[Zeroi]

Citat:

Ursprungligen postat av tartareandesire

Håller helt med dig, jag VET själv att jag använder relativt osäkra lösenord på många inloggningar men det gör jag med flit eftersom jag inte ser ett intrång på dessa som något särskilt allvarligt. Sedan finns det naturligtvis andra inloggningar där jag använder betydligt säkrare lösenord. Än så länge har jag inte råkat ut för några problem.

Men det behöver inte vara ett krångligt lösenord med siffror, stora bokstäver.
Om du har lösenordet "123" och "abc"; vilket är enklast att bruteforcea?
Det beror ju på hur tablen ser ut, men antagligen provar den första 0-9, a-z i varje.
så
1
2
3
osv.
a
b
c
osv.

det finns fler bokstäver än siffror, alltså tar det längre tid att knäcka 29 ^ 4 än 10^4, sedan så är det klart bra med stora bokstäver, då blir ju (29 ^ 2)
^4

[Jine]

Bygg meningar, använd struktur och bygg meningar.
Och bygg meningar.

mittWN.seLösenord123 är t.ex. jättesäkert och uppfyller alla krav som finns.

Använd liknande struktur i alla "osäkra" lösenord, för att sedan bryta mönstret då och då, i slutändan kommer du ha sajt-unika lösenord, starka som attan och allt du behöver komma ihåg är mönstret på lösenordet.

mittWN.seLösenord123
mittSwedbankLösenord234
mittHamsterpajLösen666
annatWN.seLösenord123
tredjeHemligaWN.seLösenordet123

Etc. 97.8% av sajterna tillåter även whitespace i lösenorden eftersom dom hashas direkt - vilket gör det möjligt att faktiskt använda "Det här är mitt WN.se lösenord" - som lösenord.

[Jine]

Alla dessa lösenord är förövrigt tiotals gånger starkare än t.ex. "Wi7Ä^w/e3&" - främst pga. att dom är flera gånger längre.


EDIT: En annan bra lösning är att köra 1Pass eller Lastpass (eller liknande tjänst) - gärna med 2-factor auth påslaget, som t.ex. lastpass + yubikeys

[Syke]

[tartareandesire]

Hehe, det stämmer väl till viss del förutsatt att man verkligen låter datorn gissa hej vilt. Det går ju dock utmärkt att köra med en orddatabas och då stämmer inte riktigt jämförelsen Ansvarsfulla webbplatsägare kan förbättra säkerheten för användarna enormt genom att bara lägga in en spärr på fem försök eller dylikt.

[Syke]

Citat:

Ursprungligen postat av tartareandesire

Hehe, det stämmer väl till viss del förutsatt att man verkligen låter datorn gissa hej vilt. Det går ju dock utmärkt att köra med en orddatabas och då stämmer inte riktigt jämförelsen Ansvarsfulla webbplatsägare kan förbättra säkerheten för användarna enormt genom att bara lägga in en spärr på fem försök eller dylikt.

Fast en orddatabas hjälper väl ändå inte om det är flera olika ord som satts ihop? Blir inte det bara som ett enda långt, konstigt ord?

[tartareandesire]

Citat:

Ursprungligen postat av Syke

Fast en orddatabas hjälper väl ändå inte om det är flera olika ord som satts ihop? Blir inte det bara som ett enda långt, konstigt ord?

Sätta ihop ord kräver mindre än att slumpa bokstäver. Det finns betydligt färre ord än vad det finns bokstavskombinationer Dessutom börjar man lämpligtvis med de vanligaste orden. Nu kanske jag överskattar ligisterna men det finns nog några som är lite smartare.

[Linuus]

Citat:

Ursprungligen postat av Syke

Fast en orddatabas hjälper väl ändå inte om det är flera olika ord som satts ihop? Blir inte det bara som ett enda långt, konstigt ord?

Den sätter ju ihop flera ord och testar...

[Syke]

Citat:

Ursprungligen postat av Linuus

Den sätter ju ihop flera ord och testar...

Aha, men då kommer nästa fråga (jag är inte så jättehaj på krypteringsalgoritmer/hashning/lösenordsknäckning); det lär finnas väldigt många fler ord än det finns tecken och om man sätter ihop 8 tecken vs. 4 - 5 ord, blir ordvarianten mer svårknäckt än teckenvarianten?

[Jine]

Ja.

"Det var en gång en liten fisk!"
är mycket mer svårknäckt, både med ordlistor och (omöjligt med) bruteforce än
"Dvegelf!" - till att börja med så vet ju personen som sitter med en hash i handen inte att det är en mening.

Mer entropi == bättre lösenord, alltid.