Dropp passordene

[Simen1]

ninjacrap: Det var et godt tips det med å redusere passfrasen til bare forrbokstavene. Det gjør passordet mye enklere å huske samt mye mye vanskeligere å knekke enn vanlige 8-tegns passord. (Ofte lager man jo 8-tegns passord som er en viss sammenheng i) Så lenge man passer på å få med minst 15 tegn så blir vel også den bedre NTLM-hashen brukt.

 

Altså: Rask å bruke, lett å huske og sikker. (80tegn^15= 3,5 * 10^28)

 

PS. Det med at hackere skal ha stor interresse av å hacke seg inn på enkelte plasser for å gidde å bruke språklige teknikker tror jeg lettere kan skje enn mange tror. F.eks er det folk som driver med industrispionasje som gjerne ville hatt kloa i sånne teknikker. Slike tipper jeg kan bruke uker på å utvikle et verktøy som er bra nok til at de får gjort jobben sin.

[Ernie]

Ta en liten setning som "Dette er bare en liten setning til eksempel" og gjøre om til "dEb3LsTe". Eneste jeg gjorde var å ta første bokstav i hvert ord og satte sammen, deretter byttet jeg ut noen av dem med passende tall, f.eks. E = 3, og byttet på bruk av stor/små bokstav. Ikke så veldig vanskelig å huske, men vanskelig å gjette eller bruteforce'e.

FEIL! Svært lett å kjøre bruteforce på, og rainbow tables må jo også brukes til noe. Skal et passord ha noe for seg må det nesten være på minst 10 tegn. Da begynner det å faktisk ta litt tid før man knekker passord v.hj.a bruteforce.

 

Edit: Med rainbow tables kan du knekke LM-hashet passord på toppen 20 sekunder. Sier vel litt om hvor trygt det er. Dette får man labbene i for mindre enn 100 euro...

Endret 8. mai 2005 av Ernie.

[:---{D]

Kommer nok til beholde mine gode korte passord, men det kan hende at jeg bruker setninger, når det er noe viktig jeg "låser inn".

[Terrasque]

Skal et passord ha noe for seg må det nesten være på minst 10 tegn. Da begynner det å faktisk ta litt tid før man knekker passord v.hj.a bruteforce.

Sitter fremdeles og venter på den MD5-hashen jeg nevnte tidligere. Til du bygger opp dine ord med handlinger så antar jeg at du drar ting ut fra ingensteder, og ikke har noen ide om hva du snakker om.

 

bare på gøy, knekk dette passordet: dea684000b093c4a1f133ef82b1bd92e

Det er en hex-encoda md5 hash, og passordet er 8 bokstaver, og består av små og store bokstaver, og tall. Ingenting mer.

[Dux ducis]

Passord og passfrase er akkurat det samme, man må fremdeles skrive inn "noe" for å logge inn. Derfor er artikkelen bare til hjelp for å skrive bedre passord.

 

Du vet hva en frase og et ord er?

 

For å logge inn på f.eks et forum trenger man et brukernavn og "noe".

 

Dette "noe" man må skrive sammen med brukernavnet for å logge inn er ikke alltid et passord, selv om det ofte kan være det. Det er nemlig noen menneskers uvitenhet som er skyld i at vi i dag kaller dette "noe" for passord.

Jeg stemmer for å kalle dette "noe" kode eller noe slikt. Passord er feil, med mindre det bare er tillatt å bruke ord der, selvfølgelig. (Men det skjer aldri, det er som regel alltid lov med tall og tegn i dette "noe")

[Terrasque]

sett fra en programmørs side, og et programs side, så er mellomrom bare enda en character. Akkurat som "f" og "^" er.

 

Det er mennesker som ser på mellomrom som noe spesielt.

[Ernie]

Skal et passord ha noe for seg må det nesten være på minst 10 tegn. Da begynner det å faktisk ta litt tid før man knekker passord v.hj.a bruteforce.

Sitter fremdeles og venter på den MD5-hashen jeg nevnte tidligere. Til du bygger opp dine ord med handlinger så antar jeg at du drar ting ut fra ingensteder, og ikke har noen ide om hva du snakker om.

 

bare på gøy, knekk dette passordet: dea684000b093c4a1f133ef82b1bd92e

Det er en hex-encoda md5 hash, og passordet er 8 bokstaver, og består av små og store bokstaver, og tall. Ingenting mer.

Litt vanskelig når jeg bare har en laptop her, men greit nok. Skal tilbake til Gjøvik idag uannsett.

