Sikkerhetsforskere: Så lang tid tar det å knekke de ulike passordtypene

[Redaksjonen.]

Sikkerhetsforskere: Så lang tid tar det å knekke de ulike passordtypene

[Øystein Sagen Johansen]

Hvorfor tar man utgangspunkt i at alle passordkombinasjoner må forsøkes, og at det alltid er siste kombinasjon som er den rette? Selv om det tar 34 år å teste alle mulige passord, kan vel riktig passord komme etter f.eks 23 sekunder? 

[Chris93]

Fordi at det er en absolutt øvre grense og gjennonsnitt som er interessante.

Det er sant at man kan være heldig å gjette riktig passord på første forsøk, men det er svært usannsynlig. Men hvor mange forsøk det maksimalt kan ta, eller i gjennomsnitt, gir deg et mye mer brukbart estimat av hvor sikkert passordet er.

[qualbeen]

Å gjette riktig på første forsøk, er faktisk eksakt like usannsynlig som å treffe på det aller, aller siste forsøket @Chris93. 

Sånn sett kun gj.snitt som burde vært med?

[Snowleopard]

Mange systemer låser konto etter X antall feil forsøk, og/eller setter en time out etter Y antall forsøk. I så tilfelle vil vel ethvert forsøk strande ganske tidlig. Noen har vel og tidssperre på hvor raskt du kan prøve gang nummer 2, 3, 4 osv. nettopp for å hindre Brute Force-angrep i å være effektive. Dette gjelder jo i utgangspunktet for innlogging på selve PC'en.

Slike forsøk på hvor raskt det tar å finne en bestemt kode, er derfor i beste fall en tall-lek uten substans. Det er vel kun mot websteder og programmer uten slike sperrer som i realiteten kan hackes på denne måten.

Har for all del sans for at man setter gode passord, spesielt på jobb-PCer og tjenester som er kritiske eller ihvertfall ansees som viktige å beskytte. Andre tjenester er det kanskje mindre viktig, men fremdeles surt å miste tilgang til eller å få komprimert.

Den største faren tenker jeg dog uansett er hos ledere som ikke skjønner eller klarer tenke at de kan utsettes for slikt, og der de kan bli et overvåkningsmål, der poenget er å lære masse om vedkommende, og slik sett forstå hvordan vedkommende tenker. Og dermed hvilke passord man tenker vedkommende bruker. Samt utro ansatte/medarbeidere, som kanskje ser eller hører eller klarer å gjette seg til hvilke passord som sannsynligvis brukes.

Ledere har ofte tilgang til masse systemer de egentlig ikke har behov for, men som de selv anser viktig at de har tilgang til uansett. Dessuten har de tilgang til de finansielle verktøyene og ikke minst kontoene som brukes. Dermed er de naturlige offer, både for industri/bedriftsspionasje og regelrette kriminelle som helst vil ha tak i finansene.

Selvsagt finnes endel rike folk som det kan være verdi i å gå etter som privatpersoner, og enkle penger er alltids ettertraktet, spesielt når man kan svindle mange nok. Men da tenker jeg det er heller andre metoder som er vel så effektive, og som fungerer bedre når man er remote fra PC'en.

[tHz]

Quote

Sikkerhetsselskapet Hive Systems utarbeidet nylig en oversikt som indikerer hvor lang tid det vil ta en hacker å knekke passord via «brute force»-metoden, altså å «gjette» seg frem til det riktige passordet for å bryte seg inn på en brukerkonto.

Dette er i beste fall upresist, og grenser mot helt feil. Artikler som dette er med på å skape forvirring for folk flest, og blir forsterket av filmer/serier hvor noen "hacker" seg inn på sekunder. 
Det er ingen som bruker GPU for å bryte seg inn i en konto ved direkte forsøk. Man bruker GPU for å brute force en kjent hash av et passord. En angriper har ikke en HASH av passordet ditt, men mindre du har gjenbrukt passordet flere steder, og ett av de stedene har fått brukerdatabasen sin kopiert ut. De aller fleste siter låser kontoen for en tid om man forsøker flere ganger med feil passord, så med mindre man bruker et kjent passord (sjekk f.eks. rockyou listen) så er det sjelden et problem. Dette gjelder kontoer som Facebook, Gmail, etc. For enterprise systemer er det en helt annen hverdag, men det dropper jeg å skrive mer om i denne posten.

