4 668 läst ·
33 svar
5k läst
33 svar
Wep/wpa-psk
Sida 1 av 3
Ändrade säkerhetsnivån i mitt adsl-modem, Xavi5258 Bredbandsbolaget, från WEP till WPA-PSK. Jag angav samma lösenord till WPA som jag hade i WEP. Har jag ökat säkerheten mot intrång trots att lösenordet är lika långt?
I Bredbandsbolagets guide står det att nyckeln/lösenordet ska vara 16 tecken långt, men det var ju inget problem att ange kortare nyckel. Är 16 tecken en rekommenderad längd i WPA?
I Bredbandsbolagets guide står det att nyckeln/lösenordet ska vara 16 tecken långt, men det var ju inget problem att ange kortare nyckel. Är 16 tecken en rekommenderad längd i WPA?
Man bör/ska aldrig använda ett gammalt lösenord igen så du får definitvt en bättre nivå av att byta det.
Ju längre ju bättre är en generel regel när det gäller lösenord.
Helst ska man skippa dem helt och istället sätta ihop en lite enkel mening. Lättare att komma ihåg och innehåller fler tecken.
Tex "Min 12:e hund hette Alfons Åberg". 32 tecken samt nationella tecken på en gång. Inte kul alls att försöka knäcka
Ju längre ju bättre är en generel regel när det gäller lösenord.
Helst ska man skippa dem helt och istället sätta ihop en lite enkel mening. Lättare att komma ihåg och innehåller fler tecken.
Tex "Min 12:e hund hette Alfons Åberg". 32 tecken samt nationella tecken på en gång. Inte kul alls att försöka knäcka
Besserwisser
· Västra Götalands
· 11 210 inlägg
Det korta svaret är "ja". Du har ökat säkerheten högst betydligt. WEP är ur kryptografisk mening "knäckt", det kvittar vad du har för lösenord, angreppen går inte ut på att gissa det, utan på att återvinna nyckeln med mer direkta metoder.
WPA2 står sig dock i stort sett än, även om man hittat angrepp och de blir allt bättre. Med WPA2 så är problemet som sagt lösenordsgissning. Så då är det viktigt att ha bra lösenord. Ett bra lösenord för WPA2 är i storleksordningen 13 helt slumpvis valda tecken (från de 95 som är tillåtna) vilket ger ca 85 bitar. Längre är naturligtvis bra. Så 16 helt slumpmässigt valda är OK, men jag skulle inte säga att det är en "rekommenderad längd". Det är antalet bitar som räknas och ju fler desto bättre.
Eftersom vanlig text har ganska dålig entropi, säg 1-2 bitar per ord så är en "passphrase"/lösenordsfras med några ord i inte längre särskilt användbar, även om man förr rekommenderade det. Mats_o:s föreslagna fras ger t ex *maximalt* 34 bitar, vilket inte är mycket att hänga i julgranen idag.
Så idag är det tyvärr så att man måste ha långa, helt slumpmässiga, olika (på olika system) och därför *nedskrivna* lösenord. Att försöka komma ihåg dem är lönlöst. Använd något lösenordsprogram så att du kan göra klipp-och-klistra (själv använder och rekommenderar jag keepassx som finns till alla plattformar och några till). För hjälp med att generera lösenordsfraser som går att komma ihåg och ändå har tillräcklig entropi om man nu måste så titta på: http://www.diceware.com . Det är ett bra system som fungerar.
Intressant här är också att man pga hur WPA2 fungerar även bör ha ett "slumpmässigt" SSID. Eller i alla fall ett ovanligt sådant, eftersom man byggt och publicerat s.k. "rainbow tables" för de tusen vanligast SSIDna (dvs de som kommer default från tillverkare samt några vanliga till). Så en router som identifierar sig som "dlink" är alltså osäkrare än en som säger "61jhd7w" även fast informationen som sådan (alltså SSIDt) inte är hemligt, utan tvärtom skickas ut till alla som vill lyssna. (Att dölja sitt SSID är inte produktivt, det syns ändå, om inte annat när länken används).
