Gå til innhold

Foto

Guide: Sikre passord er de letteste å huske (Ekstra)


24 svar i denne tråden

#1 Smedsrud

Smedsrud

    Journalist, Tek.no

  • Medlemmer
  • 1 541 innlegg
  •   21. mai 2013

Skrevet 27. november 2013 - 16:46

cropped.300x169.jpeg

Glem lange uforståelige tegnrekker og jernteppe, med disse teknikkene kan du enkelt sikre dine data.

Guide: Sikre passord er de letteste å huske (Ekstra)
  • 0

#2 ZeVs^

ZeVs^

    Bruker

  • Medlemmer
  • 3 197 innlegg
  •   5. desember 2003

Skrevet 27. november 2013 - 17:26

*
POPULÆR POST!

Vel, noen må jo bare komme med denne, så vi kan like greitt få det overstått med en gang ;)

 

password_strength.png


  • 10

#3 .Rudi

.Rudi

    Bruker

  • Medlemmer
  • 1 468 innlegg
  •   17. august 2011

Skrevet 27. november 2013 - 19:15

Flott guide det her Hardware med mange gode tips :) Trikset med ALT-tasten er veldig kjekt, men samtidig kan det bli veldig upraktisk også da det først og fremt kun fungerer på nummertastaturet så hva gjør man da hvis man skal inn med for eksempel nettbrettet?
  • 1

Asus ROG Strix X99 | Intel i7-6850K | ASUS 1080 Strix | Corsair H100i v2 | Corsair Dominator 32GB | Samsung 960 PRO 512GB & 840 PRO/EVO 250GB | Corsair RM 1000W | Corsair Obsidian 750D | Acer Predator X34A | Philips Fidelio X2 | MacBook Pro 15" 2017

 


#4 MiSP

MiSP

    Bruker

  • Medlemmer
  • 4 847 innlegg
  •   26. oktober 2003

Skrevet 27. november 2013 - 19:29

Anbefaler KeePass på det varmeste. Jeg skrev en relativt lettforståelig (tror jeg) guide for ITpro en gang.

 

ALT-tasten kan som Rudi nevner bli temmelig vanskelig på alt annet enn PC-er med numerisk tastatur (jeg har ikke numerisk tastatur), inkludert mobiler, nettbrett, osv.


  • 1

#5 efikkan

efikkan

    Bruker

  • Medlemmer
  • 24 979 innlegg
  •   22. november 2004

Skrevet 27. november 2013 - 19:41

Datainnbrudd skjer gang på gang, og vil ikke stanse - i alle fall ikke i overskuelig fremtid.

Vi skulle tro at folk snart lærte, men så vidt jeg kan se så har amatørfeil skyld eller delskyld i over 90% av innbrudd og datalekkasjer. Hadde alle tjenester følgt vanlige sikkerhetsrutiner så hadde slike problem blitt redusert til en brøkdel.

 

 

Ord og fraser fra ordbøker er også svært dårlige passord. Det første en potensiell inntrenger forsøker seg på, er nemlig å sette i gang et program som automatisk henter alle oppføringene fra ordboka, og prøver disse som passord. Det nytter heller ikke å bare legge til et tall på slutten av et ord eller smelle inn en stor bokstav på starten, da de smarte programmene sjekker både «bunad», «Bunad» og «Bunad1» i løpet av et øyeblikk. Faktisk klarer man ved hjelp av maskinkraften i en vanlig hjemmedatamaskin i dag å sjekke flere millioner passord hvert eneste sekund.

Dette er et veldig viktig poeng, passord sammensatt av ord er en ekstremt dårlig idé! Intelligent bruteforcing blir det mer og mer av.

 

 

Vi må heller ikke glemme vår venn, Alt-tasten. Den kan være riktig så lur å anvende når du skal lage sikre passord, selv om den i seg selv ikke gjør noe som helst.

Entropimessig så er det lurt, men ikke i praktisk anvendelse. Husk at ulike operativsystemer, mobile enheter osv. ikke har mulighet til å taste dette inn på samme måte. Det vil også gå veldig tregt å taste inn.

 

 

Vel, noen må jo bare komme med denne, så vi kan like greitt få det overstått med en gang ;)

 

password_strength.png

Dette må jeg for ørtende gang korrigere:

 

Du har ikke forstått hva entropi er. Det er nettopp entropi som er styrken til både passord og kryptering. Straks passord består av kombinasjoner av ord, navn eller setninger så blir entropien til passordet redusert til en brøkdel. De som har laget den xkcd-stripen gjør en stor feil med å anta at et passord bestående ord har omtrent samme entropi som et like langt passord av tilfeldige tegn. Bruteforcing basert på ordbøker, og vekting av hvilke ord som kan brukes etter hverandre er teknikker som effektivt vil knekke passord basert på sitater, ord, eller setninger.

 

Det var nettopp denne typen ignoranse og uvitenhet som gjorde at tyskernes enigma ble knekt under andre verdenskrig. For å repetere litt historie så hadde enigma mer enn nok entropi til at den skulle være uknekkelig den gangen, men det var kun under en viktig forutsetning om at nøkkelen og meldingen var helt uforutsigbar. Men som kjent gjorde tyskerne to fatale feil som gjorde at den "uknekkelige" krypteringen ble knekt raskere enn tyskerne selv klarte å dekryptere med nøkkel:

* For det første forstod ikke operatørene kryptografi, og gjorde tabben med at de sørget for at hver del av den nye nøkkelen for hvert bytte var forskjellig fra forrige nøkkel. I tillegg byttet de nøkkelhjulene i forutsigbare mønster. Basert på dette klarte smarte matematikere å redusere entropien nok til det var gjennomførbart med bruteforcing. (dette blir altså analogt med feilen folk gjør når de bruker passord av ord fremfor helt uforutsigbare tegn)

* Forutsigbare meldinger: U-båter brukte å sende en værmelding av fast format hver morgen, derfor var nesten hele meldingen unntatt noen få tegn forutsigbart, som gjorde at britene kunne bygge en maskin som maskinelt verifiserte om en dekryptert melding passet med en værmelding. Britene bygde haugevis av elektromekaniske maskiner kalt "the bomb" som kvernet gjennom store mengder kombinasjoner av nøkler.

Denne knekkingen av meldinger hadde ikke vært gjennomførbart innenfor krigens tidsrom uten at entropien først ble redusert kraftig. Husk at hver gang de får eliminert én bit av entropien så halveres antall mulige kombinasjoner, derfor kan reduksjon i entropi raskt gjøre et "uknekkelig" problem i polynomisk tid om til et problem som faktisk er mulig å løse.

Notis: Ikke fortvil om du ikke klarte å være med på den siste tankerekken her, det krever god forståelse av både matematikk, algoritmer og kryptografi.


  • 8

#6 MrL

MrL

    Bruker

  • Medlemmer
  • 8 809 innlegg
  •   16. august 2006

Skrevet 27. november 2013 - 19:51

EDIT: Never mind


Dette innlegget har blitt redigert av MrLG: 27. november 2013 - 19:59

  • 0

#7 miceagol

miceagol

    Bruker

  • Medlemmer
  • 1 018 innlegg
  •   5. januar 2005

Skrevet 27. november 2013 - 20:01

Dette må jeg for ørtende gang korrigere:

 

Du har ikke forstått hva entropi er. Det er nettopp entropi som er styrken til både passord og kryptering. Straks passord består av kombinasjoner av ord, navn eller setninger så blir entropien til passordet redusert til en brøkdel. De som har laget den xkcd-stripen gjør en stor feil med å anta at et passord bestående ord har omtrent samme entropi som et like langt passord av tilfeldige tegn. Bruteforcing basert på ordbøker, og vekting av hvilke ord som kan brukes etter hverandre er teknikker som effektivt vil knekke passord basert på sitater, ord, eller setninger.

