Hvor nemt er dit password at brute force hacke?

Alt om software, sikkerhed, kryptering m.m. Spørg og der er sikkert en der kan hjælpe.
Kenned
Platin Member
Platin Member
Indlæg: 2223
Tilmeldt: 28. mar 2008, 12:52
Interesser: UV-jagt, våben, Teknik
Geografisk sted: København S
Has thanked: 460 times
Been thanked: 351 times

Re: Hvor nemt er dit password at brute force hacke?

Indlæg af Kenned » 25. apr 2023, 13:08

Senserazer skrev:
25. apr 2023, 09:58
Kan gå fra 5 dage til 3år ved at smide et ekstra symbol ind i mit kodeord.. det kunne måske godt svare sig.
Og taget i betragtning det roterer månedligt, så må det være længe fint til min brug. Mere spændende er jeg nok heller ikke :giggle:
Anbefalingen fra fx Microsoft har de seneste år faktisk været at man laver et godt password og så ikke skifter det medmindre man får en mistanke om a det kan være i en læk - som fx et hack af en password manager leverandør.

Hilsen Kenneth
Jeg er multi-religiøs - jeg tror lige lidt på alle religioner

Brugeravatar
Ras.Killing
Platin Member
Platin Member
Indlæg: 5152
Tilmeldt: 15. mar 2009, 22:00
Interesser: Jagt & pistolskydning
Geografisk sted: Sy'Fyn
Has thanked: 1008 times
Been thanked: 1366 times

Re: Hvor nemt er dit password at brute force hacke?

Indlæg af Ras.Killing » 25. apr 2023, 13:11

Jeg bryder skalaen kan jeg se :fun:

Med 20 characters, store og små bogstave samt symbol.

Over 26tn år må være godt nok!
"The culture I stand for is sometimes lost into today's society, when in fact society was built on the culture of The Hunter.

Make Fyn fin again!

Brugeravatar
Senserazer
Platin Member
Platin Member
Indlæg: 2916
Tilmeldt: 11. aug 2012, 23:17
Interesser: Knive, skydevåben,
Geografisk sted: Vejle
Has thanked: 114 times
Been thanked: 242 times

Re: Hvor nemt er dit password at brute force hacke?

Indlæg af Senserazer » 25. apr 2023, 15:07

Kenned skrev:
25. apr 2023, 13:08
Senserazer skrev:
25. apr 2023, 09:58
Kan gå fra 5 dage til 3år ved at smide et ekstra symbol ind i mit kodeord.. det kunne måske godt svare sig.
Og taget i betragtning det roterer månedligt, så må det være længe fint til min brug. Mere spændende er jeg nok heller ikke :giggle:
Anbefalingen fra fx Microsoft har de seneste år faktisk været at man laver et godt password og så ikke skifter det medmindre man får en mistanke om a det kan være i en læk - som fx et hack af en password manager leverandør.

Hilsen Kenneth
Det er slet ikke noget jeg selv styrer, det er på arbejdet.
Privat roterer de ikke. Det er simpelthen overkill.
Sendt fra min bjergtinde via signalbål.

Sierra13
Platin Member
Platin Member
Indlæg: 1780
Tilmeldt: 2. mar 2011, 18:29
Interesser: Eventyr
Geografisk sted: Djævleøen
Has thanked: 19 times
Been thanked: 189 times

Re: Hvor nemt er dit password at brute force hacke?

Indlæg af Sierra13 » 25. apr 2023, 15:16

Senserazer skrev:
25. apr 2023, 15:07
Kenned skrev:
25. apr 2023, 13:08
Senserazer skrev:
25. apr 2023, 09:58
Kan gå fra 5 dage til 3år ved at smide et ekstra symbol ind i mit kodeord.. det kunne måske godt svare sig.
Og taget i betragtning det roterer månedligt, så må det være længe fint til min brug. Mere spændende er jeg nok heller ikke :giggle:
Anbefalingen fra fx Microsoft har de seneste år faktisk været at man laver et godt password og så ikke skifter det medmindre man får en mistanke om a det kan være i en læk - som fx et hack af en password manager leverandør.

