Tilbakemelding på passord generator

[Ingvar]

Hallois, 

 

Snekret sammen en liten passordgenerator jeg selv bruker når jeg er fantasiløs og lat. 

Den er sterkt inspirert av bankID og setter sammen verb, substantiv og noen tall. 

 

https://passord.net/

 

Tar gjerne noen tilbakemeldinger og forslag til ting som gjør den enda bedre og ikke minst mer morsom  

 

/Ingvar

[Gavekort]

Fjern all passord-generering fra server-side, så slipper vi å måtte ha tillit til deg for bruk av tjenesten.

[Ingvar]

Fjern all passord-generering fra server-side, så slipper vi å måtte ha tillit til deg for bruk av tjenesten.

Interessant svar. Hvor ser du for deg at genereringen av passord skal foregå? Hvis ikke på server-side, skal det genereres på klient siden ved hjelp av front-end språk?

Da vil vel også eventuelle algoritmer for generering av passord bli synlig i kildekoden.

Og hvordan påvirker det tilliten når passordet kun er en tilfeldig sammensetting av adjektiv og substantiv + et tilfeldig nummer fra 10-99. Fulgte deg ikke helt på den. 

[oddeh]

Og hvordan påvirker det tilliten når passordet kun er en tilfeldig sammensetting av adjektiv og substantiv + et tilfeldig nummer fra 10-99. Fulgte deg ikke helt på den. 

Du kan lagre resultatet og lage en ordbok for brute force.

[Ingvar]

Du kan lagre resultatet og lage en ordbok for brute force.

Godt poeng! 

Selv om en tilfeldig sammensettingen av 2 ulike ord + 99 tilfeldige nummer må lage en lang liste og enormt mange trykk for å lage en fullstendig ordliste. 

Men listene ligger på serveren i *.txt format, så det er mulig å finne dem. De bør i det minste gjøres utilgjengelig via url. 

[Gavekort]

Interessant svar. Hvor ser du for deg at genereringen av passord skal foregå? Hvis ikke på server-side, skal det genereres på klient siden ved hjelp av front-end språk?

Da vil vel også eventuelle algoritmer for generering av passord bli synlig i kildekoden.

Og hvordan påvirker det tilliten når passordet kun er en tilfeldig sammensetting av adjektiv og substantiv + et tilfeldig nummer fra 10-99. Fulgte deg ikke helt på den. 

 

Security by obscurity is not security. Om du må holde algoritmen din hemmelig for at den skal være sikker, så er den ikke egnet for sikkerhetsapplikasjoner. Bruker man nok entropi (mange tilfeldige nummer) i genereringen så er ikke algoritmen din deterministisk nok til å kunne spore opp tidligere generte passord.

 

Genereringen kan foregå i Javascript. Det er ingenting i veien med det.

passwordsgenerator.net og strongpasswordgenerator.org er to eksempler på vanlige passordgeneratorer som bruker client side scripting.

[0laf]

Og hvordan påvirker det tilliten når passordet kun er en tilfeldig sammensetting av adjektiv og substantiv + et tilfeldig nummer fra 10-99. Fulgte deg ikke helt på den. 

 

Nå har du jo nettopp fortalt oss sammensetningen, du har altså to norske ord, samt et tosifret tall.

 

Dette er trivielt å knekke med brute-force når man vet at det er to ord som settes sammen, samt et tall på slutten.

[Ingvar]

Interessante tilbakemeldinger, men vet ikke om premisset for generatoren ble forstått. Det er ingen 'hemmelig' algoritme som skal generere et 'super uknekkelig' passord. Den består av ulike 3 ulike ordklasser som tilfeldig generer en sammensettinger av ordklassene og tilsetter, til slutt, ett tilfeldig nummer . Jeg utfordrer tanken om at det er "trivielt å knekke" selv om man skulle vite alle sammensetningene av ordklassene og tall. Eller send meg gjerne ordlisten som har alle disse kombinasjonene sammensatt for et brute-force angrep. 

[oddeh]

Poenget med en passordgenerator er jo at passordet som genereres skal være vanskelig å gjette/bruteforce, altså 'super uknekkelig' passord'. Problemet ditt er at genereringen skjer på server-side, altså vet ikke sluttbruker om server lagrer passordet eller ikke.

[Ingvar]

Poenget med en passordgenerator er jo at passordet som genereres skal være vanskelig å gjette/bruteforce, altså 'super uknekkelig' passord'. Problemet ditt er at genereringen skjer på server-side, altså vet ikke sluttbruker om server lagrer passordet eller ikke.

