Så snabbt hittar RTX 4090 lösenordet

Vi hashar våra lösenord med triple ROT13, men det biter inte på mellanslag.

Förstår ditt svar även om det inte alls är svar på min fråga. 180 dagars lösenordspolicy kommer jag inte ens ihåg när jag såg senast.
Frågan handlar mer om varför det är så vanligt att välja ett lösenord som "alla andra" väljer? Det går ju helt mot idén med lösenord kan man tycka...

Säg att det är typ 5% av alla användare som är såpass initierade att de läst någon artikel om lösenord och vad man inte ska välja för några vanliga och enkla lösenord. Resten av populationen är lyckligt ovetande och väljer ett lösenord som är enkelt att komma ihåg.

Slapphet. Folk skiter i säkerhet, de vill bara kunna logga in och jobba. Om deras kollegor kan logga in på deras konto för att täcka upp för dem när de är sjuka t.ex. är det bara bra, tycker de.

Sedan tänker man att, det där med lösenord gör väl inte så mycket, det jag jobbar med är inte så intressant för någon.

Rotorsaken är att folk helt enkelt inte förstår hur viktigt det är med säkerhet. Det är ju något vi som samhälle blir bättre på när åren går, men långt ifrån alla sätter bra lösenord.

Alla mina lösenord är som standard 20 tecken långa med siffror, versaler och gemener. Borde räcka i några år till. Sen får man öka det till 40 tecken.

För att det är enkelt att komma ihåg och delge den som ska ha det.

Förr om åren var det relativt vanligt att du hade en sysadmin som behövde skapa upp nya konton i företagets AD. Då behöver de också sätta ett default-lösenord till kontot (och förhoppningsvis också klicka i "user must change password at next login" eller motsvarande), då tog dom något enkelt som ex "Sommar2006" och skickade i ett mail. Det är inte jättelångsökt efter det att Bettan på ekonomi som kontot skapades till helt enkelt bara ändrade till Vinter2007 för enkelhetens skull.

Det är troligtvis bara något som har "blivit" är min erfarenhet, men så länge jag varit i IT-branschen så har dessa Sommar/Vinterlösenord varit vanliga (slutet 90-talet). Och det kan mycket väl vara så att Sommar/Vinter från början kom från just en 6-månaders policy och sedan bara fastnat kvar.

De flesta bryr sig som sagt inte speciellt mycket om säkerhet, enklast är om det finns en fingeravtrycksläsare på datorn, eller om det går ha pinkod som windows har nu för tiden, ska gå snabbt att slå in när datorn ska låsas upp efter kaffekoppen hämtats. Går inte det så är ju Sommar2024! skitenkelt slå in och uppfyller de flesta krav på komplexitet.

Dags att byta ut alla lösenord till S0mm4r2O2A! nu!

Tack Baxtex, Superfrog och pv2b för utförliga svar!

Det hela går alltså ut på att man vet vilken krypteringsalgoritm som används och har det hashade lösenordet, då kan man slumpa fram en massa lösenord, köra dom genom samma algoritm och sen se om dom stämmer med det hashade lösenordet.

Kvantum Kompjuting kan beräkna inflationspriserna 5 år i förväg

Skrev en introduktionsguide till hashfunktioner i vintras. För den intresserade hittas den här.

problemet är att det blir svårare och svårare. Jag vet inte någon webbplats som tillåter det, kan bara ha det på lokala maskinen. Nu behöver man 8-12 symboler, inkl. versaler, små bokstäver, nummer och inte sällan andra symboler också. För något dumt oviktigt konto

nja så enkelt är det inte med ord i passfras även med fullständigt kända ordlistor som passfrasen byggs av.

det är detta som diceware bygger på med 7776 kända ord i en katalog så blir det svårt redan med 5 slumpade ord och vid 6 slumpade ord i passfrasen behöver man inte vara rädd för lyckad attack i närtid

7776⁵ ger 2,8*10¹⁹ antal möjliga alternativ eller motsvarande 64,6 bitar entropi

7776⁶ ger 2,2*10²³ antal möjligheter eller motsvarande 77,54 bit entropi

var ord motsvarar drygt 2 bokstäver i en slumpad password-sekvens - där var ord betraktas som en "bokstav" ur en av 7776 "bokstäver" i alfabetet - det man får tänka på för att behålla styrkan är att var ord i passfrasen bör ha en skiljetecken mellan sig - spelar ingen roll vilken, bara att skiljetecken används. De flesta använder '-' men vilken annan tecken eller symbol fungerar men mellanslag avråds pga. att ljudet på mellanslagstangenten låter annorlunda mot de andra knappnedtryckningar.

