280 läst ·
16 svar
280 läst
16 svar
Välja säkra lösenord
Sida 1 av 2
Nackdelen är att man då glömmer bort vilken siffra man är på.. Då är bättre tips att köra månad eller kvartal, allt beroende på policyns krav på frekvensen av bytemexitegel skrev:
Oftast upptäcks löpnummer i lösenord vid validering av reglerna så det funkar inte så bra.mexitegel skrev:
Har nog inte funkat på någon av de arbetsplatser jag varit på de senaste 15 åren.
Just det där "stor bokstav, liten bokstav, siffra, specialtecken" är en risk i sig. Jag gjorde en gång i tiden ett lite script som letade genom servern på jobbet efter dokument med ord som matchade de kriterierna, och det hittade en hel del lösenord. Hade man istället bara krävt "15 tecken långt" så hade man fått en högre entropi och osökbara lösenord.K kniv skrev:
Hur ska man kunna upptäcka det utan att de gamla lösenorden sparas läsbart någonstans? Jag vet att Microsoft hade nån funktion för att man t ex inte skulle kunna återanvända gamla lösenord, men man kom ganska snabbt fram till att det var en betydligt större risk att spara gamla lösenord än att låta folk återanvända dom.T Testarn skrev:
Det går ju att spara hashen av det gamla lösenordet och jämföra med den. Man hittar inte lösenord med bara ett tecken ändrat men åtminstone går det inte att bara växla mellan två olika.useless skrev:
Hur ska man kunna upptäcka det utan att de gamla lösenorden sparas läsbart någonstans? Jag vet att Microsoft hade nån funktion för att man t ex inte skulle kunna återanvända gamla lösenord, men man kom ganska snabbt fram till att det var en betydligt större risk att spara gamla lösenord än att låta folk återanvända dom.
Och den fungerade inte allsuseless skrev:
Hur ska man kunna upptäcka det utan att de gamla lösenorden sparas läsbart någonstans? Jag vet att Microsoft hade nån funktion för att man t ex inte skulle kunna återanvända gamla lösenord, men man kom ganska snabbt fram till att det var en betydligt större risk att spara gamla lösenord än att låta folk återanvända dom.
Och Microslop har fotfarande inte fixat att om man sätter "serie-nummret" på lösenordet först så tycker den det är ok.
dvs om du har lösenordet password1 och behöver byta så accepterar inte Microslop password2 men
om man har
1password och sen byter till 2password så går det alldeles utmärkt! 😂
Hashen är helt olika även med en ändring på bara ett tecken. Det är poängen med den, man ska inte kunna dra slutsatser om det ursprungliga datat utifrån hashen, det är en enkelriktad operation.kashieda skrev:
Så, när du reggar ett lösenord, så funkar det ungefär såhär:
MittJättehemligaLösen123!!! blir hashen 8926415665245465264485456745413854 (bara exempel, räknade inte på det...).
Den hashen går inte att bakvägen plocka ut lösen från. Så, nästa gång du loggar in, så gör du det med ditt lösen, vilket igen konverteras till hashen, och man jämför sedan om det är samma hash. Ditt lösen lagras alltså aldrig, och existerar bara i RAM ett mycket kort ögonblick.
Men, skulle du ändra till:
MittJättehemligaLösen124!!! blir hashen 65241595626341471565641526415624195 (bara exempel, räknade inte på det heller...) istället. Helt annorlunda, och fortfarande utan koppling bakåt.
En tokenkel hash (som inte används, men som jag kan förklara i enkla termer): skulle vara att numrera alla bokstäver. A=1, B=2 osv. Sedan summerar man talen för alla tecknen multiplicerat med deras position, multiplicerar med ett förutbestämt stort primtal, och plockar de fyra sista siffrorna.
Exempel: ACAB. 1x1 + 3x2 + 1x3 + 4x2 = 18. Multiplicera med ett stort primtal, tex 1361. 18x1361=24498. Ta sista fyra siffrorna: 4498. Där har du din hash.
Du har då fått ett "fingeravtryck" på ditt ord. Det är inte speciellt unikt, det finns ju bara 10000 kombinationer, och den ser tex inte skillnad på AB och BA. Men, du kan inte från hashen plocka ut ordet igen.
Även en liten ändring, säg, ACAC, ger en helt annan hash: 8108.
Nu är det här en enkel hash jag improviserade.En kryptografisk hash är mycket mer komplicerad, ger mycket längre hash (dvs ett unikare fingeravtryck), blir helt olika med även små ändringar av olika typer och är matematiskt garanterad att inte innehålla "mönster".
Så, den kan inte användas för att detektera sekvenser i siffror. Min gissning är att man helt enkelt lagrat siffra separat. Så, Kalle1 följt av Gösta2 skulle antagligen triggat sekvensvarningen.
Rent generelt kan man ta det nya lösenordet innan det krypteras, göra några perumtationer, köra det igenom krypteringen och gämföra med gammalt lösenord (som är krypterade), gärna de 10 senaste eller så.useless skrev:
Hur ska man kunna upptäcka det utan att de gamla lösenorden sparas läsbart någonstans? Jag vet att Microsoft hade nån funktion för att man t ex inte skulle kunna återanvända gamla lösenord, men man kom ganska snabbt fram till att det var en betydligt större risk att spara gamla lösenord än att låta folk återanvända dom.
Teoretiskt skulle man kunna få tex "Lösen5" och generera hash för det, och samtidigt generera hash för "Lösen6", och sedan spara den som "förbjudet lösen nästa gång".S Svavelsyra skrev:
Om sedan nästa lösens hash motsvarar den, så blir det inte tillåtet.
Bästa regeln för säkra lösenord är att jämföra användarens föreslagna lösenord med läckta lösenordsdatabaser.
Om lösenordet är vanligt förekommande i dessa är det dåligt, om det inte finns där alls är det väldigt bra.
Om lösenordet är vanligt förekommande i dessa är det dåligt, om det inte finns där alls är det väldigt bra.
Nja skulle säga att bästa lösenorden är lösenordsmeningar på typ minst 20 tecken.redarn skrev:
inga siffror eller specialtecken behövs
det blir säkert ändå.
som tex:
vafanettnyttjavlalosenordnuigen
och är enkelt att komma ihåg
Ta bara en rolig losenords mening och du är hemma
Fungerar ju för ett, två kanske tre olika ställen. Men när det skall vara lösenord på i stort sätt allt man är med i eller prenumererar på då blir det inte längre lika lätt att komma ihåg. Men man borde väl skaffa sig en lösenordshanterare med stark lösen på som sedan "hjälper" en med att komma ihåg allt.... Men dit har jag inte kommit ännu då jag inte riktigt vet något bra (som helst inte skall kosta pengar...).