Den svagaste länken i dagens kryptoteknik är möjligheten att komma åt nyckeln genom att få tillgång till datorn där nyckeln förvaras. Nycklarna är dock lokalt krypterade med ett lösenord, och avgörande för säkerheten blir alltså längden på lösenordet. Här följer en enkel beräkning av vikten av långa och komplexa lösenord.
Myndigheter eller ljusskygga element kan via dataintrång eller fysiskt intrång (husrannsakan i fallet myndigheter) få tillgång till datorn där kryptonycklar förvaras. Förutsatt att inte själva hårddisken också är krypterad, så blir flaskhalsen då att kryptonyckeln själv krypterats med ett lösenord. Det handlar alltså inte om en mjukvaruspärr, som enkelt kan programmeras runt, utan om att själva lösenordet är en egen kryptonyckel.
Denna kan kort sagt knäckas med en brute force-attack – att man testar alla tänkbara lösenord.
Längden på lösenordet och uppsättningen tecken blir helt avgörande.
Som alla vet ska ett bra lösenord innehålla både bokstäver, siffror och symboler. Lösenordet ska inte heller bestå av ord eller en kombination av ord.
Nu vet man dock om att alla inte följer dessa regler, och därför börjar ett angreppsförsök mot nyckeln med att man kör den mot en ordbok och kombinerar ord. När man gjort detta provar man sedan kombinationer av siffror, om nu nyckelägaren endast kört siffror som lösenord, och sedan testar man kombinationer av enbart bokstäver. Sedan börjar man kombinera ord, siffror och bokstäver. Fungerar inte det så får man till slut även införa det minst sannolika, nämligen symboler.
Om man enbart skapar ett lösenord av siffror så är basen endast 10, dvs symbolerna 0 – 9. Skapar man ett lösenord av bokstäver så är basen i Sverige 28, förutsatt att man inte är listig och t ex använder é med accent eller tyska ü etc. Skapar man ett lösenord av siffror och bokstäver blir basen 38. Lägger man också till symboler som t ex §!”#€%&&//()=? så blir basen 50. Det finns förstås ännu fler symboler, men vi nöjer oss där.
Skillnaderna i antalet möjliga kombinationer vid t ex ett tio tecken långt lösenord följer:
10^10=10000000000
28^10=296196766695424 eller 29619 gånger fler kombinationer än 10^10
38^10=6278211847988224 eller 21 gånger fler kombinationer än 28^10
50^10=97656250000000000 (9.765625×10^16) eller 15 gånger fler kombinationer än 38^10
Mest väsentligt blir dock längden på lösenordet. Med användande av både siffror, bokstäver och symboler så ökar antalet möjliga kombinationer med 50 för varje extra tecken i lösenordet. Tillägg: Jag glömde att man även har både stora och små bokstäver, så se siffrorna nedan som exempel. I praktiken ska alltså komplexiteten öka ytterligare till 78, men jag är för lat för att göra om blogginlägget. Notera att små och stora bokstäver plus siffror ger en bas på 28*2+10=66 eller 60 om man bara kör “engelska” bokstäver. Oavsett blir det en högre bas än 50 nedan, så även utan att blanda in symboler kan man få ännu bättre säkerhet än nedan.
50^4=6250000
50^6=15625000000
50^8=39062500000000
50^10=97656250000000000
50^12=244140625000000000000
Vad blir då innebörden av detta.
Utgår vi från att en processor kan utföra 1000 brute force-attacker i sekunden om man har fri tillgång till kryptonyckeln, samt att t ex FRA eller NSA prioriterar detta och sätter ett (super)datorkluster om 10 000 processorer på att göra denna attack, så testar man tio miljoner lösenord i sekunden.
Förväntar vi oss att man hittat rätt lösenord efter man testat hälften av alla möjliga nycklar, vilket blir medlet om man gör detta i många fall, så blir tidsåtgången för att knäcka kryptonyckelns lokala kryptering följande:
50^4 tar 0.3125 sekunder (50^4/2/10000000) och är alltså trivialt.
