Lösenordslängd

[M_M]

En annan påverkande faktor är hur intressant det är för någon ful filur att knäcka ett lösenord.

De två mest spännande saker man kan göra med ett knäckt konto här är dels att som icke-medlem läsa de medlemsinterna delarna, och dels posta tramsinlägg i någon annans identitet.

Frestelsen att kunna göra ovanstående, i förhållande till risken att bli upptäckt, är väl ytterst låg.

[Claes Thure Moberg]

Jag håller med föregående skribent.

Varför kräver man krångliga lösenord till ett Forum på Internet. Det är bara trams. Anser jag. OM nu någon skulle lyckas knäcka mitt lösenord på till exempel detta Forum- Vilken skada skulle egentligen kunna uppstå. Inte något särdeles allvarligt är svaret.

Det är en helt annan sak med mina koder till bank, jobb och sådana ting. Och då snackar vi om några få ställen. Skall jag hålla mig med ett individuellt lösenord till varje Internetshop, Forum och alla andra ställen som jag besöker på Internet- då kan i vart fall undertecknad bara glömma att över huvud taget använda Internet så som jag gör nu. Då tvingas jag att förändra mitt liv så till vida att jag inskränker bruket av Internet till de allra viktigaste platserna. Och så ger jag f******n i det jag använder för mitt nöjes skull- som till exempel denna sida. Det är bara att gå över från att vara debattör till att enbart vara läsare. Därför att det ligger långt utanför min förmåga att hålla reda på alla koder till alla möjliga ställen.

Ursäkta om jag är en dum och oduglig gammal stofil. Men så är det bara.

[LÅ1]

Jag håller med föregående skribent.

Varför kräver man krångliga lösenord till ett Forum på Internet. Det är bara trams. Anser jag. OM nu någon skulle lyckas knäcka mitt lösenord på till exempel detta Forum- Vilken skada skulle egentligen kunna uppstå. Inte något särdeles allvarligt är svaret.

Den som drabbas mest om någon lyckas logga in i ditt namn är ju du, som kan få stå till svars för något som någon annan skriver. Och det händer ju ibland redan nu, men då i felaktiga citeringar. Så jag håller med om att besvärliga lösenord inte är bra för forum som detta. De föreningsinterna kan förstås vara mera känsliga.

Resultatet av att tvingas byta lösenord ofta, och få olika lösenord till olika system, risker att få som konsekvens att det ligger en lösenordslista och skräpar intill tangentbordet. Men när det gäller detta forum så kan man ju låta forumet komma ihåg en från gång till gång. Då blir det ju ett minimalt problem, om man använder samma enhet(er) till vardags.

[Kantorn]

Visst klaga på webmaster bara. Men om han surnar får nån annan bli webmaster. Vem vill det?

[LÅ1]

Visst klaga på webmaster bara. Men om han surnar får nån annan bli webmaster. Vem vill det?

Jag försöker hålla mig neutral i grunden. Även om jag tycker att det kan verkar överdrivet med hög inloggningssäkerhet här. Till syvende og sidst är det Webmaster som bestämmer, och det är ju bara att rätta sig efter. Inga problem med det!
För mig är det inte så svårt med ett långt och krångligt lösenord. Har några på lager som jag lärt mig utantill. Det svåra kan vara att komma ihåg vilket av dem jag använder var. (Och de jag använder för BankID och liknande dubbelanvänder jag aldrig.)

[2763]

Till syvende och sist är det styrelsen eller årsmötet som bestämmer. Webmaster gör ett ruggigt bra jobb men eftersom det är en förening så är alla medlemmar berättigade att både tycka och genom den demokratiska processen även bestämma. Kan vi då inte ha en dialog om saker som irriterar oss utan att webmaster kastar in hot om avvikande från tjänsten ja... blir det inte då lite tokigt.

Det är otacksamt att ha förtroendeuppdrag för det finns alltid en massa baksäteschaffisar som har åsikter om hur saker sköts i framsätets vänstra stol, men när man inte ser hela trafikbilden kanske man ska vara lite ödmjuk inför den som rattar. Samtidigt kan ju faktiskt baksäteschaffisar se saker som den som kör missar så...

