Mikael_L
elpaco skrev:
För enkelhetens skull säger vi att vi har 40 godkända tecken. Det blir en komplexitet på 40^8, eller cirka 6*10^12. En normal cpu gör lätt totalt 10Ghz (quadcore x 2,4). Det betyder att antalet lösenordsförsök blir i förhållande till 10^10/sek. Eller rättare sagt, dina 8 tecken löses i ett förhållande av 600sek = 10min. Ja jag vet att det krävs fler operationer än 1 per försök, men nu talar vi förhållandet.
Men vi har mer än 40 godkända tecken, särskilt om vi räknar både små + stora bokstäver samt siffror + några specialtecken
Men i vilket fall är det exponenten som främst gör att komplexiteten ökar.
60^8 = 1,7*10^14
40^9 = 2,6*10^14
40^10 = 1,05*10^16

Vilket visar att det är nästan dubbelt så bra att ha 40 tecken att välja på men 9 tecken långt lösen än att ha 60 tecken att välja på men bara 8 tecken långt lösen.
Och ökar man till 10 tecken långt lösen blir det nästan 100ggr svårare att knäcka med brute-force.


Och förövrigt gick det en tävling i början av 90-talet initierad av RSA. Vem som helst fick tävla om att knäcka 48bitars krypto, sen 56 bitars, och så skulle det väl till sist bli ett 64-bitars, och det var väl någon prissumma.
Det var kanske detta ...? http://en.wikipedia.org/wiki/DES_Challenges
De vinnande angreppsmetoderna var lite olika, jag tror det var ett stordatorkluster med i ett tillfälle, något annat tillfälle tror jag löstes av datorer runt om i världen som hjälptes åt och testade serier av nycklar och använde något program skrivet för detta och internet för kommunikation.
Men redan på denna tid så gick det alltså att knäcka 48 och 56 bitars nycklar på en inte helt ohanterbar tid.
Och för att sätta detta i sammanhang med det jag skrev först i inlägget så
2^56 = 7,2*10^16. Dvs 7 ggr så svårt som ett 10-teckens lösenord med 40 olika tecken att välja på.
Det var knäckbart då med brute force. Det är definitivt knäckbart idag.

Sen är det en helt annan fråga om det är någon som är intresserad.
Kanske inte för byggahus lösenord, men kanske för inloggning till banker eller liknande.
 
Redigerat:
Visst kan det gå att knäcka EN nyckel på hanterlig tid. Problemet är ju då att hitta just den nyckel man är intresserad av. Ju mer man krypterar och använder långa lösenord desto svårare blir det för nån att identifiera vad som är viktigt.

Att du kan knäcka ETT krypterat meddelande på 100 dygn spelar ju inte så stor roll om det skapas 200 nya meddelanden om dygnet. För när du har knäckt det där första så har det skapats 20 000 nya meddelanden som du inte har knäckt...

Tittar man t.ex. på när de knäckte Enigma så var det ju inte ett oknäckbart krypto, de kunde dekryptera meddelandena men det tog så lång tid att informationen var inaktuell när man väl fått fram den. Så det man ville var att knäcka det snabbare, innan tyskarna hann byta nyckel.
 
Redigerat:
Mikael_L
Ja helt rätt.
Det var väl lite det jag adresserade med mina två sista rader. ;)
 
T
Varför dividera om tekniken.
Ett affärsdrivande bolag som sysslar med bl.a åsiktsregistrering (Piscatus) säljer alltså bevisligen ut stulen användardata.
I höstas blev dom själva hackade där då deras kunddatabas som dom sålde uppgifterna till avslöjades. Nu visar det sig
vid ett nytt hack att byggahus.se:s databas alltså ligger till försäljning till denna "kundkrets" med email-namn-personnummer etc.

Ur juridisk synpunkt äger ju byggahus.se sin egen databas där nu Piscatus vidaresäljer denna data, som dom erhållit på brottslig väg. Varför kontaktar inte byggahus.se en advokat och stämmer Piscatus, eller kontaktar polisen som då för göra en husrannsakan på denna firma ?

Det bör nämnas att Piscatus är en politisk gren av Expo, man sysslar alltså med åsiktsregistrering helt öppet och använder stulna databaser, vilket är direkt olagligt. Expressen använde deras tjänster i höstas och nu är det Aftonbladet som gör samma sak, men vad händer när det börjar spåra ur och datan får fötter igen.

Jag förutsätter att admin nu polisanmäler direkt och kontaktar datainspektionen:
Telefon: 08-657 61 00
E-post: datainspektionen@datainspektionen.se

Vad säger att databasen inte säljs vidare, kundkretsen på byggahus.se bör vara värt 7 siffrig som en total datadump för div företag i olika syften, bevaka er rätt och skydda era medlemmar, risken är annars stor att ni förlorar stort i denna kupp.
 
  • Gilla
KnockOnWood
  • Laddar…
Nerre skrev:
men vill man ha ett säkert lösenord så är "KåkenMammas8GodaKanelbullar" ett betydligt säkrare lösenord för Byggahus än "Bz76#tXk9"
Det är också fel. Låt oss anta att den som vill knäcka ditt lösenord faktiskt vet att du använder svenska ord. Då finns det drygt 2000 att välja på. Du använde fem "ord", vilket ger en komplexitet på 3*10^16. Ditt nästa exempel har nio tecken, och låt oss säga att du nu har 45 att välja på. Det ger en komplexitet på "bara" 7,5*10^14. Sålunda en faktor 50 mellan.

Det verkar som många här tror att man kan gissa, och känna sig för vad som är svårare för en datorn att knäcka, men det leder en på villovägar. Det är till och med vetenskapligt bevisat att människans intuitiva känsla för sannolikheter är dålig.
 
2000 svenska ord? Nu är du nog ute och cyklar. Senaste SAOL har såvitt jag kan hitta 120 000 ord i sig, och då är väl inte alla böjningsformer räknade (bulle, bullar, kåk, kåken, kåkar etc).

Nu är väl en del av dem kanske sammansatta ord, men att svenska språket bara skulle ha 2000 grundord får du gärna ge en källa till.
 
Dessutom så kräver ju elpacos resonemang att hackaren känner till hur många ord lösenordet är uppbyggt av. Det enda som en hackare bör kunna se är att lösenordet har 27 tecken. Även om hackaren på något vis vet om att det är uppbyggt av ord från SAOL så finns det ju sjukt många kombinationer av ord som bildar 27 tecken, speciellt om man tar hänsyn till att orden kanske inte kommer i grundform utan kan vara böjda samt att det kanske förekommer blanksteg mellan ett eller flera av orden. Den extrema kombinatoriken som det innebär gör ju att ordlisteattacker tappar sin verkan när ett lösenord innehåller fler än ett eller två ord utan man bli då tvungen att brute-forcea och då är längden bättre än allt annat.
 
Janus82 skrev:
Dessutom så kräver ju elpacos resonemang att hackaren känner till hur många ord lösenordet är uppbyggt av. Det enda som en hackare bör kunna se är att lösenordet har 27 tecken.
Nja, med en hash går det inte att se det heller.

Men det man gör är ju att man börjar med alla lösenord på ett ord. Sen alla på två ord. Sen alla på tre ord. Osv. Du kan se "avsaknad av ett ord" som ett ord i princip, så istället för 2000 (eller 120000) ord så räknar du med 2001 (eller 120001).

Det är viktigt att vara medveten också om att man med brute force kanske inte får fram det riktiga lösenordet. Man får fram ett lösenord som ger samma hash, men det KAN vara ett helt annat (jag vet dock inte om sannolikheten för det är försumbar).

Men du har ju rätt i att om lösenordet INTE är uppbyggt av svenska ord så är en attack mha SAOL helt meningslös. Så blandar man in ord från två språk så ökar antagligen entropin ganska bra.

Fördelen med lösenord som bygger på vanlig ord är ju att det är enklare att komma ihåg. Utan att scolla tillbaka minns jag lösenordet med KåkenMammas8GodaKanelbullar, men det andra minns jag inte alls...
 
