TN-Funkis skrev:
Nej.
Ni kan diskutera detta hur mycket som helst, men eftersom denna site hackades så är det viktigare att ta tag i detta för olika åtgärder. Jag tog igår del av en fil som nu raderats från nätet på byggahus-hacket, där någon även lagt till personnummer på en del medlemmar, och vi vet ju att marknaden för identitetsstölder har exploderat, så jag avreggar mig iaf här eftersom detta problem uppenbarligen sopas under mattan här.
Larv. Om vi nu förbiser faktumet att ditt personnummer är lätt för alla att få tag på, om de känner till ditt namn eller adress, så är ditt uttalande ändå fånigt. För det första drabbar hackerattacker alla sajter, och många många fler än du läser om har haft intrång med dataläckage - de vill bara inte skylta med det. Sony läckte ju som bekant massor med kunduppgifter MED kreditkortsinfo. Och sedan - Vad har du på BH som är känsligt? Och för det tredje - vem på BH har sagt att de inte tar hackerattacker på allvar? Bara för att BH är listat på nätet som hackat för några år sedan, så betyder ju inte det att Per & Co inte ständigt uppdaterar mjukvara och stänger kryphål. Jag kan berätta för dig att databaser som sådana, och forum i synnerhet, är ökändt svårsläckta säkerhetsbränder ..
 
Nerre skrev:
Som jag skrev tidigare, vad jag har läst så har man numera gått ifrån ordlisteattacker till rena brute force-attacker, eftersom ordlisteattackerna till slut blir för komplexa.

Varför köra en ordlista med flera miljarder ord när man istället kan bygga upp orden av tecken istället? Man måste ju ändå räkna med att folk använder felstavade ord, och ska man prova alla felstavningar så kan man lika gärna prova alla bokstavskombinationer.

Är nån beredd att lägga så mycket jobb på att hacka sig in på mitt facebook-konto så kan de väl få göra det. Det finns ju betydligt enklare sätt att få reda på lösenord om man nu vill det.

[länk]
Sanningen är väl snarare att de "brute force:ar" men lite smart. De vet att standardlösenorden är fånigt enkla, och genom tillgång till ett antal lösenordslistor så kan man lätt lära upp en dator på vad den skall prova och vilka ord/tecken den skall iterera brute force. Det vanliga är ju kanske inte att en specifik persons konto blir bearbetat, utan mängder parallellt, och så tar man det man kan med minsta möjliga insats.

Därför kommer det nog vara ganska osannolikt att någon låter en snabb persondator tugga på just ditt lösenord i en timme, utan snarare på 5 000 lösenord några dagar och det som ramlar ut gör det.
 
Den har väl redan länkats tidigare i tråden? :)
 
C
elpaco skrev:
Sanningen är väl snarare att de "brute force:ar" men lite smart.
Ja så kan man se det.
Men eftersom det i grunden är ett matematiskt begrepp bör man behandla dess innebörd med viss respekt, och det är att man prövar alla möjliga kombinationer. Så fort man gör något smartare så är det inte brute force längre. Brute force används ofta som ett mått på den övre (meningsfulla) gränsen för en visst problems kompexitet, som man då kan relatera till när man diskuterar effektiviteten för olika lösningsmetoder.

Nerre skrev:
Varför köra en ordlista med flera miljarder ord när man istället kan bygga upp orden av tecken istället?
Som jag försökte förklara förut - därför att det helt enkelt fortfarande är oerhört mycket mer effektivt än brute force.

och ska man prova alla felstavningar så kan man lika gärna prova alla bokstavskombinationer.
Det är t.ex. inte så sannolikt att någon "felstavar" Bulle som hGTsö9!g så därför testar man förstås inte alla teoretiskt möjliga "felstavningar" utan de som är mest sannolika.