Jag vet inte, men jag antar att webmaster gör det. Det kan ju vara så att man via firum evt kan komma åt andra delar av hemsidor. Och då är det väl dumt om obehöriga kommer in. Världen slutar inte vid min horisont, det finns andra vyer och nytt att upptäcka.

Personligen tror jag inte att långa lösenord är säkrare annat än på det teroretiska pappret. Men jag har för närvarande sämre bevisföring för min tes än vad webmaster har för sin. Odds inlägg tillför en del för mina argument dock.

[ADDE]

Spelar egentligen ingen roll om hur långt lösenordet ska vara för forumet. Forumsystemet krypterar lösenordet med en krypteringsnyckel, som är omöjligt att bakåtvända. dvs. lösenorden sparas aldrig i klartext i databaserna. När man loggar in så brukar lösenordet krypteras på samma sätt och se om det matchar krypteringen som finns loggade i databaserna. Stämmer de så loggas du in!

Så det enda sättet för en hackare att kunna logga in på ditt konto är att hacka din anslutning till forumet. och eftersom forumet använder en krypterad https-anslutning så blir även uppkopplingen krypterad, och där får tjuven inget annat än äggröra av tecken som han inte har någon nytta utav. vad återstår. Hacka databasen och webbutrymmet, sno all användardata (Användarnamn och Krypterade lösenord), skapa en elak loginsida som inte krypterar lösenordet och skicka iväg det krypterade texten. Då kommer man in. Jag hoppas webmaster har olika lösenord för databaserna och för webbutrymmet. Det är alltså inget annat än en gissningslek för hackaren, oavsett om han vill ha din loginuppgifter eller hacka sönder forumet.

Så enkla lösenord är bra säkra ändå.

[Kantorn]

Spelar egentligen ingen roll om hur långt lösenordet ska vara för forumet. Forumsystemet krypterar lösenordet med en krypteringsnyckel, som är omöjligt att bakåtvända. dvs. lösenorden sparas aldrig i klartext i databaserna. När man loggar in så brukar lösenordet krypteras på samma sätt och se om det matchar krypteringen som finns loggade i databaserna. Stämmer de så loggas du in!

Så det enda sättet för en hackare att kunna logga in på ditt konto är att hacka din anslutning till forumet. och eftersom forumet använder en krypterad https-anslutning så blir även uppkopplingen krypterad, och där får tjuven inget annat än äggröra av tecken som han inte har någon nytta utav. vad återstår. Hacka databasen och webbutrymmet, sno all användardata (Användarnamn och Krypterade lösenord), skapa en elak loginsida som inte krypterar lösenordet och skicka iväg det krypterade texten. Då kommer man in. Jag hoppas webmaster har olika lösenord för databaserna och för webbutrymmet. Det är alltså inget annat än en gissningslek för hackaren, oavsett om han vill ha din loginuppgifter eller hacka sönder forumet.

Så enkla lösenord är bra säkra ändå.

Kryptering i all ära, men vad händer om "hackern" har ett program som provar en biljon lösenord på rätt så kort tid? Då sitter man där med skägget i brevlådan. Men om man har en spärr - säg att man blir utstängd från forum om man har angivit fel lösenord tio gånger i sträck (ganska generöst om jag får tycka) så funkar det nog med kryptering.

[ADDE]

som standard har denna forum det. efter 3 misslyckanden kommer CAPTCHA, efter 3 fler så blir man utestängd. dvs. efter 6 misslyckade försök blir man blockerad under en period.

Tar då evigheter att lista ut rätt lösenord även med program.

[Odd]

Kryptering i all ära, men vad händer om "hackern" har ett program som provar en biljon lösenord på rätt så kort tid? Då sitter man där med skägget i brevlådan. Men om man har en spärr - säg att man blir utstängd från forum om man har angivit fel lösenord tio gånger i sträck (ganska generöst om jag får tycka) så funkar det nog med kryptering.

