Nu handlade ju fråga om stulna lösenordsfiler, där det alltså bara handlar om att hitta ett lösenord som ger rätt hash. I såna lägen så har hackaren oändligt antal försök på sig utan nån fördröjning (det går t.o.m. att köra parallellt, kopiera lösenordsfilen till 10 datorer och låt dem ta en tiondel av alla nycklar vardera). Det enda som kan slöa ner såna försök lite är att hash-funktionen är komplex och tar tid att köra.
Nja, även om du har 1 miljard ord i tabellen så är det fortfarande en helt annan storleksordning än t.ex. elpacos exempel med 8 tecken ovan. Det säger sig självt att antalet meningsfulla ord som kan bildas med ett visst antal tecken är ofantligt mycket mindre än totala antalet möjliga kombinationer av motsvarande antal tecken. Sen kombinerar man i praktiken ordlistor med regelbaserade brute force-metoder.Nerre skrev:
Men jag missade helt klart att understryka att det slumpmässiga lösenordet givetvis skall vara långt.
Jag resonerar så här;
Vi verkar vara överens om att:
1. Man skall absolut inte använda samma lösenord på flera ställen.
2. Lösenordet skall vara långt och svårt.
Människans förmåga när det gäller minne och fantasi är normalt väldigt begränsad. Vi är dessutom av naturen lata. Dessa mänskliga faktorer är onekligen den främsta orsaken till att vi är ruskigt dåliga på att hantera lösenord enligt ovanstående grundläggande krav.
Man blir imponerad när man kollar på listor över lösenord som knäckts med ordlistebaserade metoder, så när de flesta tror att de har hittat på något fiffigt sätt att bygga upp ett svårt lösenord så har de i allmänhet fel.
Jag menar att en normal person inte kan hantera, låt oss säga 50 olika och tillräckligt komplicerade lösenord i huvudet. Därför behöver vi spara dem någonstans och där kommer en lösenordshanterare in i bilden som ett smidigt och relativt säkert sätt att spara sina olika lösenord.
Om man nu sparar sina lösenord och inte behöver komma ihåg dem i huvudet, varför då ta risken och bemöda sig med att försöka hitta på svåra ordbaserade lösenord? Tryck på knappen i lösenordshanteraren och den genererar ett slumpmässigt lösenord med godtycklig längd.
Givetvis finns det lösenord som man vill ha med sig "på stan" och då är man naturligtvis hänvisad till något som är hyfsat lätt att komma ihåg, och där är iallafall rent slumpmässiga lösenord inte särskilt praktiska.
Vad gäller tiden det tar att knäcka ett lösenord med "brute force" så är det givetvis linjärt med tiden det tar att beräkna hashen på lösenordet. Därav vikten att använda "rounds" när man hashar lösenord.
Antal inloggningsförsök är i det sammanhanget helt oväsentligt. Här förutsätter vi att hackaren har tillskansat sig de hashade lösenorden och kan knäcka dem i lugn och ro hemma på kammaren.
Nej det är verkligen fel. Om du hade en miljard ord (vilket är helt orimligt, så många ord finns inte på jorden), så skulle ett 3 ord långt lösenord ha en komplexitet på (10^9)^3 = 10^27. Knäck det om du kan.cpalm skrev:
Men säg mer rimligt att du tar de tio största språken. Ett rimligt antagande är att de har ungefär 2-6000 aktiva ord, alltså en ordlista på ca 40 000 ord. Ett 3 ord lång lösenord har då en komplexitet på (4*10^4)^3 = 4*10^12. Om du lägger till att de kan ha stor och liten inledande bokstav, och med eller utan mellanslag, så har du 1,6*10^13. MEN om du har fyra ord i ditt lösenord så får du 1,6*10^17 !! Lägg nu till att du ändrar på något litet någonstans i lösenordet, så att ordlistan inte fungerar, så blir det omöjligt att knäcka på det här viset (redan vid färre ord).
Visserligen är det linjärt mot tiden att beräkna hashen, men det är oväsentligt då tiden är exponentiell mot antal objekt (tecken/ord).cpalm skrev:
Redigerat:
Jag har lösenord i tre kategorier. Den simplaste, som till BH och andra ställen där någon som kommer in inte kan göra mer skada än att posta som mig, så har jag jätteenkla lösen. Där jag ändå bryr mig lite, där man kan ställa till besvär som kräver att jag kanske ringer ett samtal, så har jag ett mellanlångt lösen. Tex teleoperatören. Sista facket är till bank och dylikt, där man kan göra oreda. Det är ett svårt lösen. Men min värld är ändå inte så särskilt perfekt, då jag återanvänder vissa lösenord. Jag tycker det är för bökigt att ha unika, och litar inte på att jag alltid alltid har med mig min telefon.Dalbotös skrev:
Det beror på vad man har lösenordet tillDalbotös skrev:
Lösenord som man måste ange ofta är det opraktiskt att ha så långa, men vill man ha ett säkert lösenord så är "KåkenMammas8GodaKanelbullar" ett betydligt säkrare lösenord för Byggahus än "Bz76#tXk9" (observera "koden" att Kåken=Byggahus, det gör att det är svårare att gissa om det ska vara FejjanMammas8GodaKanelbullar, AnsiktetMammas8GodaKanelbullar, NunanMammas8GodaKanelbullar eller nåt liknande på Facebook).Ah sorry jag rörde ihop det med en annan site som fick lösenordsDBn stulen samma år (hittade ett gammalt utskick om det). Min gamla adress fanns med hos pwnad så den kom nog in via den andra sitens DB.Per Eskilsson skrev:
Administrator
· Skåne
· 6 522 inlägg
Om jag inte minns fel så råkade bl a Flashback ut för detta 2013.
Vågar man låta Fire Fox spara lösenordet så att man inte behöver skriva det varje gång man loggar in? Eller blir det ett smörgåsbord för hackare?
Ja, men man ska sätta ett masterlösenord. Annars blir det ett smörgåsbord för den hackare som väl lyckats ta sig in på ett eller annat sätt. Jag såg en intressant demonstration av detta en gång, då två herrar från FRA satte upp ett demosystem och tog sig in på måldatorn via en riggad pdf-fil, varefter man fortsatte och plockade ut alla sparade lösenord ur just firefox.ion skrev:
Firefox sparar alla lösenord i klartext så får du intrång i din egen dator med tex. spyware så är du rökt. Eller om du lånar ut dator till en "kompis" så kan han/hon också ta fram lösenorden direkt. En liten guide finns här:ion skrev:
http://www.howtogeek.com/111555/view-and-delete-stored-passwords-in-firefox/
Tack. Nu har jag knappat in ett huvudlösenord så nu är jag väl lite bättre skyddad.Janus82 skrev: