Hej.

Hittade denna mycket intressanta och upplysande artikeln angående hur säkra eller osäkra lösenord kan vara.
Artikeln är på Engelska.


http://arstechnica.com/security/2013/05/how-crackers-make-minced-meat-out-of-your-passwords/

Intressant.

Vilken typ av lösenord brukar du själv använda?

Jag kör med typ ett standard för de flesta registreringar (inte så smart kanske , men hur håller man annars reda på alla, jag är säkert registrerad på 50 olika internetforum).

Det bästa är nog att ha en password manager,som håller reda på helt unika random lösenord för varje site, och att varje lösenord består utav 15+ tecken. Password managers brukar ha en random generator som kan plocka fram lösenord som inte är skapade i nått särskilt mönster.

Och sedan säkra password managern med ett lösenord som består av 5 eller fler ord som bildar en mening du lätt kan komma ihåg.
Sen bör man väl se till att den "mening" man kommer fram till inte använder alltför vanliga ord.

Det är typ det man kan läsa i den där artikeln.

Man kan aldrig vara helt säker för alla de onda krafter som försöker knäcka ens lösenord.
Ska nog skaffa en sån password manager.

Hur säker är en password manager och kan man använda en sådan (med gemensam databas) på flera enheter så som Androidenheter?

Intressant artikel. Jag skulle vilja se en lista över alla knäckta lösenord, för att veta vad man ska undvika. Hackarna har ju redan tillgång till såna listor, det är väl inte mer än rätt att "vanliga dödliga" också får det... Jag såg ingen länk från artikeln, nån som har nån sån länk?

Har läst första delen av tre och det spelar faktiskt ingen roll hur komplext lösenord man har, det går att räkna ut lösenordet ändå om man får tag i en kopia av databasen med krypterade lösenord och kan lagra den på sin egen dator.

Man gör i princip så här.

• Skapa en "snurra" som skapar lösenord efter lösenord
• Kör lösenorden genom algoritmen som genererar den krypterade versionen av lösenordet
• Lagra resultaten och jämför med databasen, om man hittar en korrekt version av det krypterade lösenordet så kan man logga in på den användarens konto

Notera att algoritmen som krypterar lösenorden i teorin kan skapa samma svar för två olika lösenord så även om man hittar en annan variant så fungerar det ändå att använde det lösenordet trots att det egentligen inte är rätt lösenord.

Med andra ord, en lista över crackade lösenord är ganska meningslös, det är bara urvalet för snurran som begränsar, har man med något tecken som inte är med i snurran ökar möjligheterna att just det lösenordet inte blir crackat men man eliminerar inte risken helt eftersom ett helt annorlunda lösenord kan skapa samma krypterade resultat.

Din snurra låter väldigt förenklad... Visst är det skillnad på om lösenordet står med i en lista eller inte. Står det med i en lista hittas det på en gång, då är det helt enkelt kört. Men om det inte står med i nån lista finns det en chans att det klarar sig. Alla lösenord går inte att knäcka med dagens datorer. Enligt artikeln kan man bara bruteforca upp tom. 8 tecken. (12 tecken om det bara innehåller siffror.)

Jag skulle vilja se vilka mönster folk använder, dvs som hackarna känner till. Jag tänker att ett lösenord på 25+ tecken (eller 35+?) uppbyggt av "flera mönster" borde vara svårt att sätta upp en algoritm för...

I artikeln (på tredje sidan) finns nedanstående illustration:


Tycker den beskriver rätt bra tänket kring hur man knäcker lösenord.

Som tillägg till mitt inlägg ovan så kan jag säga att ett bra sätt för en sajt att skydda sina lösenord mot cracking är att inte använda någon standardiserad kryptering, de flesta verkar använda MD5 som krypteringsmetod, men det går ju att antingen skriva en egen eller kombinera två metoder (säkrast är nog egen kombinerat med en välkänd utifall att den egna är för enkel).

