Gå til innhold
Presidentvalget i USA 2024 ×

Bibelen avslører passordene dine


Anbefalte innlegg

Videoannonse
Annonse

Akkurat det vi trenger mest. En mildt sagt upresis overskrift som helt sikkert får vann på mølla for enkelte kristne. Har de ikke en sak, så lager de en.

Slik jeg har forstått det, er det ikke snakk om at det er Bibelen som avslører passordene dine, men at de bruker teksten i Bibelen som en kilde i sitt eh, dekodingsverktøy.

Hva blir det neste? Koranen avslører dovanene dine ...?

Endret av 96abrevs
Lenke til kommentar

Så langt jeg kunne forstå var det ikke så mye kombinasjoner av ord, men de hele setninger som er årsaken til at bibelen var en grei kilde for mange passord. Men her er det altså snakk om å finne resterende passord når andre teknikker allerede var brukt. At mange, spesielt fra statene, har brukt vers fra bibelen er ikke overraskende.

 

To eksempler fra Ars Technica:

"Am i ever gonna see your face again?"

"eastofthesunwestofthemoon"

 

Bytt ut med:

"Am i never gonna see your face again?"

"westofthesuneastofthemoon"

Og vips fungerer ikke bibelen heller. Med andre ord: varianter av "correct horse battery staple" er fortsatt veldig gode passord.
Passord av samme lengde med tilfeldige tegn er vanskeligere å knekke, men også vanskeligere å huske. Spesielt når man skal ha unike passord per tjeneste. Jeg bruker en kombinasjon av tilfeldige tegn og ord. Det er lett å se mønsteret om man har tilgang til 2-3 passord, men ett passord på avveie er ingen krise siden det ikke kan brukes flere steder.
Lenke til kommentar
Med andre ord: varianter av "correct horse battery staple" er fortsatt veldig gode passord.
Passord av samme lengde med tilfeldige tegn er vanskeligere å knekke, men også vanskeligere å huske. Spesielt når man skal ha unike passord per tjeneste. Jeg bruker en kombinasjon av tilfeldige tegn og ord. Det er lett å se mønsteret om man har tilgang til 2-3 passord, men ett passord på avveie er ingen krise siden det ikke kan brukes flere steder.

Du har ikke forstått hva entropi er. Det er nettopp entropi som er styrken til både passord og kryptering. Straks passord består av kombinasjoner av ord, navn eller setninger så blir entropien til passordet redusert til en brøkdel. De som har laget den xkcd-stripen gjør en stor feil med å anta at et passord bestående ord har omtrent samme entropi som et like langt passord av tilfeldige tegn. Bruteforcing basert på ordbøker, og vekting av hvilke ord som kan brukes etter hverandre er teknikker som effektivt vil knekke passord basert på sitater, ord, eller setninger.

 

Det var nettopp denne typen ignoranse og uvitenhet som gjorde at tyskernes enigma ble knekt under andre verdenskrig. For å repetere litt historie så hadde enigma mer enn nok entropi til at den skulle være uknekkelig den gangen, men det var kun under en viktig forutsetning om at nøkkelen og meldingen var helt uforutsigbar. Men som kjent gjorde tyskerne to fatale feil som gjorde at den "uknekkelige" krypteringen ble knekt raskere enn tyskerne selv klarte å dekryptere med nøkkel:

* For det første forstod ikke operatørene kryptografi, og gjorde tabben med at de sørget for at hver del av den nye nøkkelen for hvert bytte var forskjellig fra forrige nøkkel. I tillegg byttet de nøkkelhjulene i forutsigbare mønster. Basert på dette klarte smarte matematikere å redusere entropien nok til det var gjennomførbart med bruteforcing. (dette blir altså analogt med feilen folk gjør når de bruker passord av ord fremfor helt uforutsigbare tegn)

* Forutsigbare meldinger: U-båter brukte å sende en værmelding av fast format hver morgen, derfor var nesten hele meldingen unntatt noen få tegn forutsigbart, som gjorde at britene kunne bygge en maskin som maskinelt verifiserte om en dekryptert melding passet med en værmelding. Britene bygde haugevis av elektromekaniske maskiner kalt "the bomb" som kvernet gjennom store mengder kombinasjoner av nøkler.

Denne knekkingen av meldinger hadde ikke vært gjennomførbart innenfor krigens tidsrom uten at entropien først ble redusert kraftig. Husk at hver gang de får eliminert én bit av entropien så halveres antall mulige kombinasjoner, derfor kan reduksjon i entropi raskt gjøre et "uknekkelig" problem i polynomisk tid om til et problem som faktisk er mulig å løse.