Hovedpoenget når det gjelder passord er som følger:
Det er viktigere å ikke gjenbruke passord flere steder, enn det er å ha et langt og komplekst passord.

Brute force metoden som nevnes i artikkelen avhenger av at noen allerede har brutt seg inn, eller på annen måte fått tak i brukernavn og passord dump fra en site. Målet men en slik dump er å lage lister med brukernavn (ofte epost) og tilhørende passord, som man kan forsøke å bruke mot andre siter. Basert på hvordan passordene er lagret på siten som har blitt hacket, og derav i dumpen, kan hovedsakelig 3 forskjellige ting skje:

1. Om passord lagres i klartekst er jobben gjort. Angriperene sitter nå med ditt brukernavn og tilhørende passord. Om du har gjenbrukt passordet på andre steder er dette dårlig nytt, uansett hvor langt og komplekst passordet er.
2. Om passord lagres hashet, men uten salt, vil angriperen benytte rainbow-tables. Dette er store tabeller med ferdig hashet passord, som gjør det trivielt og enkelt å finne passordet. Alt man trenger er tabellene, eller i enkleste form et søk på google.
3. Om passordet er riktig lagret, hashet flere ganger og med bruk av salt, så må man altså ty til brute force for å finne passordene. Da benyttes ofte GPU for å gjøre dette raskere. Har man her et lengre passord kan man muligens unngå at angripere med lite resurser kan reversere passordet ut fra hash, men over tid vil man stort sett alltid ende opp med å få reversert passordet (noen unntak selvfølgelig).
4.  

Og før noen skriver sinte svar: Jeg mener absolutt ikke at man skal ha et enkelt passord!

Personlig mener jeg at man bør ha et langt passord, men ikke nødvendigvis komplekst. Hjernen vår husker komplekse passord dårlig, så bruk heller en blanding av norske og engelske ord samt et tall eller to. Da får man fort et langt passord som er lettere å huske.
Personlig benytter jeg en password manager for å ha unike lange passord på alle sites uten at jeg trenger å huske noe som helst. Viktige passord, som nettbank og epost har jeg ikke lagret i password manager. De klarer jeg å huske.

Anbefaler alle å ta seg en tur innom https://haveibeenpwned.com 
Skriv inn eposten din, så får du vite om den er med i noen av de kjente dumpene. Siden drives av Troy Hunt.

[Selfuniverse]

Jeg har laget ett veldig bra passord: Kj3mp3V@n$k3lig

Det er ingen andre som kommer til å finne ut hva passordet mitt er når det er så vanskelig som dere ser! Anbefales!

[Chris93]

qualbeen skrev (1 time siden):

Å gjette riktig på første forsøk, er faktisk eksakt like usannsynlig som å treffe på det aller, aller siste forsøket @Chris93. 

Sånn sett kun gj.snitt som burde vært med?

Den øvre grensen av hvor mange forsøk eller hvor langt tid man trenger, ikke sannsynligheten for at man gjetter riktig på siste forsøk.

[Dr.B]

tHz skrev (54 minutter siden):

Dette er i beste fall upresist, og grenser mot helt feil. Artikler som dette er med på å skape forvirring for folk flest, og blir forsterket av filmer/serier hvor noen "hacker" seg inn på sekunder. 
Det er ingen som bruker GPU for å bryte seg inn i en konto ved direkte forsøk. Man bruker GPU for å brute force en kjent hash av et passord. En angriper har ikke en HASH av passordet ditt, men mindre du har gjenbrukt passordet flere steder, og ett av de stedene har fått brukerdatabasen sin kopiert ut. De aller fleste siter låser kontoen for en tid om man forsøker flere ganger med feil passord, så med mindre man bruker et kjent passord (sjekk f.eks. rockyou listen) så er det sjelden et problem. Dette gjelder kontoer som Facebook, Gmail, etc. For enterprise systemer er det en helt annen hverdag, men det dropper jeg å skrive mer om i denne posten.

