mboost-dp1
Flickr - stefano girardi
Inb4 link til XKCD Password Strength.
Jeg har grotesk mange passwords, og kan simpelthen ikke overskue, at holde styr på, hvad der er til hvad, så jeg må taste unødigt mange capatchaer, hvilket ikke er en spidskompetence hos mig.
Jeg har grotesk mange passwords, og kan simpelthen ikke overskue, at holde styr på, hvad der er til hvad, så jeg må taste unødigt mange capatchaer, hvilket ikke er en spidskompetence hos mig.
#1
Har du overvejet en password manager? Det hjælper en hel del. Så behøver man kun huske 2 passwords(login til computer og kode til password manager) og hvis en side bliver kompromitteret så får de ikke adgang til alle passwords.
Har du overvejet en password manager? Det hjælper en hel del. Så behøver man kun huske 2 passwords(login til computer og kode til password manager) og hvis en side bliver kompromitteret så får de ikke adgang til alle passwords.
#3
Jeg ville anbefale KeyPass hvis det skal være sikkert, primært fordi den ikke har en central database. Det er så også den største svaghed i det den så er lidt sværere at benytte for de knap så it kyndige da de selv skal stå få synkronisering mellem enheder.
Hvis man har tillid til krypteringen kan man selvfølgelig altid bruge en cloud storage løsning til distribution af databasen.
Jeg ville anbefale KeyPass hvis det skal være sikkert, primært fordi den ikke har en central database. Det er så også den største svaghed i det den så er lidt sværere at benytte for de knap så it kyndige da de selv skal stå få synkronisering mellem enheder.
Hvis man har tillid til krypteringen kan man selvfølgelig altid bruge en cloud storage løsning til distribution af databasen.
#2 jeg har overvejet det, men stoler ikke helt på dem. Problemet er alle logins fra mit private gejl og så jeg ved ikke hvor meget arbejdsskrammel på computere, hvor den slags software ikke kan installeres.
De her lister får det til at se langt mere problematisk ud end det faktisk er.
Stort set alle velbesøgte sites som har gratis adgang, men kræver en eller anden form for login, har "let me in" accounts som netop har super nemme passwords.
Adobe eksempelvis krævede i en årrække at man havde en account for at kunne hente deres gratis software. Det betød mange (inklusiv mig selv) bare oprettede en account med qwerty123 koden. Jeg havde ingen information hos dem jeg ville beskytte.
I midten af "nullerne" var der ligefrem websites som specialiserede sig i at opbevare delte konti til sites som fx. Adobe. Her kunne du gå ind og finde logins og deres passwords. Accounts som var oprettet til formålet.
Så nej, der er næppe ret mange seriøse brugere af fx. Gmail eller Facebook der har iloveyou eller qwerty som kode.
Stort set alle velbesøgte sites som har gratis adgang, men kræver en eller anden form for login, har "let me in" accounts som netop har super nemme passwords.
Adobe eksempelvis krævede i en årrække at man havde en account for at kunne hente deres gratis software. Det betød mange (inklusiv mig selv) bare oprettede en account med qwerty123 koden. Jeg havde ingen information hos dem jeg ville beskytte.
I midten af "nullerne" var der ligefrem websites som specialiserede sig i at opbevare delte konti til sites som fx. Adobe. Her kunne du gå ind og finde logins og deres passwords. Accounts som var oprettet til formålet.
Så nej, der er næppe ret mange seriøse brugere af fx. Gmail eller Facebook der har iloveyou eller qwerty som kode.
Kan kun anbefale KeePass som password manager. Open source og findes til de fleste platforme. Kombiner det med DropBox eller lignende og du har dine kodeord (næsten) overalt.
Hvorfor ikke bare oprette sine passwords så man kan huske dem, det er sgu ikke svært, hvis man laver system i det.
Et eksempel kunne være at oprette sit password ud fra en sætning som man selv kan huske
Ex:
"jeg går over en vej", vil blive til
jgo1v
Herefter tilføjer man det som passwordet bliver brugt til.