Visst är det så. Man skall även tänka på att det kommer behövas hundratusentals försök, förmodligen många fler, för brute-force. Därför är 10 eller 20 försök innan utelåsning en mycket bra gräns.. det är tillräckligt många för att en människa skall ge upp och börja fundera på vilket lösenord det var utan att riskera att bli utelåst, men tillräckligt få för att det sannolikt inte går att knäcka maskinellt.

Jag anser att det där med "tre försök" innan utlåsning är gammalmodigt och bygger egentligen inte på någon fakta utan det är bara det magiska talet "tre" som har råkat bli defacto-standard.

[M_M]

som standard har denna forum det. efter 3 misslyckanden kommer CAPTCHA, efter 3 fler så blir man utestängd. dvs. efter 6 misslyckade försök blir man blockerad under en period.

Tar då evigheter att lista ut rätt lösenord även med program.

Allt bygger väl på att någon hackare lyckas få tag på de krypterade lösenorden. Då kan hackaren själv på sin egen dator köra samma kod som används av forumet, för att prova lösenord mot den krypterade filen.

Om man har tillräckligt extremt stora resurser så kan man i förväg göra en färdig baklänges-uppslags-tabell som innehåller alla lösenordskombinationer som uppfyller vissa villkor, t.ex. alla under en viss längd. Då går det på nolltid att finna de lösenord som finns i tabellen.

[Odd]

Grejen är att många kör inte med krypterade lösenord, utan med s k hashs, dvs checksummor av lösenorden.
Ofta är lösenorden "saltade" innan de hashas så att det inte skall vara möjligt att använda regnbågstabeller. För att knäcka en sådan databas så måste man först göra en ny regnbågstabell, dvs hasha alla kombinationer av tecken som förekommer med just det salt som används. Svårast är det om saltet dessutom är olika för varje användare. Det går väl, men skulle väl ta en så där 100.000 miljarder år med dagens beräkningskraft. Det är förmodligen enklare att "bara" bryta sig in i databasen via servern och helt enkelt ändra på lösenorden så att skurken sedan kan logga in med ett eget lösenord...

Så här går det till. För "enkelhetens" skull säger vi att hashalgoritmen är en multiplikation med tre tal, som sedan förkortas till 8 siffror genom att man adderar de första åtta talpositionerna med de åtta nästa osv, med utfyllnad av nollor och där siffrorna i summan av additionen adderas till varandra tills man bara har en siffra. Lösenordet består av siffror. I verkligheten är hashalgoritmen mycket mer komplierad och icke reverserbar.

Lösenordet är 1234.
Saltet är 5678.
Hashen är L*S*123*456*789 = 24858967145112
Vilket ger
24858967
14511200
--------
38469267
Alltså lagras 38469267 i databasen, detta är hashen.

Denna hash är omöjligt att reversera, dvs lösenordet finns inte där utan det är en komplicerad checksumma. Det finns visserligen andra lösenord som skulle kunna ge samma hashsumma men med hashsummor på 256 bitar gör att det är rätt så osannolikt att det kommer att spela någon roll.

När man sedan skall kontrollera att lösenordet är rätt så hashar man det lösenord som användaren loggar in med och matchar sedan det med det i användardatabasen. Om hashen stämmer överens så är det sannolikt rätt lösenord som har skrivits in. Om det inte stämmer överens så är det fel lösenord (eller fel salt eller fel algoritm).

Tyvärr har det visat sig att en del stora sajter inte alls kör med lösenordshashar utan bara kodade eller krypterade lösenord, eller i värsta fall helt okrypterat. Det är dessa som brukar råka värst ut och en stor anledning till att man i varje fall inte skall ha exakt samma lösenord till olika ställen.

[Claes Thure Moberg]

Jag måste erkänna att jag inte förstod ett enda dugg av Odds inlägg. Absolut NadaZero.