50^6 tar 13 min och 1.25 sekunder och är också trivialt
50^8 tar 22 dygn och ca 14.5 timmar. Genomförbart, men mycket kostsamt att bränna 22 dagars körning på detta. Inget man gör för småsaker.
50^10 tar 154.83 år. Här kommer du alltså vara död sedan länge. Dock kan man ju förvänta sig att innan dess har datorer kanske blivit 1000x snabbare, så det är inte riktigt så enkelt. Man kan också sätta ännu mer datorkraft på det hela. Lägger man 10x mer datorkraft tar det “bara” 15 år.
50^12 tar över 774164 år att knäcka med ett superdatorkluster om 10000 processorer. Även om man kan testa en miljon lösenord i sekunden per processor istället för 1000 så tar det fortfarande 774 år vid ett tolv tecken långt lösenord.
Där någonstans vid tolv eller fler tecken hittar man alltså “trygga” lösenord. För övrigt kan man notera att t ex bankernas BankID ställer krav på tolv tecken långa lösenord. Känner man sig fortfarande inte trygg, så lägger man på några tecken till.
Vad vi ser här är assymetrin i kryptering. Ett enda tecken ökar ansträngningen att knäcka det hela med en faktor 50x. Det är också därför som NSA via PRISM istället har skaffat direkt tillgång till vårt data i molnet hos Google (Mail mfl), Facebook, Microsoft, Apple mfl molnleverantörer. Där krävs det nämligen ingen avkryptering för att läsa informationen på serversidan.
Om vi inte krypterar själva datat utanför molnet. Använd S/MIME eller PGP även för rutinmässig e-postkommunikation.
Enklaste sättet att knäcka det där tolv tecken långa lösenordet är dock att knäcka innehavaren bakom lösenordet, t ex genom att luta sig över vederbörande och säga snälla på ett sätt som bara förhörsutbildade kan. Det går garanterat snabbare än 774 164 år. Frågan är bara hur länge man står emot och envist hävdar att man glömt bort lösenordet.
Återpublicerad från XKCD med Creative Commons Attribution-NonCommercial 2.5 License. |
Tillägg: XKCD har en gammal kul strip relaterad till detta, som har poänger, men jämför äpplen med päron.
Återpublicerad från XKCD med Creative Commons Attribution-NonCommercial 2.5 License. |
XKCD jämför här det elva tecken långa lösenordet Tr0ub4dor&3 med correcthorsebatterystaple och jämför sedan hur lång tid de tar att knäcka med brute force. XKCD förutsätter dock att den som knäcker känner till hur lösenordet är konstruerat – fyra ord eller ett ord, med substitution och två slumpmässiga tecken efter.
Kör man bara slumpmässiga tecken blir det betydligt svårare att knäcka, men även det första exemplet utgår från en ordbok och blir alltså rätt lättknäckt. Ett lösenord som 4X8jds9dN€s(k är svårare att knäcka än correcthorsebatterystaple, men försök komma ihåg det…
Det existerar dock sätt att komma ihåg långa lösenord, på samma sätt som ni kan komma ihåg långa telefonnummer, t ex 010-568 70 13. Ni kommer inte ihåg numret som en serie siffror utan som nollettnoll, femhundrasextioåtta sjuttio tretton. På motsvarande sätt kan man t ex välja lösenordet 010_iSL_3589! och komma ihåg det som nollettnoll mellanslag iSL mellanslag trettiofem åttionio utropstecken. Bara som ett exempel. En grundregel är att hjärnan kan komma ihåg 5 – 9 saker och ovanstående är att se som 4+1 sak, dvs 010 + iSL + 35 + 39 och att man ska använda symbolerna mellanslag (eller streck) och avsluta med !. Även om man kommer ihåg symbolerna enskilt så blir det bara sju saker att komma ihåg. Som min redigering av inlägget ovan skriver så räcker det dock med stora och små bokstäver, samt siffror, för att få en högre bas än bas 50 som jag räknade med i inlägget.
