mboost-dp1
Flickr - stefano girardi
Jeg plejer altid at finde på en eller anden random sætning:
Tre,Komma80AarigeHesteTraversalløfterSkideriSkoen eller sådan noget.
Tre,Komma80AarigeHesteTraversalløfterSkideriSkoen eller sådan noget.
8. letmein
stammer fra de sites som tilbyder "dele accounts" for at se indhold der kræver en bruger.
Aner ikke om de stadig findes men kode og brugernavn var typisk letmein. Resten har jeg svært ved at forsvare :)
xkcd lavede i øvrigt en meget interresant comic om emnet: http://xkcd.com/936/
Det er ganske interressant at vi netop i højere grad kræver relativt korte men meget avancerede passwords. Der er vel næppe nogen idag der bryder passwords vhja. et dictionary.
stammer fra de sites som tilbyder "dele accounts" for at se indhold der kræver en bruger.
Aner ikke om de stadig findes men kode og brugernavn var typisk letmein. Resten har jeg svært ved at forsvare :)
xkcd lavede i øvrigt en meget interresant comic om emnet: http://xkcd.com/936/
Det er ganske interressant at vi netop i højere grad kræver relativt korte men meget avancerede passwords. Der er vel næppe nogen idag der bryder passwords vhja. et dictionary.
Hvis man vil have andres password, så smide man bare flg. ind i sin Facebook status:
"Ej hvor smart. Hvis man skriver sit Facebook-kodeord i en status, så laver den selv tegnene om til asterisker. Mit kodeord er f. eks. ***********************"
Tro mig, der er mange der hopper på den.. En af mine venner postede den tidligere idag og det tog ikke en time før der var 5-6 stykker der faldt lige i..
"Ej hvor smart. Hvis man skriver sit Facebook-kodeord i en status, så laver den selv tegnene om til asterisker. Mit kodeord er f. eks. ***********************"
Tro mig, der er mange der hopper på den.. En af mine venner postede den tidligere idag og det tog ikke en time før der var 5-6 stykker der faldt lige i..
#7: Tværtimod. Der bruges dictionaries og andre værktøjer i samarbejde. Der er faktisk god kamp om hvilke kombinationer og hvilke databaser der er bedst til jobbet.
Se evt. et par videoer fra DEF CON. De har en del omkring konkurrencer hvor folk har X dage til at bryde så mange koder som muligt fra en offentlig liste.
Se evt. et par videoer fra DEF CON. De har en del omkring konkurrencer hvor folk har X dage til at bryde så mange koder som muligt fra en offentlig liste.
http://lmgtfy.com/?q=random+password+generator&...
I rest my case!
Hvor svært ka' det være?!?
Challenge: Prøv artiklens liste af på NemID's systemer og overfør lige 1 mio. til min konto ;-)
I rest my case!
Hvor svært ka' det være?!?
Challenge: Prøv artiklens liste af på NemID's systemer og overfør lige 1 mio. til min konto ;-)
Det er nok mere relevant at lave en liste med årets 25 dårligste hjemmesider der tillader adgangskoder på 6 tal. Hvor lang tid tager det at bruteforce sig igennem 999999 kombinationer? Burde ikke være mulig i 2011. Især med så mange angreb der har været i år, burde enhver seriøs side kræve mere.
#13 - Dine 999999 kombinationer forudsætter at kodeordet kun består af tal. Hvis du nu kombinerer tal, specialtegn, store og små bogstaver, så får du pludseligt et betydeligt større antal kombinationer.
x1-Y?A er en del sværere at bruteforce end 189763, men det ved du jo selvfølgelig allerede :-)
x1-Y?A er en del sværere at bruteforce end 189763, men det ved du jo selvfølgelig allerede :-)
Jeg vil anbefale at man kikker forbi www.skullsecurity.org. Da der er en liste med leakede passwords fra forskellige steder.
På siden er der en indresandt liste med passwords fra Rockyou. Ved at tælle hvor mange der bruger de samme passwords, kan man se at med de 10.000 meste brugte passwords, vil man kunne loggeind på 50% af kontierne. Med 60.000 er vi oppe på 75%.
Eller sagt på en anden måde: Hvis du give folk lov til at frit at vælge et password, så vil 50% lave et password der på niveau med en tilfældig 4-tals pinkode.
Liste med 10.000 mest brugete password på Rockyou
På siden er der en indresandt liste med passwords fra Rockyou. Ved at tælle hvor mange der bruger de samme passwords, kan man se at med de 10.000 meste brugte passwords, vil man kunne loggeind på 50% af kontierne. Med 60.000 er vi oppe på 75%.