 

Det er tatt høyde for bruk av ordbok til å knekke koden i beregningen av entropien:

 

 

xkcd's entropy estimate of 11 bits per word assumes that the password is being brute-forced with a dictionary attack, and that the words are being chosen from a dictionary of 2000 words (log2(2000) ≈ 11). (For comparison, the entropy offered by Diceware's 7776 word dictionary is 13 bits per word.) If a dictionary attack were not used, the "common words" password would take even longer to crack than depicted. (25 random lowercase characters would have 117 bits of entropy, vs 44 bits for the dictionary words.)

 

Kilde: http://www.explainxk...ssword_Strength


Dette innlegget har blitt redigert av miceagol: 27. november 2013 - 20:02

  • 1

#8 efikkan

efikkan

    Bruker

  • Medlemmer
  • 24 979 innlegg
  •   22. november 2004

Skrevet 27. november 2013 - 20:06

 

Det er tatt høyde for bruk av ordbok til å knekke koden i beregningen av entropien:

 

Kilde: http://www.explainxk...ssword_Strength

Intelligent bruteforcing kan sette sammen ord som gir "lesbare" setninger, ord som ofte skrives etter hverandre osv. Dette gjør at entropien blir langt mindre enn 4-5 tilfeldige ord etter hverandre.


  • 0

#9 MartinGM

MartinGM

    Bruker

  • Medlemmer
  • 907 innlegg
  •   5. juni 2001

Skrevet 28. november 2013 - 00:56

Intelligent bruteforcing kan sette sammen ord som gir "lesbare" setninger, ord som ofte skrives etter hverandre osv. Dette gjør at entropien blir langt mindre enn 4-5 tilfeldige ord etter hverandre.

 

Du har rett.. fire tilfeldige ord vil statistisk sett være mindre sikre enn et tilsvarende antall tilfeldige symboler på grunn av bruteforcing ved hjelp av ordlister.

 

Allikevel vil sikkerheten være vesentlig bedre enn 12 tilfeldige symboler siden du bruteforcer de raskere enn fire tilfeldige ord.

 

Om du derimot sørger for å velge fire mindre vanlige ord eller ord du ikke finner i ordlista, sørger for at de har en grei lengde og i tillegg erstatter en eller flere av bokstavene med tall eller symboler da er det bare å lene seg tilbake og lese stripen under:

 

security.png


Dette innlegget har blitt redigert av MartinGM: 28. november 2013 - 01:14

  • 3
---

#10 MartinGM

MartinGM

    Bruker

  • Medlemmer
  • 907 innlegg
  •   5. juni 2001

Skrevet 28. november 2013 - 01:12

Men seriøst.. jeg anbefaler Lastpass på det varmeste.

 

  • multifactor authentication (sms, google authentication, yubikey ++)
  • støtter pc, win, linux
  • plugins til de fem store browserne (pluss noen flere) og state sharing mellom dem (log inn i én og du er logget inn i alle)
  • fingeravtrykkstøtte
  • android standalone (program+keyboard) og dolphin addon
  • iOS
  • alt krypteres lokalt

Lista er lang..


Dette innlegget har blitt redigert av MartinGM: 28. november 2013 - 01:24

  • 1
---

#11 EnvyAndroid

EnvyAndroid

    Bruker

  • Medlemmer
  • 276 innlegg
  •   22. november 2010

Skrevet 28. november 2013 - 07:02

Glem lange uforståelige tegnrekker og jernteppe, med disse teknikkene kan du enkelt sikre dine data.

Guide: Sikre passord er de letteste å huske (Ekstra)

 

Ut av nyskjerrighet, hvordan er hardware sin sikkerhet rundt passord på forumet?


  • 0

#12 Gravitass

Gravitass

    Bruker

  • Medlemmer
  • 1 288 innlegg
  •   2. mars 2011

Skrevet 28. november 2013 - 11:54

https://howsecureismypassword.net/
  • 0

#13 XmasB

XmasB

    Bruker

  • Medlemmer
  • 3 547 innlegg
  •   2. februar 2004

Skrevet 28. november 2013 - 12:26

 

En million år om jeg utelater den dynamiske delen av passordet mitt. Vesentlig lenger om jeg faktisk inkluderer det.