63 kommentarer
Ett bra lösenord bör också vara hyfsat lätt att komma ihåg. Annars måste man skriva upp det någonstans, och då kan någon annan hitta noteringen.
Annars tror jag att meningar kan vara bra lösenord. Fast det får inte vara citat, förstås; "ole, dole, doff" torde vara sämre än "doff, dole, ole". Och vill man vara riktigt listig kan man ju alltid stava fel: "ale, dale, daff".
Lätt knäckt med ordboksattack dock.
Ja, lösenordsfraser/meningar är definitivt det man ska använda. De kan göras mycket långa, och därmed väldigt säkra, men är ändå lätta att komma ihåg. Ordboksattacker funkar inte om man medvetet felstavar något eller några ord.
Bra illustration finns här
XKCD jämför äpplen och päron. Ett elva tecken långt lösenord med ett 25 tecken lång lösenord, där man inte använder ordboksattack mot det 25 tecken långa lösenordet.
Nej, entropin i "correct horse battery stapler" kommer inte från att det är 25 tecken långt, utan från att det är fyra ord valda från en mycket stor bas. I Svenska akademins ordlista finns det ca 125000 ord. Då har du i storleksordningen 125000^4 = ca 10^20 möjligheter med fyra ord (givet ett helt slumpmässigt urval). Jämför det med 78^12 = ca 10^22 för ett 12 teckenslösenord.
Så, kan lösningen då vara att t.ex. använda 3 svenska och 3 engelska slumpmässiga ord, som man kommer ihåg genom att skapa ett sammanhang (som i XKCD-stripen), sen slänger man in en siffra någonstans också, och/eller felstavar ett av orden.
Det borde väl omöjliggöra ordboksattacker, och vara så pass långt att en brute force attack inte heller är möjlig, samtidigt som det är enkelt att komma ihåg?
Finns många lösningar. Fråga de som fått sina lösenord knäckta vad de valde.
TB utan hänsyn till felstavning och siffror kan vi konstatera att du kommer få ca 125000^6 = ca 10^30 kombinationer (under antagandet att du har lika många svenska som engelska ord, inte böjer orden och gör ett slumpmässigt urval). Med Cornucopia?s 78 som bas behöver du 16 slumpvis valda tecken för samma mängd kombinationer.
Ännu bättre blir det om du säger att du ska ta 6 ord från svenska och/eller engelska, alltså att du slår ihop mängderna från början och kanske drar 5 svenska och 1 engelskt ord. Då har du plötsligt 250000^6 = ca 10^32 eller 100 gånger så många kombinationer.
Som du ser behöver du inte oroa dig för ordboksattacker om ordboken måste vara tillräcklgit stor. Det är hela poängen med XKCD-strippen.
För att göra jämförelsen med Cornucopia?s lösenord har jag använt Wolfram|Alpha och sökt på log_78(125000^6)
Hm, tänktvärt, Emil. Sex ord blandade engelska och svenska bör duga.
Nackdel är att det kan ta lång tid att skriva in på en smartphone…
Samtidigt bör man förstås inte gå ut med att man använder detta. Den bästa av två världar…
Detta med stor bas för ordboksattacker och samtidigt långt nog för brute force är melodin.
Det går naturligtvis inte att välja nujagharkulmeddetta 6 ord men bara 19 tecken ur mängden endast små bokstäver.
Jag skulle förespråka lösen av typen:
solenliggereight(8)ljusminuterbort
Oerhört enkelt att komma ihåg eftersom det är fakta som man lärde sig redan på högstadiet.
blandar in ett engelsk ord i mitten eight och skriver sen det ordet med siffra inom parenteser vilket lägger till både siffror och specialtecken.
