Besvart Lagres passord i klartekst?

[emptychange]

Lagres passordet mitt i klartekst på serveren deres? Jeg stusset etter at jeg leste: "Gjetting av passord til andres kontoer er også forbudt. Velg passord som ikke kan gjettes enkelt. Vi vil ikke gjenopprette kontoer eller tropper som er tapt på grunn av passord som er lett å gjette."

Dere har da ingen måte å finne ut hva mitt passord er? Vil dere vite hva mitt forrige passord er?

 

[Dakapo]

Nei, vi ser ikke hvilket passord du har.

 

[DeletedUser]

Det åpenbare oppfølgingsspørsmålet: Hva bruker dere da til å vurdere hvorvidt det er lett å gjette på passordet? En automatisk generert algoritme av noe slag?

 

[emptychange]

Hvis de hadde en algoritme som finner passord som er enkle å gjette, ville de ikke da brukt den når du lagde passordet eller iallefall gi beskjed om det?

 

[DeletedUser]

Dunno? Impliserer du at siden de ikke har lagt den inn, så har de faktisk ingen måte å vite om passordet er lett å gjette eller ikke? :Surprised:

Et annet spørsmål er jo om det skal være lett å gjette for en datamaskin, eller et menneske.

 

[Dakapo]

I de aller fleste tilfeller hvor en spiller mister kontoen sin pga at noen har klart å gjette seg fram til passordet, er passordet så enkelt at dem kommer inn på første/andre forsøk. Selv om vi ikke ser nøyaktig hva passordet er, så er det ikke hjernekirurgi. Vi spør også i mange tilfeller om passordet kanskje var litt for enkelt og får da gjerne bekreftelse (eller avbekreftelse) på det uten å få selve passordet. De aller fleste klarer å skjønne at passord som er 123456 ikke er spesielt sikkert.

 

[emptychange]

Dunno? Impliserer du at siden de ikke har lagt den inn, så har de faktisk ingen måte å vite om passordet er lett å gjette eller ikke? :Surprised:

Et annet spørsmål er jo om det skal være lett å gjette for en datamaskin, eller et menneske.

Standard sikkerhet på halvseriøse nettsider er å MD5-hashe et passord. Da blir feks: "12345678" til "25d55ad283aa400af464c76d713c07ad", den siste er det som er lagret på serveren. Hver gang du logger inn, blir "12345678" (selvsagt ditt passord og ikke mitt) kjørt gjennom MD5 algoritmen, og da vil serveren sammenligne MD5-hashen av det du skrev inn, med den lagret i databasen. Så hvis dakapo, eller innogames sjekker databasen vil de bare se rader som: "25d55ad283aa400af464c76d713c07ad", uten å vite hva passordet er. Da kan man fortsatt finne passordet, men på selv en relativt brukbar datamaskin vil det ta en stund.

På sikre sider vil de bruke dobbel MD5 med salt, det vil si at de feks legger inn et ord i midten, eller etter så og så mange treng, feks kunne saltet vært dakapo, da vil serveren legge "dakapo" mitt oppi "12345678" sånn at det ser ut slik: "1234dakapo5678" og deretter kjøre den gjennom MD5 algoritmen, for så å legge til nytt salt, og så kjøre det gjennom igjen. På denne måten trengs det ennå mer tid for å finne originalpassordet for uvedkommende.

På oppdaterte sider vil de bruke sha256 med salt. Da vil "1234578" se ut slik: ef797c8118f02dfb649607dd5d3f8c7623048c9c063d532cc95c5ed7a898a64f

Riktig lagring av passord er viktig siden mange personer bruker samme passord flere steder. En enkel MD5-hash kan enkelt dekrypteres.

 

[emptychange]

I de aller fleste tilfeller hvor en spiller mister kontoen sin pga at noen har klart å gjette seg fram til passordet, er passordet så enkelt at dem kommer inn på første/andre forsøk. Selv om vi ikke ser nøyaktig hva passordet er, så er det ikke hjernekirurgi. Vi spør også i mange tilfeller om passordet kanskje var litt for enkelt og får da gjerne bekreftelse (eller avbekreftelse) på det uten å få selve passordet. De aller fleste klarer å skjønne at passord som er 123456 ikke er spesielt sikkert.

Hva hvis passordet blir tilegnet via en annen nettside? For eksempel ble brukerdatabasen til PSN lekket, og den historien er ikke unik. Passorddatabaser blir lekket hele tiden, vil dere ikke hjelpe noen å få kontoen tilbake hvis passordet har blitt lekket fra en tredjepart?

