Switch to mobile style

Lösenordslängd

Om själva Forum. Personalen försöker svara på alla frågor.

Moderatorer: Jourmaster, Infomaster

Kategoriregler
Om själva Forum. Personalen försöker svara på alla frågor.
Allmänna forumregler

Re: Lösenordslängd

Inläggav M_M » lör 07 jun, 2014 13:10

En annan påverkande faktor är hur intressant det är för någon ful filur att knäcka ett lösenord.

De två mest spännande saker man kan göra med ett knäckt konto här är dels att som icke-medlem läsa de medlemsinterna delarna, och dels posta tramsinlägg i någon annans identitet.

Frestelsen att kunna göra ovanstående, i förhållande till risken att bli upptäckt, är väl ytterst låg.
Användarvisningsbild
M_M
 
Inlägg: 12538
Blev medlem: mån 17 maj, 2004 1:39
Ort: Göteborg

Re: Lösenordslängd

Inläggav Claes Thure Moberg » lör 07 jun, 2014 15:19

Jag håller med föregående skribent.

Varför kräver man krångliga lösenord till ett Forum på Internet. Det är bara trams. Anser jag. OM nu någon skulle lyckas knäcka mitt lösenord på till exempel detta Forum- Vilken skada skulle egentligen kunna uppstå. Inte något särdeles allvarligt är svaret.

Det är en helt annan sak med mina koder till bank, jobb och sådana ting. Och då snackar vi om några få ställen. Skall jag hålla mig med ett individuellt lösenord till varje Internetshop, Forum och alla andra ställen som jag besöker på Internet- då kan i vart fall undertecknad bara glömma att över huvud taget använda Internet så som jag gör nu. Då tvingas jag att förändra mitt liv så till vida att jag inskränker bruket av Internet till de allra viktigaste platserna. Och så ger jag f******n i det jag använder för mitt nöjes skull- som till exempel denna sida. Det är bara att gå över från att vara debattör till att enbart vara läsare. Därför att det ligger långt utanför min förmåga att hålla reda på alla koder till alla möjliga ställen.

Ursäkta om jag är en dum och oduglig gammal stofil. Men så är det bara.
Donkeyman Filosoferar på http://www.nordens-paris.blogspot.com
Claes Thure Moberg
 
Inlägg: 673
Blev medlem: tis 07 okt, 2003 19:25
Ort: Tromsø

Re: Lösenordslängd

Inläggav LÅ1 » lör 07 jun, 2014 18:55

Claes Thure Moberg skrev:Jag håller med föregående skribent.

Varför kräver man krångliga lösenord till ett Forum på Internet. Det är bara trams. Anser jag. OM nu någon skulle lyckas knäcka mitt lösenord på till exempel detta Forum- Vilken skada skulle egentligen kunna uppstå. Inte något särdeles allvarligt är svaret.

Den som drabbas mest om någon lyckas logga in i ditt namn är ju du, som kan få stå till svars för något som någon annan skriver. Och det händer ju ibland redan nu, men då i felaktiga citeringar. Så jag håller med om att besvärliga lösenord inte är bra för forum som detta. De föreningsinterna kan förstås vara mera känsliga.

Resultatet av att tvingas byta lösenord ofta, och få olika lösenord till olika system, risker att få som konsekvens att det ligger en lösenordslista och skräpar intill tangentbordet. Men när det gäller detta forum så kan man ju låta forumet komma ihåg en från gång till gång. Då blir det ju ett minimalt problem, om man använder samma enhet(er) till vardags.
Bli blodgivare - Ge blod !
LÅ1
 
Inlägg: 11715
Blev medlem: tis 15 mar, 2005 16:32
Ort: Kungliga huvudstaden

Re: Lösenordslängd

Inläggav Kantorn » lör 07 jun, 2014 20:48

Visst klaga på webmaster bara. Men om han surnar får nån annan bli webmaster. Vem vill det?
Mina önskemål:
Spårväg på linje 4 och från Brommaplan till Näsbypark
Trådbuss på tex samtliga 11x-linjer
Användarvisningsbild
Kantorn
 
Inlägg: 6893
Blev medlem: tis 01 mar, 2005 11:23
Ort: Ryssby

Re: Lösenordslängd

Inläggav LÅ1 » lör 07 jun, 2014 21:41

Kantorn skrev:Visst klaga på webmaster bara. Men om han surnar får nån annan bli webmaster. Vem vill det?