WPA2 står sig dock i stort sett än, även om man hittat angrepp och de blir allt bättre. Med WPA2 så är problemet som sagt lösenordsgissning. Så då är det viktigt att ha bra lösenord. Ett bra lösenord för WPA2 är i storleksordningen 13 helt slumpvis valda tecken (från de 95 som är tillåtna) vilket ger ca 85 bitar. Längre är naturligtvis bra. Så 16 helt slumpmässigt valda är OK, men jag skulle inte säga att det är en "rekommenderad längd". Det är antalet bitar som räknas och ju fler desto bättre.
Eftersom vanlig text har ganska dålig entropi, säg 1-2 bitar per ord så är en "passphrase"/lösenordsfras med några ord i inte längre särskilt användbar, även om man förr rekommenderade det. Mats_o:s föreslagna fras ger t ex *maximalt* 34 bitar, vilket inte är mycket att hänga i julgranen idag.
Intressant här är också att man pga hur WPA2 fungerar även bör ha ett "slumpmässigt" SSID. Eller i alla fall ett ovanligt sådant, eftersom man byggt och publicerat s.k. "rainbow tables" för de tusen vanligast SSIDna (dvs de som kommer default från tillverkare samt några vanliga till). Så en router som identifierar sig som "dlink" är alltså osäkrare än en som säger "61jhd7w" även fast informationen som sådan (alltså SSIDt) inte är hemligt, utan tvärtom skickas ut till alla som vill lyssna. (Att dölja sitt SSID är inte produktivt, det syns ändå, om inte annat när länken används).
Besserwisser
· Västra Götalands
· 11 210 inlägg
Ja å ena sidan är det dagsnotering på hur långa nycklar man behöver (attacker och datorer/cluster/botnets blir allt snabbare och bättre).
Å andra sidan så finns det 100+ andra sätt att bryta sig in (spec. på en vanlig plattform som Windows) som gör lösenordslängsproblematiken ganska akademisk. Om det var det enda man behövde oroa sig för så kunde man sova lugn(are).
(Saxat ur dieceware-sidan angående 128bitarsnycklar: "Of course, if you are worried about an organization that can break a seven word passphrase in order to read your e-mail, there are a number of other issues you should be concerned with -- such as how well you pay the team of armed guards that are protecting your computer 24 hours a day."
)
P.S. Jag ser att jag glömde multiplicera med två, så då är vi uppe i 64 bitar för din lösenordsfras i bästa fall. Det är nästan OK. Så du kan lugnt fortsätta att använda den.
Å andra sidan så finns det 100+ andra sätt att bryta sig in (spec. på en vanlig plattform som Windows) som gör lösenordslängsproblematiken ganska akademisk. Om det var det enda man behövde oroa sig för så kunde man sova lugn(are).
P.S. Jag ser att jag glömde multiplicera med två, så då är vi uppe i 64 bitar för din lösenordsfras i bästa fall. Det är nästan OK. Så du kan lugnt fortsätta att använda den.
Skulle vilja tillägga att ditt behov att använda mera eller mindre avancerat lösenord och kryptering är också utifrån var du bor. Är du ensam "ute i skogen" så är inte sannolikheten så stor för att någon "ligger under en gran" och försöker hacka det, som om du bor i en lägenhet.
Besserwisser
· Västra Götalands
· 11 210 inlägg
Precis. Det tål att understrykas. Är det något jag drillar in i mina studenter så är det att "säker är man bara i relation till ett hot." Frågan är alltid hur bra man kan hantera riskerna med de hot man rimligtvis är utsatt för. "Skottsäker" bil skulle t ex vara helt bortkastat för mig, men för företagsledare i sjuttiotalets Italien snarast en nödvändighet. Samma med allt annat.
Och för mig som gammal artellerist så är den inte skottsäker, en hårdmålsgranat som knackar på i 900 meter per sekund tar rätt bra alltså 
I övrigt håller jag med om att det är en yrkesskada att överdimensionera skalskydden.
"Längre Lösenord leder inte till bättre säkerhet - enbart till bredare post-it lappar"
I övrigt håller jag med om att det är en yrkesskada att överdimensionera skalskydden.
