Fredrik Reinfeldts lösenord hos Adobe verkar, baserat på de som hade ett identiskt lösenord med läckta lösenordsledtrådar, varit “bananskal”. Så avancerad säkerhet tillämpar alltså Sveriges statsminister.
Döm själva utifrån ledtrådar hos övriga med samma lösenord. Notera att ÅÄÖ inte lagrats korrekt i ledtrådsdatabasen.
-standard
-banan
-Banan
-det vanliga
-hud p? frukt
-kaka
-gorillagillar
-monkeybusiness
-att halka pa
-bra
-aaasdfer
-playahead
-ackligt
-frukt
-frukt
-halkigt
-vanliga
-halkigt
-skal til frukt
-vanliga
-banan
-det gamla vanliga, gult
-ater jag
-skalad
-hmmmm
-blaaa
-frukt
-b1
-Kan halka p? skal
-skala banan
-fruktskal
-banan
-b
-liam
-bn
-halka
-B
-Enkelt
-dffddf
-vanliga
-skalbanan
-banan
-guleboj
-bananens yta
-banan
-mamma
-bananets skals kompis bror heter?
-Fruktskall
-gott
-gul
-Det vanliga
-fruktmedskal
-gul
-mums
-vad halkar man p?
-banan
-gamla vanliga
-frukt
Notera också hur många som använder “det vanliga”, “standard”, “gamla vanliga”, “vanliga” etc som lösenordsledtråd. Kort sagt använder de detta lösenordet på “alla” ställen. Om Fredrik Reinfeldt använder bananskal som lösenord även i andra sammanhang är svårare att avgöra, men IT-säkerhetskompetensen hos vår statsminister lämnar alltså en hel del att önska. Vi får hoppas att han nu omgående sätts i utbildning i hur man väljer lösenord om man är en statsminister.
Rent tekniskt är Fredrik Reinfeldts krypterade lösenord och utdrag ur lösenordsfilen följande:
142902638-|–|[email protected]|-WjpNrg6XzZszgMjd+wJwNw==-|-|–
En läsare använde följande UNIX-kommando för att få fram lösenordsledtrådarna hos övriga med samma krypterade lösenord.
$ awk -F’|’ ‘$4==”-WjpNrg6XzZszgMjd+wJwNw==-” && $5!=”-” {print $5}’
Min egen lösenordsledtråd hos Adobe var för övrigt “butik” om nu någon behagar kolla upp detta. Vilket säger mig något, men ingen annan, så lycka till med det. Lösenordet är förstås unikt i databasen.
Vad Fredrik Reinfeldts bruk av bananskal som lösenord visar är ännu en anledning till att inte använda ord som lösenord, eftersom det är sannolikt att någon annan använder samma ord, vilket leder till ovanstående sårbarhet. Lösenord ska innehålla kombinationer av små och stora bokstäver, tecken och siffror.
26 kommentarer
butik var väl lätt, fottoshop såklart,
Nja med tanke på intressena. Den gamla butiken: lasall#01, vid krokslätt eller var det var,
butik var väl lätt, fottoshop såklart,
OK, men låt oss säga att jag använt samma lösenord på adobe.com som jag använt i vissa andra sammanhang – hur hittar jag de andra sidor där jag ev. kan ha använt samma lösenord? Det känns ju, spontant, som att det viktigaste är att byta på mail/internetbank/ansiktsboken m.m. och kanske inte på åhlens klubbkortskonto (finns det något sådant?), eller har jag fel? Bör man även se över alla internethandlare m.m. som man ev. kan ha använt sig av? I så fall blir detta ett detektivarbete som kommer att ta många kvällar i anspråk. Tips på enklare sätt mottages gärna.
Om du använder samma lösenord på flera ställen, se till att ha olika säkerhetsnivåer på dem. E-post och bank bör ha lösenord som inte används någon annanstans.
För att skaffa helt unika lösenord på varje ställe är en bra grej att använda ett program som hanterar lösenorden. KeePassX är ett sådant program, men det finns flera olika. Ett slags databas för lösenorden alltså.