Jag försöker hålla mig neutral i grunden. Även om jag tycker att det kan verkar överdrivet med hög inloggningssäkerhet här. Till syvende og sidst är det Webmaster som bestämmer, och det är ju bara att rätta sig efter. Inga problem med det!
För mig är det inte så svårt med ett långt och krångligt lösenord. Har några på lager som jag lärt mig utantill. Det svåra kan vara att komma ihåg vilket av dem jag använder var. (Och de jag använder för BankID och liknande dubbelanvänder jag aldrig.)
Bli blodgivare - Ge blod !
LÅ1
 
Inlägg: 11715
Blev medlem: tis 15 mar, 2005 16:32
Ort: Kungliga huvudstaden

Re: Lösenordslängd

Inläggav 2763 » mån 09 jun, 2014 10:49

Till syvende och sist är det styrelsen eller årsmötet som bestämmer. Webmaster gör ett ruggigt bra jobb men eftersom det är en förening så är alla medlemmar berättigade att både tycka och genom den demokratiska processen även bestämma. Kan vi då inte ha en dialog om saker som irriterar oss utan att webmaster kastar in hot om avvikande från tjänsten ja... blir det inte då lite tokigt.

Det är otacksamt att ha förtroendeuppdrag för det finns alltid en massa baksäteschaffisar som har åsikter om hur saker sköts i framsätets vänstra stol, men när man inte ser hela trafikbilden kanske man ska vara lite ödmjuk inför den som rattar. Samtidigt kan ju faktiskt baksäteschaffisar se saker som den som kör missar så...

Jag vet inte, men jag antar att webmaster gör det. Det kan ju vara så att man via firum evt kan komma åt andra delar av hemsidor. Och då är det väl dumt om obehöriga kommer in. Världen slutar inte vid min horisont, det finns andra vyer och nytt att upptäcka.

Personligen tror jag inte att långa lösenord är säkrare annat än på det teroretiska pappret. Men jag har för närvarande sämre bevisföring för min tes än vad webmaster har för sin. Odds inlägg tillför en del för mina argument dock.
Med reservation för tyckfel.
Användarvisningsbild
2763
 
Inlägg: 9638
Blev medlem: sön 01 sep, 2002 15:19
Ort: Göte-/Helsingborg

Re: Lösenordslängd

Inläggav ADDE » mån 09 jun, 2014 14:38

Spelar egentligen ingen roll om hur långt lösenordet ska vara för forumet. Forumsystemet krypterar lösenordet med en krypteringsnyckel, som är omöjligt att bakåtvända. dvs. lösenorden sparas aldrig i klartext i databaserna. När man loggar in så brukar lösenordet krypteras på samma sätt och se om det matchar krypteringen som finns loggade i databaserna. Stämmer de så loggas du in!

Så det enda sättet för en hackare att kunna logga in på ditt konto är att hacka din anslutning till forumet. och eftersom forumet använder en krypterad https-anslutning så blir även uppkopplingen krypterad, och där får tjuven inget annat än äggröra av tecken som han inte har någon nytta utav. vad återstår. Hacka databasen och webbutrymmet, sno all användardata (Användarnamn och Krypterade lösenord), skapa en elak loginsida som inte krypterar lösenordet och skicka iväg det krypterade texten. Då kommer man in. Jag hoppas webmaster har olika lösenord för databaserna och för webbutrymmet. Det är alltså inget annat än en gissningslek för hackaren, oavsett om han vill ha din loginuppgifter eller hacka sönder forumet.

Så enkla lösenord är bra säkra ändå.
www.SummerADDE.se - Min största youtube-kanal! - Nej till gul linje Odenplan-Solna - Ja till spårväg 3.

Sitter ibland på min jobbdator som har engelsk ordlista som rättstavar. Så ibland försvinner prickarna!
Användarvisningsbild
ADDE
 
Inlägg: 1487
Blev medlem: tis 17 mar, 2009 17:14
Ort: Solberga

Re: Lösenordslängd

Inläggav Kantorn » mån 09 jun, 2014 15:19

ADDE skrev:Spelar egentligen ingen roll om hur långt lösenordet ska vara för forumet. Forumsystemet krypterar lösenordet med en krypteringsnyckel, som är omöjligt att bakåtvända. dvs. lösenorden sparas aldrig i klartext i databaserna. När man loggar in så brukar lösenordet krypteras på samma sätt och se om det matchar krypteringen som finns loggade i databaserna. Stämmer de så loggas du in!

Så det enda sättet för en hackare att kunna logga in på ditt konto är att hacka din anslutning till forumet. och eftersom forumet använder en krypterad https-anslutning så blir även uppkopplingen krypterad, och där får tjuven inget annat än äggröra av tecken som han inte har någon nytta utav. vad återstår. Hacka databasen och webbutrymmet, sno all användardata (Användarnamn och Krypterade lösenord), skapa en elak loginsida som inte krypterar lösenordet och skicka iväg det krypterade texten. Då kommer man in. Jag hoppas webmaster har olika lösenord för databaserna och för webbutrymmet. Det är alltså inget annat än en gissningslek för hackaren, oavsett om han vill ha din loginuppgifter eller hacka sönder forumet.

Så enkla lösenord är bra säkra ändå.

Kryptering i all ära, men vad händer om "hackern" har ett program som provar en biljon lösenord på rätt så kort tid? Då sitter man där med skägget i brevlådan. Men om man har en spärr - säg att man blir utstängd från forum om man har angivit fel lösenord tio gånger i sträck (ganska generöst om jag får tycka) så funkar det nog med kryptering.
Mina önskemål:
Spårväg på linje 4 och från Brommaplan till Näsbypark
Trådbuss på tex samtliga 11x-linjer
Användarvisningsbild
Kantorn
 
Inlägg: 6893
Blev medlem: tis 01 mar, 2005 11:23
Ort: Ryssby

Re: Lösenordslängd

Inläggav ADDE » mån 09 jun, 2014 22:06

som standard har denna forum det. efter 3 misslyckanden kommer CAPTCHA, efter 3 fler så blir man utestängd. dvs. efter 6 misslyckade försök blir man blockerad under en period.

Tar då evigheter att lista ut rätt lösenord även med program.
www.SummerADDE.se - Min största youtube-kanal! - Nej till gul linje Odenplan-Solna - Ja till spårväg 3.

Sitter ibland på min jobbdator som har engelsk ordlista som rättstavar. Så ibland försvinner prickarna!
Användarvisningsbild
ADDE
 
Inlägg: 1487
Blev medlem: tis 17 mar, 2009 17:14
Ort: Solberga

Re: Lösenordslängd

Inläggav Odd » tis 10 jun, 2014 12:03

Kantorn skrev:Kryptering i all ära, men vad händer om "hackern" har ett program som provar en biljon lösenord på rätt så kort tid? Då sitter man där med skägget i brevlådan. Men om man har en spärr - säg att man blir utstängd från forum om man har angivit fel lösenord tio gånger i sträck (ganska generöst om jag får tycka) så funkar det nog med kryptering.


Visst är det så. Man skall även tänka på att det kommer behövas hundratusentals försök, förmodligen många fler, för brute-force. Därför är 10 eller 20 försök innan utelåsning en mycket bra gräns.. det är tillräckligt många för att en människa skall ge upp och börja fundera på vilket lösenord det var utan att riskera att bli utelåst, men tillräckligt få för att det sannolikt inte går att knäcka maskinellt.

Jag anser att det där med "tre försök" innan utlåsning är gammalmodigt och bygger egentligen inte på någon fakta utan det är bara det magiska talet "tre" som har råkat bli defacto-standard.
När man tänker för mycket kan man ibland skapa problem som inte fanns där från början -Nalle puh
Användarvisningsbild
Odd
 
Inlägg: 3793
Blev medlem: ons 11 sep, 2002 23:03

Re: Lösenordslängd

Inläggav M_M » lör 14 jun, 2014 19:18

ADDE skrev:som standard har denna forum det. efter 3 misslyckanden kommer CAPTCHA, efter 3 fler så blir man utestängd. dvs. efter 6 misslyckade försök blir man blockerad under en period.

Tar då evigheter att lista ut rätt lösenord även med program.