---

På detta har man ofta en keystretching av default 5000 iterationer i vid passwordifyllning i browsersammanhang vilket motsvarar 12.29 bit till i entropi.

dvs i 6 ords passfras med 5000 ggr iteration keystretching ger det 89,8 bit tillsammans och blir 1.1*10²⁷ kombinationer och dividerat det med 1000 miljarder tester i sekunden blir det en testtid på 1105369598604 sekunder. I kryptosammanhang så halverar man antalet för 50% chans att hitta passwordet och då blir det 552684799302 sekunder vilket räknat i antal år blir 1051531 år för 50% chans att hitta passfrasen. Även jätteanläggningar för AI med många tusentals värsting grafikkort så kommer det ta mer en livstid att knäcka - och sedan är det någon som skall betala elräkningen för hacket - är du värd detta ...

slutligen styrkan i en passfras eller en password förutom tillräckligt antal tecken eller ord är att den slumpas fram!! och inte tänks ut med huvudet - och där kan passwordsregler som minst 1 stor bokstav, siffra och symbol sätta krokbenet då det egentligen minskar alternativen drastisk och gör att kryptografiskt starka korrekta alternativ inte godkänns

Jag var givetvis oerhört jätteseriös när jag skrev ut mitt lösenord till alla på Swec.

nej, det förstår jag att du inte var, men jag använde det för mitt inlägg då det faktiskt inte är möjligt länge, något som stör mig. 1234 är säkrare än att använda använda komplexa lösenord som man behöver spara på webbläsaren anser jag, som en person som inte förväntar mig min sweclockers profil eller annat liknande hackat...

Graphene och kvantprocessorer kommer nog så småningom

Så du menar att detta:
Det1är2bra3med4långa5lösenord6ja!

Är dåligt, men:
Yoghurt.kan.tyckas.smakfullt.m3n.det.är.inte.kultur!

Är bättre, men:
Mango.kina.tvättställ.klorofyll.amalgam.kanelbull3

Är bäst?

Sen kanske det duger med en totaltslumpmässig mening istället för slumpade ord för att göra det användarvänligt, om man lägger till några ord då?

BankID hackas alltså på nolltid. (6 siffror)

Detta var med 12 stycken RTX4090, de är ganska långt ifrån i beräkningskraft mot vad en hackare skulle använda sig utav om han ville köra bruteforce.

3000st skulle inte knäcka det på ett dygn, ett enkelt pass på 8 tecken, special, stor bokstav och siffror skulle ta närmare 11 dygn.
Du måste ha ett väldigt speciellt konto för någon att lägga den kraften på under 11 dygn.
Mest troligt är att de inte går på de som tar lång tid, gäller det viktiga saker räcker normalt inte bara ett lösenord idag utan det är 2-faktors eller värre och då är bruteforce chanslöst.

Dock har du inte så många försök på BankID innan det blir obrukbart, men hur många har bara 6 siffror på sitt BankID?

Ännu bättre: byt ut "kanelbull3" mot ett påhittat ord som inte finns i ordböcker (3:an hjälper föga eftersom 13375p34k är nära nog meningslöst, då det ingår i alla knäckarungars standardverktygslådor).

Själv kör jag med slumpmässiga/kaotiska lösenord som automatiskt knappas in åt mig av lösenordshanterare. Enda poängen för min del med en traditionell passphrase är när lösenordshanterare inte kan användas, utan man tvingas komma ihåg och knappa in det för hand.

Har kört med 20+ så länge jag kan minnas. Det suger dock lite att det tar irriterande tid att knappa in varje gång (nej, jag vägrar använda fingeravtryck).

Jag kör faceid, men ibland åker man på att knappa in siffrorna ändå. 😅