Hovedpoenget når det gjelder passord er som følger:
Det er viktigere å ikke gjenbruke passord flere steder, enn det er å ha et langt og komplekst passord.

Brute force metoden som nevnes i artikkelen avhenger av at noen allerede har brutt seg inn, eller på annen måte fått tak i brukernavn og passord dump fra en site. Målet men en slik dump er å lage lister med brukernavn (ofte epost) og tilhørende passord, som man kan forsøke å bruke mot andre siter. Basert på hvordan passordene er lagret på siten som har blitt hacket, og derav i dumpen, kan hovedsakelig 3 forskjellige ting skje:

1. Om passord lagres i klartekst er jobben gjort. Angriperene sitter nå med ditt brukernavn og tilhørende passord. Om du har gjenbrukt passordet på andre steder er dette dårlig nytt, uansett hvor langt og komplekst passordet er.
2. Om passord lagres hashet, men uten salt, vil angriperen benytte rainbow-tables. Dette er store tabeller med ferdig hashet passord, som gjør det trivielt og enkelt å finne passordet. Alt man trenger er tabellene, eller i enkleste form et søk på google.
3. Om passordet er riktig lagret, hashet flere ganger og med bruk av salt, så må man altså ty til brute force for å finne passordene. Da benyttes ofte GPU for å gjøre dette raskere. Har man her et lengre passord kan man muligens unngå at angripere med lite resurser kan reversere passordet ut fra hash, men over tid vil man stort sett alltid ende opp med å få reversert passordet (noen unntak selvfølgelig).
4.  

Og før noen skriver sinte svar: Jeg mener absolutt ikke at man skal ha et enkelt passord!

Personlig mener jeg at man bør ha et langt passord, men ikke nødvendigvis komplekst. Hjernen vår husker komplekse passord dårlig, så bruk heller en blanding av norske og engelske ord samt et tall eller to. Da får man fort et langt passord som er lettere å huske.
Personlig benytter jeg en password manager for å ha unike lange passord på alle sites uten at jeg trenger å huske noe som helst. Viktige passord, som nettbank og epost har jeg ikke lagret i password manager. De klarer jeg å huske.

Anbefaler alle å ta seg en tur innom https://haveibeenpwned.com 
Skriv inn eposten din, så får du vite om den er med i noen av de kjente dumpene. Siden drives av Troy Hunt.

Jeg kan tenke meg å gå vekk fra passord manager og heller ha noe som er enklere å huske og samtidig ulikt pr tjeneste. Men det krever at det er forholdsvis enkelt å huske, ellers er man like langt.

For eksempel: anta at jeg har ett av følgende passord for Instagram og Facebook:

Alt 1: DuKommeri29IkkeInnHer! (Instagram) og DuKommerf29IkkeInnHer! (Facebook). Sammenhengen her er den relativt simple "i" for Instagram og "f" for Facebook.

Alt 2: DuKommerIkkeInn29bilde! (Instagram) og IngenSlipperInndagb29% (Facebook). Her er det ingen sammenheng.

Alle 4 skal bestå av likt antall tegn (hvis ikke jeg har telt feil). Alternativ 1 er ganske enkel å huske, siden det er ett passord for alt samtidig som det har ett ulikt tegn for hver tjeneste.

Men er alternativ 1 like sikkert som alternativ 2, eller er ikke den ene ulikheten i bokstavene i alternativ 1 nok? Er det noen forskjell hvis man hadde lagt inn 2 eller 4 ekstra tegn som beskriver tjenesten (uten å skrive navnet på tjenesten)? F.eks. bytte ut "i" med "bilde" for Instagram og "f" med "dagb" (dagbok) for Facebook?