 

Ville likevel ikke tatt den for seriøst, ettersom den neppe tar høyde for alt, deriblant det som er diskutert i denne tråden.


  • 0

Just be yourself. No. Not like that.


#14 fnwilborn

fnwilborn

    Bruker

  • Medlemmer
  • 3 227 innlegg
  •   6. august 2008

Skrevet 29. november 2013 - 01:13

Spørsmål: Jeg er blitt fortalt at passord bestående av flere ord er en god ting. For eksempel MammaLagerGodMiddag1965. Artikkelen nevner ord som fy fy, men beskriver bare enkeltord. Hvordan er slike setninger?
  • 0
Om du liker Civilization, kom gjerne innom oss i WePlayCiv: http://www.weplayciv.com.

#15 j0achim

j0achim

    Bruker

  • Medlemmer
  • 437 innlegg
  •   5. januar 2006

Skrevet 29. november 2013 - 13:15

Spørsmål: Jeg er blitt fortalt at passord bestående av flere ord er en god ting. For eksempel MammaLagerGodMiddag1965. Artikkelen nevner ord som fy fy, men beskriver bare enkeltord. Hvordan er slike setninger?

 

 

Ett godt passord, hvert ord i setningen representerer antall ord i det Norske språk, gang dette med 2 da vi tar som utgangpunkt at ordet starter med liten eller stor bokstav. Selv om en robot er nok så intelligent må den fremdeles bygge opp en setning som består av mange kombinasjoner som er mye høyere enn antall tegn vi har på ett tastatur.

 

Men det er nå passordet først blir interessant,  hvordan begynner neste ord i rekken, med mellomrom, bindestrek, liten eller stor bokstav, kanskje du bruker ett tegn mellom hvert ord la oss si du begynner med tegnet som er på 1 = ! neste ord skilles med 2 = ", hvor du deretter avslutter med et eller annet tall eller kanskje begynner med det. enn så lenge en har laget seg selv en liten huske regel for dette kan du straks lage passord som skal jammen kvernes lenge for å knekkes.

 

Men igjen, om du bruker ett system som lar seg bruteforce med millioner av forsøk i sekundet, har du benyttet deg av en tjeneste du aldri burde ha brukt til å begynne med. De fleste nettsteder har lagt inn begrensning på enten forsøk før du må verifisere deg selv via epost, eller annen metode, noen tjenester har også lagt inn tidsintervall som begrenser deg til antall forsøk over en gitt tidsperiode. 3 passord per 10 sekund, bare 1 million forsøk ville jo tatt nok så lang tid, og innen den tid burde det ringe noen bjeller ett sted.

 

Selvsagt finnes det fysiske filer som kanskje er låst ned med passord, som kanskje lar seg knekke ved utallige forsøk uten en beskyttelse som jeg nevnte, her er det egentlig viktigere at filer som eventuelt du ikke ønsker skal knekkes blir lagret på forsvarlig måte hvor en tredje part ikke får tilgang til de uten å gå igjennom en eventuell passord tjeneste som beskytter deg ifra bruteforce teknikker.

 

Hvordan tjenester bør beskytte sine brukeres passord er egentlig svimlende enkel kanskje den mest brukte er at passord blir hashet deretter så lager en ny hash hvor en da sier at passord er gammel hash + en salt (tilfeldig string), i noen tilfeller er det mulig å finne salt i samme plass hvor passord er lagret som i selg selv motvirker hele prinsippet med passord salt. Men robot vet jo dog ikke hvordan salt blir brukt i oppbygningen av ny hash. Om ikke en cracker sitter på kildekoden som kjører tjenesten.

 

Uansett må det da genereres enorme mengder med hash summer for å reversere ett passord som er hashet og hash-salted.


