Hvor nemt er dit password at brute force hacke?

[Bofhenator]

Hivesystems har opdateret deres fine oversigt fra 2020, der giver en oversigt over hvor nemt der er at finde et password hvis man har et #hash alt efter hvor langt det er og hvor mange forskellige slags tegn det består af.

De beskriver deres metode i linket herunder.

Jeg har sat oversigten ind her.

https://www.hivesystems.io/blog/are-you ... -the-green

[BentxBetjent]

Privat
3 år, det kan jeg godt leve med.

Arbejde
39 min. Men vi overvejer nye regler eller 2 trins.

[Scooterskytten]

34 år for mig. Det kan jeg også godt leve med :)

[Ferguson]

Jeg arbejder også med IT til daglig, og mit råd til mine brugere er at danne deres password ud fra en sætning, og bruge det første bogstav i hvert ord til at danne password’et.

Feks. som dette :

Jeg hedder Ferguson og er født i 1960
bliver til : JhFoefi1960

[Ras.Killing]

Jeg er på 46 millioner år... Mon ikke det rækker

[ESAF]

Hehe med over 20 tegn, inkl symboler, tal og store og små bogstaver, foruden at jeg aldrig genbruger et kodeord, giver mig lidt at løbe på

[ReneKJ]

Hvis de har password hashet så har de vel allerede været inde og hacke selve systemet hvor det lå?

Pricipielt kunne de have lagt ekstra kode ind der logger dit password, uanset hvor stærk det er.

Så et andet vigtigt tip: undlad at genbruge passwords

[Tangloppen]

12 tusind år på det som betyder noget.
De sekundære koder til div logins er instant.

Ku’ være jeg skulle til at lade Apple vælge mine kodeord - eneste abe ved det, er at de vil være praktisk umulige at benytte på andet end mine æble produkter.

[Bofhenator]

Hvis de har password hashet så har de vel allerede været inde og hacke selve systemet hvor det lå?
...

Et eller andet sted kommer hashet jo fra (så yup, ingen genbrug). Men at de har hashet behøver ikke betyder de også har adgang til resten.

Det er klart, det er ikke det samme som at bruteforce et password udefra uden andet et at kunne lave et input :-)

[Raptor357]

Instant for hvor der ikke burde være en kode over til Fra 3 uger til 1bn.

[Kenned]

Oversigten er lidt noget vrøvl. Den forudsætter at hackerne VED at man kun har brugt fx tal, eller at de tilfældigvis prøver i den rækkefølge der passer med det det man har valgt at gøre.

Det vigtigste råd jeg kan give er allerede givet - genbrug ikke passwords.

Hilsen Kenneth

[Kenned]

12 tusind år på det som betyder noget.
De sekundære koder til div logins er instant.

Ku’ være jeg skulle til at lade Apple vælge mine kodeord - eneste abe ved det, er at de vil være praktisk umulige at benytte på andet end mine æble produkter.

Leg bruger Lastpass(den er ikke gratis), og den findes både til PC og IOS så man kan have ét tool til det hele.

Hilsen Kenneth

[Epae]

16m years. tænker det er sikkert nok :P

[ReneKJ]

Oversigten er lidt noget vrøvl. Den forudsætter at hackerne VED at man kun har brugt fx tal, eller at de tilfældigvis prøver i den rækkefølge der passer med det det man har valgt at gøre.

Det vigtigste råd jeg kan give er allerede givet - genbrug ikke passwords.

Hilsen Kenneth

De prøver selvfølgeligt med de nemme kombinationer først, så man kan ikke regne med at man har "flok-immunitet" fordi 90% af befolkningen har stærke passwords.
Det kaldes måske brute-force, men derfor kan det alligevel godt gøres på en smart måde

[458hunter]

Jeg kan høre at mange herinde går meget op i passwords sikkerhed, men hvordan husker i så de mange passwords?

Tænker jeg har i hvert fald 30-40 forskellige steder og så forfalder jeg til std fejl med at genbruge fordi jeg simpelthen ellers ikke kan huske koderne og hvor de skal bruges.

[ReneKJ]

Jeg kan høre at mange herinde går meget op i passwords sikkerhed, men hvordan husker i så de mange passwords?

Tænker jeg har i hvert fald 30-40 forskellige steder og så forfalder jeg til std fejl med at genbruge fordi jeg simpelthen ellers ikke kan huske koderne og hvor de skal bruges.

Du skal bruge en password keeper.
Hvis man kan nøjes med at have det lokalt på sin PC så er KeePass en gratis og udbredt løsning.
Man er så selv ansvarlig for at tage sikkerhedskopi og beskytte filen mod at falde i hænderne på andre. Den er dog i sig selv password beskyttet og krypteret.

Alternativt så findes der diverse online browserbaserede løsninger som mange bruger. Personligt er jeg rent principielt ikke fan af ideen om at lægge mine passwords online.

