mboost-dp1
Flickr - stefano girardi
Trylleryllerylle, her er den magiske løsning: OpenID.
Med OpenID skal enhver bruger kun huske det antal kodeord han er interesseret i at have (Et kodeord, per OpenID konto).
Det giver brugeren en langt bedre chance for at huske et kompliceret kodeord og usikre websites kan ikke komme til at leake et genbrugt kodeord, da de aldrig selv vil få adgang til brugerens kodeord.
Med OpenID skal enhver bruger kun huske det antal kodeord han er interesseret i at have (Et kodeord, per OpenID konto).
Det giver brugeren en langt bedre chance for at huske et kompliceret kodeord og usikre websites kan ikke komme til at leake et genbrugt kodeord, da de aldrig selv vil få adgang til brugerens kodeord.
Er jeg den eneste der hader når en bestemt service tvinger en bestemt form for password policy ned over en?
Jeg ser en tendens til at mange gerne vil have store og små bogstaver samt eventuelt special tegn og tal, hvor jeg hellere bare vil have lov til at lave en længere password der så bliver godkendt.
Udover det er mere besværligt at huske på store og små bogstaver og tal, så er det også mere besværligt at taste ind.
Det er vel reelt set antaller af kombinationer i sidste ende det kommer an på.
xkcd har en ret god forklaring om det http://xkcd.com/936/
Jeg ser en tendens til at mange gerne vil have store og små bogstaver samt eventuelt special tegn og tal, hvor jeg hellere bare vil have lov til at lave en længere password der så bliver godkendt.
Udover det er mere besværligt at huske på store og små bogstaver og tal, så er det også mere besværligt at taste ind.
Det er vel reelt set antaller af kombinationer i sidste ende det kommer an på.
xkcd har en ret god forklaring om det http://xkcd.com/936/
#3
Tanken er meget god, men i virkelighedens verden bruteforcer hackere ikke adgangskoder. De bruger "dictionary" angreb. Lister med ord (eller med tusindvis af brugerkoder fra et tidligere hacket site) som så kombineres på forskellige måder.
Ja, et kodeord der er bygget med 4 "tilfældige" (de er stadig valgt af en person) ord skrevet med små bogstaver er meget sikkert og det er bestemt sværere at bruteforce end en kode på 9 tegn hvor der indgår tal og store og små bogstaver. Det betyder dog ikke at den simple men længere kode automatisk er bedre i alle situationer.
Noget langt mere relevant, er mange personers tendens til at bruge samme adgangskode overalt. Så nytter det ikke noget at koden er "GeT2dAchoppAFOolz!?%" hvis man én gang har brugt den på en side hvor operatøren af siden ikke har haft en høj nok sikkerhedsstandard *host* Sony *host* og man så har brugt samme kode overalt. Så er det ret nemt for en hacker at logge ind med din bruger på diverse fora, webshops, online spil osv.
Personligt er jeg begyndt at bruge KeePass og har låst min db fil med en længere (12-16 tegn) kode som jeg ikke har skrevet ned eller bruger andre steder. Når man indtaster informationer om et nyt login, autogenerer KeePass en kode på 20 tegn med store og små bogstaver. Denne kode bruges så på det site man er ved at oprette bruger på. Forenklet set, så er det en simpel manuel version af OpenID.
Kombinerer man KeePass med Dropbox og KeePassDroid, så har man pludselig adgang til alle sine koder via sin PC og håndholdte enheder og så er det pludseligt dejligt nemt at have med at gøre, selvom man har en anderledes kode på hvert af de 100+ sites man har en konto på :)
Tanken er meget god, men i virkelighedens verden bruteforcer hackere ikke adgangskoder. De bruger "dictionary" angreb. Lister med ord (eller med tusindvis af brugerkoder fra et tidligere hacket site) som så kombineres på forskellige måder.
Ja, et kodeord der er bygget med 4 "tilfældige" (de er stadig valgt af en person) ord skrevet med små bogstaver er meget sikkert og det er bestemt sværere at bruteforce end en kode på 9 tegn hvor der indgår tal og store og små bogstaver. Det betyder dog ikke at den simple men længere kode automatisk er bedre i alle situationer.
Noget langt mere relevant, er mange personers tendens til at bruge samme adgangskode overalt. Så nytter det ikke noget at koden er "GeT2dAchoppAFOolz!?%" hvis man én gang har brugt den på en side hvor operatøren af siden ikke har haft en høj nok sikkerhedsstandard *host* Sony *host* og man så har brugt samme kode overalt. Så er det ret nemt for en hacker at logge ind med din bruger på diverse fora, webshops, online spil osv.
Personligt er jeg begyndt at bruge KeePass og har låst min db fil med en længere (12-16 tegn) kode som jeg ikke har skrevet ned eller bruger andre steder. Når man indtaster informationer om et nyt login, autogenerer KeePass en kode på 20 tegn med store og små bogstaver. Denne kode bruges så på det site man er ved at oprette bruger på. Forenklet set, så er det en simpel manuel version af OpenID.
