Alla dessa koder och lösenord

Be om vetenskapliga förklaringar till upplevelser, fenomen och anekdoter som du funderat på.
Användarvisningsbild
Vitnir
Inlägg: 4252
Blev medlem: tor 31 mar 2005, 17:08
Kontakt:

Re: Alla dessa koder och lösenord

Inlägg av Vitnir » sön 12 maj 2013, 17:43

Jag fick välja PIN senast men det var ett undantag så jag antar att den möjligheten finns men att bankerna vet att alla skulle välja koden 1234 om det släpptes helt fritt. Sedan ett tag sedan använder jag Keepass i telefonen och datorn för att hålla reda på lösenord, det funkar men är lite enerverande. Vanliga lösenord i form av ett ord med någon siffra på slutet är tydligen jätteenkla att knäcka för ett program så det är bara att mata in den krångliga varianten och låta webläsaren komma ihåg det.
There is no spoon.

Användarvisningsbild
Katinka77
Inlägg: 252
Blev medlem: lör 19 nov 2011, 03:53

Re: Alla dessa koder och lösenord

Inlägg av Katinka77 » sön 12 maj 2013, 17:54

Vitnir skrev:Jag fick välja PIN senast men det var ett undantag så jag antar att den möjligheten finns men att bankerna vet att alla skulle välja koden 1234 om det släpptes helt fritt. Sedan ett tag sedan använder jag Keepass i telefonen och datorn för att hålla reda på lösenord, det funkar men är lite enerverande. Vanliga lösenord i form av ett ord med någon siffra på slutet är tydligen jätteenkla att knäcka för ett program så det är bara att mata in den krångliga varianten och låta webläsaren komma ihåg det.
Om man har ett ord som finns i ordlista d.v.s. ett vedertaget ord som t.ex. smörblomma så blir det marginellt lättare att knäcka för ett program. Vi tenderar att ta ett ord följt av två siffror när vi nu lärt oss att de flesta applikationer kräver det. De två siffrorna blir ofta vårt födelseår. Anna81 , gungbräda74 , Ada64 o.s.v är rätt lätta för en bruteforcetjej. En rekommendation är att istället för smörblomma använda molbydenblomma. Istället för att använda smörblomma87 kan man använda mol8bydeNblo7mma.
/IT-experten med personal
Till och med en usling som jag har fått "lite" kärlek av Pax! <3

Som skeptiker påbjuda vi (implicit) att alla döda (inkl.döende) plexiglasingjutes inom statlig försorg för att sedan smycka det offentliga rummet. Dit verkar det dock vara långt

Användarvisningsbild
Catweazle
Inlägg: 873
Blev medlem: ons 07 nov 2012, 22:57

Re: Alla dessa koder och lösenord

Inlägg av Catweazle » sön 12 maj 2013, 19:47

Katinka77 skrev: Vi tenderar att ta ett ord följt av två siffror när vi nu lärt oss att de flesta applikationer kräver det. De två siffrorna blir ofta vårt födelseår. Anna81 , gungbräda74 , Ada64 o.s.v är rätt lätta för en bruteforcetjej.l
Nu är min ekonomi mycket bättre och din motsvarande sämre. En titt upp i hörnet av ditt inlägg. Det funkade. Tack för tipset.

Ni övriga kom för sent.
Några anspråkslösa ord från en konsensuscomalobotomerad stackare.

Användarvisningsbild
Katinka77
Inlägg: 252
Blev medlem: lör 19 nov 2011, 03:53

Re: Alla dessa koder och lösenord

Inlägg av Katinka77 » sön 12 maj 2013, 19:50

Catweazle skrev:
Katinka77 skrev: Vi tenderar att ta ett ord följt av två siffror när vi nu lärt oss att de flesta applikationer kräver det. De två siffrorna blir ofta vårt födelseår. Anna81 , gungbräda74 , Ada64 o.s.v är rätt lätta för en bruteforcetjej.l
Nu är min ekonomi mycket bättre och din motsvarande sämre. En titt upp i hörnet av ditt inlägg. Det funkade. Tack för tipset.

Ni övriga kom för sent.
Ät och njut, snart är det slut.
Till och med en usling som jag har fått "lite" kärlek av Pax! <3

Som skeptiker påbjuda vi (implicit) att alla döda (inkl.döende) plexiglasingjutes inom statlig försorg för att sedan smycka det offentliga rummet. Dit verkar det dock vara långt

Användarvisningsbild
Anders
Inlägg: 11010
Blev medlem: tor 02 dec 2004, 15:54
Ort: Stockholm

Re: Alla dessa koder och lösenord

Inlägg av Anders » sön 12 maj 2013, 22:40

Problemet är egentligen inte lösenorden i sig. Problemt är tvåfallt
1) Många system tillåter felaktigt att man anger hur många lösenord som helst och släpper in dig när du träffar rätt.
2) Många system använder felaktig kryptering av lösenorden, så när lösenordsdatabasen/listan är stulen kan skurkarna lätt hitta de svagt krypterade läsenorden genom brut-force attacker, eller exhaustive search som heter också.