I efterhand kan en metod vara att söka igenom din e-postlåda efter bekräftelsemejl från när du registrerat dig på olika ställen. Själv har jag börjat på en lista över företag som jag har någon form av relation med för att göra den typen av arbete lite lättare.
@Emil
Jo, men det förutsätter dock att de sajter man besöker har en vettig (standardiserad) inloggningslösning som tillåter att man kan använda ett sådant program. Dessväre förekommer det vissa som får för sig att ju mer man djävlas med besökarna destu bättre säkerhet får man.
För övrigt är 9/10 lösenord av en karaktär som man nästan riskfritt skulle kunna publicera öppet. Det är ju bara ifall lösenordet leder till något av värde som det finns anledning att vara rädd om lösenordet. Jag gissar nästan att adobe-lösenordet är sånt som inte leder någonstans och då kan man lika gärna använda "bananskal" som lösenord (i nio fall av tio).
KeePass lagrar bara lösenorden, du loggar in på KeePass och copypastar in dem manuellt. Finns kanske enklare lösningar, men har du lösenordsdatabasen på ett dropboxkonto eller liknande kan du komma åt dem via en smartphone och har därmed alltid tillgång till dem. Låter man programmet generera olika lösenord som du själv inte kan till alla tjänster är du ganska säker.
"bananens yta" xD
"gorillagillar" och "monkeybusiness" var också bra.
Jag saknar Chiquita som ledtråd. Annars var det rolig läsning!
Om det nu stämmer att stridshingsten inte behövde någon ledtråd för att komma ihåg sitt lösenord, då måste han ha ett hästminne.
Eller fårskalle?
Har även hört från säker källa att han gillar franska köket, så han har även skaffat sig grodlår.
Vad kan man göra om man har någons lösenord hos adobe?
Verkar vara ett sådant ställe man skulle använda lägsta nivån av säkerhet. Typiskt ställe för ett standardlösenord som man använder när man egentligen struntar i om någon "knäcker" det.
Vad lösenorden saltade? För 9 små bokstäver hade man inte behövt använda ledtrådarna utan bara köra bruteforce 15 minuter eller så
Uppenbarligen var de inte saltade eftersom det gick att få fram alla med samma lösenord genom att söka på hashen.
De kan som sagt även varit saltade med samma salt. Nu vet jag inte hur det faktiskt låg till, men tekniskt sett kan det ju ha varit så.
De kan som sagt även varit saltade med samma salt. Nu vet jag inte hur det faktiskt låg till, men tekniskt sett kan det ju ha varit så.
Vad lösenorden saltade? För 9 små bokstäver hade man inte behövt använda ledtrådarna utan bara köra bruteforce 15 minuter eller så
Hade de varit saltade skulle väl risken för identiska strängar i lösenords-filen varit obefintlig. Otroligt att man inte saltar, trodde det var standard sedan många årtionden. Är det nån som vet vilken krypteringsalgoritm som användes?
Akisue och REXX, de kan säkert ha varit saltade, men med samma salt på alla, därav att det fanns flera likadana, men att de inte funnits att finna i några färdiga regnbågstabeller.
Answers to security questions are far more easily guessed than passwords.
http://cdixon.org/2008/04/26/bad-trend-of-the-week-security-questions/
apanHALKADEpåBananskal
Hade väl varit ett utmärkt lösenord enligt din gamla bild från XKCD? Lätt att komma ihåg också.
Ett bra lösenord är en lösenmening. T.ex. "Jag minns sommaren -78." Lätt att komma ihåg svårt att komma på.
Människor är dåliga entropikällor.
@motbok
Snarare tvärtom eftersom människor lokalt minskar entropin så sprider de entropi omkring sig…
Jag trodde det var stridshingst..
http://xkcd.com/1286/
Glöm inte att "hovra" muspekaren över bilden på sidan. 🙂
/Jäsp