[PoW]

Digg artikkel. Aldri tenkt på fraser før:)

[DarkSlayer]

Latterligt

 

Totalt latterligt

 

Artikkelen er dustete.

 

Folk hater passord, de har tonnevis av passord. Ofte så er de omgitt av mange systemer som krever mange løgne passord.

 

Folk husker ikke mange passord, og mange systemer saboterer godt muligheten for å lage seg et lite sett av passord man kan bruke overalt. Folk hater passord rett og slett.

 

Folk husker ikke sin egen visa pin på 4 tall.

 

Folk skriver opp alle passord, ergo så forsvinner fordelen med passfraser. Dustete.

 

Hvorfor er dette dustete? Gå rundt til folk og sjekk om de skriver opp sine passord og pin koder? Jepp omtrent alle gjør det. På en arbeidsplass flyter det av bøker, gule lapper og andre medium hvor det står b/p på.

 

Løsning: Det finnes ikke en løsning egentlig fordi den er for vanskelig å innføre. Fingeravtrykk er det enkleste siden man alltid har med fingeren og slipper å huske noe.

 

Alternativet er type "microsoft sin passport opplegg". Et sentralisert system som passer på ditt b/p, og har du da en tjeneste som krever b/p så benytter man dette systemet for innlogging. Ergo så bør brukeren kun huske 1 b/p.

Men her er problemet, hvem skal få bruke systemet? Hvem skal administrere systemet? Hvordan unngå misbruk av systemet? osv osv

 

see? Problems.

 

Dustete artikkel.

Endret 8. mai 2005 av DarkSlayer

[Dux ducis]

Folk skriver opp alle passord, ergo så forsvinner fordelen med passfraser. Dustete.

Jeg tror det er like lett å huske noe som "Christina liker lys sjokolade" (eksempel ) i forhold til 3269.

 

Tenk at du var gift med Christina og ser henne ofte, da blir den passfrasen lett å huske.

[DarkSlayer]

hallo - eg har sett folk skrive opp passord på plasser som er veldigt liberale, de enkleste passordene.

 

Nei ... så lenge vi har et mylder av systemer og passord, så vil rubb og rake bli nedskrevet. Hovedsaklig fordi vi må vite 3 ting.

Brukernavnet

Passordet

Plassen dette brukes

 

Skriver du ned kun b/p så vet du ikke hvor det skal brukes med mindre det er helt opplagt (som lappen i lommeboka til visa kortet). Ellers så ville du jo lurt på hvor det brukes ...

 

Var en fyr i fjor på skolen som sjekka sikkerheten på arbeidsplasser (forbindelse med master prosjekt i sikkerhet), og fant det helt graverende. + har lest lign avisartikkler om samme problem.

 

Passfraser, eller andre ting vi skal huske .... bare det innebærer "vi skal huske" så er tingen totalt unyttig.

 

Spørsmålet man må stille seg er hvor viktig passordet virkelig er når det er så enkelt tilgjengelig. Man må annta at passord stopper kun amatører, og heller se på andre måter å sikkre ting på for å unngå de som er smarte.

Og ha planer og rutiner for "when the shit hits the fan".

[ghjensen61]

Ascii tabellen gir et valg på 255 enkelt tegn - 8 bit adressering.

En passordfrase eller setning kan ofte utrykkes med inntil 10 av 65.535 ofte brukte ord - 16 bit adressering.

Tilsynelatende kan det se ut som et ord i en passordfrase er 255 ganger vanskeligere å gjette (65535/255).

før man også tar hensyn til at setninger og passordfraser er basert på språkets syntax hvilket gjør det lettere.

Av dette kan man utlede at et passord med 10 tilfeldig valgte store/små bokstaver,spesialtegn og tall ikke er nødvendigvis svakere enn en setning på 10 ord på grunn av at setninger følger språkets syntax.

Språkets syntax er den regulering som bygger opp en korrekt setning med mening, det betyr at ord ikke kan kombineres villt med at den må følge regler, når ord i et passordfrase ikke velges fritt men følger språkets syntax blir den gyldige kombinasjonen av ord som bygger opp en korrekt setning sterkt redusert.

 

På godt norsk betyr det at du ikke kan velge fritt av disse 65.535 ord i en mulig passordfrase eller setning, hvis du følger språkets regler.

Passordfraser med språkets korrekte syntax blir dermed svakere fordi de følger språkets korrekte oppbygning og skal bygge opp en mening, det vil si lettere å gjette matematisk sett.

 

Matten viser også at bruk av spesialtegn som ,#!. etc i passordfraser øker sikkerheten.

 

En viktig faktor er også at en som ser et passordfrase basert passord med en setningsoppbygning husker den lettere og kan være et problem når personen har sett det en gang.

 

Vil du ha private data på en disk kjøp en krypteringsenhet til den harddisken med harware nøkkel du har med deg slik at andre ikke kan bruke den , gjerne en hardware nøkkel som trenger passord i tillegg.

 

 

Endret 8. mai 2005 av ghjensen61

[KalleKanin]

Ideen er fin, men som det blir påpekt her, ganske vanskelig å gjennomføre i praksis.

 

Tenker bare på meg selv. Skulle jeg skrive en setning på 20 tegn hver gang jeg skal logge meg på maskinen?.....

Så mange ganger som jeg låser og låser opp maskinen i løpet av en dag, ville jeg bli dyktig lei et så langt passord.

Man skal jo låse maskinen hver gang man går fra den, ikke sant?....

 

Det beste alternativet til stadig bedre og lengre passord eller passfrases, er å bruke smartkort + en enkel kode. En kodegenerator og en kort kode er også et godt alternativ.

Da vil man trenge både noe man har (kortet eller kodegeneratoren) og noe man kan (koden), og vil derfor få en god sikkerhet.

 

Ved å la adgangskortet være det samme som man bruker til å logge på maskinen, vil man tvinge folk til å ta med kortet når de går fra maskinen, og dermed automatisk låse maskinen.

 

Kodegeneratorer kan også brukes i en Challenge-Request måte, der man f.eks. får de to siste sifrene til kodegeneratoren i svar.

 

De brukbare Biometri-metodene er så langt for lett å fake, og blodprøve-loginn ala den som foregår i filmen Gattaca er nok litt langt unna.

 

Løsningen med lengre passord/passfrases er etter mitt syn ikke noen gangbar vei....

Det vil bare føre til mer frusterte brukere.

ghjensen61 har også mange gode gode poenger...

Endret 8. mai 2005 av KalleKanin

[panbo]

Problemet med en passphrase passord er at den også blir for kort....

 

En vannlig settning består av mellom 3-6 ord. Det er egentlig ganske lite...

 

I en norsk kode oppslag for passord jeg har, er det ca 342000 substantiv, 283000 verb og 40000 binde ord.

 

I en engelsk ordliste er det flere ord, men tvilsomt mye større...

 

I språk har man strukturer. Dermet kan man gå ut i fra f.eks at det er subs, verb og objekt. Det er ikke så imari mange kombinasjoner som er vanlige.

 

I tillegg er det statistisk bruk av ord. Dvs at enkelte ord blir brukt i nesten alle settninger. F.eks. Jeg, og, eller...

 

Ut i fra en passphrase er det dermed stor sjangse for at denne typen passord blir knukket...

 

Ser man på antall muligheter ved ett passord på 8 bokstaver, er ikke sikkerheten veldig forskjellig...

 

Slitsomt... problem...

 

Det enkleste er vist å bruke noe man har (Mobil, kort el), noe man vet (Navn, hund el.) og noe man er ( Utseende el)....

 

Hvis man da genererer adgang fra det, så er det trygt....

 

Jeg har krypterings nøkkel på mobilen min. Passordet for nøkklen er ett ord kombinert fra Utseende og noe jeg aldri glemmer (Datoen hvor jeg Reiste en gang i tiden)...

 

Mulig og knekke, kanskje men vrient... Over 15 bokstaver og en krypterings nøkkel på mobilen / nøkkel knippe(Usb lager)...

 

[kindings]

Jeg må si meg enig med DarkSlayer, ikke at artikkelen er tøvete, men at passord generelt sett er ett problem for folk og at de svært ofte blir skrevet ned. Min erfaring er også at man prøver å finne ett system som gjør at man minimerer antall passord man trenger å huske. Selv har jeg ett system hvor "ordet" er det samme hele tiden, men jeg endrer ett tall og to inne i ordet. Dessverre er endel systemer såpass smarte at de gjenkjenner dette, men så langt har jeg klart å holde meg mer eller mindre til denne formen uten å gjøre for store endringer. Dvs jeg klarer meg fremdeles uten å måtte skrive ned passordene, men det blir stadig vanskeligere.

 

Ellers vil jeg også si at jeg hadde forventet noe helt annet da jeg klikket med inn på denne artikkelen; endelig slutte å huske x-antall passord. Som sagt er jeg usikker på om det faktisk er noen stor forskjell for meg om jeg må huske flere forskjellige enkeltord eller setninger... Det beste hadde sef vært å erstatte passordene med fingeravtrykk eller liknende.

[DarkSlayer]

Passord funker kun for aktive ting, og ikke passive ting.

 

Passordbeskyttelse av en fil er rimelig nytteløst, nettopp fordi du da åpner for brute force angrep.

 

Passordbeskyttelse, med helt enkle og simple passord på aktive systemer (web-sider, kjørende programmer osv) fungerer godt nok mener jeg, fordi man kan eliminere brute force. Mer enn 3 forsøk og man må vente en lengre periode eller brukeren blir stengt ute.

 

Da er det tull med å lage syke passord med tall, små og store bokstaver og et par jokertegn, og passordet må vær "litt langt".

Prøv å gjett pinkoden til visakortet ... med mindre du har dritflaks så må du tippe endel ganger, men kortet blir jo stengt etter 3 forsøk. Og de som bryter den simple koden stjeler koden. (kikke over skulderen, eller finner lappen i lommeboka).

 

Beste løsningen er å lage sentraliserte passordsystemer, hvor man kan lage brukere, og knytte disse mot ditt system. Men her er det ingen standarder ute å går, ergo så finnes det ingen gode løsninger.

 

Fingeravtrykk kan bli veldigt bra, men igjenn, manglende standarder og vanskeligt å implementere.

 

smart-kort og kode er forsåvidt greit men har samme problemer som med implementasjon som fingeravtrykk. Det er lite standarder og lite utbredt.

Tenk deg om alle nettsider skulle lage og sende ut kort, hadde lommeboka full av kodekort ... nei. Men for "sikkre" spesielle systemer? nja ok.

Norsk tipping mener jeg overdriver med sitt kortbruk.

 

Men begrense tilgang til systemet er også en mulighet som kan gjøres på arbeidsplasser. Alle ansatte må sluses inn med adgangskort til spesielle områder hvor de kan bruke systemer, men å ha avanserte passord etter dette er litt teit. Når ansatte da skriver opp alle passord så er det plutselig kun adganskortet som er sperren, og hvis det da er mulig å "følge" folk inn, så er det plutselig ingen sperrer.

 

Du kan jo legge på "en vakt i døra som kjenner deg igjenn" ... da begynner det å bli bra, med mindre man kan lure seg inn et åpent vindu ... så til en bok full av passord ...

 

Passive ting bare beskyttes av passord i en liten periode, og må ha andre sikkringsformer for å være beskyttet.

[Terrasque]

Passive ting bare beskyttes av passord i en liten periode, og må ha andre sikkringsformer for å være beskyttet.

Med et godt laget system og et godt passord kan "en liten periode" være flere hundretusen år (Ser bort fra quantum computing og slikt her). Tror det holder for vanlige dødelige

[fiskfisk]

Beste løsningen er å lage sentraliserte passordsystemer, hvor man kan lage brukere, og knytte disse mot ditt system. Men her er det ingen standarder ute å går, ergo så finnes det ingen gode løsninger.

Nei, for all del.

 

Ingen av:

 

Kerberos

LDAP

NIS (YP)

 

kan vel regnes som gjeldene standarder i dagens verden. I tillegg er det gjort _rimelig_ mye arbeid på public / private key-autentisering mot nøkkellagre etc, og blant annet Uninett kjører et prosjekt på dette i Norge (FEIDE).

 

Og vedkommende som kan si hva en tilfeldig 8-bokstavers MD5-hash er generert fra i løpet av 2005 skal få en klem.

[G]

Interessant artikkel.

 

Men til de som prater om MD5 strenger vil jeg bare kommentere at de ikke er reversible, og da lurer jeg på hva poenget deres egentlig var !?

 

Hvordan kan du ha glede av en MD5 streng utover å verifisere filer for eksempel?

Forklar oss hvordan hvis det finnes metoder å bruke det på i forbindelse med passordbruk. Unnskyld min uvitenhet hvis dette er godt kjent stoff.

 

[Terrasque]

Enkelt. Istedet for å lagre passordet, lagrer man en hash av passordet. Når man skal sjekke om det en bruker oppgir er riktig, hasher man den, og ser om resultatet er likt med det som er lagret.