Det beste passordet er en setning

[xibriz]

Det er bare en ting som gjelder på passord, og det er lengden.

 

Det kan godt bestå av kun bokstaven A, så lenge det er 20-30 av de.

 

I alle tilfeller da dette må finnes ut av med brute force er du safe. Er algoritmen for krypteringen dårlig (slik at den kan reverseres) er du fucked uansett.

[Bad_Byte]

Dette ble diskutert i podcasten Security Now for 2 uker siden og debunket.

Endret 10. mai 2011 av Bad_Byte

[Korialstraz]

http://www.passwordmeter.com/ likte det dog bedre.

 

Skrev inn et passord som tilsvarer det jeg bruker her i antall store/små bokstaver, tall og tegn. Fikk 100% score, selv om det var minus for consecutive lower case og numbers.

 

Kjørte også passordet igjennom en brute force kalkulator jeg har brukt tidligere. Resultat:

 

"Your password is 16 characters long and has 323,921,668,734,976,000,000 combinations.

It takes 1,178,420,166.02 hours or 49,100,840.25 days to crack your password on computer that tries 137,438,953,472 passwords per hour. This is based on a typical PC processor in 2008 and that the processor is under 10% load."

 

Nå er det vel også høyst uvanlig at du kan prøve å cracke et passord så mange ganger i timen. Etter 3-5 forsåk vil kontoen enten låse seg, eller du vil ikke kunne prøve å logge på igjen innen 5-15 minutter.

 

Passordet er basert på en variasjon av "første bokstav i hvert ord i en setning" metoden, med tall og spesielle tegn. Vil si at du er rimelig dedikert skal du brute force det.

 

 

 

Men en ting jeg ikke skjønner, hvorfor skal man i det hele tatt bli utsatt for et brute force angrep? Dette krever at personen vet hva din innloggings identitet er. Forum er spesielt dårlig på dette feltet, da brukernavn som oftest også er din ID for å logge inn.

 

Hvis nettsider hadde brukt for eksempel mail til autorisering, ville hackere måtte prøve seg fram på både ID og passord. Så lenge du ikke slenger rundt med din innlogings ID så klart, men om du er en person som gjør det, så er det på høy tid med litt kursing i sikker bruk av PC.

[tommyb]

http://howsecureismypassword.net/

 

(...)

 

Kan godt hende at dette er en side som plukker opp passord...

 

(...)

 

780 quintillion years

 

 

Uansett om de logger det eller ikke er det vel der en side som sender over det du skriver i klartekst over usikret http-protokoll, så alle som har testet sitt reelle passord må nå bytte.

Endret 10. mai 2011 av tommyb

[Rivers]

Dark Helmet: So the combination is 1-2-3-4-5. That's the stupidest combination I've ever hear in my life. It's the kind of thing an idiot would have on his luggage.

::President Skroob kommer inn i rommet::

 

President Skroob: Well, it worked?

Dark Helmet: It worked, sir. We have the combination.

President Skroob: Great. Now we can take every last breath of fresh air from Planet Druidia. What's the combination?

Colonel Sandurz: 1-2-3-4-5

President Skroob: 1-2-3-4-5?

Colonel Sandurz: Yes!

President Skroob: That's amazing. I've got the same combination on my luggage.

[GullLars]

Ehm. Det er ikke hele settninger, det er akronymer av settninger.

Dictionary attack kan brukes mot hele settninger om de skrives ut fullstendig. Det beste er alfa-numerisk med spesialtegn, både upper og lower case, og 12+ tegn. Jeg lagde meg en kodebase for noen år siden basert på settninger på 1337 med diverse spesialtegn som mellomrom. Man får da lett 20+ tegn som er lett å huske og omtrent umulig å knekke.

En annen fin måte å lage passord for ubetydelige steder (si f.eks. youtube konto) er anagrammer av en settning som handler om siden.

[tommyb]

Moderne dictionary attacks kan såvidt jeg har hørt også teste 1337-varianter av alle ord.

Uansett er det vanskeligere å teste åtte ord enn åtte tegn, fordi det finnes flere ord enn tegn.

[Vizla]

780 quintillion years

 

Pft

It would take

 

About 4 septillion years

 

for a desktop PC to crack your password

 

Bruker samme kjerne med varierende tilhørende tall/bokstaver, vesentlig enklere passord på sider jeg regner som usikre.

 

over usikret http-protokoll, så alle som har testet sitt reelle passord må nå bytte.

Sjansen for at noen sniffer på din trafikk er jo så ekstremt høy. Ei heller er det en selvfølge at det sendes.

Endret 10. mai 2011 av Vizla

[tommyb]

About 4 septillion years

 

for a desktop PC to crack your password

 

Bruker samme kjerne med varierende tilhørende tall/bokstaver, vesentlig enklere passord på sider jeg regner som usikre.

 

Sjansen for at noen sniffer på din trafikk er jo så ekstremt høy. Ei heller er det en selvfølge at det sendes.

 

 

Den siden der bruker javascript på klientsiden, så den sender IKKE passordet over.