"Längre Lösenord leder inte till bättre säkerhet - enbart till bredare post-it lappar"
Besserwisser
· Västra Götalands
· 11 210 inlägg
Precis. Det var därför jag skrev "skottsäker" inom citationstecken. De är möjligtvis "skottresistenta" (jmf. eng. "bullet resistant"). Och skulle det vara skottsäkra på riktigt så kan man göra som Shevardnadzes angripare gjorde 1995, dvs skjuta pansarvärnsvapen (RPG-7) mot bilen. (Nu missade de kupén och träffade motorhuven istället. Trots uppfälld motorhuv och motorn i brand så lyckades föraren köra därifrån. Av detta lär vi oss att om vi har råd med bepansrad bil så skall vi antagligen inte köra själva utan anställa en kompetent förare också
).
Men nu är vi långt ifrån WPA vs. WEP. Man kan väl kortfattat sammanfatta att om du är i en situation där du behöver oroa dig för angrepp med pansarskott mot din bepansrade bil så skall du inte oroa dig över din egen nätverkssäkerhet utan ha någon anställd som oroar sig åt dig.
(Och antagligen inte köra trådlöst nätverk överhuvudtaget.
)
Men nu är vi långt ifrån WPA vs. WEP. Man kan väl kortfattat sammanfatta att om du är i en situation där du behöver oroa dig för angrepp med pansarskott mot din bepansrade bil så skall du inte oroa dig över din egen nätverkssäkerhet utan ha någon anställd som oroar sig åt dig.
Thx!
Hur är säkerheten just då man loggar in på nätverket? Jag har hittat ett trådlöst nätverk, skriver ett lösenord och försöker ansluta. Skickas lösenordet öppet/okrypterat då och går att läsa av? Den krypterade informationen borde ske först när man etablerat anslutning?
Är inte orolig för mitt nätverk utan bara nyfiken nu
Hur är säkerheten just då man loggar in på nätverket? Jag har hittat ett trådlöst nätverk, skriver ett lösenord och försöker ansluta. Skickas lösenordet öppet/okrypterat då och går att läsa av? Den krypterade informationen borde ske först när man etablerat anslutning?
Är inte orolig för mitt nätverk utan bara nyfiken nu
Allmänna tips till bra/säkra lösenord.
Man ska ju helst ha ett jätte-krångligt lösen som är svårt att knäcka. Men man ska ju samtidigt helst inte ha så krångligt att man måste skriva ner det nånstans! Jag har löst det så att jag har krångliga lösenord som jag omöjligt kan komma ihåg (olika överallt) + ihopsatt med ett enkelt som jag kan komma ihåg och inte behöver skriva ner..
Alltså en fiktiv pw-lista som jag har på papper/i ett dokument:
lösen1: kRc451!..-QWbzE
lösen2: kjg%3!!-GHjaWifpWE
lösen3: kk34j--GGgg
För att lösenordet ska funka så måste man dock lägga till "bulle" före alla (och detta är ej nedskrivet någonstans)..
Är jag smart eller är jag överparanoid?
Man ska ju helst ha ett jätte-krångligt lösen som är svårt att knäcka. Men man ska ju samtidigt helst inte ha så krångligt att man måste skriva ner det nånstans! Jag har löst det så att jag har krångliga lösenord som jag omöjligt kan komma ihåg (olika överallt) + ihopsatt med ett enkelt som jag kan komma ihåg och inte behöver skriva ner..
Alltså en fiktiv pw-lista som jag har på papper/i ett dokument:
lösen1: kRc451!..-QWbzE
lösen2: kjg%3!!-GHjaWifpWE
lösen3: kk34j--GGgg
För att lösenordet ska funka så måste man dock lägga till "bulle" före alla (och detta är ej nedskrivet någonstans)..
Är jag smart eller är jag överparanoid?
För att komma ihåg komplexa lösenord kan man ta Mats ramsa
Min 12:e hund hette Alfons Åberg och konstruera en enkel metod att i huvudet generera lösenord ur denna.
Exempelvis: Tag första och sista bokstaven i varje ord plus alla andra tecken.
