Gå til innhold

Guide: Sikre passord er de letteste å huske (Ekstra)


Anbefalte innlegg

Videoannonse
Annonse

Datainnbrudd skjer gang på gang, og vil ikke stanse - i alle fall ikke i overskuelig fremtid.

Vi skulle tro at folk snart lærte, men så vidt jeg kan se så har amatørfeil skyld eller delskyld i over 90% av innbrudd og datalekkasjer. Hadde alle tjenester følgt vanlige sikkerhetsrutiner så hadde slike problem blitt redusert til en brøkdel.

 

 

Ord og fraser fra ordbøker er også svært dårlige passord. Det første en potensiell inntrenger forsøker seg på, er nemlig å sette i gang et program som automatisk henter alle oppføringene fra ordboka, og prøver disse som passord. Det nytter heller ikke å bare legge til et tall på slutten av et ord eller smelle inn en stor bokstav på starten, da de smarte programmene sjekker både «bunad», «Bunad» og «Bunad1» i løpet av et øyeblikk. Faktisk klarer man ved hjelp av maskinkraften i en vanlig hjemmedatamaskin i dag å sjekke flere millioner passord hvert eneste sekund.

Dette er et veldig viktig poeng, passord sammensatt av ord er en ekstremt dårlig idé! Intelligent bruteforcing blir det mer og mer av.

 

 

Vi må heller ikke glemme vår venn, Alt-tasten. Den kan være riktig så lur å anvende når du skal lage sikre passord, selv om den i seg selv ikke gjør noe som helst.

Entropimessig så er det lurt, men ikke i praktisk anvendelse. Husk at ulike operativsystemer, mobile enheter osv. ikke har mulighet til å taste dette inn på samme måte. Det vil også gå veldig tregt å taste inn.

 

 

Vel, noen må jo bare komme med denne, så vi kan like greitt få det overstått med en gang ;)

 

password_strength.png

Dette må jeg for ørtende gang korrigere:

 

Du har ikke forstått hva entropi er. Det er nettopp entropi som er styrken til både passord og kryptering. Straks passord består av kombinasjoner av ord, navn eller setninger så blir entropien til passordet redusert til en brøkdel. De som har laget den xkcd-stripen gjør en stor feil med å anta at et passord bestående ord har omtrent samme entropi som et like langt passord av tilfeldige tegn. Bruteforcing basert på ordbøker, og vekting av hvilke ord som kan brukes etter hverandre er teknikker som effektivt vil knekke passord basert på sitater, ord, eller setninger.

 

Det var nettopp denne typen ignoranse og uvitenhet som gjorde at tyskernes enigma ble knekt under andre verdenskrig. For å repetere litt historie så hadde enigma mer enn nok entropi til at den skulle være uknekkelig den gangen, men det var kun under en viktig forutsetning om at nøkkelen og meldingen var helt uforutsigbar. Men som kjent gjorde tyskerne to fatale feil som gjorde at den "uknekkelige" krypteringen ble knekt raskere enn tyskerne selv klarte å dekryptere med nøkkel:

* For det første forstod ikke operatørene kryptografi, og gjorde tabben med at de sørget for at hver del av den nye nøkkelen for hvert bytte var forskjellig fra forrige nøkkel. I tillegg byttet de nøkkelhjulene i forutsigbare mønster. Basert på dette klarte smarte matematikere å redusere entropien nok til det var gjennomførbart med bruteforcing. (dette blir altså analogt med feilen folk gjør når de bruker passord av ord fremfor helt uforutsigbare tegn)

* Forutsigbare meldinger: U-båter brukte å sende en værmelding av fast format hver morgen, derfor var nesten hele meldingen unntatt noen få tegn forutsigbart, som gjorde at britene kunne bygge en maskin som maskinelt verifiserte om en dekryptert melding passet med en værmelding. Britene bygde haugevis av elektromekaniske maskiner kalt "the bomb" som kvernet gjennom store mengder kombinasjoner av nøkler.

Denne knekkingen av meldinger hadde ikke vært gjennomførbart innenfor krigens tidsrom uten at entropien først ble redusert kraftig. Husk at hver gang de får eliminert én bit av entropien så halveres antall mulige kombinasjoner, derfor kan reduksjon i entropi raskt gjøre et "uknekkelig" problem i polynomisk tid om til et problem som faktisk er mulig å løse.

Notis: Ikke fortvil om du ikke klarte å være med på den siste tankerekken her, det krever god forståelse av både matematikk, algoritmer og kryptografi.