Men sjansen for at noen sniffer på min trafikk eller plukker opp ukrypterte passord på noen av de ti-tredve hoppa over internett er mange millioner+++ høyere enn sjansen for at noen klarer å knekke denne type komplekse passord, multiplisert med mange tusen ganger mer sannsynlig enn at noen skal forsøke å bruteforce akkurat ditt passord på en nettjeneste.

[JohndoeMAKT]

Jeg registrerte meg nylig på en side.

 

truecrypt -t filnavn temp
pwgen -n 30 -N 1 > temp/[email protected]
cat temp/[email protected]
truecrypt -d filnavn

 

Would you want the browser to remember this password? Yes please.

[Trondster]

navne på sien du skal logge inn på + noe hemmelig, funker

..Så hvis de knekker ett av passordene dine, så har de med andre ord det faste "hemmelige" du bruker, og så kan de dermed logge på alle andre steder også?

[Terrasque]

Man har også løsninger som http://www.hashapass.com/ - Som er i bunn og grunn

 

pw = hash(secret + parameter)

 

Og det gjøres i JavaScript, så er klient side.

 

Faktisk, koden er:

 

<script language=JavaScript type="text/javascript"> 
function update() 
{
var res = document.getElementById('resultId');
var seed = document.getElementById('seedId');
       var param = document.getElementById('parameterId');
var hashapass =
	b64_hmac_sha1
		(seed.value,
		 param.value)
	.substr(0,8);
res.value = hashapass;
seed.value = '';
res.select();
}
</script> 

 

Ingen passord database, og de forskjellige sidene har helt unike passord. De har også en ganske grei FAQ på den siden.

 

Det er også flere alternativer med samme approach, som https://www.pwdhash.com/ og https://addons.mozilla.org/en-us/firefox/addon/hash-password-generator/ - prinsippet bak er ganske solid, og det tar en kompetent koder / shell bruker minutter å lage noe slikt.

 

Shell kode

$ echo -n "secret+siteparam" | md5sum
121f37d7853f77d62b273fa1eeeae560  -

$ echo -n "secret+siteparam" | sha1sum
f3ecc21fff3934276998b545cea79e5e3b9f1a67  -

 

hasher.py

import hashlib
from getpass import getpass
parameter = raw_input("Parameter : ").strip()
masterpw = getpass("Master password : ").strip()
if masterpw and parameter:
 sitepw = hashlib.sha512(masterpw + parameter).digest().encode("base64")[0:12]
 print "Site password is: %s\n" % sitepw
else:
 print "You forgot something.."

 

Edit: Python output (master pw brukt var Myrra)

 

 

~$ python hasher.py

Parameter : example1

Master password :

Site password is /EIOLblzZBko

 

~$ python hasher.py

Parameter : example2

Master password :

Site password is nzwBl7nhliDF

 

~$ python hasher.py

Parameter : example1

Master password :

Site password is /EIOLblzZBko

Endret 10. mai 2011 av Terrasque

[Saiaku]

De profesjonelle bruker faktisk hele setninger, kalt Passphrase.

Brukes på serverparker og lignende.

Å ta første bokstav i en setning er ikke mye annet enn å lage et vanlig passord..

 

En passord cracker finner et passord mye enklere enn et passphrase da det er enkelt og greit kortere enn en setning.

Prosessorkraft kan gjette seg frem til alt med tid.

[Matsemann]

Moderne dictionary attacks kan såvidt jeg har hørt også teste 1337-varianter av alle ord.

Det er sant. Selv eldre versjoner kan det.

[Uluen]

Informasjon om Diceware.

[JohndoeMAKT]

De profesjonelle bruker faktisk hele setninger, kalt Passphrase.

Brukes på serverparker og lignende.

RSA og pwgen er det eneste jeg har vært borti i den profesjonelle verdenen.

 

Å ta første bokstav i en setning er ikke mye annet enn å lage et vanlig passord..

En passord cracker finner et passord mye enklere enn et passphrase da det er enkelt og greit kortere enn en setning.

Det er ikke selvsagt som nevnt flere ganger i tråden. En setning kan ha langt lavere entropi enn et kortere passord. Et passord med bredt spekter av tegn trenger ikke å ha voldsom lengde før både brute force og rainbow tables er håpløse angrepsvinkler innen rimelig tid med dagens maskinvare.

[tickinghd]

En ting som kanskje ikke har kommet så godt fram i artikkel og i diskusjonen her er hvorfor det er lurt å ta første bokstavene i en setning og bruke disse som passord. Årsaken kommer av to ting:

 

1) Slike passord er gode mot ordbokangrep og virker helt tilfeldig sammensatt på de som måtte lese passordet ditt.

 

2) Slike passord er ekstremt lette å lære å huske.

 

Jeg hadde rent glemt det siste argumentet, men jeg kom nylig på at jeg brukte denne metoden en gang for noen år siden da jeg satt opp ett trådløsnettverk. Da fulgte jeg denne regelen og la i tillegg årets årstall som siste tegn. Jeg husker enda setningen passordet ble laget av selv om jeg satt opp ruteren i 2007. Det sier litt om metoden.