En annan metod är att lösenorden lagras på en egen server som enbart används för lösenorden, dvs webbservern anropar lösenordsservern med användarnamn och lösenord som i sin tur ger svar tillbaka, lösenordsservern ska inte ha någon egen access mot internet, på så sätt kan lösenordsdatabasen aldrig laddas ner.

Nja, 4 vanliga ord som står i ordlistan, alla med bara små bokstäver, och mellanslag som enda specialtecken... Inga siffror, inga stora bokstäver, inte ens nån oregelbundenhet i mönstret... Jag skulle då inte nöja mig med det.

Använd gärna 4 ord som utgångspunkt, men göm dem i ett komplext mönter. Det är olika kända varianter av såna mönster jag är intresserad av. Och även vad som finns i listorna, så man inte råkar välja nåt där halva lösenordet finns i en lista, och andra halvan i en annan, som det stod om i artikeln.

Angående vanliga mönster som söks igenom så är det ju bland annat som det står i serien som är länkad.
Att börja med stor bokstav ha ett ord där man kanske byter ut a mot @ eller o mot 0 och sedan avsluta med en siffra och eller special tecken är alltså något som man INTE bör göra.
Det blir nog inte bättre av att börja med siffra heller.

Samma gäller att ha ett mönster man följer på tangentbordet. (något jag själv har använt mig av förr) även om man tex hoppar över tangenter så är det ett känt beteende och det finns program som testar alla möjliga kombinationer av mönster. Och det görs på sekunder.

Sen så vill jag rekommendera att inte skapa ett lösenord med 4 vanliga ord bestående av 3-5 bokstäver. Då det sedan xkcd serien är nått som finns med i dom lösenordslistor som används.
Det är ju känt att väldigt många i princip kopierar sånt dom ser och tycker verkar bra.
Gör det lite mer komplicerat, minst 5 ord, gärna ovanliga och långa ord och försök att inte ha dom i ett logiskt mönster.

Så åter igen, dom råd som finns att ge är att ju längre desto bättre, men sen att undvika mönster.
Det som skulle göra just en kombination av ord bättre är ju det att vi som människor har lättare att komma ihåg dom en en lång radda med 15+ helt slumpmässigt valda tecken.
(Och nu kanske nån aspie med väldigt bra minne för just såna strängar kommer opponera sig. Men för majoriteten av oss är det iaf inte lätt.) Sen bör man ska ha olika lösen på varje sajt, så att om en sajt hackas, eller dom kommer på ens lösen så ska dom inte komma in på alla sajter man använder sig utav.

Du skulle ju kunna skriva ner alla lösen i en bok som du har bredvid datorn, vilket då är säkert så länge du inte får inbrott eller vill kunna logga in någonstans när du inte är hemma.

Så vill man kombinera det hela med säkerhet och praktik så vore det typ en lösenordshanterare. Dom nämner flera i artikeln, kombinera det med en online lagringstjänst till exempel dropbox (se till att skruva upp säkerheten) så kommer du ju åt den via datorn och smartmobil.

Miche skrev:Har läst första delen av tre och det spelar faktiskt ingen roll hur komplext lösenord man har, det går att räkna ut lösenordet ändå om man får tag i en kopia av databasen med krypterade lösenord och kan lagra den på sin egen dator.

Man gör i princip så här.

• Skapa en "snurra" som skapar lösenord efter lösenord
• Kör lösenorden genom algoritmen som genererar den krypterade versionen av lösenordet
• Lagra resultaten och jämför med databasen, om man hittar en korrekt version av det krypterade lösenordet så kan man logga in på den användarens konto

Notera att algoritmen som krypterar lösenorden i teorin kan skapa samma svar för två olika lösenord så även om man hittar en annan variant så fungerar det ändå att använde det lösenordet trots att det egentligen inte är rätt lösenord.