Ex gmail, hotmail, facebook
Gjgo1vL (GL i start og slut for gmail)
Hjgo1vL (HL i start og slut for hotmail)
Fjgo2vK (FK i start og slut for facebook)
eller hvordan man nu selv vælger at lave systemet i det.
Og Volia man har unikke passwords til alt og kan man huske et kan man huske alle, og kun en selv kender systemet
:)
Et eksempel kunne være at oprette sit password ud fra en sætning som man selv kan huske
Ex:
"jeg går over en vej", vil blive til
jgo1v
Herefter tilføjer man det som passwordet bliver brugt til.
Ex gmail, hotmail, facebook
Gjgo1vL (GL i start og slut for gmail)
Hjgo1vL (HL i start og slut for hotmail)
Fjgo2vK (FK i start og slut for facebook)
eller hvordan man nu selv vælger at lave systemet i det.
Og Volia man har unikke passwords til alt og kan man huske et kan man huske alle, og kun en selv kender systemet
:)
#10
Fordi jeg er paranoid nok til at tro at virksomhederne gemmer det i klartekst og at nogen får fat i 2 eller flere og gennemskuer systemet. Plus at forskellige steder har forskellige regler (nogen steder skal jeg have et ikke tal/bogstav i koden og andre må jeg ikke have andet end bogstaver og tal, nogen steder skal min kode være mindst 8 tegn og et sted fik jeg at vide min kode var for lang).
Man kunne selvfølgelig altid selv bare tage et hash af den inden men så er vi også næsten ude i et system der er lige som kompliceret som bare at have dem gemt i en krypteret fil. Det kunne også blive et problem den dag koden først er kompromitteret. Hvis jeg har en liste over alle sider jeg har et password på så har jeg da en chance for at prøve at redde dem en af gangen uden at skulle prøve at huske alle sider hvor jeg har et login.
Fordi jeg er paranoid nok til at tro at virksomhederne gemmer det i klartekst og at nogen får fat i 2 eller flere og gennemskuer systemet. Plus at forskellige steder har forskellige regler (nogen steder skal jeg have et ikke tal/bogstav i koden og andre må jeg ikke have andet end bogstaver og tal, nogen steder skal min kode være mindst 8 tegn og et sted fik jeg at vide min kode var for lang).
Man kunne selvfølgelig altid selv bare tage et hash af den inden men så er vi også næsten ude i et system der er lige som kompliceret som bare at have dem gemt i en krypteret fil. Det kunne også blive et problem den dag koden først er kompromitteret. Hvis jeg har en liste over alle sider jeg har et password på så har jeg da en chance for at prøve at redde dem en af gangen uden at skulle prøve at huske alle sider hvor jeg har et login.
#10:
Bruger selv tilsvarende metoder, dog en lidt mere sikker udgave ;-)
... afhængig af bruteforce algoritme selvfølgelig... og såfremt specialtegn er tilladte :-)
En af mine metoder er:
1) Udtænk en "pin" f.eks. 4-6 cifre. - (dette er hvad du skal huske på)
2) For hvert ciffer danner du en sekvens med tasterne i samme "kolonne". - For tallet "1" bliver det så: "1qaz"
3) for hvert andet (eller hver tredje, eller først+sidste) ciffer holder du <SHIFT> nede for hele kolonnen. - for tallet "1" bliver det så til "!QAZ"
Ved at bruge minimum 1 ciffer i din pin over 3 hvor du skal holde <shift> nede, så er dit password endda culture-specific. - DK og US tastatur-layouts giver forskellige resultater.
Du er beskyttet mod stortset alle kendte typer mønstre og din angriber står tilbage med ren og skær sandsynlighed for at ramme et meget stærkt password.... og vælger dermed højst sandsynligt et lettere mål ;-)
Så med en pin på 4 cifre at huske på har du et meget stærkt password på 16 tegn (tal, specialtegn, store og små bogstaver).
Er du paranoid, så lav en pin på 6 cifre og du har et meget stærkt password på 24 tegn!