 

Ser poenget ditt.  Men gitt att server skulle lagret alle kombinasjoner som generes, da må server også vite hvor den besøkende velger å bruke de ulike passordene? Kan server f.eks vite at besøkende X benytter passord Y på tjenesten Z. Jeg mener disse passordene er ett slags kompromiss hvor man får lettleste passord, i  semantisk betydning, som muligens også kan huskes.  Det er åpenbart ikke et "$1$QuD4braD$vvhcPDeZoET.m1TkBdb7x0" passord som må overlates til en 'passordassistent', eller en hjemmesnekret huskeliste. 

[Thorbear]

Har det noe å si om server lagrer det genererte passordet? Server veit ikke hva brukernavnet er, eller hvilken tjeneste det skal brukes til, eller om jeg i det hele tatt brukte de 20 passordene jeg nettopp genererte.

 

Som tilbakemelding på de genererte passordene i seg selv, så savner jeg ikke-alfanumeriske tegn. For å holde det enkelt å huske, så kunne du jo for eksempel velge ett tegn per passord, som settes inn mellom hvert ord. Tallene burde kanskje også kunne dukke opp andre steder enn bare på slutten.

 

Selv bruker jeg "Strong Password Generator" en del, og noe jeg liker veldig godt der er at brukeren kan stille på reglene selv, som er veldig nyttig om en for eksempel trenger passord over/under en gitt lengde, eller ønsker strengere sikkerhet enn standardoppsettet. For å beholde brukervennlighet og enkelt design kan du skjule innstillingene bak en knapp/link, og velge standarder som passer for folk flest.

 

Når det er sagt så kommer jeg nok fortsatt til å anbefale en passord-manager til alle jeg kjenner, kombinert med passord som:
 

7-*--=y.^|:U~%P*v^viiXh_^D%51Nqk

[Emsal]

De fleste folk bruker enkle passord og det er sjeldent at noen kommer til å gå etter akkurat deg uansett. De fleste hackeangrepene skjer vel på selve databasen eller backend. Mye lurere å ha et passord som er lett å huske og bytte ofte.

 

Siden folk generelt har dårlig passord er det mye bedre med noe som går i mot brute force enn å få alle til å huske på et komplisert passord.

 

Jeg selv har pugget kompliserte passord, men er nytteløst når en server eller database blir hacket og plutselig ligger det i en ordliste.

[oddeh]

https://www.youtube.com/watch?v=3NjQ9b3pgIg
https://www.youtube.com/watch?v=7U-RbOKanYs

[nightowl]

De fleste folk bruker enkle passord

 

Ja, så enkle at man kan gjette seg frem hvis man kjenner vedkommende godt nok, eller har anledning til å finne personlig informasjon (f.eks. via Facebook).

 

sjeldent at noen kommer til å gå etter akkurat deg uansett.

 

Typisk norsk naiv tankegang.

 

De fleste hackeangrepene skjer vel på selve databasen eller backend.

 

Er styggmye angrep via e-post for tiden, og dette krever lite skillz.

 

Mye lurere å ha et passord som er lett å huske og bytte ofte.

 

Lett å huske, men også vanskelig å gjette (også ved brute force). Og unikt = brukes bare èn plass.

I tillegg bør man bare bytte (umiddelbart!) når man faktisk har en god grunn: 1) Etter å ha fjernet virus / annet rusk på egen enhet. 2) Om man har logget inn via usikkert nett, via andres enheter, .. 3) Om egen enhet har vært tilgjengelig for andre. O.s.v., altså et eller annet som gjør at sikkerheten har vært svekket.

 

Siden folk generelt har dårlig passord er det mye bedre med noe som går i mot brute force enn å få alle til å huske på et komplisert passord.

Jeg selv har pugget kompliserte passord, men er nytteløst når en server eller database blir hacket og plutselig ligger det i en ordliste.

 

Et passord kan fint være komplisert uten at det må pugges. Du kommer langt med korte setninger som har store bokstaver, tall og spesialtegn. Velg noe absurd eller rart som du lett husker. Noen steder må passord være korte, da kan du i stedet velge et langt ord.

 

EDIT: Selv bruker jeg passordprogram som krypterer all informasjon. Dette lagres i en fil. Denne filen er kryptert på nytt og lastet opp på Internett for god tilgjengelighet i tilfelle jeg skulle miste egne PC-er i brann o.s.v.

Endret 3. april 2019 av nightowl