Eller handler sikkerheten om plasseringen av bokstavene/ordene og at det bør være ulik plassering av tegn på ulike passord?

[Snowleopard]

(not the real) Dr. Bombay skrev (21 minutter siden):

Jeg kan tenke meg å gå vekk fra passord manager og heller ha noe som er enklere å huske og samtidig ulikt pr tjeneste. Men det krever at det er forholdsvis enkelt å huske, ellers er man like langt.

For eksempel: anta at jeg har ett av følgende passord for Instagram og Facebook:

Alt 1: DuKommeri29IkkeInnHer! (Instagram) og DuKommerf29IkkeInnHer! (Facebook). Sammenhengen her er den relativt simple "i" for Instagram og "f" for Facebook.

Alt 2: DuKommerIkkeInn29bilde! (Instagram) og IngenSlipperInndagb29% (Facebook). Her er det ingen sammenheng.

Alle 4 skal bestå av likt antall tegn (hvis ikke jeg har telt feil). Alternativ 1 er ganske enkel å huske, siden det er ett passord for alt samtidig som det har ett ulikt tegn for hver tjeneste.

Men er alternativ 1 like sikkert som alternativ 2, eller er ikke den ene ulikheten i bokstavene i alternativ 1 nok? Er det noen forskjell hvis man hadde lagt inn 2 eller 4 ekstra tegn som beskriver tjenesten (uten å skrive navnet på tjenesten)? F.eks. bytte ut "i" med "bilde" for Instagram og "f" med "dagb" (dagbok) for Facebook?

Eller handler sikkerheten om plasseringen av bokstavene/ordene og at det bør være ulik plassering av tegn på ulike passord?

Det er i utgangspunktet antall mulige tegn og plasseringen av disse som øker kompleksiteten. F.eks et passord som inneholder bare siffer, har 10 mulige utfall for hvert tall i passordet, så du kan gange 10 med seg selv det antall tall du har med, for å se hvor mange mulige kombinasjoner man har. Med 2 tall har du altså 10x10 = 100 mulige kombinasjoner.

Legg til vanlige bokstaver i norsk alfabet, men bare små bokstaver, og du har i utgangspunktet 29 ekstra muligheter per tegn. Legg til store bokstaver, så har du nye 29, nå totalt 68 mulige per tegn. Og for hvert tegn nå, så kommer i tillegg antall varianter for hver gang du øker med ett tegn. Det blir til slutt uhorvelig mange varianter som kan testes.

Dette er altså for å komme frem til det første passordet. Om du bruker det samme på flere tjenester, så er det jo ganske enkelt, ett forsøk per sted man vil prøve.

Om du ikke bruker det samme på alle steder, så må man eventuelt bruke menneskelig logikk, eller maskinlært logikk for å finne frem til om det er noen ting i et slikt passord som identifiserer med nettstedet, som man så kan prøve ut for å komme inn på andre steder. Men nå er man i en annen fase av innbruddsforsøket.

Endret 5. mai 2022 av Snowleopard
Logisk brist i første avsnitt korrigert.

[sverreb]

1 hour ago, tHz said:

Personlig mener jeg at man bør ha et langt passord, men ikke nødvendigvis komplekst. Hjernen vår husker komplekse passord dårlig, så bruk heller en blanding av norske og engelske ord samt et tall eller to. Da får man fort et langt passord som er lettere å huske.

Som et kompromiss for å sikre seg mot de som lagrer passord usaltet kan man velge å selv salte et ellers gjenbrukt passord. Ikke like bra som å ha unike passord pr. brukersted, men gjerne bedre enn å lagre masse passord i en passordmanager som så blir kompromittert fordi man ikke kan huske alle.

Å salte passordet selv kan man enkelt gjøre ved å lage seg en regel på et pre/suffix man legger til standardpassordet avledet av der du bruker det, slik at det er forskjellig pr. bruersted men ellers lett å huske. Denne regelen må ikke være hemmelig, da det er selve passordet som er hemmeligheten ikke saltet.