Skulle säga att denna typ av lösen inte rås på av ordboksattacker eller brute force. Kvar blir då hammaren i huvudet… 🙂
Om ingen VET hur jag bygger lösenordet är det natirligtvis säkrare än om jag skulle säga att jag bygger mina lösenorde med principen
() då blir det naturligtvis enkelt men det berättar man ju inte 😉
Verkar som att min princip skiss med delar inom hakar plockades bort av ett HTML filter… jaja
Tycker min metod är bra. 😮
Memorera en mening som t.ex. "När jag flyttade till Göteborg 92 så bodde jag på Götgatan 4b 3 tr"
Ta sedan första bokstaven i varje ord: NjftG92sbjpG4b3tr
Relativt lätt att komma ihåg. Svårt att knäcka.
Man skall nog inte räkna med att det ligger alltför mycket säkerhet i det faktum att det är okänt hur lösenordet är konstruerat. Man skall nog inte heller förlita sig på att välja lösenord själv eftersom man antagligen får betydligt färre bitar än vad man tror.
Det blir alltså att slumpa fram en sekvens av förutbestämda "symboler". Dessa symboler kan vara enskilda tecken som delmängd av tillåtna tecken, räcker t.ex. med siffror och bokstäver (så slipper man använda shift-tangenten – det finns ingen anledning till att blint kräva att man använder stora och små bokstäver, siffror och symboler och kanske kontrolltecken) eller så kan det vara ord ur en ordlista. Sen är det ju bara att räkna efter hur många bitar det blir.
I exemplet ovan beror ju styrkan i "nujagharkulmeddetta" beroende på hur många ord man slumpat mellan. Har man tagit det ur en ordbok med 4096 ord så blir det alltså 6×12 bitar (72 bitar) vilket utgör visst skydd. Det andra exemplet med fakta som man lärde sig redan på högstadiet så blir det ju bara att räkna upp vad man lärt sig på högstadiet och formulera om det på några olika sätt – frågan är ifall du får ihop en styrka på ens 32 bitar.
För att göra det lite lättare att komma ihåg en lösenfras kan man ju välja orden ur passande ordklasser så att det hela blir en gramatiskt korrekt mening. Enda problemen med lösenfraser är att de tar många gånger längre tid att skriva in, blir lättare fel när man skriver in och jag gissar att vissa system inte accepterar för långa lösenord.
Ett annat fel (IMHO) som ofta görs är att man tvingar användarna till att byta lösenord stup i kvarten. Detta leder till två problem, dels att de måste välja ett själv vilket ofta ger sämre styrke, men också att de måste välja utifrån att de måste lära sig nytt lösenord vilket kan göra att de väljer svagare lösenord av detta skäl.
Upp till 774164 år. Dom kan likaväl bräcka lösenordet på första försöket. Men sannolikheten till detta är obefintligt. Men sannolikheten att det tar 774164 år med dessa förutsättningar är också osannolikt.
Efter 774164 år är det 50% att de knäckt den. Beräkningen är halva tiden det tar att testa alla nycklar, vilket också står i inlägget.
Förväntar vi oss att man hittat rätt lösenord efter man testat hälften av alla möjliga nycklar, vilket blir medlet om man gör detta i många fall, så blir tidsåtgången för att knäcka kryptonyckelns lokala kryptering följande:
50^4 tar 0.3125 sekunder (50^4/2/10000000) och är alltså trivialt.
Texten efter första stycket i repliken är ett citat från blogginlägget.
För övrigt, hittar man nyckeln redan efter bara 1% av kombinationerna testats så tar det fortfarande 7741 år.
Förlåt, skulle vara en halv procent. 1% av kombinationerna tar 15483 år.
OK, my bad.
