[Jine]

Alla dessa lösenord är förövrigt tiotals gånger starkare än t.ex. "Wi7Ä^w/e3&" - främst pga. att dom är flera gånger längre.


EDIT: En annan bra lösning är att köra 1Pass eller Lastpass (eller liknande tjänst) - gärna med 2-factor auth påslaget, som t.ex. lastpass + yubikeys

[Syke]

[tartareandesire]

Hehe, det stämmer väl till viss del förutsatt att man verkligen låter datorn gissa hej vilt. Det går ju dock utmärkt att köra med en orddatabas och då stämmer inte riktigt jämförelsen Ansvarsfulla webbplatsägare kan förbättra säkerheten för användarna enormt genom att bara lägga in en spärr på fem försök eller dylikt.

[Syke]

Citat:

Ursprungligen postat av tartareandesire

Hehe, det stämmer väl till viss del förutsatt att man verkligen låter datorn gissa hej vilt. Det går ju dock utmärkt att köra med en orddatabas och då stämmer inte riktigt jämförelsen Ansvarsfulla webbplatsägare kan förbättra säkerheten för användarna enormt genom att bara lägga in en spärr på fem försök eller dylikt.

Fast en orddatabas hjälper väl ändå inte om det är flera olika ord som satts ihop? Blir inte det bara som ett enda långt, konstigt ord?

[tartareandesire]

Citat:

Ursprungligen postat av Syke

Fast en orddatabas hjälper väl ändå inte om det är flera olika ord som satts ihop? Blir inte det bara som ett enda långt, konstigt ord?

Sätta ihop ord kräver mindre än att slumpa bokstäver. Det finns betydligt färre ord än vad det finns bokstavskombinationer Dessutom börjar man lämpligtvis med de vanligaste orden. Nu kanske jag överskattar ligisterna men det finns nog några som är lite smartare.

[Linuus]

Citat:

Ursprungligen postat av Syke

Fast en orddatabas hjälper väl ändå inte om det är flera olika ord som satts ihop? Blir inte det bara som ett enda långt, konstigt ord?

Den sätter ju ihop flera ord och testar...

[Syke]

Citat:

Ursprungligen postat av Linuus

Den sätter ju ihop flera ord och testar...

Aha, men då kommer nästa fråga (jag är inte så jättehaj på krypteringsalgoritmer/hashning/lösenordsknäckning); det lär finnas väldigt många fler ord än det finns tecken och om man sätter ihop 8 tecken vs. 4 - 5 ord, blir ordvarianten mer svårknäckt än teckenvarianten?

[Jine]

Ja.

"Det var en gång en liten fisk!"
är mycket mer svårknäckt, både med ordlistor och (omöjligt med) bruteforce än
"Dvegelf!" - till att börja med så vet ju personen som sitter med en hash i handen inte att det är en mening.

Mer entropi == bättre lösenord, alltid.

[tartareandesire]

Citat:

Ursprungligen postat av Jine

Ja.

"Det var en gång en liten fisk!"
är mycket mer svårknäckt, både med ordlistor och (omöjligt med) bruteforce än
"Dvegelf!" - till att börja med så vet ju personen som sitter med en hash i handen inte att det är en mening.

Mer entropi == bättre lösenord, alltid.

Absolut, även om alla ord utom ett i den meningen hör till de 150 vanligaste svenska orden så är det en hel del permutationer att gå igenom. Använder man en större uppsättning specialtecken, siffror samt små / stora bokstäver så går det att öka säkerheten i den andra varianten rejält också dock (inte alltid alla tecken tillåts i lösenord visserligen).

Att bara sätta något tecken runt ordvarianten, t.ex. "# [ord] [ord] [ord] #" gör ju också vanliga ordlisteförsök ganska fruktlösa. Finns många olika trick man kan ta till för att göra lösenord säkra OCH enkla. Det är svårt för sabotörerna att täcka upp alla möjligheter, då kan de lika gärna bara bruteforca de mindre säkra lösenorden istället.