  • Liker 8
Lenke til kommentar

Dette må jeg for ørtende gang korrigere:

 

Du har ikke forstått hva entropi er. Det er nettopp entropi som er styrken til både passord og kryptering. Straks passord består av kombinasjoner av ord, navn eller setninger så blir entropien til passordet redusert til en brøkdel. De som har laget den xkcd-stripen gjør en stor feil med å anta at et passord bestående ord har omtrent samme entropi som et like langt passord av tilfeldige tegn. Bruteforcing basert på ordbøker, og vekting av hvilke ord som kan brukes etter hverandre er teknikker som effektivt vil knekke passord basert på sitater, ord, eller setninger.

 

Det er tatt høyde for bruk av ordbok til å knekke koden i beregningen av entropien:

 

 

xkcd's entropy estimate of 11 bits per word assumes that the password is being brute-forced with a dictionary attack, and that the words are being chosen from a dictionary of 2000 words (log2(2000) ≈ 11). (For comparison, the entropy offered by Diceware's 7776 word dictionary is 13 bits per word.) If a dictionary attack were not used, the "common words" password would take even longer to crack than depicted. (25 random lowercase characters would have 117 bits of entropy, vs 44 bits for the dictionary words.)

 

Kilde: http://www.explainxkcd.com/wiki/index.php?title=936:_Password_Strength

Endret av miceagol
  • Liker 1
Lenke til kommentar

 

Det er tatt høyde for bruk av ordbok til å knekke koden i beregningen av entropien:

 

Kilde: http://www.explainxkcd.com/wiki/index.php?title=936:_Password_Strength

Intelligent bruteforcing kan sette sammen ord som gir "lesbare" setninger, ord som ofte skrives etter hverandre osv. Dette gjør at entropien blir langt mindre enn 4-5 tilfeldige ord etter hverandre.

Lenke til kommentar

Intelligent bruteforcing kan sette sammen ord som gir "lesbare" setninger, ord som ofte skrives etter hverandre osv. Dette gjør at entropien blir langt mindre enn 4-5 tilfeldige ord etter hverandre.

 

Du har rett.. fire tilfeldige ord vil statistisk sett være mindre sikre enn et tilsvarende antall tilfeldige symboler på grunn av bruteforcing ved hjelp av ordlister.

 

Allikevel vil sikkerheten være vesentlig bedre enn 12 tilfeldige symboler siden du bruteforcer de raskere enn fire tilfeldige ord.

 

Om du derimot sørger for å velge fire mindre vanlige ord eller ord du ikke finner i ordlista, sørger for at de har en grei lengde og i tillegg erstatter en eller flere av bokstavene med tall eller symboler da er det bare å lene seg tilbake og lese stripen under:

 

security.png

Endret av MartinGM
  • Liker 3
Lenke til kommentar

Men seriøst.. jeg anbefaler Lastpass på det varmeste.

 

  • multifactor authentication (sms, google authentication, yubikey ++)
  • støtter pc, win, linux
  • plugins til de fem store browserne (pluss noen flere) og state sharing mellom dem (log inn i én og du er logget inn i alle)
  • fingeravtrykkstøtte
  • android standalone (program+keyboard) og dolphin addon
  • iOS
  • alt krypteres lokalt

Lista er lang..

Endret av MartinGM
  • Liker 1
Lenke til kommentar

Spørsmål: Jeg er blitt fortalt at passord bestående av flere ord er en god ting. For eksempel MammaLagerGodMiddag1965. Artikkelen nevner ord som fy fy, men beskriver bare enkeltord. Hvordan er slike setninger?

 

 

Ett godt passord, hvert ord i setningen representerer antall ord i det Norske språk, gang dette med 2 da vi tar som utgangpunkt at ordet starter med liten eller stor bokstav. Selv om en robot er nok så intelligent må den fremdeles bygge opp en setning som består av mange kombinasjoner som er mye høyere enn antall tegn vi har på ett tastatur.

 

Men det er nå passordet først blir interessant, hvordan begynner neste ord i rekken, med mellomrom, bindestrek, liten eller stor bokstav, kanskje du bruker ett tegn mellom hvert ord la oss si du begynner med tegnet som er på 1 = ! neste ord skilles med 2 = ", hvor du deretter avslutter med et eller annet tall eller kanskje begynner med det. enn så lenge en har laget seg selv en liten huske regel for dette kan du straks lage passord som skal jammen kvernes lenge for å knekkes.

 

Men igjen, om du bruker ett system som lar seg bruteforce med millioner av forsøk i sekundet, har du benyttet deg av en tjeneste du aldri burde ha brukt til å begynne med. De fleste nettsteder har lagt inn begrensning på enten forsøk før du må verifisere deg selv via epost, eller annen metode, noen tjenester har også lagt inn tidsintervall som begrenser deg til antall forsøk over en gitt tidsperiode. 3 passord per 10 sekund, bare 1 million forsøk ville jo tatt nok så lang tid, og innen den tid burde det ringe noen bjeller ett sted.