Däremot börjar jag inse att Internet inte är lika användbart som jag har trott i många år. Jag börjar känna behov av att återgå till att utväxla viktiga meddelanden med gammaldags post och anävnda Internet till att finna information plus sådan kommunikation som inte betyder något speciellt. Sådant som det inte gör ett sk***t om någon utomståede får tag i.

Jag har inte några tråkiga erfarenheter bortsett från att jag har råkat ut för ett intressant problem. Jag har nu fått tillsammans fem stycken e-mail från "Skatteverket" som påpekar att jag har en bunke med spänn att hämta. Vid tre tillfällen har jag använt det riktiga Skatteverkets hemsida för att fråga om dessa e-mail är fake eller verkliga. Jag har ännu sex månader efter det första sända mailet inte fått svar. När jag ringer på deras telefon får jag besked att jag är si så där nummer 238 i kön med en antagen väntetid på någon timme eller så. Skitkul när man ringer utlandssamtal. Men sista gången var det kortare kö, jag fick då besked att sådana här upplysningar ger de inte per telefon. Jag misstänker starkt att detta är bedrägeri men å andra sidan behöver jag spänn. Tänk om det är verkligt .....

Men man kan dra en naturlig slutsats av detta, plus informationen i denna tråd från folk som begriper saken: Kommunikation av allvarliga ting genom Internet är så osäker att den som inte klarar attt hålla reda på kanske 100 olika användarnamn och passwords och som skall förstå att försvara sig med mängder av brandmurar och försvarsprogram skall avstå från att använda Internet till allvarliga ärenden. Utan se det som en intressant lekstuga för sådant som inte är viktigt.

[2763]

SKV skickar inte den typen av information per e-post.

[daniel_s]

SKV skickar inte den typen av information per e-post.

Äsch då! Jag som trodde att jag hade vunnit en katrineholmare!

[M_M]

Jag måste erkänna att jag inte förstod ett enda dugg av Odds inlägg. Absolut NadaZero.

Däremot börjar jag inse att Internet inte är lika användbart som jag har trott i många år. Jag börjar känna behov av att återgå till att utväxla viktiga meddelanden med gammaldags post och anävnda Internet till att finna information plus sådan kommunikation som inte betyder något speciellt. Sådant som det inte gör ett sk***t om någon utomståede får tag i.

Jag har inte några tråkiga erfarenheter bortsett från att jag har råkat ut för ett intressant problem. Jag har nu fått tillsammans fem stycken e-mail från "Skatteverket" som påpekar att jag har en bunke med spänn att hämta. Vid tre tillfällen har jag använt det riktiga Skatteverkets hemsida för att fråga om dessa e-mail är fake eller verkliga. Jag har ännu sex månader efter det första sända mailet inte fått svar. När jag ringer på deras telefon får jag besked att jag är si så där nummer 238 i kön med en antagen väntetid på någon timme eller så. Skitkul när man ringer utlandssamtal. Men sista gången var det kortare kö, jag fick då besked att sådana här upplysningar ger de inte per telefon. Jag misstänker starkt att detta är bedrägeri men å andra sidan behöver jag spänn. Tänk om det är verkligt .....

Men man kan dra en naturlig slutsats av detta, plus informationen i denna tråd från folk som begriper saken: Kommunikation av allvarliga ting genom Internet är så osäker att den som inte klarar attt hålla reda på kanske 100 olika användarnamn och passwords och som skall förstå att försvara sig med mängder av brandmurar och försvarsprogram skall avstå från att använda Internet till allvarliga ärenden. Utan se det som en intressant lekstuga för sådant som inte är viktigt.

Fast "brevet från Skatteverket" förekommer även utanför internet. Jag antar att du känner till att folk även utanför internet blir lurade på olika sätt, allt från bluff-försäljande på semesterorter (den fina kameran var en tegelsten när man kom till hotellrummet) till att den begagnade bilen rasar en halvmil efter man köpt den.

Jag tror för övrigt att Skatteverket till och med gått ut med information om att de inte står som avsändare för breven.