Lösenordssajt.
 

Hej, blev lite sugen på att bygga en sajt som testar lösenord. Kanske mest var en ursäkt för att lära sig mer i ämnet. Om vi bortser från vit text på svart bakgrund och att ingen vettig människa anger sitt "riktiga" lösenord på en publik sajt så vore lite feedback på plats. Speciellt om någon är haj på lösenord/säkerhet och kan ge fler tips på hur man kan testa lösenord/tips på nya funktioner.

http://www.mkpassword.com/password
http://www.mkpassword.com/pa55w0rd
http://www.mkpassword.com/abc123675AAA56

En tanke bakom projektet är att skapa ett api, så att jag kan skapa en krypterad request till servern med lösenordet och några parametrar och få besked om lösenordet är säkert, för att slippa hantera detta på varje sajt med medlemsfunktion individuellt. Är det någon poäng att göra ett sådant api publikt? Lösenord och säkerhet är ju känsliga frågor för många.

Det första du bör göra är att köra ssl https:// på sajten.

Your password: helloworld
Strength: VERY STRONG (94%)

:P

WeaZear, tack för att du påpeka det, ett av filtrerna borde kickat in. Om vi ser till längden står lösenordet emot en brute-force attack skapligt. LösenOrdet är inte med i databasen över de 500 mest använda lösenorden(detta är ju subjektivt, om någon har tips på fler listor över populära lösenord så säg till, samkör gjärna). LösenOrdet är inte med i den engelska uppslagsboken sajten använder. Så min algo tycker att det är ett bra lösen. Dock borde "Common phrase" filtret som kikar på hur vanlig frasen är rent allmänt hitta detta. Ske felsöka lite.

danielos, bra tips.

Jag tycker du värdesätter längd för starkt, exempelvis gurkburk räknas som STRONG (74%).
Sidan räknar inte rätt antal tecken, något är fel med teckenkodningen, exempelvis räknas • som tre tecken.

Då SQL-injections är så vanliga idag så är det inte helt
ovanligt att hackare lyckas dumpa hela den hashade
användardatabasen. Och då kör de sällan ren brute-force,
utan Rainbow tables eller en kombination av de båda.

Då har längden ingen direkt betydelse om lösenordet
består av kända ord.

Ett lösenord på 13 tecken som bestod av två samman-
satta svenska ord och ett årtal plockade 700 MB Rainbow
tables på 1 min och 45 min sekunder under en dragning
vi höll för ett litet tag sedan för en kund.

KristianE, underbart med någon som kan detta. Jag skumma bara igenom rainbow tables och uppfattade det som att det var en databas över hashade ord, så fel man kan ha.

Jag ska minska betydelsen av längden och installera fler ordböcker och listor över vanliga lösenord, det borde delvis råda bot på problemet.

Your password: 0000000000
Strength: VERY STRONG (95%)

huh??

är inte fel i funktionen utan fel i algoritmen för att räkna ut säkerheten.

hitta lite siter om hur man gör ett säkert lösenord och kanske även kolla liknande siter/script som kanske är opensource så du kan se deras "tänk" och värderingar.

siten i sig tror jag inte mycket på men det är nog mest för det är inget jag själv skulle brinna för.

lycka till :)

1Ab&£2Ba%€ fungerar inte btw just för du använder "GET".
med post så borde det fungera klanderfritt (dock kanske inte post du vill använda..)

"Common English word" verkar inte fungera direkt.. eller är inte ord som dog eller god vanliga engelska ord? :P

Varför finns det ingen information om vem som skapat hemsidan? Den är vääääldigt anonym och kan tolkas som ett fiskeförsök ;)

Hej, råkade vist tömma den databasen(engelska ordlista) av en slump. Det har varit lite kaotiskt att få in alla färändringar, 21 nya ordlistor, osv. :)

Nr 2 är dock åtgärdat, har inte tänkt så långt, har suttit mest med tekniken hittils.

Återkommer senare med en komplett changelog och får se om de säkerhets-gurus som kommenterat tråden tycker det är föbättringar eller ej!