Redigerat:
  • Gilla
elpaco
  • Laddar…
C
Nerre skrev:
Det är viktigt att vara medveten också om att man med brute force kanske inte får fram det riktiga lösenordet. Man får fram ett lösenord som ger samma hash, men det KAN vara ett helt annat (jag vet dock inte om sannolikheten för det är försumbar).
Beror förstås på vilken hashningsmetod som används, men generellt sett är den sannolikheten helt försumbar.
 
Nerre skrev:
2000 svenska ord? Nu är du nog ute och cyklar. Senaste SAOL har såvitt jag kan hitta 120 000 ord i sig, och då är väl inte alla böjningsformer räknade (bulle, bullar, kåk, kåken, kåkar etc).

Nu är väl en del av dem kanske sammansatta ord, men att svenska språket bara skulle ha 2000 grundord får du gärna ge en källa till.
Nej. Man brukar säga att svenska språket använder ungefär 2000 aktiva ord. Tex spanskan 5000. Men då räknar man inte med sammansatta ord i svenskan. Det är väl rimligt att tro att man använder sig av dessa när man skapar sitt lösen. Men oavsett, om du ökar till säg 10 000 ord, så kommer komplexiteten istället kraftigt spela till fördel för min argumentation, inte tvärtom.
 
Mikael_L skrev:
Men vi har mer än 40 godkända tecken, särskilt om vi räknar både små + stora bokstäver samt siffror + några specialtecken.
Jag glömde faktiskt bort att räkna med versaler, vilket ju så klart påverkar uträkningarna en del. Men som jag skriver i tidigare poster: tiden förhåller sig exponentiellt mot antalet tecken (vilket du även skriver). Men självklart blir basen avgörande. Sätter man tex Nerres bas på 100 000 (ord) ^5 så landar vi på hissnande 10^25 möjligheter ..

Och angående DES-knäckande. Kring -00 hade ju Simon Sing än kodknäckartävling som vanns av ett datateam på KTH. Vill minnas att sista uppgiften var ett 128-bitars DES-krypto. De fick låna en "semisuperdator" av IBM eller något liknande, och använde extremt avancerade algoritmer. Det var något om big sieve, en massa primtal och forskningsnivå på det.
 
Redigerat:
TN-Funkis skrev:
Varför dividera om tekniken.
Diskussionen om hur ett riktigt bra lösenord är uppbyggt är väl högst relevant?
 
C
Nerre skrev:
Men du har ju rätt i att om lösenordet INTE är uppbyggt av svenska ord så är en attack mha SAOL helt meningslös. Så blandar man in ord från två språk så ökar antagligen entropin ganska bra.
Ledsen att säga det, men allt detta är bara väldigt naiva spekulationer. Det finns folk som i princip dedikerar sitt liv till detta.

För att ge detta lite verklighetskontext så kan du t.ex. här ladda ner en ordlista med c.a. 1,5 miljarder ord. Eller kolla denna föreläsning för lite bakgrund om de regeluppsättningar som finns och hur de byggs upp.
 
Som jag skrev tidigare, vad jag har läst så har man numera gått ifrån ordlisteattacker till rena brute force-attacker, eftersom ordlisteattackerna till slut blir för komplexa.

Varför köra en ordlista med flera miljarder ord när man istället kan bygga upp orden av tecken istället? Man måste ju ändå räkna med att folk använder felstavade ord, och ska man prova alla felstavningar så kan man lika gärna prova alla bokstavskombinationer.

Är nån beredd att lägga så mycket jobb på att hacka sig in på mitt facebook-konto så kan de väl få göra det. Det finns ju betydligt enklare sätt att få reda på lösenord om man nu vill det.

http://xkcd.com/538/
 
Redigerat:
T
Nej.
Ni kan diskutera detta hur mycket som helst, men eftersom denna site hackades så är det viktigare att ta tag i detta för olika åtgärder. Jag tog igår del av en fil som nu raderats från nätet på byggahus-hacket, där någon även lagt till personnummer på en del medlemmar, och vi vet ju att marknaden för identitetsstölder har exploderat, så jag avreggar mig iaf här eftersom detta problem uppenbarligen sopas under mattan här.
 
Vi vill skicka notiser för ämnen du bevakar och händelser som berör dig.