Ett vanligt sätt att välja lösenord är att utgå från ett ord, t ex ”password” och byta ut vissa tecken mot specialtecken, t ex ”p@ssw0rd”. Jag satt och funderade lite idag över vanliga sådana substitutioner, och kom upp med 14 olika på rak arm.
En normal svensk ordlista innehåller ca 100 000 ord, så låt oss säga att listan som du väljer grundordet från är som bäst 200 000 ord. Det är ett ganska generöst antagande, i verkligheten är det kanske 20 ord du väljer mellan.
Om vi antar att varje ord innehåller i snitt 8 olika möjliga substitutioner (även detta ganska generöst), och att varje möjlig substitution kan antingen tillämpas eller. Detta ger 2^8 = 256 kombinationer av varje möjligt grundord.
Det ger oss en lösenordsrymd om ca 50 miljoner möjliga ord. Skall vi lägga till att du väljer en slumpvis bokstav som versal så får du i snitt ytterliga 5 kombinationer, dvs totalt 250 miljoner möjliga lösenord. Låt oss anta att du kastar på två siffor på slutet ”för att vara säker” och du har ungefär 25 miljarder kombinationer.
Låter det mycket?
En off-line attack mot en lösenordsfil (t ex SAM-databasen i Windows) klarar ganska enkelt att beta av 1 miljon försök per sekund, vilket innebär att du med 100% sannolikhet knäcker lösenordet inom 7 timmar.
Exemplet förutsätter att du sitter på en dator med Pentium 100 eller motsvarande. Har du kanske dubbla kärnor som jobbar i 2 GHz… Tja, då går det fortare.
Det man med säkerhet kan säga om lösenord som är valda enligt denna metod är att de är svåra att komma ihåg. Var det ”Passw0rd” eller ”pA$sword” eller kanske ”pas$woRd”?
Slutsatsen är att denna metod är utmärkt om du vill ha lösenord som är lätta att knäcka men svåra att komma ihåg.
6 svar på ”Hur väljer du lösenord?”
Vad är en off-line attack?
En off-line-attack betyder att du har en lista som innehåller krypterade lösenord som du vill knäcka. En on-line-attack innebär att du gissar lösenord direkt mot ett system som är on-line, vilket naturligtvis är oändligt mycket svårare.
Handlar den här artikeln alltså om att skydda lösenord på datorn? Hur snabbt kan en dator gissa online? Är http://www.howsecureismypassword.net trovärdig?
Den här artikeln handlar om att lösenord som ”pa$$word” inte är så säkra som man kan tro och dessutom är de svåra att lära sig.
Siten du skriver om handlar ungefär om samma sak: hur lång tid det tar att lista ut ett lösenord förutsatt att du känner till dess hashvärde. http://en.wikipedia.org/wiki/Cryptographic_hash_function
Det förstår jag, men den påstår att en persondator vid en onlineattack kan göra 4 miljarder försök i sekunden. Finns det belägg för det?
Har Facebook, Blogspot, universiteten, Twitter och liknande någon beredskap för gissningsattacker? Om jag exempelvis sätter min dator på att gissa lösenordet för någons FB-konto, kommer Facebook tillåta mig att göra flera miljarder sökningar? Eller kommer den efter 10 försök att blockera mitt ip-nummer och eventuellt meddela ägaren att ett hackningsförsök har gjorts, så att saken kan polisanmälas?
Nej, detta handlar om att dekryptera en lösenordsfil som du kommit över, det är INTE en onlineattack vi pratar om.
Teoretiskt kan du göra i storleksorningen 1000 gissningar per sekund mot ett system i en onlineattack. De allra flesta tjänster (webbapplikationer) har dock inbyggt skydd mot antalet felaktiga inloggningar så efter ett antal försök så blir kontot låst.