Kombinerer man KeePass med Dropbox og KeePassDroid, så har man pludselig adgang til alle sine koder via sin PC og håndholdte enheder og så er det pludseligt dejligt nemt at have med at gøre, selvom man har en anderledes kode på hvert af de 100+ sites man har en konto på :)
#4 Jeg kender udemærket til dictionary attacks, og nu ved jeg ikke lige hvor mange ord der findes i de forskellige sprog, men der er stadigvæk en del kombinationer, og sammen med et tal vil jeg mene det stadig er sværere at lave et bruteforce dictionary attack på.
Jeg har heller ikke noget problem med et tilfældigt kodeord, men jeg er irriteret over store og små bogstaver, idet jeg finder dem meget besværlig at skrive hurtigt. Special tegn er endnu værre, specielt på smartphone/touch.
Jeg vil hellere smide 4 ekstra karakterer på end at skulle bruge et stort bogstav.
Oftest når jeg tvinges til at bruge et stort bogstav så er det altid det første bogstav jeg bruger, og den tendens synes jeg at have hørt at mange andre også bruger.
Jeg har heller ikke noget problem med et tilfældigt kodeord, men jeg er irriteret over store og små bogstaver, idet jeg finder dem meget besværlig at skrive hurtigt. Special tegn er endnu værre, specielt på smartphone/touch.
Jeg vil hellere smide 4 ekstra karakterer på end at skulle bruge et stort bogstav.
Oftest når jeg tvinges til at bruge et stort bogstav så er det altid det første bogstav jeg bruger, og den tendens synes jeg at have hørt at mange andre også bruger.
idiotiskelogin (5) skrev:Mit kodeord er *********.
Fedt nok at newz har sørget for at maske dit kodeord når du ved en fejl indtaster det!
http://www.bash.org/?244321 ;)
Ved første/andet forkerte forsøg på login, så kommer der en captcha som også lige skal udfyldes.
Ved 5. forkerte inkl. korrekt captcha forsøg lukkes for login forsøg de næste 2-3 min.
(dette kan både trackes via cookie, session, ip eller faktisk bare brugernavnet der forsøges med)
Så kan en bruger faktisk se der er forsøgt at blive logget ind på sin konto, fordi der nu er en captcha på login siden.
Så simpelt er det faktisk at lukke bruteforcing/dictonary attacks ude.
Det som jeg ser et problem er at ved dictonary attacks siger alle sider bare "forkert login" og fortsætter så bare i samme spor, istedet for at gøre noget ved de forkerte forsøg.
Forstil dig at man skal lave 100.000 attacks, og man kan lave 5 attack hvert 3. min - så tager det en halv krig inden man når alle 100.000 igennem.
Ved 5. forkerte inkl. korrekt captcha forsøg lukkes for login forsøg de næste 2-3 min.
(dette kan både trackes via cookie, session, ip eller faktisk bare brugernavnet der forsøges med)
Så kan en bruger faktisk se der er forsøgt at blive logget ind på sin konto, fordi der nu er en captcha på login siden.
Så simpelt er det faktisk at lukke bruteforcing/dictonary attacks ude.
Det som jeg ser et problem er at ved dictonary attacks siger alle sider bare "forkert login" og fortsætter så bare i samme spor, istedet for at gøre noget ved de forkerte forsøg.
Forstil dig at man skal lave 100.000 attacks, og man kan lave 5 attack hvert 3. min - så tager det en halv krig inden man når alle 100.000 igennem.
atrox (4) skrev:Kombinerer man KeePass med Dropbox og KeePassDroid, så har man pludselig adgang til alle sine koder via sin PC og håndholdte enheder og så er det pludseligt dejligt nemt at have med at gøre, selvom man har en anderledes kode på hvert af de 100+ sites man har en konto på :)
Jeg loggede egentlig ind for at give ham samme anbefaling, men kan se du var hurtigere end mig! :o)
Og ja, jeg bruger også samme løsning som dig. KeePass + KPDataSave (automatisk Dropbox Upload) + KeePassDroid, så er man på rette spor.
Er personligt mere irriteret over websites der ikke hasher passwords (hvilket ofte betyder at de også har sat en maxlænge på passwords, hvilket også irriterer mig kraftigt). Det gør mig vred og irriteret at man tager så let på sikkerheden.
lsv20 (8) skrev:Så simpelt er det faktisk at lukke bruteforcing/dictonary attacks ude.
Hvem er det lige som laver bruteforce/dictionary attacks på en så simpel måde som du lige beskrev?
Og hvornår var det sidst at der blev anvendt bruteforce til et eller andet ligegyldigt login til eksempelvis et forum.
Jeg antager at du er klar over hvilke ressourcer bruteforcing kræver. Der skal være en god sjat penge for enden af regnbuen før nogen kaster sig ud i det.
Kelrond (7) skrev:Fedt nok at newz har sørget for at maske dit kodeord når du ved en fejl indtaster det!
http://www.bash.org/?244321 ;)
Yes. Var også den jeg tænkte på. :)
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund