgære setningene; de vil man ikke aldri gir bort, ei vil noe "tenke" seg til det. Og hvis man gjør, tror de aldri på deg. :D

Altså hvem med frisk hodet vil ha en logg in pass som:
Sugmegikveld
Jævladrittkjerring
kukrompefitte
Jegvilpulemoradi
69erminfavoritt
2eralltidhølet

Prøv det. Funker som F på jobben. Jeg tør aldri å gi bort passordet, og! vil alltid huske dem.

Endret av Labia
Lenke til kommentar
MrL

MrL

Skrevet
Skrevet (endret)

Er ikke MD5 ureversibelt da? Det er jo kun et fingeravtrykk av det du matet inn, med en enormt stor redusering av originaldata.

 

Ingenting er sterkere enn dets svakeste ledd. Spiller ingen rolle hvilken kryptering man har hvis passordet er så kort at maskinen kan gjette seg til det ved å bruke alle mulige kombinasjoner. Det er derfor man skal ha et langt passord, uten ordsammenheng, og med diverse tegn, så det vil ta millioner av år for maskinen å gjette seg fram til.

Endret av MrLG
  • Liker 1
Lenke til kommentar
G

G

Skrevet
Skrevet (endret)

 

Er ikke MD5 ureversibelt da? Det er jo kun et fingeravtrykk av det du matet inn, med en enormt stor redusering av originaldata.

Det finnes databaser med de mest brukte passordene i MD5 og dessuten er ureversibiliteten ikke så god som man kunne ønske.

 

Ok, da får du utdype mer om det.

 

Slik jeg har forstått MD5 så bruker man det til fingerprint på f.eks. filer. Man kan ikke lage originalfilen fra fingerprintet. Tenk deg at du MD5-fingerprint'er en 3 Gigabyte stor fil. Du står igjen med en streng ala kun noen få tegn. Aldri i verden om du klarer å lage 3 Gigabyte originaldata av fingerprint'et igjen.

 

MD5 benytter en algoritme som forkaster brorparten av de data du mater den med. Det er derfor jeg hevder det er ureversibelt.

Endret av G
Lenke til kommentar
Emancipate

Emancipate

Skrevet
Skrevet

 

 

Er ikke MD5 ureversibelt da? Det er jo kun et fingeravtrykk av det du matet inn, med en enormt stor redusering av originaldata.

Det finnes databaser med de mest brukte passordene i MD5 og dessuten er ureversibiliteten ikke så god som man kunne ønske.

 

Ok, da får du utdype mer om det.

 

Slik jeg har forstått MD5 så bruker man det til fingerprint på f.eks. filer. Man kan ikke lage originalfilen fra fingerprintet. Tenk deg at du MD5-fingerprint'er en 3 Gigabyte stor fil. Du står igjen med en streng ala kun noen få tegn. Aldri i verden om du klarer å lage 3 Gigabyte originaldata av fingerprint'et igjen.

 

MD5 benytter en algoritme som forkaster brorparten av de data du mater den med. Det er derfor jeg hevder det er ureversibelt.

 

Les det jeg skrev. Man har ikke databaser over alle filer på 3 gigabyte, men man har databaser over de mest brukte passordene. Derfor kan man rekonstruere de mest brukte passordene, men ikke en fil på 3 gigabyte.

 

For øvrig trenger man ikke å rekonstruere passordet engang, man trenger bare å konstruere et passord som gir samme MD5-streng når det hashes. Det kan brukes til å logge seg inn.

 

Når jeg sier at ureversibiliteten ikke er så god som man kunne ønske betyr det at det er litt lettere å konstruere et passord som gir en gitt MD5-hash enn det statistisk sett burde ha vært hvis MD5 fungerte optimalt. De har store databaser ("rainbow tables") for å gjøre dette. Det funker til innlogging fordi man ikke trenger å få tilbake the originale passordet, men et med samme hash.

  • Liker 1
Lenke til kommentar
meitemark

meitemark

Skrevet
Skrevet

Det er derfor man skal ha et langt passord, uten ordsammenheng, og med diverse tegn, så det vil ta millioner av år for maskinen å gjette seg fram til.

Og dette er det KUN de paranoide (ikke noe galt med det) som vil gjøre. Normale folk vil ha det enkelt. De vil ha noe de kan huske. Joda, noen av oss kan huske de mest bisarre passord, men det er som regel fordi vi bruker et system for å huske de. Har jeg passord på masser av tegn? Yep. Mange forskjellige faktisk. Og selv om jeg ikke bruker de ofte, har jeg et system for å huske de. Jeg har også en hel haug med korte passord jeg bruker flere ganger på forskjellige steder. Ikke noe særlig galt i det, all den tid det er snakk om systemer som enten er innelåst med annen sikkerhet eller som jeg ikke er redd for å miste.