För övrigt så är det väldigt enkelt att skapa även långa lösenord och komma ihåg. Man gör en ramsa av det bara. Ett 25-teckenslösenord blandade tecken utan ord är enkelt att komma ihåg. Det finns ju en massa ramsor och annan skit som alla möjliga människor kommer ihåg såsom tyska ord som styr dativ eller Fader vår eller vad skyltar och symboler betyder. Skapa en minnesträdgård i huvudet eller tralla fram lösenordet så sitter det. Man kan också använda sig utav muskelminnet (mer osäkert), det är detta som många använder när dom trycker in portkoder eller personnummer alternativt skriver på tangentbordet. Det är också muskelminnet en dansare använder om man ska dansa i någon timma eller tre. Det går ju fan inte att minnas alla steg i huvudet. Även musiker använder muskelminnet. Musiken slutar ju inte bara för att man vänder blad utan noterna används enbart som stöd.
18-teckenslösenord som ramsa med mellanslag för att förtydliga:
48Y #,µ 6*8verna €=fy
För att komma åt bankkontot krävs både kort, dosa och kod, kortet förvaras i plånboken och koden i huvet och efter tre försök spärras kortet (kontot).
Angående mer triviala saker som facebookkonton och dyl så räcker det väl med hustruns flicknamn eller liknande.
hemligheter utav stort värde skall väl inte skickas över internet även om de är krypterade.
En hake med de gamla korten var att magnetremsan kunde kopieras lätt. Dessutom med folk som besöker bankomaten med jämna mellanrum så är det bara att försöka lite då och då eftersom man ju får nya försök varje gång den rätte ägaren tar ut pengar.
Värt att tänka på är att med tre försök så har du trots allt en viss chans att gissa rätt – att då ha tillgång till alltför stora summor via bankomatkortet är inte bra. Med 10tkr tillgängligt är ett förlorat kort en förväntad förlust på 3kr om någon försöker.
Tog du upp Stora/små bokstäver också? Eller missade jag bara det? Borde öka på 28 på 50 til 78.
Nej, glömde. Du har rätt.
Mja, låt oss se. Säg att det finns 10^4 ord i svenskan. Med tre ord blir det 10^12 kombinationer, vilket är större än 50^7. Fem ord tar (upp till) 317097 år att knäcka, vilket torde räcka för de flesta.
Och i vilken ordbok hittar du ale, dale och daff?
"Frågan är bara hur länge man står emot och envist hävdar att man glömt bort lösenordet."
Ungefär 0.3125 sekunder.
http://xkcd.com/936/
XKCD jämför äpplen och päron. Ett elva tecken långt lösenord med ett 25 tecken lång lösenord, där man inte använder ordboksattack mot det 25 tecken långa lösenordet.
Däremot finns det en poäng i att det är svårt att komma ihåg lösenord. Alla klarar inte av att komma ihåg 14 tecken långa lösenord i huvudet.
För just lösenord så är det enda vettiga att använda BCrypt eller motsvarande rekursiv algoritm. Det som gör BCrypt säkert är att det är så förbaskat långsamt och styrkan (=hastigheten) kan konfigureras. Ett lösenord (oavsett längd) med kostnadsvärdet 12 tar kanske 0,001 sekunder att skapa och testa för en enskild modern server av kraftfullaste modell, dvs den kan hantera 1000 inloggningar per sekund per CPU-core. Med kostnadsvärdet 13 tar det istället 0,01 sekunder. Algoritmen är rekursiv där resultaten hela tiden används som salt för kommande runda så den går inte att göra parallell.
Om du lagrar alla lösenord med BCrypt och någon stjäl din lösenordsdatabas så kan alltså inte hackarna testa mer än några tusen lösenord per sekund ens på den kraftfullaste hårdvaran vilket höjer tröskeln rejält. Med SHA1+salt kan de testa flera miljarder lösenord per sekund på relativt billig hårdvara (en vanlig dator med ett gäng moderna grafikkort) om de även kom över saltet.
Detta ämne är ibland spännande men oftast väldigt trivialt. Att man bör ha bra koll på vad man väljer för lösenord på sin internetbank är en sak, att kryptera all sin epost och använda 19-teckenslösenord till facebook är en helt annan.