Eller sagt på en anden måde: Hvis du give folk lov til at frit at vælge et password, så vil 50% lave et password der på niveau med en tilfældig 4-tals pinkode.
Liste med 10.000 mest brugete password på Rockyou
Laziter (8) skrev:Hvis man vil have andres password, så smide man bare flg. ind i sin Facebook status:
"Ej hvor smart. Hvis man skriver sit Facebook-kodeord i en status, så laver den selv tegnene om til asterisker. Mit kodeord er f. eks. ***********************"
Tro mig, der er mange der hopper på den.. En af mine venner postede den tidligere idag og det tog ikke en time før der var 5-6 stykker der faldt lige i..
http://bash.org/?244321
:)
Danske og græske bogstaver side om side er ganske svære at gætte - men et voldsomt bøvl når man ikke lige sidder ved sin sædvanlige maskine hvor der er installeret både dansk, engelsk og græsk keyboard.
Og alt afh. af keyloggere (nok ikke en keylocker :) #14) så er det endda muligt at den ikke får det rigtigt med.
Men bortset fra keyloggere, så er mit bedste bud at konstruere en sætning og skrive dele af den som kodeordet. F.eks. kunne "Shit jeg gider ikke Helle som stats-minister" blive "Sjg-Hss-m"
Hvis man kan få et tal med ind så gør det det kun bedre.
Og alt afh. af keyloggere (nok ikke en keylocker :) #14) så er det endda muligt at den ikke får det rigtigt med.
Men bortset fra keyloggere, så er mit bedste bud at konstruere en sætning og skrive dele af den som kodeordet. F.eks. kunne "Shit jeg gider ikke Helle som stats-minister" blive "Sjg-Hss-m"
Hvis man kan få et tal med ind så gør det det kun bedre.
Xexon (16) skrev:#15 Nu skrev #13 jo sådan set også 6 tal, og ikke 6 karakterer...
Ja, men 999999? Det er i hvert fald ikke med 6 tal. Så skal han have skolepengene igen.
Ved ikke hvordan han er kommet til 999999 ... men 6 er mere end rigeligt i min verden.
Man bør også blokke folk som fejler at logge ind ud fra bruger/IP.
syska (20) skrev:Ja, men 999999? Det er i hvert fald ikke med 6 tal. Så skal han have skolepengene igen.
Ok så, 1.000.000 kombinationer... Men min pointe gælder stadig...
syska (20) skrev:men 6 er mere end rigeligt i min verden.
6 tal er rigeligt i din verden? Jeg spørger igen, hvor lang tid tager det at bruteforce? Husker du da newz blev hacket af team gilmore girls med 5000 passwords lækket? Tror du dem med 6 tal havde en chance mod at blive dekrypteret? Dem der ikke blev lækket havde netop en større sikkerhed i deres adgangskoder.
Laziter (15) skrev:x1-Y?A er en del sværere at bruteforce end 189763, men det ved du jo selvfølgelig allerede :-)
Yep, det ved jeg godt. Listen består af 4 koder der består kun af 6-tal. Hvis det er årets dårligste adganskoder, er det noget galt med sikkerheden på diverse hjemmesider.
Her kan I checke om jeres kodeord er sikker.
Mr_Mo (21) skrev:r kan I checke om jeres kodeord er sikker.
Ifølge det link har jeg det bedste password i verdenen!
Mr_Mo (21) skrev:Her kan I checke om jeres kodeord er sikker.
Jeg bruger somme tider et password med et 1 stort og syv små bogstaver samt et tegn.. Den bliver klassificeret som weak..
Jeg er med på at de kan laves bedre, men 9 cifre både store og små og med et © i måsen, det er da mindst medium..
20 1'taller derimod er derimod et STRONG password
#26: Ja Microsoft er ikke helt gode til at vurdere passwords ud fra flere kriterier.. :/
Mr_Mo (21) skrev:6 tal er rigeligt i din verden? Jeg spørger igen, hvor lang tid tager det at bruteforce? Husker du da newz blev hacket af team gilmore girls med 5000 passwords lækket? Tror du dem med 6 tal havde en chance mod at blive dekrypteret? Dem der ikke blev lækket havde netop en større sikkerhed i deres adgangskoder.
Hvis du har et system der tillader at du laver 1000000 forsøg ... så vil jeg mene det er broken by design.
Google forlanger capcha efter ca. 5 gange.
Så hvis vil du hen?
Mht til pigerne, så er jeg netop glad for openid. Det er da også pinligt at blive lagt ned ... men intet er mere sikkert end det sageste led.