Allt bygger väl på att någon hackare lyckas få tag på de krypterade lösenorden. Då kan hackaren själv på sin egen dator köra samma kod som används av forumet, för att prova lösenord mot den krypterade filen.

Om man har tillräckligt extremt stora resurser så kan man i förväg göra en färdig baklänges-uppslags-tabell som innehåller alla lösenordskombinationer som uppfyller vissa villkor, t.ex. alla under en viss längd. Då går det på nolltid att finna de lösenord som finns i tabellen.
Användarvisningsbild
M_M
 
Inlägg: 12538
Blev medlem: mån 17 maj, 2004 1:39
Ort: Göteborg

Re: Lösenordslängd

Inläggav Odd » fre 20 jun, 2014 11:11

Grejen är att många kör inte med krypterade lösenord, utan med s k hashs, dvs checksummor av lösenorden.
Ofta är lösenorden "saltade" innan de hashas så att det inte skall vara möjligt att använda regnbågstabeller. För att knäcka en sådan databas så måste man först göra en ny regnbågstabell, dvs hasha alla kombinationer av tecken som förekommer med just det salt som används. Svårast är det om saltet dessutom är olika för varje användare. Det går väl, men skulle väl ta en så där 100.000 miljarder år med dagens beräkningskraft. Det är förmodligen enklare att "bara" bryta sig in i databasen via servern och helt enkelt ändra på lösenorden så att skurken sedan kan logga in med ett eget lösenord...

Så här går det till. För "enkelhetens" skull säger vi att hashalgoritmen är en multiplikation med tre tal, som sedan förkortas till 8 siffror genom att man adderar de första åtta talpositionerna med de åtta nästa osv, med utfyllnad av nollor och där siffrorna i summan av additionen adderas till varandra tills man bara har en siffra. Lösenordet består av siffror. I verkligheten är hashalgoritmen mycket mer komplierad och icke reverserbar.

Lösenordet är 1234.
Saltet är 5678.
Hashen är L*S*123*456*789 = 24858967145112
Vilket ger
24858967
14511200
--------
38469267
Alltså lagras 38469267 i databasen, detta är hashen.

Denna hash är omöjligt att reversera, dvs lösenordet finns inte där utan det är en komplicerad checksumma. Det finns visserligen andra lösenord som skulle kunna ge samma hashsumma men med hashsummor på 256 bitar gör att det är rätt så osannolikt att det kommer att spela någon roll.

När man sedan skall kontrollera att lösenordet är rätt så hashar man det lösenord som användaren loggar in med och matchar sedan det med det i användardatabasen. Om hashen stämmer överens så är det sannolikt rätt lösenord som har skrivits in. Om det inte stämmer överens så är det fel lösenord (eller fel salt eller fel algoritm).

Tyvärr har det visat sig att en del stora sajter inte alls kör med lösenordshashar utan bara kodade eller krypterade lösenord, eller i värsta fall helt okrypterat. Det är dessa som brukar råka värst ut och en stor anledning till att man i varje fall inte skall ha exakt samma lösenord till olika ställen.
När man tänker för mycket kan man ibland skapa problem som inte fanns där från början -Nalle puh
Användarvisningsbild
Odd
 
Inlägg: 3793
Blev medlem: ons 11 sep, 2002 23:03

Re: Lösenordslängd

Inläggav Claes Thure Moberg » fre 20 jun, 2014 16:08

Jag måste erkänna att jag inte förstod ett enda dugg av Odds inlägg. Absolut NadaZero.

Däremot börjar jag inse att Internet inte är lika användbart som jag har trott i många år. Jag börjar känna behov av att återgå till att utväxla viktiga meddelanden med gammaldags post och anävnda Internet till att finna information plus sådan kommunikation som inte betyder något speciellt. Sådant som det inte gör ett sk***t om någon utomståede får tag i.

Jag har inte några tråkiga erfarenheter bortsett från att jag har råkat ut för ett intressant problem. Jag har nu fått tillsammans fem stycken e-mail från "Skatteverket" som påpekar att jag har en bunke med spänn att hämta. Vid tre tillfällen har jag använt det riktiga Skatteverkets hemsida för att fråga om dessa e-mail är fake eller verkliga. Jag har ännu sex månader efter det första sända mailet inte fått svar. När jag ringer på deras telefon får jag besked att jag är si så där nummer 238 i kön med en antagen väntetid på någon timme eller så. Skitkul när man ringer utlandssamtal. Men sista gången var det kortare kö, jag fick då besked att sådana här upplysningar ger de inte per telefon. Jag misstänker starkt att detta är bedrägeri men å andra sidan behöver jag spänn. Tänk om det är verkligt .....

