- Passordets æra er over

[Gjest medlem-82119]

Hadde faktisk en diskusjon her inne for en tid siden hvor jeg spurte etter alternativer til passord nettopp for å unngå disse problemene. Sender over vedlagte guide til de som spør, og synes den dekker det meste.

Hvordan beskytte seg mot ID tyveri på internett.doc

Endret 23. november 2012 av medlem-82119

[sinnaelgen]

Ikke rart at sikkerhet og brukervennlighet er slike motsetninger

Endret 17. november 2012 av den andre elgen

[del_diablo]

Sikkerhet og brukervennelighet er ikke motsetninger, men måten brukerne blir lært opp eller spurt er direkte idiotisk.

[sinnaelgen]

Sikkerhet og brukervennelighet er ikke motsetninger, men måten brukerne blir lært opp eller spurt er direkte idiotisk.

 

Det er overhode ikke brukervanlig når sikkerheten krever et passord som er vanskelig å huske , samtidig som man ikke har lov til å skrive det ned

 

Hvorfor operere med bare tall og bokstaver som bare gir 682 kombinasjoner med 11 tegn passord ?

Endret 17. november 2012 av den andre elgen

[Terrasque]

Hvorfor operere med bare tall og bokstaver som bare gir 582 kombinasjoner med 11 tegn passord ?

 

Kan du utdype den litt mer?

[del_diablo]

Det er nøyaktig der problemet ligger. Brukerne blir bett om å lage et passord, og de lager et kort passord som er enkelt å gjette..... Brukerne blir bett om å laget et avansert passord, og de blir bett om hva du sier "Laget et passord som er umulig å huske, som også heller ikke er langt". De blir aldri bett om å hive sammen 4-5 ord.

[Gjest medlem-82119]

Grunnproblemet er jo at brukere idag har en hverdag med svært MANGE passord å huske. Man skal huske koder for å komme seg inn på jobb, logge seg på jobbens pcer, loggge seg inn på andre tjenester, så har man passord til facebook, twitter, ulike eposttjenester, ulike forum, og så har man kanskje en spillkonsoll eller to med sine passord, en gps som skal oppdateres med sine passord, osv.

 

Man blir faktisk bedt om å huske 20-30-40 brukernavn og passord som helst skal være så lange som mulig og kompliserte som mulig, og man skal ikke skrive dem ned for da kan andre finne lappen, og heller ikke bruke samme på flere. Når man deretter blir bedt om å bytte passord minst ukentlig, så er det langt over kapasiteten til folk. Det blir ganske enkelt ALTFOR mye å huske på, sammen med koden til boligalarmen, kodeord til alarmen, visa koder, mastercard koder, pin og puk koder, sikkerhetskoder, flyselskapskoder, kinokort koder, bensinkort koder (gjerne både privat og via jobb). Man drukner i koder, og mister totalt oversikten.

[Kakeshoma]

Dette trenger man å huske:

Passord til masterdatabase

Passord til skylagring

optional: (Passord/USB stick hvor keyfil ligger)

 

Kan man ikke huske det tror jeg ikke man har hjernekapasitet til å leve normalt generelt.

[Gjest medlem-82119]

Hjelper vel lite om man har passordet til en nettsky når man sitter foran en pc på jobb som av sikkerhetshensyn har strenge regler for hva man har tilgang til. Selvsagt mulig å gå via egen mobil osv men langtfra ideelt. Blir utrolig tungvindt å sjekke nettskyen hver gang man skal gjøre noe, og synd om man ikke får fyllt bensin fordi man ikke har strøm på mobilen og får sjekket koden som er lagret i nettskyen.

[Occi]

Ifølge et verktøy jeg fant vil det ta 12,3 milliarder år å prøve alle kombinasjonene for krypteringspassordet mitt hvis man bruker 100 000 datamaskiner med høy ytelse. Hvis noen er SÅ fast bestemt på å knekke koden min, så skal de ha ros for å være utholdne.

Og nå tar det 2 sekunder fordi hashen til passordet ditt er lagret i en database

For all del ikke plott inn et ekte passord på disse "test ditt passord"-sidene.

[sinnaelgen]

Kan du utdype den litt mer?

 

eksemplet som er brukt tok utgangspunktet i 11 tegn.

Man bruker de 26 internasjonale bokstavene i alfabetet i både stor og liten bokstav , samt ale tallen man bruker

 

spørmålet er hvorfor man bare bruker tall og bokstaver når man kan bruke de fleste spesialtegne i tillegg ?

Endret 17. november 2012 av den andre elgen

[Vizla]

og heller ikke bruke samme på flere.

Det går så fint så, handler om risiko-kalkyle. For min del har jeg 3 forskjellige passord jeg bruker(i tillegg til alle nummer-passordene vi har i vår hverdag, men tall husker jeg lett). Ett for usikre sider(hotmail, torrent-sider og diverse ymse jeg har liten kjennskap til på forhånd), ett for sikre sider men som i bunn og grunn ikke er så viktige(gmail, diskusjon, facebook o.l.) og ett for de sider/steder ingen skal ha tilgang(her får du bruke din fantasi).

 

Det usikre passordet er rundt 10 bokstaver/tall, ville nok tatt et par timer/dager å knekke det hvis man virkelig ville.

Det sikre passordet er rundt 20 bokstaver/tall/tegn, det skal i teorien ikke kunne knekkes innen rimelig tid med mindre man sitter på cluster.