Med andra ord, en lista över crackade lösenord är ganska meningslös, det är bara urvalet för snurran som begränsar, har man med något tecken som inte är med i snurran ökar möjligheterna att just det lösenordet inte blir crackat men man eliminerar inte risken helt eftersom ett helt annorlunda lösenord kan skapa samma krypterade resultat.

Det stämmer att man kan "brute forca" alla lösenord. Dock blir det i praktiken (med dagens datorer) "för långsamt" när det börjar bli för många tecken.
Som dom skriver så använder sig experterna sig inte av metoden om det är längre en 8 bokstäver.
För att ha viss framtidssäkring (mot snabbare datorer) så bör man ju ändå lägga på några extra tecken.


Sen angående md5 på websiter.

Miche skrev:Som tillägg till mitt inlägg ovan så kan jag säga att ett bra sätt för en sajt att skydda sina lösenord mot cracking är att inte använda någon standardiserad kryptering, de flesta verkar använda MD5 som krypteringsmetod, men det går ju att antingen skriva en egen eller kombinera två metoder (säkrast är nog egen kombinerat med en välkänd utifall att den egna är för enkel).

Det finns mycket säkrare metoder en just md5 som just är känt för att vara osäkert.
Tyvärr är dom som driver siter inte intresserade av att byta till säkrare men också mycket långsammare alternativ. Det kräver ju mer tid och pengar (dyrare hårdvara, och utbildning, utveckling)

Miche skrev:En annan metod är att lösenorden lagras på en egen server som enbart används för lösenorden, dvs webbservern anropar lösenordsservern med användarnamn och lösenord som i sin tur ger svar tillbaka, lösenordsservern ska inte ha någon egen access mot internet, på så sätt kan lösenordsdatabasen aldrig laddas ner.

Personligen så tror jag inte någon större site har ett så pass förlegat system så att dom har lösenorden lagrade på själva webservrarna.
Min erfarenhet av större system visar på att man i princip alltid har separata autentiseringsservrar.
Tyvärr så hittas det ändå vägar att komma åt den typen av information. Det kan ju finnas ett hål i säkerheten (brandvägg etc) eller kanske en insider eller att ett VPN kapas etc.

matgar skrev:Du skulle ju kunna skriva ner alla lösen i en bok som du har bredvid datorn, vilket då är säkert så länge du inte får inbrott eller vill kunna logga in någonstans när du inte är hemma.

Typ nåt sånt här...


Jag läste nånstans att reklamvideon var seriös, men de hade inte börjat tillverka produkten. De testade först för att se om det fanns intresse för den, och när det inte var så många som var intresserade så las projektet ner...

Jag brukar blanada stora och små bokstäver med siffror och andra tecken. Det man ska tänka på är om man vill att sidan ska kunna loggas in på via mobilen. Då funkar inte vissa tecken. På utländska sidor är inte Å Ä eller Ö tillåtna. Upptäckte det när jag försökte teckna ett konto hos Pay Pal.

matgar skrev:Gör det lite mer komplicerat, minst 5 ord, gärna ovanliga och långa ord och försök att inte ha dom i ett logiskt mönster.

Att stava orden fel ökar nog säkerheten (sådana ord finns inte i vanliga ordlistor) och lägg gärna på väldigt udda tecken lite här och där så som ½, µ, � och liknande (om sajten godkänner det och du kan skriva dessa från dina enheter).

Tips till androidmobiler, ett tangentbord med många (dessutom definierbara) tecken: Multiling keyboard.

Kimmelie skrev:

matgar skrev:Du skulle ju kunna skriva ner alla lösen i en bok som du har bredvid datorn, vilket då är säkert så länge du inte får inbrott eller vill kunna logga in någonstans när du inte är hemma.

Typ nåt sånt här...


Jag läste nånstans att reklamvideon var seriös, men de hade inte börjat tillverka produkten. De testade först för att se om det fanns intresse för den, och när det inte var så många som var intresserade så las projektet ner...