  • 0

#16 henrikwl

henrikwl

    Bruker

  • Medlemmer
  • 4 963 innlegg
  •   11. november 2005

Skrevet 29. november 2013 - 13:27



De som har laget den xkcd-stripen gjør en stor feil med å anta at et passord bestående ord har omtrent samme entropi som et like langt passord av tilfeldige tegn. Bruteforcing basert på ordbøker, og vekting av hvilke ord som kan brukes etter hverandre er teknikker som effektivt vil knekke passord basert på sitater, ord, eller setninger.

 

Rent bortsett fra at de ikke har gjort den antakelsen. Som andre her har påpekt: 44 biter entropi er med et ordbokangrep - uten ordbokangrep ville entropien vært 117 biter. Matematikken i stripen holder vann.

 

Du har for så vidt rett i at entropien ville vært enda større med bare tilfeldige bokstaver, men litt av poenget her er jo også at passordet må være lett å huske. Å lage sikre passord er ikke vanskelig i det hele tatt; utfordringen ligger i å finne den rette balansen mellom hvor enkelt passordet er å skrive og huske, og hvor vanskelig det er å knekke.


  • 2

#17 efikkan

efikkan

    Bruker

  • Medlemmer
  • 24 979 innlegg
  •   22. november 2004

Skrevet 29. november 2013 - 18:19

Rent bortsett fra at de ikke har gjort den antakelsen. Som andre her har påpekt: 44 biter entropi er med et ordbokangrep - uten ordbokangrep ville entropien vært 117 biter. Matematikken i stripen holder vann.

Nei, matematikken er helt på jordet. Et passord på 11 tilfeldige tegn har en entropi på 65-73 bit (avhengig av om spesialtegn tillates).

Hvis passordet av ord består av fire tilfeldige ord blant 7776 (som nevnes over), blir entropien maksimalt 52 bit  (52 < 65 som du lærte på barneskolen).

Hvis passordet av ord består av fire setninger så blir det vanskelig å estimere eksakt entropi, men den er garantert betydelig mindre enn 52 bit.

 

Hvis du kjenner til eksponentielle tall så er et passord med 53-bits entropi dobbelt så "sikkert" som et på 52-bits entropi, og 54-bits blir fire ganger så "sikkert". Med andre ord blir et passord av 11 tilfeldige tegn(uten spesialtegn) minimum 8192 ganger "sikrere" enn passordet av fire tilfeldige ord. Hvis du ikke forstår dette så anbefaler jeg at du leser deg opp på eksponentielle tall, og prøver å forstå hvor ekstremt fort tall vokser med større eksponent. Det er langt fra alle matematikere med universitetsutdannelse som klarer å forstå dette en gang.


  • 0

#18 Gulvsprekk

Gulvsprekk

    Bruker

  • Medlemmer
  • 3 innlegg
  •   9. juli 2007

Skrevet 29. november 2013 - 22:29

Er formler gode måter å lage passord på? feks (ordblokk)x+(A8)n eller 0Rmenlangeh+A83
der x er variabel ift. første eller siste bokstav i tjeneste og n brukes som tall hvis du har flere passord på samme tjeneste/forskjellige btc wallets, A8 omformes til 8A på tjenester som my skifte passord av og til. Da kunne en jo bare lagre (blokk)x+(XY)n på forskjellige plasser for å huske det. Er det mange bakdeler med et slikt system? Kan en stole på et slikt system for Bitcoin wallets osv og alle andre tjenester som en skulle bruke? Ser for meg at det kan være lettere enn å huske mange forskjellige passord iallefall. La oss si at formelen din havner på avveie, ville dette vært krise?
  • 0

#19 Kristian Opland Tangen

Kristian Opland Tangen

    Bruker

  • Medlemmer
  • 10 innlegg
  •   11. september 2013

Skrevet 4. desember 2013 - 18:36

Hva er en nattbank:-P
  • 0

#20 Svar

Svar

    Bruker

  • Medlemmer
  • 2 360 innlegg
  •   10. desember 2003

Skrevet 9. mars 2014 - 01:02

«Ola og Kari har 3 voksne barn» er ett bedre passord enn «OoKh3vb»
  • 0


0 bruker(e) leser denne tråden

0 medlemmer, 0 gjester, 0 skjulte brukere