Det ville kanskje vært fint med retningslinjer for hva et sikkert passord er, jeg kan forsikre deg om at det er et betydelig antall som ikke vet noe om passordsikkerhet. Statistisk analyse av lekkete passord viser jo at 3 av 10 passord er helt bak mål.

Hvis passordet mitt blir gjettet vil jeg iallefall ikke si at passordet mitt var for lett å gjette. Jeg ville muligens svart noe som: "Uten inngående kunnskap om datasikkerhet og psykologi anser jeg ikke meg selv som kompetent til å belyse dette spørsmålet". Samtidig kan dere ikke motbevise det, da passordene er hashet på serveren deres. Fjollete regel egentlig, og hvis vedkomne som mister kontoen har kjøpt premiumpoeng vil dere ikke hjelpe? Det kan da umulig være lov? Jeg kan godt søke opp lovhjemmelen jeg ville brukt hvis min konto ble stjålet, men jeg er ganske sikker.

 

[Dakapo]

Vi hjelper til så langt det lar seg gjøre.

 

[DeletedUser]

I de aller fleste tilfeller hvor en spiller mister kontoen sin pga at noen har klart å gjette seg fram til passordet, er passordet så enkelt at dem kommer inn på første/andre forsøk. Selv om vi ikke ser nøyaktig hva passordet er, så er det ikke hjernekirurgi. Vi spør også i mange tilfeller om passordet kanskje var litt for enkelt og får da gjerne bekreftelse (eller avbekreftelse) på det uten å få selve passordet. De aller fleste klarer å skjønne at passord som er 123456 ikke er spesielt sikkert.

Det virker urimelig. Selv av enkle passord er det så mange alternativ at det å gjette seg fram til det på første forsøk er ganske imponerende. Skal vi se...

[spoil]

• 123
• 1234
• 12345
• 123456
• Brukernavnet
• Brukernavnet med leet speak ( mange alternativ her! )
• Brukernavnet pluss årstall
• Brukernavnet pluss alder
• Brukernavnet pluss vilkårlig tall
• Kjærestens navn
• Favorittband
• TV serien man ser på når man registrerer seg
• 4321
• Pin-koden sin
• Variasjoner av "tribal wars"

[/spoil]

...need I carry on? "Lett" er et veldig relativt begrep. Alle disse passordene er "lette" i en viss forstand. Folk flest legger også forskjellige ting i hva man mener med med lette passord - typisk tenker man at man absolutt må ha mange rare tegn for å ha et sikkert passord. Men tar man et vilkårlig ord i et vilkårlig språk er det vanskelig å gjette seg til det. Allikevel kan nok noen svare at det er et "lett" passord å gjette seg til.

Det tar heller ikke for seg problemer med keylogging som tydeligvis er en reell trussel.

Den delen av regelen virker ikke spesielt fornuftig å ha med. Virkelig, dette er jo ikke akkurat hjernekirurgi!

Dessuten, er ikke hjernekirurgi i stor grad et manuelt arbeid? Finesse, ja, helt klart. Veldig imponerende yrke. Ja, de må også holde seg oppdatert på medisinsk forskning, men det er mer et spørsmål om å tilegne seg faktakunnskaper, heller enn å forstå ekstremt kompliserte ting.

Standard sikkerhet på halvseriøse nettsider er å MD5-hashe et passord. Da blir feks: "12345678" til "25d55ad283aa400af464c76d713c07ad", den siste er det som er lagret på serveren. Hver gang du logger inn, blir "12345678" (selvsagt ditt passord og ikke mitt) kjørt gjennom MD5 algoritmen, og da vil serveren sammenligne MD5-hashen av det du skrev inn, med den lagret i databasen. Så hvis dakapo, eller innogames sjekker databasen vil de bare se rader som: "25d55ad283aa400af464c76d713c07ad", uten å vite hva passordet er. Da kan man fortsatt finne passordet, men på selv en relativt brukbar datamaskin vil det ta en stund.

På sikre sider vil de bruke dobbel MD5 med salt, det vil si at de feks legger inn et ord i midten, eller etter så og så mange treng, feks kunne saltet vært dakapo, da vil serveren legge "dakapo" mitt oppi "12345678" sånn at det ser ut slik: "1234dakapo5678" og deretter kjøre den gjennom MD5 algoritmen, for så å legge til nytt salt, og så kjøre det gjennom igjen. På denne måten trengs det ennå mer tid for å finne originalpassordet for uvedkommende.