Det känns ju som skämt, men det är ju USA så det kan säkert vart menat seriöst. Men vem lägger ut massa extra pengar på en sådan när man kan köpa ett mycket billigare anteckningsblock och göra samma sak?

Miche skrev:

matgar skrev:Gör det lite mer komplicerat, minst 5 ord, gärna ovanliga och långa ord och försök att inte ha dom i ett logiskt mönster.

Att stava orden fel ökar nog säkerheten (sådana ord finns inte i vanliga ordlistor) och lägg gärna på väldigt udda tecken lite här och där så som ½, µ, � och liknande (om sajten godkänner det och du kan skriva dessa från dina enheter).

Tips till androidmobiler, ett tangentbord med många (dessutom definierbara) tecken: Multiling keyboard.

Att stava orden fel låter ju bra, men då börjar vi komma in på saker som är svåra att komma ihåg igen.
Risken att du glömmer exakt hur du stavade fel på ett visst ord anser jag vara hyfsat stor.
Special tecken likaså. Meningen med att använda sig av några ord som bildar en mening är ju att det ska vara lätt för människor att komma ihåg. Men visst, att lägga till ett extra special tecken skadar ju inte. Så länge du kommer ihåg det.

Specialtecken tycker jag är lättast att komma ihåg. Jag blir galen på såna sidor som inte tillåter specialtecken, för det är ju mycket svårare att få till ett långt lösenord, som samtidigt är lätt att komma ihåg, med bara bokstäver och siffror. Nog för att man ska vara försiktig med mönster, men med specialtecken kan man lätt göra komplexa mönster, som både är lättare att komma ihåg och gör det hela säkrare. 6-8 specialtecken trycker man ju lätt in tillsammans med ett par ord. Utspridda på olika sätt givetvis, så det inte går att använda samma algoritm för att knäcka dem. Då behöver man bara komma ihåg 2-3 ord och några siffror (tex ett årtal), resten memorerar jag med synintrycket.

Hittade en lista med ca 2 miljoner lösenord.

# This is a list of ~2 million randomly selected passwords from UNIQPASS.
# This list (also known as wordlist, password dictionary or password list)
# is useful for password recovery tools such as John the Ripper, Hashcat,
# Aircrack-ng and KisMAC.

http://dazzlepod.com/site_media/txt/uni ... review.txt
Sidan tog en stund att ladda, och det verkade inte som att allt syntes i webbläsaren. Det var enklare att ladda ner sidan (en textfil) och sen öppna i en vanlig texteditor.

Den innehåller tex: 4 långa ord med mellanslag, webbadresser, flera mailadresser (som lösenord alltså!), mm
Ett litet axplock:

Kod: Markera allt

shay56777bates!
8804183lao
en7a!1men75
2.06.1723
p!7!fulne55
*rducks3*
:dcrazylife:p
d3r0g@+0rin3$$
likely to see:
p|nt|llisten
527gao527gao
pen4l!+!e5
homeheartstartdefibrillator
c0n7rad1c710n
9:06:1636
yeu-pro-12345
m!cr0cl!m4+0l09!c4l
c0ns+!p@+3d
p@r@5!t!c@11y
yaya uchult mencari cinta
khaing123zar45mon
curecandidiasisalbicansfast
stier  s t ay1 er0
id="order"
er kam aus dem gleichen grund
*eugene22*
~~canan~~95
tipsforstartingyourownblog
17october1332
xn--9qvw95a9xa570c
free-gifts-free-samples
bmjctt:bmjctt22
confussssiiinnnggg
xn--maternitparis-ihb
59*******
zzaaaxxxx
purplemonkey23#ymail.com

Jag har ögnat igenom drygt 10000 hittills. Mellanslag är vanligt, så det som stod i den där seriestrippen kanske var sant när det skrevs, men inte nu längre. S.k. l33t-spe@k är också väldigt vanligt. Vissa av lösenorden kan man ju tycka borde vara säkra, men det finns ju sidor som sparat lösenorden i klartext som blivit hackade, så de kan ju komma därifrån.

