Hörde igår från en person som på sitt förra jobb lackade ur på lösenordspolicyn och körde ”Datorj#vel1” och uppdaterade siffran vid varje lösenordsbyte….
 
  • Gilla
kashieda och 3 till
  • Laddar…
K
mexitegel mexitegel skrev:
Hörde igår från en person som på sitt förra jobb lackade ur på lösenordspolicyn och körde ”Datorj#vel1” och uppdaterade siffran vid varje lösenordsbyte….
Nackdelen är att man då glömmer bort vilken siffra man är på.. Då är bättre tips att köra månad eller kvartal, allt beroende på policyns krav på frekvensen av byte
 
T
mexitegel mexitegel skrev:
Hörde igår från en person som på sitt förra jobb lackade ur på lösenordspolicyn och körde ”Datorj#vel1” och uppdaterade siffran vid varje lösenordsbyte….
Oftast upptäcks löpnummer i lösenord vid validering av reglerna så det funkar inte så bra.
Har nog inte funkat på någon av de arbetsplatser jag varit på de senaste 15 åren.
 
K kniv skrev:
Nackdelen är att man då glömmer bort vilken siffra man är på.. Då är bättre tips att köra månad eller kvartal, allt beroende på policyns krav på frekvensen av byte
Just det där "stor bokstav, liten bokstav, siffra, specialtecken" är en risk i sig. Jag gjorde en gång i tiden ett lite script som letade genom servern på jobbet efter dokument med ord som matchade de kriterierna, och det hittade en hel del lösenord. Hade man istället bara krävt "15 tecken långt" så hade man fått en högre entropi och osökbara lösenord.
 
  • Gilla
Johan Gunverth och 4 till
  • Laddar…
T Testarn skrev:
Oftast upptäcks löpnummer i lösenord vid validering av reglerna så det funkar inte så bra.
Har nog inte funkat på någon av de arbetsplatser jag varit på de senaste 15 åren.
Hur ska man kunna upptäcka det utan att de gamla lösenorden sparas läsbart någonstans? Jag vet att Microsoft hade nån funktion för att man t ex inte skulle kunna återanvända gamla lösenord, men man kom ganska snabbt fram till att det var en betydligt större risk att spara gamla lösenord än att låta folk återanvända dom.
 
useless useless skrev:
Hur ska man kunna upptäcka det utan att de gamla lösenorden sparas läsbart någonstans? Jag vet att Microsoft hade nån funktion för att man t ex inte skulle kunna återanvända gamla lösenord, men man kom ganska snabbt fram till att det var en betydligt större risk att spara gamla lösenord än att låta folk återanvända dom.
Det går ju att spara hashen av det gamla lösenordet och jämföra med den. Man hittar inte lösenord med bara ett tecken ändrat men åtminstone går det inte att bara växla mellan två olika.
 
  • Gilla
Testarn och 1 till
  • Laddar…
useless useless skrev:
Hur ska man kunna upptäcka det utan att de gamla lösenorden sparas läsbart någonstans? Jag vet att Microsoft hade nån funktion för att man t ex inte skulle kunna återanvända gamla lösenord, men man kom ganska snabbt fram till att det var en betydligt större risk att spara gamla lösenord än att låta folk återanvända dom.
Och den fungerade inte alls
Och Microslop har fotfarande inte fixat att om man sätter "serie-nummret" på lösenordet först så tycker den det är ok.
dvs om du har lösenordet password1 och behöver byta så accepterar inte Microslop password2 men
om man har
1password och sen byter till 2password så går det alldeles utmärkt! 😂
 
  • Haha
kashieda
  • Laddar…
kashieda kashieda skrev:
Det går ju att spara hashen av det gamla lösenordet och jämföra med den. Man hittar inte lösenord med bara ett tecken ändrat men åtminstone går det inte att bara växla mellan två olika.
Hashen är helt olika även med en ändring på bara ett tecken. Det är poängen med den, man ska inte kunna dra slutsatser om det ursprungliga datat utifrån hashen, det är en enkelriktad operation.

Så, när du reggar ett lösenord, så funkar det ungefär såhär:

MittJättehemligaLösen123!!! blir hashen 8926415665245465264485456745413854 (bara exempel, räknade inte på det...).

Den hashen går inte att bakvägen plocka ut lösen från. Så, nästa gång du loggar in, så gör du det med ditt lösen, vilket igen konverteras till hashen, och man jämför sedan om det är samma hash. Ditt lösen lagras alltså aldrig, och existerar bara i RAM ett mycket kort ögonblick.

Men, skulle du ändra till:

MittJättehemligaLösen124!!! blir hashen 65241595626341471565641526415624195 (bara exempel, räknade inte på det heller...) istället. Helt annorlunda, och fortfarande utan koppling bakåt.

En tokenkel hash (som inte används, men som jag kan förklara i enkla termer): skulle vara att numrera alla bokstäver. A=1, B=2 osv. Sedan summerar man talen för alla tecknen multiplicerat med deras position, multiplicerar med ett förutbestämt stort primtal, och plockar de fyra sista siffrorna.

Exempel: ACAB. 1x1 + 3x2 + 1x3 + 4x2 = 18. Multiplicera med ett stort primtal, tex 1361. 18x1361=24498. Ta sista fyra siffrorna: 4498. Där har du din hash.

Du har då fått ett "fingeravtryck" på ditt ord. Det är inte speciellt unikt, det finns ju bara 10000 kombinationer, och den ser tex inte skillnad på AB och BA. Men, du kan inte från hashen plocka ut ordet igen.

Även en liten ändring, säg, ACAC, ger en helt annan hash: 8108.

Nu är det här en enkel hash jag improviserade.En kryptografisk hash är mycket mer komplicerad, ger mycket längre hash (dvs ett unikare fingeravtryck), blir helt olika med även små ändringar av olika typer och är matematiskt garanterad att inte innehålla "mönster".

Så, den kan inte användas för att detektera sekvenser i siffror. Min gissning är att man helt enkelt lagrat siffra separat. Så, Kalle1 följt av Gösta2 skulle antagligen triggat sekvensvarningen.
 
  • Gilla
kashieda
  • Laddar…
useless useless skrev:
Hur ska man kunna upptäcka det utan att de gamla lösenorden sparas läsbart någonstans? Jag vet att Microsoft hade nån funktion för att man t ex inte skulle kunna återanvända gamla lösenord, men man kom ganska snabbt fram till att det var en betydligt större risk att spara gamla lösenord än att låta folk återanvända dom.
Rent generelt kan man ta det nya lösenordet innan det krypteras, göra några perumtationer, köra det igenom krypteringen och gämföra med gammalt lösenord (som är krypterade), gärna de 10 senaste eller så.
 
  • Gilla
13th Marine och 1 till
  • Laddar…
S Svavelsyra skrev:
Rent generelt kan man ta det nya lösenordet innan det krypteras, göra några perumtationer, köra det igenom krypteringen och gämföra med gammalt lösenord (som är krypterade), gärna de 10 senaste eller så.
Teoretiskt skulle man kunna få tex "Lösen5" och generera hash för det, och samtidigt generera hash för "Lösen6", och sedan spara den som "förbjudet lösen nästa gång".

Om sedan nästa lösens hash motsvarar den, så blir det inte tillåtet.
 
  • Gilla
kashieda
  • Laddar…
Bästa regeln för säkra lösenord är att jämföra användarens föreslagna lösenord med läckta lösenordsdatabaser.

Om lösenordet är vanligt förekommande i dessa är det dåligt, om det inte finns där alls är det väldigt bra.
 
  • Gilla
kashieda
  • Laddar…
Vi byter helt oregelbundet, kan vara 3 veckor eller ett halvår.
Kört samma i alla år, byter 3e bokstaven, a,b,c...........tills alfabetet är slut och börjar om på a.
Funkat hittills.
 
  • Gilla
MrDizzy och 2 till
  • Laddar…
redarn redarn skrev:
Bästa regeln för säkra lösenord är att jämföra användarens föreslagna lösenord med läckta lösenordsdatabaser.

Om lösenordet är vanligt förekommande i dessa är det dåligt, om det inte finns där alls är det väldigt bra.
Nja skulle säga att bästa lösenorden är lösenordsmeningar på typ minst 20 tecken.
inga siffror eller specialtecken behövs
det blir säkert ändå.
som tex:
vafanettnyttjavlalosenordnuigen
och är enkelt att komma ihåg
Ta bara en rolig losenords mening och du är hemma :D
 
  • Gilla
Pin
  • Laddar…
Ja det där med specialtecken tillför inte mycket säkerhet. Det är betydligt bättre säkerhet med långa lösenord än att lägga några tecken till ”alfabetet”. Och lättare att komma ihåg en lång mening.
 
Fungerar ju för ett, två kanske tre olika ställen. Men när det skall vara lösenord på i stort sätt allt man är med i eller prenumererar på då blir det inte längre lika lätt att komma ihåg. Men man borde väl skaffa sig en lösenordshanterare med stark lösen på som sedan "hjälper" en med att komma ihåg allt.... Men dit har jag inte kommit ännu då jag inte riktigt vet något bra (som helst inte skall kosta pengar...).
 
Vi vill skicka notiser för ämnen du bevakar och händelser som berör dig.