Är nån beredd att lägga så mycket jobb på att hacka sig in på mitt facebook-konto så kan de väl få göra det. Det finns ju betydligt enklare sätt att få reda på lösenord om man nu vill det.
1. Som någon annan påpekade så är ju förmodligen inte fallet att det är just ditt lösenord man är ute efter. Ligger det tusentals eller fler lösenord i potten så finns motivationen.
2. Det är datorer som gör jobbet.
3. Det är inte ens säkert att det är så mycket jobb då många sajter t.o.m sparar lösenord i klartext.

Men du har en bra och viktig poäng - varför bry sig, det är ju bara ByggaHus eller Facebook?

Därför är det i särklass viktigaste att undvika att ha samma eller alltför snarlika lösenord på flera ställen.
 
  • Gilla
GK100
  • Laddar…
cpalm skrev:
Det är t.ex. inte så sannolikt att någon "felstavar" Bulle som hGTsö9!g så därför testar man förstås inte alla teoretiskt möjliga "felstavningar" utan de som är mest sannolika.
Det är ju där nyckeln ligger: Gör du en "osannolik" felstavning i ditt lösenord så krävs det brute force för att knäcka det.
 
  • Gilla
elpaco
  • Laddar…
cpalm skrev:
Ja så kan man se det.
Men eftersom det i grunden är ett matematiskt begrepp bör man behandla dess innebörd med viss respekt, och det är att man prövar alla möjliga kombinationer.
Vilket påhopp! nu blev jag ledsen. Har du läst vår diskussion ens eller bara hoppat in på slutet?
 
Hej - ny medlem här. Håller på med mitt gamla hus från början av 1900-talet och är, eller jag ska kanske säga har varit aktiv, inom säkerhetsbranschen men också arbetat en hel "med webben". Hursomhelst måste man förutsätta att databaser läcker och därmed är det bra att använda olika email-alias samt (helst) auto-genererade lösenord för varje site. Att använda OpenID (tex Google), Facebook eller annan sk "single sign on" kan annars vara ett bra alternativ under förutsättning att epostadress inte sparas på den lokala siten.

Ett enkelt sätt för att skapa mail-alias är att dels skaffa ett eget domännamn hos tex Loopia eller Binero. IIS har just nu en gratiskampanj under https://www.domanpirater.se/ . Med ett eget domännamn kan du lätt skapa egna email-alias som sitensnamn.se@dittdomännamn.se med hjälp av leverantörens kontrollpanel. Googles Gmail har också en egen variant på email-alias som är beskrivet här https://support.google.com/mail/answer/12096?hl=sv . Dock är det inte helt säkert att alla siter accepterar plus-tecknet.

Lösenord hanteras enkelt med t.ex. Lastpass eller KeyPassX. (Skapa ett entry per site)

Personnummer är allmän handling och går att få ut för den som vill. Dock får vi nog förutsätta att personnummer som listas är från någon/några ehandels-siter som fått sin databas utdragen.
 
Snailman
Antar att de fått ut namn och adress emejl och telefon om man reggat med det. Om man använt emejlen på andra siter som också blivit hackade, så kan man koppla de inläggen med namn och adress härifrån.

Det har nog större betydelse än om lösenordet hit blev knäckt.
 
C
elpaco skrev:
Vilket påhopp! nu blev jag ledsen. Har du läst vår diskussion ens eller bara hoppat in på slutet?
Det var inte meningen att göra någon ledsen så i så fall ber jag om ursäkt :confused:
Om du missat det så har jag varit med i "er" diskussion sedan sidan 2!
 
cpalm skrev:
Det var inte meningen att göra någon ledsen så i så fall ber jag om ursäkt :confused:
Om du missat det så har jag varit med i "er" diskussion sedan sidan 2!
Nej det var lite skämtsamt, ingen fara. Jag är rätt förtjust i matematik bara, och respekt har jag, snarare andakt.
 
Klicka här för att svara
Vi vill skicka notiser för ämnen du bevakar och händelser som berör dig.