Tack för feedbacken allihop, har tagit åt mig av den. Dessa är de förbättringar(?) som är inlaggda:

Färdigt
Stöd för över 4.000.000 nya ord på 21 olika språk.
Kontrollerar ord baklänges.
Större vikt vid olika typer av tecken.
Mindre vikt av längd.
Ca: 3000 nya vanliga lösenord inlaggda.
Testar antalet unika tecken(91765zyxab bättre än 00000aaaaaa)

Todo
Jobbar fortfarande på "Common phrase" filtret, tar hand om "gurkburk", "hello world", etc. Filtret funkar men integrationen krånglar.
Ska (försöka!?) åtgärda _GET, kodning, och liknande.
Sidan går lite halvlångsamt, ska optimera mysql databasen.

När man vet hur koden funkar blir det lätt att man utgår från det när man testar. Mer feedback är välkommen! ;)

du kan göra en "if" bit där du kollar vad som finns i post variabeln.
och ändrar formuläret på sidan att göra en "post" istället.

om du gör en post så lägg till en hidden value som du kanske kallar "posted=1".
och i if scriptet kollar du om "posted=1" stämmer.
om det gör det så använder du post variabeln som "lösenordet".
om posted inte har värdet "sant" då tar du GET variabeln och använder.

vet inte om mitt tänk går fram här men du förstår nog om du har lite php kunskaper/bok :).

med denna lösningen så funkar alla tecken i formulären.
medans url varianten inte stödjer alla tecken utan att man gör lite mer med site/script.

Gillar sidan, allt för få använder säkra lösenord idag. Läser just nu Informationssäkerhet och riskanalys, 7,5 hp där vi har precis fått lära oss olika sätt att knäcka lösenord på och vikten av att ha ett bra lösenord.

WeaZear, tack för berömet. Värmer alltid när någon kommer med beröm. Har du yttligare förslag på hur sajten kan förbättras så säg bara till. ;)

Prickade av yttligare en punkt på todo-listan, "common word" filtret. Nu detekteras bland annat ord eller lösenord som:

http://www.mkpassword.com/halloworld
http://www.mkpassword.com/gurkburk

Härnäst ska jag se över ssl och skapa ett filter så jag kan detektera till exempel password92 och annat som liknar vanliga ord eller lösenord.

Fortsätt gjärna komma med förslag!

jag kan ordna ssl certifikat om det var det du tänkte på.
du behöver ett dedikerat ip dock om du ska ha ett som inte ger varningar.
(går att lösa utan dedikerat jag vet men det är inte en "standard" lösning :P)

Det finns tjänster för detta, men jag förstår om du vill göra en egen. :-)

www.testalosenord.se

Finns ju annars precis en nysläppt guide över hur man kan bygga en Simple Password Strength Checker.

http://net.tutsplus.com/tutorials/ja...ength-checker/

Intressant, men den tycker att AAAAAAAA är ett starkt lösenord (82 poäng). aaaaaaaa är dock ett svagt lösenord (35 poäng). I första fallet får man en massa Upper case bonus, i andra fallet får man Lower case only penalty.

Jadu, jag såg bara guiden och tänkte att den kanske var intressant och läste inte så mycket mer om den :)

Racewebb: Ja, såg PTS tjänst nyligen. Någon borde anmäla dem till konkurrensverket, staten ska inte konkurrera med privata aktörer så här... ;)

Dock så hittar losenordstestaren verken "gurkburk" eller "helloworld" i sina ordlistor... Så jag känner mig ganska lugn. hehe

Dock har de ett underbart gränssnitt... :)

Marckus_E: Oavsätt hur bra den är så är jag tacksam för tipset. Alltid bra att se hur angra gör sina algoritmer. Dock verkar scriptet lida av samma misstag jag gjorde i början, lägger för mycket vikt på längd och kontrollerar inte alls mot ordlistor osv. Men som sagt, tack för tipset, det är uppskattat. :D

EDIT: Eller när jag tänker på det, säkra lösenord är nästan lika viktigt som vägar och annat statsfinansierade samhällskritiska funktioner så jag drar ödmjukt tillbaks min kritik mot PTS... =)