Båda dessa problem går att lösa, men det är för få som gör det. Industrins fel helt enkelt.

Visserligen kräver 2), i vissa fall, också att lösenorden är lite längre, typ 12 tecken borde räcka men 16 är ännu bättre om man nu inte litar på att sitens databas inte blir stulen. Men man behöver inte bara hasha, det går att kryptera också.
Maskirovka är en rysk militärteknisk term för metoder, verktyg, utrustning, med mera, som skall vilseleda en fiende i händelse av en konfliktsituation

MacBruce
Avstängd
Inlägg: 1259
Blev medlem: sön 07 okt 2007, 09:40

Re: Alla dessa koder och lösenord

Inlägg av MacBruce » mån 13 maj 2013, 00:53

Katinka77 skrev:
Catweazle skrev: Hm....jo. Men du vet jag kommer bara från planeten Tellus. Vi har inte samma kapacitet som ni. Särskilt inte när man har tippat över på ålderns döhalva.
Jag är inte planetist men... ska även detta forum svämma över av minnsesslöa jordingar? :wink:
Tja, här ser vi vad ni Kanaljer har bidragit med...

Edit: Ber om ursäkt, "Kanelier" skulle det vara.

Användarvisningsbild
C-J
Inlägg: 4891
Blev medlem: tor 12 apr 2007, 07:15

Re: Alla dessa koder och lösenord

Inlägg av C-J » mån 13 maj 2013, 01:28

Nu ska vi kasta sten i glashus här, eftersom vi inte har lagt till stöd för openId här (än).

Grundproblemet är att man ska behöva skapa nya användarnamn och lösenord för varje ny tjänst när det redan finns finns bra autentiseringstjänster. OpenId. Ni använder det överallt där ni "kan logga in med facebook" eller där man kan logga min med sitt yahoo, microsoft eller google/gmail-konto. Om man kan lita på att google/yahoo/microsoft klarar av att hålla lösenorden i säkert förvar och att man har valt ett bra eget lösenord som inte där direkt känsligt för en ordlista så fungerar det ypperligt.

Det fungerar ungefär så här.
  • På en sida du vill logga in på finns ett inloggningsformulär där man anger sin facebook/google/yahoo/microsoft-adress.
  • När man klickar på logga in, så skickas användarnamnet (epost-adressen) och en länk till den sida man vill bli inloggad på, till facebook/google/yahoo/microsofts inloggningstjänst.
  • Eftersom facebook/google/yahoo/microsoft redan vet om du redan är inloggad eller inte så kan nu två saker hända.
  • Google/yahoo/microsoft/facebook presenterar ett lösenordsfält där du får fylla i ditt lösenord om du inte är inloggad
  • Eller så är du inloggad enligt google/yahoo/microsoft/facebook eftersom du har din mail uppe eller du kanske jobbar med något google docs.
  • Nu skickas man tillbaka till den sida man kom ifrån tillsammans med en lapp ifrån google/yahoo/microsoft som talar om att man är den man är.
  • Den nya sajten behöver nu bara spara lappen den fick ifrån google/yahoo/microsoft så att den kan hålla reda på dina inställningar i framtiden.
Sajten man loggade in på fick alltså aldrig se ditt lösenord utan bara en inloggnings-försäkran ifrån t.ex. google.

Ytterligare problem som man kan lägga på Anders lista
3) En del idiotiska implementationer begränsar vilka tecken man kan ha i ett lösenord, eller sätter en löjligt låg gräns som t.ex. 16.
Microsoft hade en spärr på 16 tecken på sina lösenord som inte meddelades användarna, du kunde skapa ett konto och sätta ett 30 tecken långt lösenord men det var bara de 16 första som sparades och sedan användes.
Samma sak på folksam. Max 8 tecken, men de säger/sa ifall ifrån när jag skulle skapa konto med längre lösenord.
4) Lösenord. Lösen-ORD. Lösenord är svåra att komma ihåg, de har begränsad entropi. Lösenords-fraser är mycket bättre och är enklare att komma ihåg. "Den osynliga gula hästen är grön", "En treo och resorb och man är pigg som en mört dagen efter!" är ur alla avseenden bättre än "0ze4g&bly#t!!23%"
Oh, behave!

Användarvisningsbild
VeVeN
Inlägg: 6169
Blev medlem: ons 31 okt 2007, 23:25

Re: Alla dessa koder och lösenord

Inlägg av VeVeN » mån 13 maj 2013, 12:40

Själv så lagrrar jag alla mina lösenord i KeePass. Funkar utmärkt.
Hade jag varit litet mer ödmjuk hade jag varit perfekt!

På min ignorelista just nu moridin, matte, aktivarum, Vidugavia, Thomas P

Användarvisningsbild
Zartax
Inlägg: 3406
Blev medlem: mån 05 nov 2007, 19:07

Re: Alla dessa koder och lösenord

Inlägg av Zartax » mån 13 maj 2013, 15:14

"Jag är hälften grekisk gud, hälften sabeltandad tiger." - Thunder

Användarvisningsbild
kaxiga Z
Forummoderator
Inlägg: 17568
Blev medlem: tor 21 jun 2007, 07:44

Re: Alla dessa koder och lösenord

Inlägg av kaxiga Z » mån 13 maj 2013, 15:18

Det där funkar bra när endast bokstäver begärs, och om man får välja lösenord själv.

Användarvisningsbild
Vitnir
Inlägg: 4252
Blev medlem: tor 31 mar 2005, 17:08
Kontakt:

Re: Alla dessa koder och lösenord

Inlägg av Vitnir » mån 13 maj 2013, 17:41

Att ha långa konstiga lösenord är bra men opraktiskt om man som jag envisas med att använda Smartphone där det inte alltid går att klistra in från urklipp. Openid låter bra men jag har knappt sett det användas i verkliga livet. Egentligen undrar jag hur sårbar jag var innan när jag använde lösenord i hierarkier, ett fåtal bra lösenord för viktiga saker som pengar och email och ett enkelt lösenord för allt annat.
There is no spoon.

Användarvisningsbild
Anders
Inlägg: 11010
Blev medlem: tor 02 dec 2004, 15:54
Ort: Stockholm

Re: Alla dessa koder och lösenord

Inlägg av Anders » mån 13 maj 2013, 17:57

Min bank kör med 6 siffrors PIN för bankorten.
Maskirovka är en rysk militärteknisk term för metoder, verktyg, utrustning, med mera, som skall vilseleda en fiende i händelse av en konfliktsituation

Användarvisningsbild
Zartax
Inlägg: 3406
Blev medlem: mån 05 nov 2007, 19:07

Re: Alla dessa koder och lösenord

Inlägg av Zartax » mån 13 maj 2013, 21:34

kaxiga Z skrev:
Det där funkar bra när endast bokstäver begärs, och om man får välja lösenord själv.
He, ja, men jag tänkte det mer som en instämman i hatet över alla krångliga lösenord. ;)
"Jag är hälften grekisk gud, hälften sabeltandad tiger." - Thunder

Användarvisningsbild
stefan_radstrom
Inlägg: 356
Blev medlem: tis 20 jul 2010, 11:55

Re: Alla dessa koder och lösenord

Inlägg av stefan_radstrom » tis 14 maj 2013, 06:57

Så länge det inte går att avläsa en individs genuppsättning på distans (medelst en "tricorder" kanske?) måste vi nog fortsätta lida av att behöva krångliga lösenord till allt möjligt ett tag till...
Cogito, ergo punkt.

Användarvisningsbild
matsw
Inlägg: 7263
Blev medlem: fre 10 feb 2006, 23:20

Re: Alla dessa koder och lösenord

Inlägg av matsw » tis 14 maj 2013, 08:02

Openid? Logga in med facebook etc. Det låter ju juste men hur vet man att det verkligen är facebooks (eller googles eller nåt annat) inloggningsruta du ser? Det finns ingen som helst garanti för det utom att vi ska lita på app -tillverkarna. Det finns ingen symmetri i systemen. Det enda jag sett är Visa som låter mig skriva in en identifieringssträng. Men även en sådan går att fejka. Du måste lita på att hela systemet, ALL mjukvara på butken är tillförlitlig. Och hur vet man det när tom Microsoft ber oss ignorera säkerhetsvarningar.

Vi behöver ett mer separerat system där känslig information aldrig lämnar oss. Där vi bara använder bearbetningstjänster av "lokalt" data. Lösenord borde aldrig gå iväg ifrån en lokal säker omgivning.
det väsentliga är inte vad man vet utan hur man vet det.

Skriv svar