Hilsen Kenneth
Det er slet ikke noget jeg selv styrer, det er på arbejdet.
Privat roterer de ikke. Det er simpelthen overkill.
En udfordring ved rotation, er koden oftest ændres på en forudsigelig vis.
Det skaber falsk tryghed hos arbejdsgiveren, "jamen vi ændrer jo koden hver 3. måned"

Men reelt har både tidligere medarbejdere, og gæster i huset mulighed for at aflure koden, og derefter 'gætte' den langt ud i fremtiden.
Hvis jeg ville, kunne jeg højst sandsynligt regne mig frem til de fleste koder på tidligere arbejdspladser.
Hvis først man kender til en enkelt kode i huset, og nye koder ikke bliver lavet på baggrund af en randomizer, så kan man kvalificeret gætte sig til meget.

Brugeravatar
Senserazer
Platin Member
Platin Member
Indlæg: 2916
Tilmeldt: 11. aug 2012, 23:17
Interesser: Knive, skydevåben,
Geografisk sted: Vejle
Has thanked: 114 times
Been thanked: 242 times

Re: Hvor nemt er dit password at brute force hacke?

Indlæg af Senserazer » 25. apr 2023, 16:25

Sierra13 skrev:
25. apr 2023, 15:16
Senserazer skrev:
25. apr 2023, 15:07
Kenned skrev:
25. apr 2023, 13:08
Senserazer skrev:
25. apr 2023, 09:58
Kan gå fra 5 dage til 3år ved at smide et ekstra symbol ind i mit kodeord.. det kunne måske godt svare sig.
Og taget i betragtning det roterer månedligt, så må det være længe fint til min brug. Mere spændende er jeg nok heller ikke :giggle:
Anbefalingen fra fx Microsoft har de seneste år faktisk været at man laver et godt password og så ikke skifter det medmindre man får en mistanke om a det kan være i en læk - som fx et hack af en password manager leverandør.

Hilsen Kenneth
Det er slet ikke noget jeg selv styrer, det er på arbejdet.
Privat roterer de ikke. Det er simpelthen overkill.
En udfordring ved rotation, er koden oftest ændres på en forudsigelig vis.
Det skaber falsk tryghed hos arbejdsgiveren, "jamen vi ændrer jo koden hver 3. måned"

Men reelt har både tidligere medarbejdere, og gæster i huset mulighed for at aflure koden, og derefter 'gætte' den langt ud i fremtiden.
Hvis jeg ville, kunne jeg højst sandsynligt regne mig frem til de fleste koder på tidligere arbejdspladser.
Hvis først man kender til en enkelt kode i huset, og nye koder ikke bliver lavet på baggrund af en randomizer, så kan man kvalificeret gætte sig til meget.
Spot on. Her har vi personlige koder, så reelt kommer det nok ca. ud på bare at have samme faste kode.
Sendt fra min bjergtinde via signalbål.

Benchmark
Bronze Member
Bronze Member
Indlæg: 53
Tilmeldt: 4. mar 2009, 00:06
Interesser: luftgevær
Geografisk sted: københavn
Has thanked: 10 times
Been thanked: 19 times

Re: Hvor nemt er dit password at brute force hacke?

Indlæg af Benchmark » 25. apr 2023, 21:20

3 år , så vigtigt er jeg ikke at folk vil bruge 3 år til at se min email som inholder alligevel intet vigtigt :twisted:

Brugeravatar
Werecat
This member is
This member is
Indlæg: 721
Tilmeldt: 19. jul 2007, 13:33
Interesser: Skydning
Geografisk sted: Odense
Has thanked: 101 times
Been thanked: 554 times

Re: Hvor nemt er dit password at brute force hacke?

Indlæg af Werecat » 14. maj 2023, 11:16

Senserazer skrev:
25. apr 2023, 16:25
Sierra13 skrev:
25. apr 2023, 15:16
En udfordring ved rotation, er koden oftest ændres på en forudsigelig vis.
Det skaber falsk tryghed hos arbejdsgiveren, "jamen vi ændrer jo koden hver 3. måned"

Men reelt har både tidligere medarbejdere, og gæster i huset mulighed for at aflure koden, og derefter 'gætte' den langt ud i fremtiden.
Hvis jeg ville, kunne jeg højst sandsynligt regne mig frem til de fleste koder på tidligere arbejdspladser.
Hvis først man kender til en enkelt kode i huset, og nye koder ikke bliver lavet på baggrund af en randomizer, så kan man kvalificeret gætte sig til meget.
Spot on. Her har vi personlige koder, så reelt kommer det nok ca. ud på bare at have samme faste kode.
På arbejdet roterer vi også hver 3. Måned. Min genbo arbejder i IT på mit arbejde og jeg nævnte det med skift hver 3. måned kan gøre det usikkert fordi man vælger lette koder.
Det viser sig at det ikke kun er sundhedsfaglige der oplever at "dem højere oppe" træffer uhensigtsmæssige beslutninger på baggrund af manglende viden der reducerer kvaliteten eller effektiviteten af vores arbejde. Han sagde at de havde forsøgt at forklare det opad, men en eller anden højere oppe magtede ikke helt at forstå det.
Hvis man savner steder at køre "lean" ( :puke: ) så kunne de adskillige mellemlederlag der efterhånden er alle steder være et godt sted at starte.
Caspian1911 skrev:
12. jul 2020, 15:27
Refraktorius. Agressiv? Ja. Let forståelig? Ja
4151