Men man kan dra en naturlig slutsats av detta, plus informationen i denna tråd från folk som begriper saken: Kommunikation av allvarliga ting genom Internet är så osäker att den som inte klarar attt hålla reda på kanske 100 olika användarnamn och passwords och som skall förstå att försvara sig med mängder av brandmurar och försvarsprogram skall avstå från att använda Internet till allvarliga ärenden. Utan se det som en intressant lekstuga för sådant som inte är viktigt.
Donkeyman Filosoferar på http://www.nordens-paris.blogspot.com
Claes Thure Moberg
 
Inlägg: 673
Blev medlem: tis 07 okt, 2003 19:25
Ort: Tromsø

Re: Lösenordslängd

Inläggav 2763 » fre 20 jun, 2014 20:09

SKV skickar inte den typen av information per e-post.
Med reservation för tyckfel.
Användarvisningsbild
2763
 
Inlägg: 9638
Blev medlem: sön 01 sep, 2002 15:19
Ort: Göte-/Helsingborg

Re: Lösenordslängd

Inläggav daniel_s » lör 21 jun, 2014 18:53

2763 skrev:SKV skickar inte den typen av information per e-post.


Äsch då! Jag som trodde att jag hade vunnit en katrineholmare! :P
daniel_s
 
Inlägg: 10964
Blev medlem: fre 13 sep, 2002 15:40

Re: Lösenordslängd

Inläggav M_M » fre 04 jul, 2014 1:41

Claes Thure Moberg skrev:Jag måste erkänna att jag inte förstod ett enda dugg av Odds inlägg. Absolut NadaZero.

Däremot börjar jag inse att Internet inte är lika användbart som jag har trott i många år. Jag börjar känna behov av att återgå till att utväxla viktiga meddelanden med gammaldags post och anävnda Internet till att finna information plus sådan kommunikation som inte betyder något speciellt. Sådant som det inte gör ett sk***t om någon utomståede får tag i.

Jag har inte några tråkiga erfarenheter bortsett från att jag har råkat ut för ett intressant problem. Jag har nu fått tillsammans fem stycken e-mail från "Skatteverket" som påpekar att jag har en bunke med spänn att hämta. Vid tre tillfällen har jag använt det riktiga Skatteverkets hemsida för att fråga om dessa e-mail är fake eller verkliga. Jag har ännu sex månader efter det första sända mailet inte fått svar. När jag ringer på deras telefon får jag besked att jag är si så där nummer 238 i kön med en antagen väntetid på någon timme eller så. Skitkul när man ringer utlandssamtal. Men sista gången var det kortare kö, jag fick då besked att sådana här upplysningar ger de inte per telefon. Jag misstänker starkt att detta är bedrägeri men å andra sidan behöver jag spänn. Tänk om det är verkligt .....

Men man kan dra en naturlig slutsats av detta, plus informationen i denna tråd från folk som begriper saken: Kommunikation av allvarliga ting genom Internet är så osäker att den som inte klarar attt hålla reda på kanske 100 olika användarnamn och passwords och som skall förstå att försvara sig med mängder av brandmurar och försvarsprogram skall avstå från att använda Internet till allvarliga ärenden. Utan se det som en intressant lekstuga för sådant som inte är viktigt.


Fast "brevet från Skatteverket" förekommer även utanför internet. Jag antar att du känner till att folk även utanför internet blir lurade på olika sätt, allt från bluff-försäljande på semesterorter (den fina kameran var en tegelsten när man kom till hotellrummet) till att den begagnade bilen rasar en halvmil efter man köpt den.

Jag tror för övrigt att Skatteverket till och med gått ut med information om att de inte står som avsändare för breven.
Användarvisningsbild
M_M
 
Inlägg: 12538
Blev medlem: mån 17 maj, 2004 1:39
Ort: Göteborg

Föregående

Återgå till Frågor, kommentarer och förslag

Vilka är online

Användare som besöker denna kategori: Inga registrerade användare och 3 gäster