Notis: Ikke fortvil om du ikke klarte å være med på den siste tankerekken her, det krever god forståelse av både matematikk, algoritmer og kryptografi.

Lenke til kommentar

Du har ikke forstått hva entropi er. Det er nettopp entropi som er styrken til både passord og kryptering. Straks passord består av kombinasjoner av ord, navn eller setninger så blir entropien til passordet redusert til en brøkdel. De som har laget den xkcd-stripen gjør en stor feil med å anta at et passord bestående ord har omtrent samme entropi som et like langt passord av tilfeldige tegn. Bruteforcing basert på ordbøker, og vekting av hvilke ord som kan brukes etter hverandre er teknikker som effektivt vil knekke passord basert på sitater, ord, eller setninger.

 

Det var nettopp denne typen ignoranse og uvitenhet som gjorde at tyskernes enigma ble knekt under andre verdenskrig. For å repetere litt historie så hadde enigma mer enn nok entropi til at den skulle være uknekkelig den gangen, men det var kun under en viktig forutsetning om at nøkkelen og meldingen var helt uforutsigbar. Men som kjent gjorde tyskerne to fatale feil som gjorde at den "uknekkelige" krypteringen ble knekt raskere enn tyskerne selv klarte å dekryptere med nøkkel:

* For det første forstod ikke operatørene kryptografi, og gjorde tabben med at de sørget for at hver del av den nye nøkkelen for hvert bytte var forskjellig fra forrige nøkkel. I tillegg byttet de nøkkelhjulene i forutsigbare mønster. Basert på dette klarte smarte matematikere å redusere entropien nok til det var gjennomførbart med bruteforcing. (dette blir altså analogt med feilen folk gjør når de bruker passord av ord fremfor helt uforutsigbare tegn)

* Forutsigbare meldinger: U-båter brukte å sende en værmelding av fast format hver morgen, derfor var nesten hele meldingen unntatt noen få tegn forutsigbart, som gjorde at britene kunne bygge en maskin som maskinelt verifiserte om en dekryptert melding passet med en værmelding. Britene bygde haugevis av elektromekaniske maskiner kalt "the bomb" som kvernet gjennom store mengder kombinasjoner av nøkler.

Denne knekkingen av meldinger hadde ikke vært gjennomførbart innenfor krigens tidsrom uten at entropien først ble redusert kraftig. Husk at hver gang de får eliminert én bit av entropien så halveres antall mulige kombinasjoner, derfor kan reduksjon i entropi raskt gjøre et "uknekkelig" problem i polynomisk tid om til et problem som faktisk er mulig å løse.

Notis: Ikke fortvil om du ikke klarte å være med på den siste tankerekken her, det krever god forståelse av både matematikk, algoritmer og kryptografi.

 

Jeg måtte for ordens skyld søke definisjonen på entropi og litt forskjellige for rundt bruken av ordet, deriblant i forhold til nevnte stripe fra XKCD. Jeg er langt fra noen ekspert på hverken matematikk, algoritmer eller kryptografi, men jeg kan ikke helt se hvorfor du mener jeg ikke har forstått hva entropi er. (jeg lærte også en hel del nytt nå)

 

Jeg ser så absolutt hva du mener. Argumentet jeg forsøkte å få frem var at om denne teknikken gikk ut på i praksis å gjøre bruteforce med sitater fra bibelen , så vil vel mindre variasjoner av disse være nok til at de kanskje ikke blir avslørt? Å ta høyde for alle mulige variasjoner vil jo nødvendigvis øke tiden det tar betraktelig.

 

Dersom det var mitt eget system du tenkte på, så er det altså en blanding av begge deler. "Tilfeldige" tegn og ord, satt i et system som gir svært liten mening basert på ett enkelt passord. Det gjelder også å finne et system som sikrer mot passord på avveie. Det hjelper ikke å ha verdens sikreste passord når en eller annen tjeneste klarer å lekke det i klartekst. Altså bør passordene være unike. Helt tilfeldige og unike passord byr på en utfordring for de fleste, så da har jeg valgt en mellomting. Klart, det finnes mange verktøy for å lagre passord, men de fleste har noen ulemper hva gjelder tilgjengelighet. Ettersom ikke alle nettsider støtter mitt system (typisk pga en idiotisk begrensing av passordlengde) benytter jeg også Lastpass for å lagre passordene, der hvor jeg blir tvunget til alternative passord.

 

Takk for et fyldig svar og en oppfrisking av enigma. :)

Lenke til kommentar
×
×
  • Opprett ny...