Brugeravatar
The Mad Viking
Gold Member
Gold Member
Indlæg: 825
Tilmeldt: 22. nov 2014, 02:00
Interesser: Skydning og mekanik
Geografisk sted: Nordøstfyn
Has thanked: 457 times
Been thanked: 214 times

Re: Hvor nemt er dit password at brute force hacke?

Indlæg af The Mad Viking » 14. maj 2023, 11:45

Werecat skrev:
14. maj 2023, 11:16

Hvis man savner steder at køre "lean" ( :puke: ) så kunne de adskillige mellemlederlag der efterhånden er alle steder være et godt sted at starte.
:goodpost:
Studies suggest that 9 out of 10 men prefer curvy women.
The 10th man usually prefers the other 9...

Brugeravatar
Tuba
Silver Member
Silver Member
Indlæg: 242
Tilmeldt: 22. mar 2008, 23:25
Interesser: Målskydning: Pistol, revolver.
Geografisk sted: Søllerød
Has thanked: 11 times
Been thanked: 3 times

Re: Hvor nemt er dit password at brute force hacke?

Indlæg af Tuba » 5. jun 2023, 20:48

Jeg kan se mit "nemmeste" password til noget vigtigt kan tåle 92 milliarder års brute force cracking. Det går nok lige.

Hvis nogen har brug for at overbevise en IT-organisation eller chef om at det med at rotere password ofte er fortid, så hedder standarden NIST 800-63B og den relevante sektion er 10.2.1 Memorized Secrets:
Do not require that memorized secrets be changed arbitrarily (e.g., periodically) unless there is a user request or evidence of authenticator compromise.
Personligt foretrækker jeg at generere passphrases med diceware. Det betyder godt nok at jeg skal rende rundt med en bunke terninger i arbejdstasken indtil min arbejdsplads opdager NIST 800-63B og de sidste 15-20 års forskning i passwords...
We're sysadmins, to us, data is protocol overhead.

Kenned
Platin Member
Platin Member
Indlæg: 2223
Tilmeldt: 28. mar 2008, 12:52
Interesser: UV-jagt, våben, Teknik
Geografisk sted: København S
Has thanked: 460 times
Been thanked: 351 times

Re: Hvor nemt er dit password at brute force hacke?

Indlæg af Kenned » 5. jun 2023, 22:40

Tuba skrev:
5. jun 2023, 20:48
Jeg kan se mit "nemmeste" password til noget vigtigt kan tåle 92 milliarder års brute force cracking. Det går nok lige.

Hvis nogen har brug for at overbevise en IT-organisation eller chef om at det med at rotere password ofte er fortid, så hedder standarden NIST 800-63B og den relevante sektion er 10.2.1 Memorized Secrets:
Do not require that memorized secrets be changed arbitrarily (e.g., periodically) unless there is a user request or evidence of authenticator compromise.
Personligt foretrækker jeg at generere passphrases med diceware. Det betyder godt nok at jeg skal rende rundt med en bunke terninger i arbejdstasken indtil min arbejdsplads opdager NIST 800-63B og de sidste 15-20 års forskning i passwords...
Hvad med en passwordmanager? Så behøver PW ikke på nogen måde at være til at huske :)

/Kenneth
Jeg er multi-religiøs - jeg tror lige lidt på alle religioner

Brugeravatar
Tuba
Silver Member
Silver Member
Indlæg: 242
Tilmeldt: 22. mar 2008, 23:25
Interesser: Målskydning: Pistol, revolver.
Geografisk sted: Søllerød
Has thanked: 11 times
Been thanked: 3 times

Re: Hvor nemt er dit password at brute force hacke?

Indlæg af Tuba » 7. jun 2023, 20:01

Kenned skrev:
5. jun 2023, 22:40
Hvad med en passwordmanager? Så behøver PW ikke på nogen måde at være til at huske :)

/Kenneth
Du skal vel stadig bruge et password til din passwordmanager?

Selv med password managers har jeg med mit job en lang række passwords (bl.a. til password managers der ikke må få blandet deres indhold).
We're sysadmins, to us, data is protocol overhead.

Kenned
Platin Member
Platin Member
Indlæg: 2223
Tilmeldt: 28. mar 2008, 12:52
Interesser: UV-jagt, våben, Teknik
Geografisk sted: København S
Has thanked: 460 times
Been thanked: 351 times

Re: Hvor nemt er dit password at brute force hacke?

Indlæg af Kenned » 8. jun 2023, 11:31

Tuba skrev:
7. jun 2023, 20:01
Kenned skrev:
5. jun 2023, 22:40
Hvad med en passwordmanager? Så behøver PW ikke på nogen måde at være til at huske :)

/Kenneth
Du skal vel stadig bruge et password til din passwordmanager?

Selv med password managers har jeg med mit job en lang række passwords (bl.a. til password managers der ikke må få blandet deres indhold).
Hvis det er arbejdsrelateret så kan man opsætte automatisk logon med SSO - programmet "arver" simpelthen dit windows login. Sikkerheden kan så forbedres yderligere med 2-faktor login hvis man ønsker det.

Hvad mener du med at de ikke må få "blandet deres indhold" ? Hvis du tænker på privat og firma så er der også løsninger på det :smile:

Hilsen Kenneth
Jeg er multi-religiøs - jeg tror lige lidt på alle religioner

Brugeravatar
Tuba
Silver Member
Silver Member
Indlæg: 242
Tilmeldt: 22. mar 2008, 23:25
Interesser: Målskydning: Pistol, revolver.
Geografisk sted: Søllerød
Has thanked: 11 times
Been thanked: 3 times

Re: Hvor nemt er dit password at brute force hacke?

Indlæg af Tuba » 12. jun 2023, 20:22

Kenned skrev:
8. jun 2023, 11:31

Hvis det er arbejdsrelateret så kan man opsætte automatisk logon med SSO - programmet "arver" simpelthen dit windows login. Sikkerheden kan så forbedres yderligere med 2-faktor login hvis man ønsker det.

Hvad mener du med at de ikke må få "blandet deres indhold" ? Hvis du tænker på privat og firma så er der også løsninger på det :smile:

Hilsen Kenneth
Vi bruger ikke Windows, vi bruger allerede multifaktor, og vi må ikke blande logins til forskellige niveauer af confidentiality. Privat og firma har jeg ikke nogensinde blandet, og jeg anbefaler klart at man lader være.

Det ændrer ikke ved at vi skal have ordentlige passwords til de forskellige niveauer af sikkerhed, og at vi til ganske meget af det er firewallet pænt langt væk fra AD.
We're sysadmins, to us, data is protocol overhead.

Kenned
Platin Member
Platin Member
Indlæg: 2223
Tilmeldt: 28. mar 2008, 12:52
Interesser: UV-jagt, våben, Teknik
Geografisk sted: København S
Has thanked: 460 times
Been thanked: 351 times

Re: Hvor nemt er dit password at brute force hacke?

Indlæg af Kenned » 13. jun 2023, 12:15

Tuba skrev:
12. jun 2023, 20:22
Kenned skrev:
8. jun 2023, 11:31

Hvis det er arbejdsrelateret så kan man opsætte automatisk logon med SSO - programmet "arver" simpelthen dit windows login. Sikkerheden kan så forbedres yderligere med 2-faktor login hvis man ønsker det.

Hvad mener du med at de ikke må få "blandet deres indhold" ? Hvis du tænker på privat og firma så er der også løsninger på det :smile:

Hilsen Kenneth
Vi bruger ikke Windows, vi bruger allerede multifaktor, og vi må ikke blande logins til forskellige niveauer af confidentiality. Privat og firma har jeg ikke nogensinde blandet, og jeg anbefaler klart at man lader være.

Det ændrer ikke ved at vi skal have ordentlige passwords til de forskellige niveauer af sikkerhed, og at vi til ganske meget af det er firewallet pænt langt væk fra AD.
Ok, det er et andet sikringsniveau end jeg er underlagt :giggle:

Hilsen Kenneth
Jeg er multi-religiøs - jeg tror lige lidt på alle religioner

Brugeravatar
Tuba
Silver Member
Silver Member
Indlæg: 242
Tilmeldt: 22. mar 2008, 23:25
Interesser: Målskydning: Pistol, revolver.
Geografisk sted: Søllerød
Has thanked: 11 times
Been thanked: 3 times

Re: Hvor nemt er dit password at brute force hacke?