For kontoer med ekstra krav til sikkerhet bør man likevel ha unikt passord og tofaktor.

[zanta]

1 hour ago, Selfuniverse said:

Jeg har laget ett veldig bra passord: Kj3mp3V@n$k3lig

Det er ingen andre som kommer til å finne ut hva passordet mitt er når det er så vanskelig som dere ser! Anbefales!

Det hjelper ikke så mye hvis du bruker det samme passordet overalt. De siste årene har jeg flere ganger fått melding fra nettsteder jeg bruker om at både brukernavn og passord er på avveie etter datainnbrudd.

[sverreb]

1 hour ago, (not the real) Dr. Bombay said:

Men er alternativ 1 like sikkert som alternativ 2, eller er ikke den ene ulikheten i bokstavene i alternativ 1 nok? Er det noen forskjell hvis man hadde lagt inn 2 eller 4 ekstra tegn som beskriver tjenesten (uten å skrive navnet på tjenesten)? F.eks. bytte ut "i" med "bilde" for Instagram og "f" med "dagb" (dagbok) for Facebook?

Det du gjør her er å salte passordet selv. Det er etter mitt syn en god praksis om man ellers vil bruke samme passord for å huske det.

At passordene dine før hashing har ulik lengde har ikke noe å si for en angriper. En angriper som får en database med hashede passord ser ikke på hvor lange passordene var i utgangspunktet. Hash er like lang uansett input. Husk en kryptografisk hash er en enveisfunksjon som gir en vektor ut av en forhåndsbestemt lengde som funksjon av data inn, men lar deg ikke rekonstruere data fra denne vektoren. (Dette skiller den fra kryptering) og spesifikt for en kryptografisk hash så er det matematisk vanskelig å konstruere en inputverdi som gir en ønsket hashverdi.

Et velykket angrep mot et hashet passord behøver ikke finne akkurat ditt passord, det trenger å finne et passord som resulterer i samme hash.

Bruker du et veldig enkelt passord så kan angriperen ha en ferdig tabell med alle mulige hasher med lav kompleksitet. F.eks et 8 tegns passord med bokstaver tall og spesialtegn har ca 2^50 mulige verdier* og dermed 2^50 mulige hasher et stort tall men ikke uoverkommelig å forhåndsgenerere (Det blir noen petabyte dog). Ironisk nok vil regler som at du må ha minst ett spesialtegn og ett tall redusere dette datasettet da det reduserer effektive bit pr. karakter. På den annen side vil man uten slike regler kunne lage et langt mindre datasett over kun passord med sannsynlige tegn.

For å unngå dette vil kompetente administratorer salte passordet før det lagres. D.v.s. at de legger til en streng til passordet før det hashes. Strengen trenger ikke være hemmelig men resulterer i at hashet for et gitt passord blir forskjellig for din database enn i en annen med et annet salt.

*) Fordi det reellt sett er ett sted mellom 6-7 effektive bit pr. karakter da ikke alle tegn brukes i passord

Endret 5. mai 2022 av sverreb

[Princessmonoke]

Legg deg inn på lista her:

https://haveibeenpwned.com/

 

 

[qualbeen]

En liten tilleggsnotis til de som gjenbruker passord:

Kompromitterte databaser ligger lett tilgjengelig på internett. Man kan altså laste ned brukernavn og passord fra ymse nettsteder som har fått databasen sin lekket. 

I tillegg kan man enkelt bygge opp sin egen database, om man ønsker. Et forslag:

En ond aktør kan lage en helt enkel side med bruker-registrering. Alle som registrerer seg lokkes med premier (vinn en iPhone, osv.). Så er det bare å reklamere for denne "konkurransen" på Insta, Face og overalt ellers. Etter få dager sitter man da med tusenvis av brukernavn og passord i databasen!

Opplysningene man har gitt fra seg er enkelt å automatisere, slik at denne onde aktøren automatisk prøver dine opplysninger opp mot Facebook, Twitter, Gmail, LinkedIn og alle andre større (og mindre) nettsteder. 🙄

 

Gjenbruk av brukernavn/passord er altså svært dumt! Tofaktor autentisering kan bøte litt på problemet heldigvis. 