Vårt lätt ihågkommna, men samtidigt komplexa lösenord blir då: Mn12:hdheAsÅg
Min 12:e hund hette Alfons Åberg och konstruera en enkel metod att i huvudet generera lösenord ur denna.
Exempelvis: Tag första och sista bokstaven i varje ord plus alla andra tecken.
Vårt lätt ihågkommna, men samtidigt komplexa lösenord blir då: Mn12:hdheAsÅg
Besserwisser
· Västra Götalands
· 11 210 inlägg
Nej, lösenordet skickas inte okrypterat i klartext. Det skickas faktiskt inget lösenord alls. Utan att gå in in smärtsam detalj så bygger autenticeringen på ett "challenge - response" förfarande.Hawkai skrev:Thx!
Hur är säkerheten just då man loggar in på nätverket? Jag har hittat ett trådlöst nätverk, skriver ett lösenord och försöker ansluta. Skickas lösenordet öppet/okrypterat då och går att läsa av? Den krypterade informationen borde ske först när man etablerat anslutning?
Är inte orolig för mitt nätverk utan bara nyfiken nu![]()
Alltså; datorn skickar en förfrågan om att få ansluta till accesspunkten. Accesspunkten skickar en slumpmässig sträng (en "challenge") till datorn i klartext. Denna kan alltså alla läsa. Datorn tar texten och krypterar den med den hemliga nyckeln (dvs "lösenordet") och skickar tillbaka den krypterade texten till accesspunkten. Accesspunkten dekrypterar det krypterade meddelandet och jämför med den klartext den skickade ut från början. Om de överensstämmer så är meddelandet uppenbarligen krypterat med samma nyckel som accesspunkten har, och datorn har alltså rätt hemliga nyckel och är alltså OK. Om meddelande inte stämmer överens så gäller det motsatta. Datorn har alltså *inte* rätt nyckel och tillåts inte att ansluta.
Så som du ser så skickas aldrig någon nyckel i klartext. Notera att för att ovanstående skall vara säkert så får man aldrig skicka samma "challenge" två gånger. Då kan någon som lyssnat gripa in och bara spela upp det gamla svaret (utan att kunna nyckeln). Detta är en så kallad "replay attack".
Detta beskriver det vanligaste sättet att ansluta till ett nät hemma, dvs PSK - Pre-shared key. Det finnas andra.
Besserwisser
· Västra Götalands
· 11 210 inlägg
Njae, det var som sagt den gamla rekommendationen. I snart tio år så har den motsatta gällt. Du *skall* ha dina lösenord nedskrivna. Då måste de vara lagrade på ett säkert ställe. Och de måste vara så långa och slumpmässiga att det enda som fungerar i praktiken är "klipp och klistra". Använd alltså något slags "password safe" program och låt det generera lösenord och lagra de där. Använd ett långt krångligt masterlösenord till ditt lagringsprogram. Men eftersom det kan vara långlivat och du bara behöver ett så skriv inte ner det (utom på ett papper du lägger i ett förseglat kuvert i ditt bankfack så att dina efterlevande kan få tillgång till dina email-konton, facebook osv. Om du är paranoid så kan du dela det i två delar och lämna ett kuvert var till pålitliga vänner/släktingar/medhjälpare).Rrrrr skrev:
Själv så använder jag keepassx (Googla) eftersom det finns till Windows, Mobiler, Linux, MacOS osv. Man kan också använda den inbyggda lösenordslagringsfunktionen i olika webläsare (Firefox, Chrome osv), och då helst inte glömma att sätta ett masterlösenord.
Du måste fortfarande ha ett lösenord till din dator, så då behöver du max komma ihåg två. Om det är din hemdator så finns det inte mycket som hindrar att du skriver ner det och förvarar lappen på samma sätt du skulle förvarat dina nycklar. Om det är på jobbet så stoppa lappen i plånboken. Det ger ungefär rätt säkerhetsnivå.
P.S. Och eftersom du just beskrivit hur du lagrar dina lösenord publikt så är du inte överparanoid. Snarare tvärt om!