[Epae]

Jeg kan høre at mange herinde går meget op i passwords sikkerhed, men hvordan husker i så de mange passwords?

Tænker jeg har i hvert fald 30-40 forskellige steder og så forfalder jeg til std fejl med at genbruge fordi jeg simpelthen ellers ikke kan huske koderne og hvor de skal bruges.

Bruger en password app/vault. Og så et unikt og meget stærkt password til den vault.

[T-REX]

Jeg arbejder også med IT til daglig, og mit råd til mine brugere er at danne deres password ud fra en sætning, og bruge det første bogstav i hvert ord til at danne password’et.

Feks. som dette :

Jeg hedder Ferguson og er født i 1960
bliver til : JhFoefi1960

Så du bruger stadig forældede regler
Brug hellere hele sætningen...

https://www.zdnet.com/article/fbi-recom ... omplexity/
https://www.nbcnews.com/tech/security/f ... de-n790711

Sætninger er nemmere at huske, og sværere, at knække.
MEGET Sværere.


Har arbejdet med IT, siden Netware 2.10/2.12 Og er stadig, i branchen

[Kenned]

Oversigten er lidt noget vrøvl. Den forudsætter at hackerne VED at man kun har brugt fx tal, eller at de tilfældigvis prøver i den rækkefølge der passer med det det man har valgt at gøre.

Det vigtigste råd jeg kan give er allerede givet - genbrug ikke passwords.

Hilsen Kenneth

De prøver selvfølgeligt med de nemme kombinationer først, så man kan ikke regne med at man har "flok-immunitet" fordi 90% af befolkningen har stærke passwords.
Det kaldes måske brute-force, men derfor kan det alligevel godt gøres på en smart måde

Enten er det brute force de forklarer om, eller også er det ikke. Derudover så vil det jo tage tid at teste de “nemme” først, og de ved jo ikke om det er “et af de nemme” kun med tal eller et kun med små bogstaver de leder efter. Tiden skal derfor lægges til.

Hilsen Kenneth

[ReneKJ]

De prøver selvfølgeligt med de nemme kombinationer først, så man kan ikke regne med at man har "flok-immunitet" fordi 90% af befolkningen har stærke passwords.
Det kaldes måske brute-force, men derfor kan det alligevel godt gøres på en smart måde

Enten er det brute force de forklarer om, eller også er det ikke. Derudover så vil det jo tage tid at teste de “nemme” først, og de ved jo ikke om det er “et af de nemme” kun med tal eller et kun med små bogstaver de leder efter. Tiden skal derfor lægges til.

Hilsen Kenneth

Det er jo dine egene data, så det må du selv om

Men prøv at kigge på skemaet. Tidsforbruget stiger fra øjeblikkeligt til sekunder, minutter, måneder og år.
Hvis du skal køre et hacking-job der tager år så betyder det intet i den sammenhæng at du bruger lidt tid i starten på at finde de nemmeste passwords.

Realiten er formodentligt at de slet ikke forsøger at bruteforce med komplicerede passwords da de ved at sandsynligheden er meget, meget lille for at få noget ud af det.
De nemme er derimod næsten gratis i tid, og selv om de så kun fanger en en lille del af brugerne så kan det alligevel være en succes i forhold til indsatsen.

[Bofhenator]

...
Men prøv at kigge på skemaet. Tidsforbruget stiger fra øjeblikkeligt til sekunder, minutter, måneder og år.
...

Mon ikke det også handler om at hashes på de mest almindelige password er fundet og pakket i databaser for længe siden:

Kode: Vælg alt

X@debian-X:~$ cat md5-test 
123456

X@debian-X:~$ md5sum md5-test 
446ef5d8349e3ffa00a142e9db270e4a  md5-test

123456 er et af de mest brugte password og mit gæt er at langt de fleste af dem allerede er kædet sammen med et hash, så derfor behøver man ikke bruge krudt på at finde hashes der passer.

[Bofhenator]

https://www.hivesystems.io/blog/are-you ... -the-green

Hivesystems har opdateret deres fine oversigt, artiklen der beskriver deres metoder er værd at bruge 10-15 minutter på.

[SKS]

Shit, jeg er gået fra 16 millioner år til 1 million år, må nok hellere begynde at tænke på nye koder snart..

[Senserazer]

Kan gå fra 5 dage til 3år ved at smide et ekstra symbol ind i mit kodeord.. det kunne måske godt svare sig.
Og taget i betragtning det roterer månedligt, så må det være længe fint til min brug. Mere spændende er jeg nok heller ikke

[T-REX]

Jeg arbejder også med IT til daglig, og mit råd til mine brugere er at danne deres password ud fra en sætning, og bruge det første bogstav i hvert ord til at danne password’et.

Feks. som dette :

Jeg hedder Ferguson og er født i 1960
bliver til : JhFoefi1960

Så hellere brug sætningen. Evt uden mellemrum..
31 tegn....

Mit er en sætning, kun et par og 20 tegn, og så 2FA oveni.