Det veldig sikre passordet er rundt 40 bokstaver/tall/tegn, og kan ganske enkelt ikke knekkes den dag i dag.

 

Måten passordene er bygget opp gjør at alle er veldig enkle å huske for meg. Det veldig sikre passordet består av sekvenser fra både det usikre og det sikre, med en del tegn/tall lagt til synkront. Et eksempel:

1. UsikkertPassord1

2. *-.1567*-.UsikkertPassord1.-*3655.-*

3. @UsikkertPassord1*-.1567*-.UsikkertPassord1.-*3655.-*UsikkertPassord1@

 

Her kan du f.eks. bruke pin-koder fra bankkort, mobil, jobb e.l., mao. tall som allerede er smeltet fast i hukommelsen, noe som igjen gjør passord(ene) lettere å huske.

 

Skal sies at jeg har et par andre passord også, for steder jeg er usikker på sikkerheten men samtidig ikke vil at andre skal ha tilgang. Der har jeg valgt å ganske enkelt ha en hel setning som passord, f.eks. "julenissenvarenkosligkardajegvarung".

Endret 17. november 2012 av Vizla

[Den åttende profet]

Og nå tar det 2 sekunder fordi hashen til passordet ditt er lagret i en database

For all del ikke plott inn et ekte passord på disse "test ditt passord"-sidene.

 

Det var et Excel-ark der man taster inn hvor mange store/små bokstaver, tall og spesialtegn man har i passordet. Ingen passord ble tastet inn. Og hvis man bruker en side, kan man taste et passord med tilsvarende kompleksitet som det man har. Det er vel også bare et fåtall som faktisk snapper passordet ditt. Og til slutt, selv om de hadde fått hele passordet mitt, skulle de liksom kommet hit og knabbet datamaskinen min bare for å låse opp noen relativt uinteressante bedriftshemmeligheter?

 

Men ja, jeg har kapitulert og bruker nå KeePass til kryptert lagring av alle passord. Men å bytte passord ukentlig eller månedlig er bare helt uaktuelt... Ett sted går grensen!

Endret 17. november 2012 av Den åttende profet

[Terrasque]

eksemplet som er brukt tok utgangspunktet i 11 tegn.

Man bruker de 26 internasjonale bokstavene i alfabetet i både stor og liten bokstav , samt ale tallen man bruker

 

spørmålet er hvorfor man bare bruker tall og bokstaver når man kan bruke de fleste spesialtegne i tillegg.

 

26 + 26 + 10 = 62

 

62^11 = 5.203656068×10¹⁹ kombinasjoner.

[Occi]

Det er vel også bare et fåtall som faktisk snapper passordet ditt.

Nei, jeg har ganske stor tro på at det er relativt mange slike sider som lagrer passordet ditt. Samme gjelder de sidene som angivelig sjekker om passordet ditt er lekket på nettet etter en database-hack. Noen er såpass dumme at de lagrer passordet ditt i samme database, så om du kommer tilbake etter en stund så får du plutselig at passordet ditt er lekket, selv om du kanskje ikke fikk det første gangen.

 

Det var et Excel-ark der man taster inn hvor mange store/små bokstaver, tall og spesialtegn man har i passordet. Ingen passord ble tastet inn. Og hvis man bruker en side, kan man taste et passord med tilsvarende kompleksitet som det man har.

[...]

Og til slutt, selv om de hadde fått hele passordet mitt, skulle de liksom kommet hit og knabbet datamaskinen min bare for å låse opp noen relativt uinteressante bedriftshemmeligheter?

Nevner det på generelt nivå, ikke nødvendigvis akkurat for deg, men det er bra at du ikke har gått i den fella

[sinnaelgen]

26 + 26 + 10 = 62

 

62^11 = 5.203656068×10¹⁹ kombinasjoner.

 

hva med 62+39 (101) ^11 i stedet = 11,156,683,466,653,165,551,101 kombinasjoner

[Den åttende profet]

Litt mer lek med store tall for moro skyld... de 12 milliarder årene var hvis antall store/små bokstaver, tall og spesialtegn var KJENT. Hvis dette ikke er kjent og man bare bruker antall tegn totalt, vil det ta 906 005 785 953 260 273 972 602 739 år for én datamaskin å prøve alle kombinasjonene. Tror ikke universet har lang nok levetid til det. Men man kan jo ha flaks og slumpe på riktig passord akkurat rett etter at man startet, la oss si etter et par tusen milliarder år.

 

Tenk så hvis hackeren ikke vet hvor mange tegn du bruker.... mammamia!

[AvidGamer]

Beste er å bruke en hel settning som passord.

 

[sinnaelgen]

Hvordan kom du frem til at det tar 12 milliarder år å sjekke alle kombinasjonene.

sis jeg leste i denne tråden så var det snakk om 10-11 måneder

Her var det usikker hvor rask pcn egentlig var .

Med stadig kraftigere prosessor så går denne tiden stad ned

Endret 17. november 2012 av den andre elgen

[Den åttende profet]

Det var for et langt, komplisert passord, det går raskere for et kortere og enklere passord. Et passord på 4 store bokstaver, 4 små bokstaver og 1 tall kan f.eks. bruteforces på et par dager. Legg til bare ett spesialtegn, så tar det fort et par måneder. Og jeg fant det ut med Excel-arket som finnes her http://www.mandylionlabs.com/PRCCalc/BruteForceCalc.htm

Endret 17. november 2012 av Den åttende profet