Om nån nu är så jävla sugen på att läsa min mejl så att dom knäcker mitt medelstarka 10-teckenslösenord så tänker jag fan ge dom cred för det och applådera. Grattis, ni har precis fått tillträde till absolut ingenting.
Mhv,
Snåljåpen
Underskatta inte värdet av e-postkontot. Med tillgång till e-posten kan man byta lösenord till i princip alla webbplatser som finns.
Nu skickar dock inte webplatserna ut sina återställ-lösenord-ebrev krypterat, så egen kryptering hjälper inte här när NSA ändå har tillgång till din mailbox.
Inga seriösa ställen skickar ut nya lösenord via epost.
Mvh,
Snåljåpen
Nej, de skickar ut en återställningslänk. Och har du tillgång till e-posten kan du därmed klicka på den länken och byta lösenord.
Nu sa jag faktiskt SERIÖSA ställen. Inga seriösa ställen där tillgång till någonting vettigt finns. Att facebook eller aftonbladets inloggning gör så är en sak, min bank skickar ut ett nytt lösenord med rekommenderat brev. Även om det brevet såklart också kan komma i fel händer så är det en helt annan svårighetsgrad än det som nämns här.
Frågeställningen i den här diskussionen bör också vara: vad fan pysslar ni med som är så jävla hemligt?
Mvh,
Snåljåpen
Man kan vända på resonemanget och påstå att du måste vara en oerhört tråkig person, Olle.
Ett av de äldsta tricken i boken är ju att leta upp nyckelpersoner i politiken, försvaret etc och snoka igenom dera sprivatliv tills man hittar älskarinnor, gaylovers, skulder, illegitima barn eller vad som helst, och sedan utpressa dem. Gick man igenom alla riksdagsmäns privata e-post kunde man säkert hitta en och annan saftig historia t ex.
När Olle blir av med jobbet pga att NSA lämnar vidare uppgifter de läst i e-post till amerikanska företag som statligt industrispionage, och hans arbetsgivare förlorar en avgörande upphandling pga det amerikanska företagets lägre bud, så får dock Olle aldrig reda på att det var avlyssningen som är orsaken till att han till slut hamnar i Fas-3.
Haha, om det är någon som har ett tråkigt liv så är det väl ändå den som finner nöje i att hitta oreda i andra människors privata angelägenheter? Min poäng är att ni indoktrinerar folk till att vara så himla oroliga och rädda för allt möjligt. Precis så som de värdelösa medierna sprider skräck via icke-nyheter så sprider ni här skräck och dynga utan nämnvärd relevans. Att det sedan hinkar in över 50000 läsare är anmärkningsvärt, men det blir inte mer relevant för det.
När man behöver oroa sig för hur pass säkert ens lösenord till eposten är så kanske man ska tänka över vad det är man egentligen håller på med. Lite som att dom mest svartsjuka är dom själv varit otrogna. Dom som kämpar för att dölja har oftast någonting att dölja.
Mvh,
Snåljåpen
Jag antar att denna strategi genomsyrar ditt liv Olle.
Du har en skitbil, för då vill ingen sno den. Du köper de sämsta möblerna, för du vill inte ha inbrott. Du klär dig i trasor, så ingen ska få för sig att råna dig på stan. Och du har amputerat k*ken så att du inte ska få könssjukdomar.
Det är liksom inte principiellt rimligt att hålla på så där eftersom det -faktiskt- inskränker på ens frihet.
Sen håller jag med om att man inte ska vara paranoid, men det är en helt annan sak.
Om du förresten inte har nåt behov av ett privatliv överhuvudtaget, så kan du väl berätta lite om din sexdebut. Hur var den? Hur många partners har du haft? Några könssjukdomar? Fantiserar du om män nån gång?
Du behöver naturligtvis inte berätta, men ovanstående illustrerar så klart att det finns en "privatlivets helgd" som alla har ett behov av.
Jag vill påstå att du har misstolkat och dragit detta ett steg för långt, åt fel håll dessutom.
Mvh,
Snåljåpen
OK, men
-"ni indoktrinerar folk",
-diagnoser om paranoia
-samt "dom som kämpar för att dölja har oftast någonting att dölja"
…anser du å andra sidan inte alls vara misstolkningar, överdrifter eller liknande?
En annan sak när det gäller lösenord så bör man ju se till att säkra upp alla andra svagheter lika mycket. Att ha ett lösenord som inte kan forceras hjälper ju inte ifall man med lätthet kommer över informationen på annat sätt.
Om det nu är så att informationen är så känslig att riktigt starka lösenord är motiverade så skall man ju se till att informationen inte ligger på ställen som man inte har exklusiv access till. Där gick både inloggning till facebook och mailen bort – andra sitter ju redan på den informationen, kan du lita på dem tillräckligt mycket?
Brute force-attacker kräver direkt tillgång till lösenordsfil och fungerar inte mot applikationer/operativsystem som spärrar misslyckade inloggningsförsök.
Inte om du kopierar hårddisken. Då måste du ha krypterad hårddisk. Vilket blir ytterligare en brute force-nivå. Har man fysisk tillgång till datorn, t ex via stöld eller husrannsakan, så går man direkt på hårddisken och inte via operativsystemet.
Det första polisens IT-forensiker gör är montera ur hårddisken och gör en hårdkopia, sektor för sektor, på den till en virtuell hårddisk. Sedan kollar man också efter raderade filer på den sektorkopierade hårddisken och kanske kan få en crib den vägen, t ex en okrypterad version av något som sedan krypterats. Kanske en raderad tmpfil från mailprogrammet eller liknande.
Det var ganska intressant att läsa FUP'en för skelettkvinnan och läsa om vad polisen gör med TrueCrypt'ade diskar. Det man kan utläsa från SKL's rapport är att de konstaterade att disken var krypterad och sen var det klart. Inget om att de ens försökt sig på att knäcka den med en enkel ordlista.
Vid sidan om säkra lösenord finns det två utmaningar med pki. För att jag ska kunna kryptera, måste mottagaren ge mig sin publika nyckel. Och det får jag sällan. Sedan har ingen jag känner ställt in kryptering som standard i sin e-post-klient. Så om jag skickar mina e-brev signerade med certifikat så får jag inte krypterade e-mail tillbaka.
Sedan så vet jag inte om det finns en e-post-klient som förvaltar bifogade certifikat automatiskt? Egentligen borde certifikat vara en integrerad del av adressboken.
Känner du dig ensam kan du maila mig. Jag har både S/MIME och PGP/GPG konfigurerat "automatiskt" i Apple OSX:s Mail.app. Kryptering är standard, om jag nu har mottagarens nyckel.
Jag kommenterade detta till heml.is att man bör ha flera lösenord som ger olika behörighetsnivåer (vad man ser), eller helt enkelt tar bort all information när man loggar in med varningslösenordet.
Detta är vanligt i deligeringsystem för tex banker sk fyra ögons principen. Om en av "firmateknarna" skriver in ett varningslösenord så krävs plötsligt två till signaturer. Något som också slumpmässigt görs av systemet för att göra stickprovskontroller.
Ta bort all information vid varningslösenord är en mjukvarufråga. Den går man runt vid fysisk tillgång till hårddisken.
För system, likt banksystem, som är till för att interagera med andra system fungerar det dock utmärkt med den typen av mjukvaruskydd, förutsatt att skyddet aldrig är på samma dator som "tangentbordet".
Här kan man få reda på hur lång tid det tar att knäcka olika lösenord (teoretiskt).
https://www.grc.com/haystack.htm
Kom ihåg att aldrig testa ditt riktiga lösenord, även om just denna site använder Javascript.
Moderna grafikkort kan testa betydligt fler kombinationer än 1000 per sekund – lätt över 10 miljarder för MD5 nästan lika mycket för SHA1.