Indlæg af Tuba » 24. jun 2023, 08:26

Kenned skrev:
13. jun 2023, 12:15

Ok, det er et andet sikringsniveau end jeg er underlagt :giggle:

Hilsen Kenneth
Yes. Jeg er professionel sølvpapirshat :giggle:
We're sysadmins, to us, data is protocol overhead.

Parfait
Silver Member
Silver Member
Indlæg: 335
Tilmeldt: 16. feb 2015, 17:06
Interesser: Jagt
Geografisk sted: Sjælland
Has thanked: 248 times
Been thanked: 69 times

Re: Hvor nemt er dit password at brute force hacke?

Indlæg af Parfait » 25. jun 2023, 22:27

Nope friends, "x år, det går nok" - går ikke ...

De opgivne tider er hvor lang tid det tager at prøve ALLE passwordskombinationer med en givne længde af, med kendte approaches/computerkraft.

Dit password befinder sig et eller andet sted på tidslinien afhængig af hvor komplekst det er og, nøjagtig hvilken approach/algoritme der bruges til at afprøve det. Det befinder sig ikke nøvendigvis for enden af tidslinjen!

Hvis dit kodeord er dårligt nok, og entropien for lav, så er der situationer hvor det måske bliver brutet på en dag - også selvom det har en længde der tilsiger det skal tage en milliard år.

Mvh Jakob

ReneKJ
This member is
This member is
Indlæg: 3133
Tilmeldt: 25. jun 2015, 11:10
Interesser: Våbenrelateret information
Geografisk sted: Jylland
Has thanked: 323 times
Been thanked: 674 times

Re: Hvor nemt er dit password at brute force hacke?

Indlæg af ReneKJ » 25. jun 2023, 22:53

Parfait skrev:
25. jun 2023, 22:27
Nope friends, "x år, det går nok" - går ikke ...

De opgivne tider er hvor lang tid det tager at prøve ALLE passwordskombinationer med en givne længde af, med kendte approaches/computerkraft.

Dit passwords befinder sig et eller andet sted på tidslinien afhængig af hvor komplekst det er og, nøjagtig hvilken approach/algoritme der bruges til at afprøve det. Det befinder sig ikke nøvendigvis for enden af tidslinjen!

Hvis dit kodeord er dårligt nok, og entropien for lav, så er der situationer hvor det måske bliver brutet på en dag - også selvom det har en længde der tilsiger det skal tage en milliard år.

Mvh Jakob
Uanset hvad dit password er så er der en teoretisk chance for at det bliver gættet i første forsøg. :smile:
Men jeg vil mene at hvis man er over 100+ år så er man rimelig sikker.

Det er dog nok vigtigt at lægge mærke til at i det tidsrum vil de have skabt hashses for alle password der matcher kriterierne, hvilket er noget andet end hvis de skulle bruge 100+ år på eet specifikt password.

Men for at citere mig selv:
ReneKJ skrev:
12. mar 2022, 18:23
Hvis de har password hashet så har de vel allerede været inde og hacke selve systemet hvor det lå?

Pricipielt kunne de have lagt ekstra kode ind der logger dit password, uanset hvor stærk det er.
Et IT-system bør ikke tillade at man forsøger at brute-force logins, der skal alarmeres eller låses hvis der kommer for mange fejlslagne forsøg.

Parfait
Silver Member
Silver Member
Indlæg: 335
Tilmeldt: 16. feb 2015, 17:06
Interesser: Jagt
Geografisk sted: Sjælland
Has thanked: 248 times
Been thanked: 69 times

Re: Hvor nemt er dit password at brute force hacke?

Indlæg af Parfait » 25. jun 2023, 22:59

ReneKJ skrev:
25. jun 2023, 22:53
Et IT-system bør ikke tillade at man forsøger at brute-force logins, der skal alarmeres eller låses hvis der kommer for mange fejlslagne forsøg.
Enig.

Og at brute force noget som helst overfor et 'system' som man interagerer med, f.eks. over et netværk, er ikke det mest hensigtsmæssige hvis man skal afprøve flere milliarder kombinationer, uanset hvad. Jeg tænkte mest på en kopi af hashede kodeord, der er skam situationer hvor de hapses uden at resten af systemet nødvendigvis er fuldt kompromitteret.

Mvh Jakob

Besvar