Er du virkelig helt hen i vejret laver du da bare et telefon-nummer pin på 8 cifre og du har 32 tegn i passwordet! ;-)
NB: Lad vær med at fortælle nogen om hvilket keyboard layout du bruger, hvilken kombination af shift du bruger.... og selvfølgelig lad være med at dele din pin! ;-)
Bruger selv tilsvarende metoder, dog en lidt mere sikker udgave ;-)
... afhængig af bruteforce algoritme selvfølgelig... og såfremt specialtegn er tilladte :-)
En af mine metoder er:
1) Udtænk en "pin" f.eks. 4-6 cifre. - (dette er hvad du skal huske på)
2) For hvert ciffer danner du en sekvens med tasterne i samme "kolonne". - For tallet "1" bliver det så: "1qaz"
3) for hvert andet (eller hver tredje, eller først+sidste) ciffer holder du <SHIFT> nede for hele kolonnen. - for tallet "1" bliver det så til "!QAZ"
Ved at bruge minimum 1 ciffer i din pin over 3 hvor du skal holde <shift> nede, så er dit password endda culture-specific. - DK og US tastatur-layouts giver forskellige resultater.
Du er beskyttet mod stortset alle kendte typer mønstre og din angriber står tilbage med ren og skær sandsynlighed for at ramme et meget stærkt password.... og vælger dermed højst sandsynligt et lettere mål ;-)
Så med en pin på 4 cifre at huske på har du et meget stærkt password på 16 tegn (tal, specialtegn, store og små bogstaver).
Er du paranoid, så lav en pin på 6 cifre og du har et meget stærkt password på 24 tegn!
Er du virkelig helt hen i vejret laver du da bare et telefon-nummer pin på 8 cifre og du har 32 tegn i passwordet! ;-)
NB: Lad vær med at fortælle nogen om hvilket keyboard layout du bruger, hvilken kombination af shift du bruger.... og selvfølgelig lad være med at dele din pin! ;-)
#11 Jeg har aldrig oplevet de seniarier som du skriver, Jeg har dog oplevet at mine koder var for lange, jeg havde et på omkring 17 tegn engang.
Det jeg i bund og grund forsøger at fortælle i #10 er at så længe man laver et system i sine koder så er de ret nemme at huske og så kan man lave dem så kompliceret som man selv lyster.
Smid ! efter hver 3 bogstav og # efter det andet sidste, eller hvad ved jeg.
Jeg ser det ikke som det store problem.
Det jeg i bund og grund forsøger at fortælle i #10 er at så længe man laver et system i sine koder så er de ret nemme at huske og så kan man lave dem så kompliceret som man selv lyster.
Smid ! efter hver 3 bogstav og # efter det andet sidste, eller hvad ved jeg.
Jeg ser det ikke som det store problem.
Alle jer med selvopfundne systemer:
Hvordan går det, når I skal bruge et kodeord, I ikke har brugt i 6+ måneder?
Hvordan går det, når I skal bruge et kodeord, I ikke har brugt i 6+ måneder?
Bruger også flittigt keepass, også på arbejdet. Der skal nok ligge små 300 logins i den efterhånden. Databasen er så krypteret med et password kun 2 mand ved samt et certifikat der ligger på 3 usb nøgler. Min egen, min 2. mand og så et eksemplar i banken, sku vi begge blive ramt af en løbsk rumfærge på samme dag :)
mfriis (6) skrev:
I midten af "nullerne" var der ligefrem websites som specialiserede sig i at opbevare delte konti til sites som fx. Adobe. Her kunne du gå ind og finde logins og deres passwords. Accounts som var oprettet til formålet.
bugmenot.com fx. De har endda browser plugins, så du blot skal højreklikke på en login form, også logger den dig ind med en bruger fra systemet. Det virker overraskende ofte, men den kommer dog også til kort somme tider.
Manofsciencemanoffaith (15) skrev:Alle jer med selvopfundne systemer:
Hvordan går det, når I skal bruge et kodeord, I ikke har brugt i 6+ måneder?