Problemet med at kræver meget kryptiske password og længde gør at folk skriver dem ned eller finder på systematiske password. Ergo, ikke sikkert i min verden.
HVor er hunter2?!1
#28
Det er ikke umuligt at få adgang til5.000.000 200.000 computere. Derudover er jeg sikker på at der er andre måder at komme uden om "ca. 5 gange".
Edit: lrn2arithmetics
Edit2: lrn2bbcode
#28
Det er ikke umuligt at få adgang til
Edit: lrn2arithmetics
Edit2: lrn2bbcode
syska (28) skrev:Hvis du har et system der tillader at du laver 1000000 forsøg ... så vil jeg mene det er broken by design.
Google forlanger capcha efter ca. 5 gange.
Så hvis vil du hen?
Hvordan vil du så designe systemet?
Newz.dk, Sega, Sony, osv. har jo været hacket, deres database med krypterede kodeord er blevet stjålet. Har du kun 6 cifre i din adgangskode, er det stor sandynlighed at du er blandt dem der får dit kode, brugernavn og email offentligjort.
Det kan være at Sony, Sega og Newz (dem jeg kunne huske på stående fod) har systemer der er broken by design. Men ikke desto mindre er det disse defekte systemer der bliver brugt og det man kan gøre for at beskytte sig, er så simpelt som at bruge en stærk adgangskode.
syska (28) skrev:Hvis du har et system der tillader at du laver 1000000 forsøg ... så vil jeg mene det er broken by design.
Google forlanger capcha efter ca. 5 gange.
Så hvis vil du hen?
Ja, men nu tror jeg heller ikke du skal forvente at hackere brute forcer sig gennem tradionelle login bokse :)
Det kunne tænkes at der blev forsøgt adgang til eksempelvis en database, her gælder sjældent de samme regler ift. brute force 1 million passwords...
syska (28) skrev:
Problemet med at kræver meget kryptiske password og længde gør at folk skriver dem ned eller finder på systematiske password. Ergo, ikke sikkert i min verden.
Jeg forstår ikke helt problemet i forhold til hvorfor systematiske passwords ikke skulle være sikre?
Som mange andre her nævner finder de deres passwords fra sætninger, bøger e.lign. Jeg selv tager gerne en bog slår op på en tilfældig side, tager den første sætning, bruger alle ordenes begyndelsesbogstaver og smider side tallet på. Violá 12-16 karakteres password med special tegn og tal, nemt at huske og ret svært at hacke? What's the problem?
En af de servere jeg vedligeholder blev jeg træt af script kiddies prøvede at gætte password på SSH forbindelsen, så jeg tilføjede en lille udvidelse, som sender deres ip adresser i et sort hul i minimum 24 timer, hvis man skriver en forkert kombination af brugernavn/password 3 gange inden for 15 min.
Se det er en regel der virker. Log filen, der angiver hvor mange ip-adresser, der har forsøgt at logge ind i løbet af en dag blev dejlig kort! ;-)
Se det er en regel der virker. Log filen, der angiver hvor mange ip-adresser, der har forsøgt at logge ind i løbet af en dag blev dejlig kort! ;-)
Jonas_ (26) skrev:
20 1'taller derimod er derimod et STRONG password
Skal vi have denne frem igen?
http://xkcd.com/936/
Pointen er, at det er svært for en computer at gætte sig til 20 1'taller, men nemt for et menneske at huske. Det microsoft skriver, er at kodens sikkerhed afhænger om det findes i en ordbog. Således klassificerer microsoft Supercalifragilisticexpialidocious som et BEST kodeord, men da denne ord findes i en ordbog, er den ikke noget værd. ER 20 1'taller med i en hackers ordbog, er den selvfølgelig heller ikke så meget værdt. Er koden nem at aflæse når du taster den ind, er den heller ikke så meget værdt. Microsofts program er vel baseret på hvor lang tid en computer bruger på at bruteforce din kode, ikke om din kode findes i en ordbog, er nem at aflæse eller gætte.
Men det skal nok passe, at det tager længere tid for en computer at gætte sig til 20 1'taller, end et ord bestående af store og små bogstaver plus et symbol på 9 karaktere.
Jonas_ (26) skrev:Jeg bruger somme tider et password med et 1 stort og syv små bogstaver samt et tegn.. Den bliver klassificeret som weak..
Jeg er med på at de kan laves bedre, men 9 cifre både store og små og med et © i måsen, det er da mindst medium..
Det er vel bare et udtryk for, at den større regnekraft vi har i dag med GPU'er der yder højt til en lille pris, clusters af computere osv., så bliver de koder vi engang anså for som sikre, nu betegnet som svage.