Relevant artikel: här
Gör man hårdvaran ännu mer specifik blir det ännu snabbare (och energieffektivare). Det borde inte kosta mycket att bygga en FPGA-baserad lösenordsknäckarmaskin, och har man pengar (NSA…) kan man istället göra den ASIC-baserad. Jämför t ex de nya USB-anslutna ASIC-miners för bitcoin (SHA256): en liten 2,5 W-sticka gör samma arbete som ett 200 W grafikkort.
Mitt flera år gamla ATI grafikkort har 600 processorer som var och en gör 2GFlop om de matas optimalt -> 1,2TFlop i bästa fall. Nyare grafikkort är förmodligen många ggr snabbare.
En intressant plattform för distribuerade beräkningar är BOINC(googla om du undrar) där man kan hjälpa forskare att analysera rådata, antingen via den vanliga CPUn eller via grafikkortet. När jag testade tog ett arbetspaket en dryg timme på den vanliga CPUn och ca 2-3 minuter när det exekverade på grafikkortet. Lade dock ner det hela med tanke på elräkningen, och att det blev väldigt varmt i rummet.
Intressant läsning om pin-koder: de fem vanligaste utgör 20 % av alla koder, 19XX-koderna blir mer eller mindre en demografikurva, osv.
Mycket intressant. Jag brukar memorera pin-koder som två årtal. Den ovanligaste koden – 8068 – skulle jag memorera som "kärnkraftsrevolution" – kärnkraftsomröstningen 1980, revolutionsåret 1968.
F.ö. undrar jag varför 1472 är så mycket vanligare än alla xx72 utom 1972. Om det handlar om årtal borde väl t.ex. 1572 (Bartolomeinatten) vara vanligare.
En svensk skulle ju också kunna memorera t.ex. 1772 som Gustav IIIs statskupp, men det skulle ju knappast ge avtryck på en internationell sajt. En enklare förklaring är naturligtvis geometrisk – första kolumnen samt översta knappen på andra kolumnen. 1472 ät som 1234 fast vertikalt.
Jag misstänker att du har underskattat beräkningskraften i moderna och billiga gpu-baserade kluster. Har för mig att man kan köra betydligt fler än 1000 per sekund. Detta har också gjort att hackare inte längre använder ordlistor för att knäcka enstaka lösenord. Värt att fundera på är om lösenord som vi har i dag (under 12 tecken långt) har någon säkerhet alls.
Ett extra problem för många är att man har kanske tio eller fler lösenord att komma ihåg på olika ställen, med olika frekvenskrav på byte till nytt passord. Efter ett tag har alla passord divergerat och är olika. Så, man behöver ett system. Själv har jag gett upp och håller mig nu till en hyfsat svår bassträng med ett löpnummer där löpnumret per konto är uppskrivet på en post-it lapp, samt en krypterad fil där en massa lösenord till konton som jag sällan använder finns.
Sen är det ju viktigt att se till att lösenordet inte transporteras i klartext till där man loggar in.
Gör motstånd mot övervakningen.
Det är inte så svårt att surfa lite mer anonymt via en egen TOR-router. LadyAda har förtjänstfullt dokumenterat hur man konfigurerar en baserad på Raspberry Pi, OnionPi. Testar en just nu och det fungerar förträffligt, dock något långsammare är vanligt. Mycket underhållande att Lars tror att han får nya unika besökare också…
Vill rätt till kraften i dagens maskiner gällande brute-force. Har själv haft behov av att knäcka ett lösenord på sistone och körde brute-force med 10^50 och med min CPU (Quad core @ 2800mhz) skulle det ta ca. 9 år. Däremot med min GPU (Radeon 7550) skulle det ta 28 dagar. En tid jag inte ville vänta utan tog ned en rainbowtable och kördes med CPU kraft. Knäckte då ett 10-tecken långt lösenord bestående av bokstäver och siffror på 13,5 minuter.