Jeg havde en kollega, som brugte efternavn + tal. Hver måned blev der lagt en til tallet. Sidst jeg hørte var han oppe på Bækvang36.
Softy (12) skrev:#10:
En af mine metoder er:
1) Udtænk en "pin" f.eks. 4-6 cifre. - (dette er hvad du skal huske på)
2) For hvert ciffer danner du en sekvens med tasterne i samme "kolonne". - For tallet "1" bliver det så: "1qaz"
3) for hvert andet (eller hver tredje, eller først+sidste) ciffer holder du <SHIFT> nede for hele kolonnen. - for tallet "1" bliver det så til "!QAZ"
Ved at bruge minimum 1 ciffer i din pin over 3 hvor du skal holde <shift> nede, så er dit password endda culture-specific. - DK og US tastatur-layouts giver forskellige resultater.
Du er beskyttet mod stortset alle kendte typer mønstre og din angriber står tilbage med ren og skær sandsynlighed for at ramme et meget stærkt password.... og vælger dermed højst sandsynligt et lettere mål ;-)
Så med en pin på 4 cifre at huske på har du et meget stærkt password på 16 tegn (tal, specialtegn, store og små bogstaver).
Er du paranoid, så lav en pin på 6 cifre og du har et meget stærkt password på 24 tegn!
Er du virkelig helt hen i vejret laver du da bare et telefon-nummer pin på 8 cifre og du har 32 tegn i passwordet! ;-)
NB: Lad vær med at fortælle nogen om hvilket keyboard layout du bruger, hvilken kombination af shift du bruger.... og selvfølgelig lad være med at dele din pin! ;-)
Det er en rigtig dårlig metode.
Sikkerheden afhænger primært af at algoritmen er ukendt.
Dit tastatur layout er nok ikke så svært at gætte.
10 cifre med eller uden shift 4, 6 eller 8 gange er ikke ret meget.
4 cifre pin svarer til et normalt password A-Za-z0-9 af længde 2.9
6 cifret pin svarer til længde 4.4
8 cifret pin svarer til længde 5.8
Det er lige før det er lige så nemt at have en fysisk liste i sin pung, eller som et billede på telefonen.
Hvis det er godt nok til NemID er det vel også godt nok til sine koder ^_^
Facebook: dkendka37kr33?&-
Google: skabelon:&92;9?5'j
Og whatnot
Hvis det er godt nok til NemID er det vel også godt nok til sine koder ^_^
Facebook: dkendka37kr33?&-
Google: skabelon:&92;9?5'j
Og whatnot
#15:
Kan du huske din mors fødselsdag f.eks? - Udtænk et system a'la det jeg beskrev, som du så generelt bruger til dine passwords, så skal man da have Alzheimers for ikke at kunne huske det! ;-)
#21:
Ooookay Karl Smart ;-) ... Og du ved så selvfølgelig lige præcist hvilket tastatur-layout jeg bruger? - udover de samples nedenfor ;-)
Endnu mere spændende..... tror du at en password-cracker tænker over hvilket layout jeg bruger? - Eller for den sags skyld den person der tilfældigvis lige har skaffet adgang til en række konti som han skal bruge passwordet for at se detaljerne på? (selvfølgelig encrypted)
Og for de længder du har angivet... kan du give en kilde udover "self"? ;-) ... og på hvilket grundlag?
Prøv følgende pins (format: pin - generated):
1864 - !QAZ8ik,&YHN4rfv
5593 - %TGB5tgb)OL:3edc
3947 - #EDC9ol.¤RFV7ujm
465798 - ¤RFV6yhn%TGB7ujm)OL:8ik,
Prøv at køre disse gennem denne: https://passfault.appspot.com/password_strength.ht...
Som du kan se er der forskel på hvor lang tid det kan tage at cracke.... men vælger du en ordentlig "pin", så kan du glemme dictionary attacks og så skal "your favorite talented password cracker" virkeligt have et personal vendetta mod dig for måske at bruge nok tid og ressourcer til at kunne gennemskue de passwords!
