TechBlog

Teknik och filosofi

Hur väljer du lösenord?

6 kommentarer

Ett vanligt sätt att välja lösenord är att utgå från ett ord, t ex ”password” och byta ut vissa tecken mot specialtecken, t ex ”p@ssw0rd”. Jag satt och funderade lite idag över vanliga sådana substitutioner, och kom upp med 14 olika på rak arm.

En normal svensk ordlista innehåller ca 100 000 ord, så låt oss säga att listan som du väljer grundordet från är som bäst 200 000 ord. Det är ett ganska generöst antagande, i verkligheten är det kanske 20 ord du väljer mellan.

Om vi antar att varje ord innehåller i snitt 8 olika möjliga substitutioner (även detta ganska generöst), och att varje möjlig substitution kan antingen tillämpas eller. Detta ger 2^8 = 256 kombinationer av varje möjligt grundord.

Det ger oss en lösenordsrymd om ca 50 miljoner möjliga ord. Skall vi lägga till att du väljer en slumpvis bokstav som versal så får du i snitt ytterliga 5 kombinationer, dvs totalt 250 miljoner möjliga lösenord. Låt oss anta att du kastar på två siffor på slutet ”för att vara säker” och du har ungefär 25 miljarder kombinationer.

Låter det mycket?

En off-line attack mot en lösenordsfil (t ex SAM-databasen i Windows) klarar ganska enkelt att beta av 1 miljon försök per sekund, vilket innebär att du med 100% sannolikhet knäcker lösenordet inom 7 timmar.

Exemplet förutsätter att du sitter på en dator med Pentium 100 eller motsvarande. Har du kanske dubbla kärnor som jobbar i 2 GHz… Tja, då går det fortare.

Det man med säkerhet kan säga om lösenord som är valda enligt denna metod är att de är svåra att komma ihåg. Var det ”Passw0rd” eller ”pA$sword” eller kanske ”pas$woRd”?

Slutsatsen är att denna metod är utmärkt om du vill ha lösenord som är lätta att knäcka men svåra att komma ihåg.

Av kalle

september 6th, 2011 at 6:12 e m

Postat i Okategoriserade

6 kommentarer to 'Hur väljer du lösenord?'

Prenemurera på kommentarer via RSS eller TrackBack till 'Hur väljer du lösenord?'.

  1. Vad är en off-line attack?

    Daniel Giertz

    18 Jul 12 at 10:59

  2. En off-line-attack betyder att du har en lista som innehåller krypterade lösenord som du vill knäcka. En on-line-attack innebär att du gissar lösenord direkt mot ett system som är on-line, vilket naturligtvis är oändligt mycket svårare.

    kalle

    13 Aug 12 at 09:03

  3. Handlar den här artikeln alltså om att skydda lösenord på datorn? Hur snabbt kan en dator gissa online? Är http://www.howsecureismypassword.net trovärdig?

    Daniel Giertz

    14 Aug 12 at 12:25

  4. Den här artikeln handlar om att lösenord som ”pa$$word” inte är så säkra som man kan tro och dessutom är de svåra att lära sig.

    Siten du skriver om handlar ungefär om samma sak: hur lång tid det tar att lista ut ett lösenord förutsatt att du känner till dess hashvärde. http://en.wikipedia.org/wiki/Cryptographic_hash_function

    kalle

    14 Aug 12 at 12:18

  5. Det förstår jag, men den påstår att en persondator vid en onlineattack kan göra 4 miljarder försök i sekunden. Finns det belägg för det?

    Har Facebook, Blogspot, universiteten, Twitter och liknande någon beredskap för gissningsattacker? Om jag exempelvis sätter min dator på att gissa lösenordet för någons FB-konto, kommer Facebook tillåta mig att göra flera miljarder sökningar? Eller kommer den efter 10 försök att blockera mitt ip-nummer och eventuellt meddela ägaren att ett hackningsförsök har gjorts, så att saken kan polisanmälas?

    Daniel Giertz

    14 Aug 12 at 03:28

  6. Nej, detta handlar om att dekryptera en lösenordsfil som du kommit över, det är INTE en onlineattack vi pratar om.

    Teoretiskt kan du göra i storleksorningen 1000 gissningar per sekund mot ett system i en onlineattack. De allra flesta tjänster (webbapplikationer) har dock inbyggt skydd mot antalet felaktiga inloggningar så efter ett antal försök så blir kontot låst.

    kalle

    14 Aug 12 at 08:24

Kommentera