 

Selvsagt finnes det fysiske filer som kanskje er låst ned med passord, som kanskje lar seg knekke ved utallige forsøk uten en beskyttelse som jeg nevnte, her er det egentlig viktigere at filer som eventuelt du ikke ønsker skal knekkes blir lagret på forsvarlig måte hvor en tredje part ikke får tilgang til de uten å gå igjennom en eventuell passord tjeneste som beskytter deg ifra bruteforce teknikker.

 

Hvordan tjenester bør beskytte sine brukeres passord er egentlig svimlende enkel kanskje den mest brukte er at passord blir hashet deretter så lager en ny hash hvor en da sier at passord er gammel hash + en salt (tilfeldig string), i noen tilfeller er det mulig å finne salt i samme plass hvor passord er lagret som i selg selv motvirker hele prinsippet med passord salt. Men robot vet jo dog ikke hvordan salt blir brukt i oppbygningen av ny hash. Om ikke en cracker sitter på kildekoden som kjører tjenesten.

 

Uansett må det da genereres enorme mengder med hash summer for å reversere ett passord som er hashet og hash-salted.

Lenke til kommentar

De som har laget den xkcd-stripen gjør en stor feil med å anta at et passord bestående ord har omtrent samme entropi som et like langt passord av tilfeldige tegn. Bruteforcing basert på ordbøker, og vekting av hvilke ord som kan brukes etter hverandre er teknikker som effektivt vil knekke passord basert på sitater, ord, eller setninger.

 

Rent bortsett fra at de ikke har gjort den antakelsen. Som andre her har påpekt: 44 biter entropi er med et ordbokangrep - uten ordbokangrep ville entropien vært 117 biter. Matematikken i stripen holder vann.

 

Du har for så vidt rett i at entropien ville vært enda større med bare tilfeldige bokstaver, men litt av poenget her er jo også at passordet må være lett å huske. Å lage sikre passord er ikke vanskelig i det hele tatt; utfordringen ligger i å finne den rette balansen mellom hvor enkelt passordet er å skrive og huske, og hvor vanskelig det er å knekke.

  • Liker 2
Lenke til kommentar

Rent bortsett fra at de ikke har gjort den antakelsen. Som andre her har påpekt: 44 biter entropi er med et ordbokangrep - uten ordbokangrep ville entropien vært 117 biter. Matematikken i stripen holder vann.

Nei, matematikken er helt på jordet. Et passord på 11 tilfeldige tegn har en entropi på 65-73 bit (avhengig av om spesialtegn tillates).

Hvis passordet av ord består av fire tilfeldige ord blant 7776 (som nevnes over), blir entropien maksimalt 52 bit (52 < 65 som du lærte på barneskolen).

Hvis passordet av ord består av fire setninger så blir det vanskelig å estimere eksakt entropi, men den er garantert betydelig mindre enn 52 bit.

 

Hvis du kjenner til eksponentielle tall så er et passord med 53-bits entropi dobbelt så "sikkert" som et på 52-bits entropi, og 54-bits blir fire ganger så "sikkert". Med andre ord blir et passord av 11 tilfeldige tegn(uten spesialtegn) minimum 8192 ganger "sikrere" enn passordet av fire tilfeldige ord. Hvis du ikke forstår dette så anbefaler jeg at du leser deg opp på eksponentielle tall, og prøver å forstå hvor ekstremt fort tall vokser med større eksponent. Det er langt fra alle matematikere med universitetsutdannelse som klarer å forstå dette en gang.

Lenke til kommentar

Er formler gode måter å lage passord på? feks (ordblokk)x+(A8)n eller 0Rmenlangeh+A83

der x er variabel ift. første eller siste bokstav i tjeneste og n brukes som tall hvis du har flere passord på samme tjeneste/forskjellige btc wallets, A8 omformes til 8A på tjenester som my skifte passord av og til. Da kunne en jo bare lagre (blokk)x+(XY)n på forskjellige plasser for å huske det. Er det mange bakdeler med et slikt system? Kan en stole på et slikt system for Bitcoin wallets osv og alle andre tjenester som en skulle bruke? Ser for meg at det kan være lettere enn å huske mange forskjellige passord iallefall. La oss si at formelen din havner på avveie, ville dette vært krise?

Lenke til kommentar
  • 3 måneder senere...

Bli med i samtalen

Du kan publisere innhold nå og registrere deg senere. Hvis du har en konto, logg inn nå for å poste med kontoen din.

Gjest
Skriv svar til emnet...

×   Du har limt inn tekst med formatering.   Lim inn uten formatering i stedet

  Du kan kun bruke opp til 75 smilefjes.

×   Lenken din har blitt bygget inn på siden automatisk.   Vis som en ordinær lenke i stedet

×   Tidligere tekst har blitt gjenopprettet.   Tøm tekstverktøy

×   Du kan ikke lime inn bilder direkte. Last opp eller legg inn bilder fra URL.

Laster...
  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...