I sidste ende er det dog stadig vigtigt at din "carrier" er af ordentlig kvalitet....
Windows Security er crap, selvom det dog er blevet bedre.
En simpel SHA-1 algoritme med måske 1-10 passes er bedre, men kan dog bruteforces.
Nej nej..... et password som det sidste ovenfor med AES og 1-10k pass SHA-256 eller RIPEMD-256/320 hashing til beskyttelse af password+data..... Good freaking luck breaking that one! ;-)
Hvis du vælger dit pass og din carrier med omhu, så skal du altså fremstå på NSA's Top-10 liste over most wanted og ikke bare have et par nøgenbilleder på Google Drive + BoxCrypt som du vil beskytte ;-)
Kan du huske din mors fødselsdag f.eks? - Udtænk et system a'la det jeg beskrev, som du så generelt bruger til dine passwords, så skal man da have Alzheimers for ikke at kunne huske det! ;-)
#21:
Ooookay Karl Smart ;-) ... Og du ved så selvfølgelig lige præcist hvilket tastatur-layout jeg bruger? - udover de samples nedenfor ;-)
Endnu mere spændende..... tror du at en password-cracker tænker over hvilket layout jeg bruger? - Eller for den sags skyld den person der tilfældigvis lige har skaffet adgang til en række konti som han skal bruge passwordet for at se detaljerne på? (selvfølgelig encrypted)
Og for de længder du har angivet... kan du give en kilde udover "self"? ;-) ... og på hvilket grundlag?
Prøv følgende pins (format: pin - generated):
1864 - !QAZ8ik,&YHN4rfv
5593 - %TGB5tgb)OL:3edc
3947 - #EDC9ol.¤RFV7ujm
465798 - ¤RFV6yhn%TGB7ujm)OL:8ik,
Prøv at køre disse gennem denne: https://passfault.appspot.com/password_strength.ht...
Som du kan se er der forskel på hvor lang tid det kan tage at cracke.... men vælger du en ordentlig "pin", så kan du glemme dictionary attacks og så skal "your favorite talented password cracker" virkeligt have et personal vendetta mod dig for måske at bruge nok tid og ressourcer til at kunne gennemskue de passwords!
I sidste ende er det dog stadig vigtigt at din "carrier" er af ordentlig kvalitet....
Windows Security er crap, selvom det dog er blevet bedre.
En simpel SHA-1 algoritme med måske 1-10 passes er bedre, men kan dog bruteforces.
Nej nej..... et password som det sidste ovenfor med AES og 1-10k pass SHA-256 eller RIPEMD-256/320 hashing til beskyttelse af password+data..... Good freaking luck breaking that one! ;-)
Hvis du vælger dit pass og din carrier med omhu, så skal du altså fremstå på NSA's Top-10 liste over most wanted og ikke bare have et par nøgenbilleder på Google Drive + BoxCrypt som du vil beskytte ;-)
At det overhovedet er sket mere end en enkelt gang er nok til at man bør undgå at bruge samme password til mere end et enkelt site.arne_v (20) skrev:Ikke hvis de tager sikkerhed alvorligt.
Men det er set nogen gange.
Algoritmen der blev foreslået var næsten identisk med at bruge samme password på alle sites. Sådan en algoritme bør man holde sig langt væk fra.
De to metoder jeg kan anbefale er:
1. Gem passwords i en fil, som er krypteret med et stærkt master password. Synkroniser dem automatisk mellem flere enheder, gerne via. en cloud service.
2. Brug en algoritme, som genererer et password udfra tre oplysninger, master password, sitets navn og sitets passwordpolitik.
Fordelen ved nummer 2 er at der ikke er nogen data man skal huske at backupkopiere. Ulempen er at det er problematisk at skifte password.
Der findes flere programmer som bruger princip nummer 1 (se ovenfor). Jeg ved ikke om der findes nogen, som følger princip nummer 2. Det kunne gøres ganske enkelt ved at blot beregne en hash og dernæst encode den hash som et tal i en passende base, som svarer til sitets krav.