 

Men artikkelen her beskriver ikke de personene, den beskriver den gemene hop og DE vil ha det enkelt og sikkert nok.

Lenke til kommentar
MrL

MrL

Skrevet
Skrevet

 

Det er derfor man skal ha et langt passord, uten ordsammenheng, og med diverse tegn, så det vil ta millioner av år for maskinen å gjette seg fram til.

Og dette er det KUN de paranoide (ikke noe galt med det) som vil gjøre. Normale folk vil ha det enkelt. De vil ha noe de kan huske. Joda, noen av oss kan huske de mest bisarre passord, men det er som regel fordi vi bruker et system for å huske de.

 

"kun de paranoide" er vel litt å ta i. For det første trenger man kun å huske ett vanskelig passord, for å så bruke en tjeneste som f.eks lastpass. Jeg vil påstå at livet mitt ble faktisk mye enklere med Lastpass, enn å bruke bittelitt forskjellig eller samme passord på flere steder. Så i bunn og grunn er det ikke vanskelig å være sikker, det er bare å gidde å ta første steget.

 

Dessuten finnes det teknikker for å lage et vanskelig og langt passord uten at det overhodet krever over 100 i IQ for å huske det, jeg vil faktisk tørre å påstå at bruker du denne teknikken er passordet nærmest oppimot 90% like enkelt å huske som et "vanlig" dårlig passord.

Lenke til kommentar
meitemark

meitemark

Skrevet
Skrevet
"kun de paranoide" er vel litt å ta i. For det første trenger man kun å huske ett vanskelig passord, for å så bruke en tjeneste som f.eks lastpass. Jeg vil påstå at livet mitt ble faktisk mye enklere med Lastpass, enn å bruke bittelitt forskjellig eller samme passord på flere steder. Så i bunn og grunn er det ikke vanskelig å være sikker, det er bare å gidde å ta første steget.

 

Dessuten finnes det teknikker for å lage et vanskelig og langt passord uten at det overhodet krever over 100 i IQ for å huske det, jeg vil faktisk tørre å påstå at bruker du denne teknikken er passordet nærmest oppimot 90% like enkelt å huske som et "vanlig" dårlig passord.

Jo, du har rett. Paranoid var muligens litt hardt å ta i, men jeg mente det mest på en positiv måte. Dvs de som vet at det er folk og datasystemer som er ute etter å samle inn brukernavn og passord. De er kanskje ikke ute etter deg direkte, men finner de deg, så tar de deg også.

 

Forskjellen på meg og deg og de andre, de som artikkelen beskriver er at jeg har et system for passord, du har et annet, og de, de bruker bare det samme passordet overalt. Jeg og du får ikke problemer i noen særlig stor grad, sånn med mindre jeg glemmer hvilket passord jeg brukte hvor (stort sett løsbart), du mister tilgang til passorddatabasen du bruker (jeg antar at det lar seg løse). Mens de som baserer seg på antagelsen om at "det er da ingen som er ute etter meg" og bruker samme passord på alt, DE får problemer når en passorddatabase fra ett eller annet nettsted blir "hacket" ut av systemet den står i og det viser seg at passord så og si står i klartekst.

 

så det vi egentlig trenger er flere nettsteder som har litt strengere regler på hva som kan brukes som passord. Ikke mye strengere, men litt. Litt lenger passord. Litt mer kompliserte passord. Litt vanskeligere for de som samler på slikt å få tilgang til de. Så får vi heller gjenta det neste gang datakraften har kommet seg opp til et slikt nivå at de kan knekke koder/hash så fort som de kan nå.

Lenke til kommentar
Terrasque

Terrasque

Skrevet
Skrevet (endret)

Det finnes databaser med de mest brukte passordene i MD5

Har ingenting med selve hash funksjonen å gjøre, og er stoppet av salting

 

og dessuten er ureversibiliteten ikke så god som man kunne ønske.

Bare interessant når entropy av MD5 preimage attack er lavere enn passordets entropy. Protip: Du har ikke 123 bit entropy i passordet ditt.

 

Det er en alvorlig sikkerhetssvikt i programmet om den tillater at man prøver å logge seg på om igjen og om igjen. Programmet bør lukte lunta etter 60 påloggingsforsøk innen 1 minutt.

Knekking av MD5 og andre hash'er er bare relevant om du allerede har hash'en tilgjengelig lokalt, og derfor er det irrelevant hva programmet sier.

Endret av Terrasque
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...