Men ideelt sett bør man sikkert ha både unike brukernavn og unike passord pr tjeneste - samt tofaktor. I praksis litt vrient, og mange tyr til passord-håndterere for å klare dette. Samtlige nettlesere tilbyr seg å huske passord, kredittkort og mye annet. Andre bruker LastPass eller lignende. 

(Men jeg skremmes over hvor mye informasjon som potensielt kan hentes ut, dersom noen lykkes med å hacke seg inn i passord-håndterere!! 🥴😱)

[qualbeen]

Princessmonoke skrev (20 timer siden):

Legg deg inn på lista her:

https://haveibeenpwned.com/

 

 

Den er veldig kjekk! 

Ikke fullt så gøy å se at min info har havnet på avveie fra flere større aktører (LinkedIn, Adobe, Dropbox, MyHeritage, osv..)

[Snowleopard]

qualbeen skrev (2 timer siden):

En liten tilleggsnotis til de som gjenbruker passord:

Kompromitterte databaser ligger lett tilgjengelig på internett. Man kan altså laste ned brukernavn og passord fra ymse nettsteder som har fått databasen sin lekket. 

I tillegg kan man enkelt bygge opp sin egen database, om man ønsker. Et forslag:

En ond aktør kan lage en helt enkel side med bruker-registrering. Alle som registrerer seg lokkes med premier (vinn en iPhone, osv.). Så er det bare å reklamere for denne "konkurransen" på Insta, Face og overalt ellers. Etter få dager sitter man da med tusenvis av brukernavn og passord i databasen!

Opplysningene man har gitt fra seg er enkelt å automatisere, slik at denne onde aktøren automatisk prøver dine opplysninger opp mot Facebook, Twitter, Gmail, LinkedIn og alle andre større (og mindre) nettsteder. 🙄

 

Gjenbruk av brukernavn/passord er altså svært dumt! Tofaktor autentisering kan bøte litt på problemet heldigvis. 

Men ideelt sett bør man sikkert ha både unike brukernavn og unike passord pr tjeneste - samt tofaktor. I praksis litt vrient, og mange tyr til passord-håndterere for å klare dette. Samtlige nettlesere tilbyr seg å huske passord, kredittkort og mye annet. Andre bruker LastPass eller lignende. 

(Men jeg skremmes over hvor mye informasjon som potensielt kan hentes ut, dersom noen lykkes med å hacke seg inn i passord-håndterere!! 🥴😱)

Det blir jo ikke lettere når noen kjøper opp et nettsted, og så kobler sine data mot data fra nettstedet man kjøpte, og så vil f.eks. ulike brukernavn plutselig bli akkurat det samme.

Det skjedde meg, ved at VG, Finn.no og tek.no sine tjenester ble slått sammen. Jeg har alltid brukt et nick på Tek.no, men fullt navn på finn.no og vg.no. Når plutselig fullt navn stod på også hos tek.no, noe jeg overhodet ikke satte pris på, så måtte jeg endre slik at navnet mitt ble byttet ut med nicket, og jeg ble anonym på 2 steder der jeg ikke hadde det samme ønsket/behovet for å unngå eksponering at mitt unike navn.

Dette gjorde at jeg dermed ble utelukket fra å kommentere på tek, der jeg har hatt konto i over 20 år (fra gamle hardware.no), fordi de kun aksepterer fullt navn. Jeg kunne sannsynligvis brukt et falskt navn som er ganske vanlig, og derved forsvunnet i mengden, men det er ikke meg. Og det ville jo ødelagt for bruken på finn.no hvor jeg ønsker å bruke eget navn.

Forøvrig er nicket mine egne, faktiske initialer, så i praksis har det ingen betydning for andre, men det har betydning for meg. Det er jeg som vil ha kontroll på hvor jeg er meg selv med fullt navn, initialene som brukernavn, eller som her med et nick jeg og har brukt veldig lenge.