1. Gem passwords i en fil, som er krypteret med et stærkt master password. Synkroniser dem automatisk mellem flere enheder, gerne via. en cloud service.
Eller vi kunne vælge en identitets provider som vi stoler på og bruge dme til at logge ind.
Jeg trykker eksmpelvis flittigt på "login with facebook" (eller google eller twitter) fordi jeg har langt større tiltro til de kan holde min data sikker end "FrandsensDildoshop.dk"
Hvis man vælger at stole på en tredjepart for at løse en opgave, som kunne være løst uden at skulle stole på en tredjepart, så har man reduceret sin sikkerhed.mfriis (25) skrev:Eller vi kunne vælge en identitets provider som vi stoler på og bruge dme til at logge ind.
Det er teknisk muligt at lave en browser, som håndterer de krypterede passwords for dig, og i den udstrækning du har brug for det, automatisk kopierer dem til flere enheder. Det kan evt. gøres som et plugin.
Den løsning har to fordele i forhold til at bruge en tredjeparts signon service. For det første er du fri for at stole på en tredjepart, for det andet virker det med sites, som kun er designet til passwords.
Men en løsning som ville være bedre end begge alternativer er at bruge en sikker protokol til at validere brugerens password. Det er ganske enkelt ikke nødvendigt at sende sit password til serveren. Anvendes i stedet en protokol, hvor serveren kan checke, at man har tastet korrekt, uden password nogensinde forlader klienten, så er det ikke længere muligt for serveren at lække passwordet.
kasperd (26) skrev:Men en løsning som ville være bedre end begge alternativer er at bruge en sikker protokol til at validere brugerens password. Det er ganske enkelt ikke nødvendigt at sende sit password til serveren. Anvendes i stedet en protokol, hvor serveren kan checke, at man har tastet korrekt, uden password nogensinde forlader klienten, så er det ikke længere muligt for serveren at lække passwordet.
Den løsning er helt standard med diverse LAN protokoller.
Men for web har jeg aldrig set den for andet end IE og Windows.
kasperd (26) skrev:Hvis man vælger at stole på en tredjepart for at løse en opgave, som kunne være løst uden at skulle stole på en tredjepart, så har man reduceret sin sikkerhed.
Det er vel ikke givet. Hvis den 3. part har større sikkerhed end en selv, så kan det vel forbedre sikkerheden.
Softy (23) skrev:Og du ved så selvfølgelig lige præcist hvilket tastatur-layout jeg bruger?
Tastatur layout er ret standardiserede, så der er ikke mange muligheder. Og antallet af muligheder indskrænkes yderligere hvis man ved hvad land personen kommer fra.
Softy (23) skrev:tror du at en password-cracker tænker over hvilket layout jeg bruger?
Hvis din algoritme bliver udbredt: ja.
Softy (23) skrev:Nej nej..... et password som det sidste ovenfor med AES og 1-10k pass SHA-256 eller RIPEMD-256/320 hashing til beskyttelse af password+data..... Good freaking luck breaking that one! ;-)
Held er ikke nødvendigt.
AES bidrager ikke til sikkerheden.
Og med en enkelt PC med et highend grafik kort vil det tage følgende tid at beregne 10000 gange SHA-256 for all mulige pins:
4 cifre - 1.6 sekund
6 cifre - 10.7 minutter
8 cifre - 71.1 timer
Uanset hvor høj sikkerhed den tredjepart har, så kan man ikke lave et system der er sikkert, hvis klienten er kompromitteret. Så man tilføjer blot en angrebsflade mere, der skal beskyttes.arne_v (28) skrev:Hvis den 3. part har større sikkerhed end en selv, så kan det vel forbedre sikkerheden.
En 3. part som kan fremstille et system, hvor brugerne ikke behøver stole på dem, har set med mine øjne bevist at de har forstået, hvad IT sikkerhed går ud på.
En 3. part som kun fokuserer på at sikre egne systemer og ikke tænker på, hvordan systemet kan ændres så deres egne systemer ikke behøver være sikre, har ikke forstået, hvad målet er.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund