Alla dessa koder och lösenord

Be om vetenskapliga förklaringar till upplevelser, fenomen och anekdoter som du funderat på.
Användarvisningsbild
Ola
Inlägg: 732
Blev medlem: tor 03 jun 2010, 10:56
Ort: Arvika

Re: Alla dessa koder och lösenord

Inlägg av Ola » tis 14 maj 2013, 08:24

Använder de flesta seriösa sajter samma system för lösenord som till exempel Unix, där lösenordet inte sparas utan en Hashkod skapat av lösenordet och användarnamnet typ?(12 år sedan jag läste detta, så jag är inte helt klar över detaljerna)

I de fallen är det väl inte osäkert att använda samma lösenord på flera ställen, eftersom det inte går att räkna ut ditt lösenord bakvägen...

Följdfrågan blir ju, varför inte? Det gör ju systemet immun måt åtminstone lösenordsstölder.
You sit there and you thump your Bible, and you say your prayers,
and it didn't get you anywhere! Talk about your psalms, talk about John 3:16...
Austin 3:16 says I just whooped your ass!
- Stone Cold Steve Austin

Användarvisningsbild
Anders
Inlägg: 11010
Blev medlem: tor 02 dec 2004, 15:54
Ort: Stockholm

Re: Alla dessa koder och lösenord

Inlägg av Anders » tis 14 maj 2013, 09:17

Ola skrev:Använder de flesta seriösa sajter samma system för lösenord som till exempel Unix, där lösenordet inte sparas utan en Hashkod skapat av lösenordet och användarnamnet typ?(12 år sedan jag läste detta, så jag är inte helt klar över detaljerna)

I de fallen är det väl inte osäkert att använda samma lösenord på flera ställen, eftersom det inte går att räkna ut ditt lösenord bakvägen...

Följdfrågan blir ju, varför inte? Det gör ju systemet immun måt åtminstone lösenordsstölder.
Tyärr fungerar hashning inte lika bra idag som för som för 12 år sedan. Dels så används fortfarande gamla hash algoritmer som SHA-1 när SHA-256 borde användas. Dels så har algoritmerna för att knäcka hashar förbättrats enormt, och det tillsamans med snabbare datorer gör att enbart hashning med SHA-1 är helt förkastligt. SHA-1 lösenord knäcks på ett par minuter med dagens system. Har du kortare lösenord än 8 tecken tar det sekunder. Ofta vet hackern vad du har för anvädarnamn så att salta med det är värdelöst.

Det som skall göras är som sagt att använda SHA-256 eller en annan säker hashmetod, det finns flera, och att salta innan hasning. Man kan även använda MACs men det kräver nyckelhantering.

Det bästa är väl att se till att lösenorden inte stjäls...
Maskirovka är en rysk militärteknisk term för metoder, verktyg, utrustning, med mera, som skall vilseleda en fiende i händelse av en konfliktsituation

Användarvisningsbild
C-J
Inlägg: 4891
Blev medlem: tor 12 apr 2007, 07:15

Re: Alla dessa koder och lösenord

Inlägg av C-J » tis 14 maj 2013, 09:27

Nej, många seriösa sajter har inte alla knivar i lådan vad det gäller säker lösenordshantering. Inkompetens eller okunskap låter jag vara osagt
Hitta ett fel i bilden på sidan nedan.
http://www.codinghorror.com/blog/2008/0 ... bsite.html
Oh, behave!

Användarvisningsbild
Vitnir
Inlägg: 4252
Blev medlem: tor 31 mar 2005, 17:08
Kontakt:

Re: Alla dessa koder och lösenord

Inlägg av Vitnir » tis 14 maj 2013, 13:17

Sådana databaser med användarnamn, andra data samt krypterade lösenord blir stulna hela tiden. Sedan kan hackarna i lugn och ro dekryptera lösenorden och många använder ju samma användarnamn och lösenord för allting så visst finns det en risk för bedrägerier och identitetsstöld.
There is no spoon.

Användarvisningsbild
Ola
Inlägg: 732
Blev medlem: tor 03 jun 2010, 10:56
Ort: Arvika

Re: Alla dessa koder och lösenord

Inlägg av Ola » tis 14 maj 2013, 13:34

Anders skrev:
Ola skrev:Använder de flesta seriösa sajter samma system för lösenord som till exempel Unix, där lösenordet inte sparas utan en Hashkod skapat av lösenordet och användarnamnet typ?(12 år sedan jag läste detta, så jag är inte helt klar över detaljerna)

I de fallen är det väl inte osäkert att använda samma lösenord på flera ställen, eftersom det inte går att räkna ut ditt lösenord bakvägen...

Följdfrågan blir ju, varför inte? Det gör ju systemet immun måt åtminstone lösenordsstölder.
Tyärr fungerar hashning inte lika bra idag som för som för 12 år sedan. Dels så används fortfarande gamla hash algoritmer som SHA-1 när SHA-256 borde användas. Dels så har algoritmerna för att knäcka hashar förbättrats enormt, och det tillsamans med snabbare datorer gör att enbart hashning med SHA-1 är helt förkastligt. SHA-1 lösenord knäcks på ett par minuter med dagens system. Har du kortare lösenord än 8 tecken tar det sekunder. Ofta vet hackern vad du har för anvädarnamn så att salta med det är värdelöst.

Det som skall göras är som sagt att använda SHA-256 eller en annan säker hashmetod, det finns flera, och att salta innan hasning. Man kan även använda MACs men det kräver nyckelhantering.

Det bästa är väl att se till att lösenorden inte stjäls...
Men även om inte implementationen håller så är väl den matematiska principen ganska sund? Om man jämför med att lagra lösenorden menar jag nu.
You sit there and you thump your Bible, and you say your prayers,
and it didn't get you anywhere! Talk about your psalms, talk about John 3:16...
Austin 3:16 says I just whooped your ass!
- Stone Cold Steve Austin

Användarvisningsbild
wmadoss
Inlägg: 1042
Blev medlem: mån 19 jan 2009, 22:23
Ort: Uppsala

Re: Alla dessa koder och lösenord

Inlägg av wmadoss » tis 14 maj 2013, 14:44

1Password Pro använder jag och synkar till molnet som jag sen kan accessa från min android, iphone eller datorn.
Ovärderligt, då hålla reda på lösenorden annars skulle vara helt omöjligt.
To Dawkins - Does that mean there may be a god?, Dawkins - There may be a leprechaun

“Reason is not automatic. Those who deny it cannot be conquered by it. Do not count on them. Leave them alone.”

Användarvisningsbild
Anders
Inlägg: 11010
Blev medlem: tor 02 dec 2004, 15:54
Ort: Stockholm

Re: Alla dessa koder och lösenord

Inlägg av Anders » tis 14 maj 2013, 18:03

Ola skrev:Men även om inte implementationen håller så är väl den matematiska principen ganska sund? Om man jämför med att lagra lösenorden menar jag nu.
Nja, det är svårt att säga att det är bra för att det är en matematisk princip. Kryptering, som det handlar om, är fullt av problem om man bara gör lite fel. Det upptäcks ständigt nya attacker på gamla bepråvade kryptosystem. SHA-1 skall inte användas i nya system, SHA-2 och SHA-256 är det som skall användas i nya system. SHA-1 är dock inte knäckt per-se, men om man bara hashar utan salt så är det värdelöst, då knäcks lösenordet med hjäp ska rain-bow tables mycket snabbt. SHA-256 har samma problem, men med ett bra salt så är det svårare. Läs här för mer information.

Det enda som hjälper helt är egentligen att kryptera med en nyckel, men då kan ju nyckeln hittas och då börjar vi om från början.

Som sagt, det bästa är att se till att lösenordsdatabasen inte hamnar på villovägar.
Maskirovka är en rysk militärteknisk term för metoder, verktyg, utrustning, med mera, som skall vilseleda en fiende i händelse av en konfliktsituation

Användarvisningsbild
Anders
Inlägg: 11010
Blev medlem: tor 02 dec 2004, 15:54
Ort: Stockholm

Re: Alla dessa koder och lösenord

Inlägg av Anders » sön 19 maj 2013, 09:34

Här är den artikleserie från tidningen M3 om några av de mest uppmärksammade hacking brotten de senaste åren. Längre ner på sidan finns länkar till fler artiklar i samma serie.

Och jag vill bara säga att dessa är långt ifrån de enda hacking brotten som skett de senaster åren.
Maskirovka är en rysk militärteknisk term för metoder, verktyg, utrustning, med mera, som skall vilseleda en fiende i händelse av en konfliktsituation

Skriv svar