[Dimme]

OBS! Jag fick ett spammeddelande från "LinkedIn©" idag. Det var ett phishingförsök att få tag i mitt lösenord. Det kom förbi gmails spamfilter!

Jag gissar på att de fick tag i mitt email eftersom mitt konto hade blivit hackat, men jag hann ändra lösenordet i tid.

Här kommer headers:

Kod:

Delivered-To: m***@dimme.net
Received: by 10.180.103.7 with SMTP id fs7csp189885wib;
        Wed, 18 Jul 2012 02:35:59 -0700 (PDT)
Received: by 10.50.212.66 with SMTP id ni2mr1231913igc.66.1342604158753;
        Wed, 18 Jul 2012 02:35:58 -0700 (PDT)
Return-Path: <[email protected]>
Received: from mail4.ecentral.com (emu.ecentral.com. [216.38.223.233])
        by mx.google.com with ESMTPS id do10si20010779igc.25.2012.07.18.02.35.58
        (version=TLSv1/SSLv3 cipher=OTHER);
        Wed, 18 Jul 2012 02:35:58 -0700 (PDT)
Received-SPF: pass (google.com: domain of [email protected] designates 216.38.223.233 as permitted sender) client-ip=216.38.223.233;
Authentication-Results: mx.google.com; spf=pass (google.com: domain of [email protected] designates 216.38.223.233 as permitted sender) [email protected]
Received: from ecentral.com (unknown [178.91.229.12])
	(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
	(No client certificate requested)
	by mail4.ecentral.com (Postfix) with ESMTPSA id B5255114C9;
	Wed, 18 Jul 2012 03:35:26 -0600 (MDT)
Message-ID: <[email protected]>
Date: Wed, 18 Jul 2012 10:36:03 +0100
Reply-To: "LinkedIn©" <[email protected]>
From: "LinkedIn©" <[email protected]>
X-Accept-Language: en-us
MIME-Version: 1.0
To: <m***@dhs.gov>
Cc: <m***@dhs.state.nj.us>,
	<m***@dickinson.edu>,
	<m***@digitalpath.net>,
	<m***@diltzinsurance.com>,
	<m***@dimme.net>,
	<m***@direcway.com>,
	<m***@direcway.com>,
	<m***@dmci.net>,
	<m***@[email protected]>,
	<m***@dmv.com>,
	<m***@dog>,
	<m***@dogidcolalr.com>,
	<m***@dogidcollar>,
	<m***@dogidcollar.com>,
	<m***@dogidogidcollar.com>,
	<m***@dot.state.ia.us>,
	<m***@dow.com>,
	<m***@dragbike.com>,
	<m***@dreamwiz.com>,
	<m***@dreamworks.com>,
	<m***@dreamworks.com>,
	<m***@drpayne.com>,
	<m***@drtel.net>,
	<m***@dstsystems.com>,
	<m***@e-mails.ru>,
	<m***@earthlink.com>,
	<m***@earthlink.net>,
	<m***@earthlink.net>,
	<m***@earthlink.net>,
	<m***@earthlink.net>,
	<m***@earthlink.net>,
	<m***@earthlink.net>,
	<m***@earthlink.net>,
	<m***@earthlink.net>,
	<m***@earthlink.net>,
	<m***@earthlink.net>,
	<m***@earthlink.net>,
	<m***@earthlink.net>,
	<m***@earthlink.net>,
	<m***@earthlink.net>,
	<m***@earthlink.net>,
	<m***@earthlink.net>,
	<m***@earthlink.net>,
	<m***@earthlink.net>,
	<m***@earthlink.net>,
	<m***@earthlink.net>,
	<m***@earthlink.net>,
	<m***@earthlink.net>,
	<m***@earthlink.net>
Subject: Signaling LinkedIn Mail
Content-Type: text/html;
	charset="us-ascii"
Content-Transfer-Encoding: 7bit