Hur kommer den som hackar förbi att tex kortet/sidan blir låst eller tas efter några försök?

Jag insåg att det är orimligt att gå igenom hela listan, så jag sorterade den, och när specialtecknen kom först hittade jag genast mer intressanta saker.

Kod: Markera allt

!!!***(n )
!!!@@@###$$$wasd
!!!albion22
!!dagmara!!love
!$$)!x100preyo
!$(#__@/#^^
!*nia*!
!zombie66@
"#000000"
"+standardize(bwords[i])
"../../images/pcmphc5.gif";
"../images/pnvtht4m5.gif";
##-*(#*#)(@
##evoker##
#$*randa*$#
#11#middlesbrough#11#
#mother1990#
#newyork#1995
#p18#12#
#surin#160824#to
#~caramel#~
$("#cf_patchs")[0]
$austin$091098!
$w33tch33k$
%%fiore*%%tad
$j(".product_thumbnail_big2
زفاف
'*etc':u=u+'&';break;
's=416400&p=__________';
("vanya")
((cordsen))
((ziva@))
(*)binx(*)
(*poodle*)
(24)(25)julio199
(@ljf0206@)
(george)-(hp)+15
(l)cyril(l)1995
(lis)7813*
(qualification) 469.
(sagokafkef)@1978
***pamelalovesaliti1818***
**8paulateamo**8
**charlie**95
**lawjju80351**
*harryruby*1994*
*x*luvinno1*x*
*~*lucas*~*


Många av lösenorden ser ju ut som att de borde vara säkra. Men det har ju hänt att webbsidor lagrat lösenorden i klartext, och sen blivit hackade. Då kan de ha hittat en del av de "säkra", som då lagts till i ordlistor.

Ju mer jag ser av det här, desto mer inser jag att matgar har rätt... Det börjar nog bli dags att gå över till långa, "truly random" lösenord. Jag sparar rätt många i Firefox, och loggar sällan in från andra datorer. De gånger jag behöver logga in nånstans som jag inte sparat i FF, är det ju bara att kopiera - klistra in från lösenordsfilen (lösenordskyddat libreoffice-kalkylblad). Det är bara så jobbigt att byta ut alla lösenord...

LordNelson skrev:Hur kommer den som hackar förbi att tex kortet/sidan blir låst eller tas efter några försök?

De försöker inte logga in när de knäcker lösenorden. De hackar själva sidan och kommer över (kopierar) databasen med de krypterade lösenorden. Sen kör de program mot den databasen på sina egna datorer.

Att ta sig in i e-posten genom lösenordsfrågan (som ska vara en svag länk) och därifrån hämta lösenord kan var möjligt. Då hjälper det inte att ha långa eller komplicerade.

Jag funderar på det här med att uppge en annan mailadress för återställning av lösenord. På mitt ena mailkonto har jag uppgett min andra mailadress, men jag har inte uppgett den första adressen på det andra kontot. Jag tänker att om nån kapar den ena mailen så ser den vilken återställningsadress man har uppgett. Då kan den ju prova att klicka på "glömt lösenordet" på den andra adressen på ren chansning, för att se om det ger ett återställningsmail till den adress den redan har kommit över. Och därmed komma över båda kontona... Har jag missat nåt i mitt resonemang, eller är det här också en säkerhetsrisk?

Men 2-stegsverifiering skyddar väl mot det också (liksom mot om nån får fram lösenordet från "säkerhetsfrågan"). Har precis aktiverat 2-stegsverifiering på min ena mailadress, ska aktivera det på den andra också.

Du har nog rätt Kimmelie. Kollade just mitt återställningskonto och fann ett medelande om att det var hackat.