Jeg vil tro, at på samme måde som brugen af nøgler på fx 64-bit bliver fordoblet til 128-bit som følge af en øget regnekraft, så må vi også tilpasse vores kodeord.
Zombie Steve Jobs (3) skrev:Jeg plejer altid at finde på en eller anden random sætning:
Tre,Komma80AarigeHesteTraversalløfterSkideriSkoen eller sådan noget.
Det er de færreste steder man ikke kan bruge whitespace i passwords, og dog er der alligevel utroligt mange der ikke rigtig tænker over det.
"Dette Er En Rimlig Sikker Kode!", bare for at give et eksempel.
Mr_Mo (30) skrev:syska (28) skrev:Hvis du har et system der tillader at du laver 1000000 forsøg ... så vil jeg mene det er broken by design.
Hvordan vil du så designe systemet?
Newz.dk, Sega, Sony, osv. har jo været hacket, deres database med krypterede kodeord er blevet stjålet. Har du kun 6 cifre i din adgangskode, er det stor sandynlighed at du er blandt dem der får dit kode, brugernavn og email offentligjort.
Hvis det kræver op til 1.000.000 forsøg at gætte en 6-cifret adgangskode når man har adgang til databasen, så forudsætter det at databasen indeholder et hash af kodeordet + et salt som angriberen kender.
Tricket her er at brugt et godt salt som angriberen ikke kender, og det skal selvfølgelig være forskelligt fra password til password. Indtil angriberen finder algoritmen til at generere saltet (som i sig selv kan indeholde yderligere hemmeligheder) vil det kræve mange, mange flere forsøg. Og selv når du så får "dekrypteret" hashet kan det være svært at se hvad der er kodeord og hvad der er salt.
luuuuu (41) skrev:"Dette Er En Rimlig Sikker Kode!", bare for at give et eksempel.
Man kan så spørge sig selv, hvornår en privat har noget ud af en sådan kode. Hvis nogen vil have adgang til noget en privat har gang i, vil det typisk være en person der har fysisk forbindelse til personen på én eller anden måde - det siger statistikkerne.
Et godt eksempel er det BIOS-opstarts-pass min barndomskammerats far havde på sin PC. Min kammerat og jeg har vel været 11-12 år gamle. Vi havde luret han skrev "p", "tt" og "r", første gæt var "patter" - heureka.
Til gengæld havde vi ikke haft en kinamands chance for at aflure et password med store og små bogstaver - og specialkarakterer - ej heller gøre logisk mening ud af det.
Mit tidligere password var
FireflySerenityShepardBook1234
så hurtigt som jeg taster den ville du ikke ha en chance for at aflure den.. medmindre du bruger keylogger ^^
FireflySerenityShepardBook1234
så hurtigt som jeg taster den ville du ikke ha en chance for at aflure den.. medmindre du bruger keylogger ^^
Som den Xkcd comic viser, er flere ord eller bare en ganske normal sætning meget mere sikker end diverse kombinationer. Nu er problemet bare at mange steder slet ikke tillader mellemrum i passwords. Det er en dårlig måde vi kører på lige nu med at lære mindre it kyndige at der skal store og små bokstaver, tegn og tal i et enkelt ord + det er da så meget sværrer at huske.
Ved ikke hvor mange gange jeg har skulle resette mine forældres password fordi de husker passwords som en skål budding.
Ved ikke hvor mange gange jeg har skulle resette mine forældres password fordi de husker passwords som en skål budding.
watser (9) skrev:Jeg formoder at Facebook's brugere har mistet deres kritiske tankegang og common sense.
Hvordan kan man miste noget man aldrig har haft?!?
Meget fint med en international liste, men mon ikke en dansk oversigt ville have "kodeord" på listen også? :-P
Angående det der Michael, er der en hoverperson i en af de nyere teen serier der har en hovedperson ved det navn?
Phantom_X (45) skrev:Det er en dårlig måde vi kører på lige nu med at lære mindre it kyndige at der skal store og små bokstaver, tegn og tal i et enkelt ord + det er da så meget sværrer at huske.
Ved ikke hvor mange gange jeg har skulle resette mine forældres password fordi de husker passwords som en skål budding.
Problemet med svære passwords er vel at folk begynder at skrive dem ned på sedler som ligger i umiddelbar nærhed af computeren...
snesman (49) skrev:Problemet med svære passwords er vel at folk begynder at skrive dem ned på sedler som ligger i umiddelbar nærhed af computeren...
Eller endnu bedre, på mobiltelefonen.
Min ekskæreste skrev hendes pinkode med 4 store fede tal ned tværs over hendes pinkodehusker, der lå i hendes pung. . . .
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund