Administrator
· Skåne
· 6 526 inlägg
Detta är ny information för oss. Vi vet om att vårt annonssystem (som är ett separat system) blivit hackat vid två tillfällen. Ena gången var oktober 2011, den andra gången var juni 2012.esox71 skrev:
Som Nerre påpekar är det ingen garanti för att lösenorden är säkra. För att det skall vara säkert måste hashen kombineras med salt och rounds.Per Eskilsson skrev:
Verkligheten visar ju gång på gång att det inte går att lita på en tredje parts lösenordshantering.
Enda sättet att sitta säkert är att använda slumpmässigt genererade lösenord och aldrig använda samma lösenord på två olika ställen. För att göra det drägligt använder man förslagsvis en lösenordshanterare som t.ex. KeePass.
Slumpmässigt genererade lösenord är inte särskilt mycket säkrare än andra, det viktigaste för ett lösenord är längden. På "den gamla goda tiden" när lösenorden kunde vara max 8 tecken så hade slumpade lösenord sin funktion, men för brute force så är lösenordet 111111111111111111 lika säkert som xpgkdu75yehgjknthdte8 (med reservation för att jag kan ha räknat fel).
I princip är det ingen risk heller att återanvända lösenord, så länge man ändrar det lite grann. Man kan t.ex. ha ett standardiserat 20-teckens lösenord och sen lägger man till ett 5-teckens prefix som beror på webbplatsen.
I princip är det ingen risk heller att återanvända lösenord, så länge man ändrar det lite grann. Man kan t.ex. ha ett standardiserat 20-teckens lösenord och sen lägger man till ett 5-teckens prefix som beror på webbplatsen.
Administrator
· Skåne
· 6 526 inlägg
Lösenorden är också saltade.
Precis som cpalm skriver bör man aldrig använda samma lösenord i olika system.
Precis som cpalm skriver bör man aldrig använda samma lösenord i olika system.
Administrator
· Skåne
· 6 526 inlägg
Ett annat bra sätt att skapa ett säkert lösenord är att komma på en mening som bara du själv skulle kunna komma på. T ex "Jag heter blåval och äter 4 mobila jordnötter".
Om hackaren måste använda "brute force" så har man valt ett bra lösenord. Det är precis det man vill uppnå.Nerre skrev:
Men hackare använder i första hand andra tekniker som är ofantligt mycket snabbare än "brute force", och det är dessa man undviker genom att använda ett slumpmässigt lösenord. Säkerheten i ett slumpmässigt lösenord ligger i att det inte förekommer i ordlistor och tabeller som används för att "knäcka" lösenord. Givetvis bör lösenordet ha en viss längd, men om man använder ett känt ord eller en (åtminstone enklare) kombination av kända ord och tecken så är man rökt oavsett om det är ett långt ord eller inte.
Risken med prefix-tekniken är om någon lyckas snappa upp lösenordet i klartext. Om en hackare t.ex. kommer över lösenordet "JättehemligtNerreByggahus" så är det ju inte helt långsökt att testa "JättehemligtNerreFacebook" på fejan. Men visst, betydligt bättre än att använda samma lösenord.
En modern PC klarar betydligt mycket fler än så, säkert någon miljon per sekund. Har man ett lösenord som finns i en ordlista så är det möjligt att knäcka det rätt fort under förutsättning att man vet vad det är för hash. Rätt fort där innebär mindre än ett år i alla fall...Nerre skrev:
Använder man något ord från en ordlista, och t.ex. har bytt ut ett e mot en trea eller nåt sånt samt kombinerat med stor/liten bokstav kommer man att få håla på ännu längre...
Har man inte ett ord från en ordlista tar det säkerligen tiotals år för ett lösenord på åtta tecken...
Vad jag har läst mig till så har ordliste-attacker mer eller mindre försvunnit. Anledningen är väl att om du inte vet vilket språk användaren har så måste du ha så många ordlistor att det snabbt blir fler ord att prova än bokstäver i orden.cpalm skrev:
För enkelhetens skull säger vi att vi har 40 godkända tecken. Det blir en komplexitet på 40^8, eller cirka 6*10^12. En normal cpu gör lätt totalt 10Ghz (quadcore x 2,4). Det betyder att antalet lösenordsförsök blir i förhållande till 10^10/sek. Eller rättare sagt, dina 8 tecken löses i ett förhållande av 600sek = 10min. Ja jag vet att det krävs fler operationer än 1 per försök, men nu talar vi förhållandet.anders07 skrev:
Min åsikt är att 8 slumpmässigt utvalda tecken, tex kravet "minst en stor bokstav, minst en liten, minst ett annat tecken", är helt löjligt. Kravet borde istället vara av typen "15tecken vad som helst". Visst kan man matcha mot en ordlista, men har du en mening med ett namn i tex, så blir komplexiteten jättehög. Så Pers tips är helt korrekt. Välj lösenord av typen "MinMorsaDöpteKattenTillSaddam".
Nä, du får nog gå hem och öva på matematiken och hur brute-force fungerar innan du uttalar dig... Visst, tiotals år är en överdrift för någon som verkligen vill knäcka ett lösenord. En anpassad dator och rätt algoritm kan säkert fixa det på några veckor om vi tar ett lösenord på åtta tecken, stora/små och siffror. Lägg till ett special tecken och du tiodubblar tiden...elpaco skrev:
Enligt Wikipedia så tar det i genomsnitt 16 minuter att knäcka ett slumpmässigt lösenord på 8 tecken som består av, stora och små bokstäver, siffror och specialtecken.
För att lägga ytterligare lök på laxen så är källhänvisningen till just det påståendet från 2008 så idag 7 år senare så bör tiden ha förkortats ytterilgare då hårdvaruutveclingen knappast har stått stilla sedan 2008. Långa långa lösenord är den enda sättet att komma undan.
För att lägga ytterligare lök på laxen så är källhänvisningen till just det påståendet från 2008 så idag 7 år senare så bör tiden ha förkortats ytterilgare då hårdvaruutveclingen knappast har stått stilla sedan 2008. Långa långa lösenord är den enda sättet att komma undan.
?? Hittade du något fel i min uträkning eller gissar du bara? Har en rätt stark känsla av att min matematik är ganska stabil nämligen .. 40 tecken täcker ungefär in dina specialtecken.anders07 skrev:
Tillägg: Förresten verkar det som du kanske skall läsa på vad "brute force" betyder. Det behövs nämligen knappast så mycket av anpassad dator eller "rätt algoritm". Tanken är nämligen att man struntar i en smart algoritm och använder just rå kraft. Det vill säga man itererar igenom alla möjliga varianter = antal möjliga tecken upphöjt till åtta.
Redigerat:
Antalet inloggningsförsök innan spärr har ju också en mycket stor betydelse. Det måste ju ställas krav på alla aktörer att inte tillåta för många försök. Ta exempelvis bankkort med PIN-kod : 3 försök utav 10000 möjliga koder för en 4-ställig kod är max innan kortet försvinner.