På oppdaterte sider vil de bruke sha256 med salt. Da vil "1234578" se ut slik: ef797c8118f02dfb649607dd5d3f8c7623048c9c063d532cc95c5ed7a898a64f

Riktig lagring av passord er viktig siden mange personer bruker samme passord flere steder. En enkel MD5-hash kan enkelt dekrypteres.

Huh, spennende. Takk for detaljert svar :mehe:

Jeg tok en tur på Wikipedia og leste meg opp på det der. Det eneste av kryptering jeg har noe kjennskap til fra før av er RSA algoritmen, og det på den noe teoretiske siden.

 

[emptychange]

Hvis noen kommer inn på første eller andre forsøk ville jeg anta at passordet er tilegnet via en annen kilde. På tre til fem forsøk vil man nok klare å gjette 10% av passordene.

 

[DeletedUser]

Hvis noen kommer inn på første eller andre forsøk ville jeg anta at passordet er tilegnet via en annen kilde. På tre til fem forsøk vil man nok klare å gjette 10% av passordene.

Det syns jeg virker som et optimistisk estimat.

For å se på de eksemplene jeg lista opp i forrige innlegg....

• 123 ( 1 alt. )
• 1234 ( 1 alt. )
• 12345 ( 1 alt. )
• 123456 ( 1 alt. )
• Brukernavnet ( 1 alt. )
• Brukernavnet med leet speak ( La oss si 10 alt. )
• Brukernavnet pluss årstall ( 2 alt. hvis man vet når spilleren ble født, eks 1987 og 87 )
• Brukernavnet pluss alder ( 1 alt. )
• Brukernavnet pluss vilkårlig tall ( uendelig alternativ, men la oss si at uendelig er omtrent det samme som 10 alt. )
• Kjærestens navn ( 1 alt. )
• Favorittband ( La oss si at man kjenner til bandene spilleren liker, så 5 alt. )
• TV serien man ser på når man registrerer seg ( La oss si 5 alt., samme som forrige eksempel )
• 4321 ( og 321, etc., så si 4 alt.
• Pin-koden sin ( Kjenner noen pin-koden din har du større problemer enn TW, tror jeg. Ren gjetting blir jo 10 000 alt., så la oss si 10 alt. )
• Variasjoner av "tribal wars" ( La oss si 5 alt. )

Bare der har vi 58 alternativ... og da forutsetter jeg veldig god kjennskap til personen man skal gjette passordet til. For ikke å nevne veldig lave estimerte antall alternativ.

Sannsynligheten for å gjette riktig på de forskjellige forsøkene blir da:

1. 1/58 ~ 1.7 %
2. 1/57 ~ 1.8 %
3. 1/56 ~ 1.8 %
4. 1/55 ~ 1.8 %
5. 1/54 ~ 1.8 %

Huh, magefølelsen din var god.

Poenget er i hvertfall at det er uansett veldig vanskelig å gjette seg til selv "enkle" passord, og den regelen er håpløs og burde endres.

 

[emptychange]

Du går utifra at alle passordene er like ofte representert. Det er feil.

123456 = 1666 (0.38%)
password = 780 (0.18%)
welcome = 436 (0.1%)
ninja = 333 (0.08%)
abc123 = 250 (0.06%)
123456789 = 222 (0.05%)
12345678 = 208 (0.05%)
sunshine = 205 (0.05%)
princess = 202 (0.05%)
qwerty = 172 (0.04%)

Er eksempler fra når Yahoo sin brukerdatabase ble lekket. Man kan jo lure på om det er høyere eller lavere sannsynlighet for at noen bruker "123456" på et spill enn hos Yahoo. Etter 250 forsøk med "123456" vil du statistisk sett ha tilgang til en konto. Men ja, kanskje jeg var litt optimistisk, men det finnes vell ingen lovlig måte å sjekke på

 

[DeletedUser]

Du har rett. Jeg burde nevnt den noe feilaktige, men forenklende, antakelsen. Det var mest for å gi en ( grov ) idé om hvor "lett" det er å gjette passord. Forutsatt at man faktisk vet at brukeren har et "lett" passord.

Det kunne vært interessant å teste det ut da. Så lenge man gjorde det på en maskin som ikke kan spores av teamet - i kunnskapens navn, selvfølgelig. Men jeg tror ikke de 6,375 aktive brukerne på .no ( TWStats ) er et stort nok utvalg spillere til å si veldig bastant om vi har samme fordeling. Kanskje vi heller burde gjøre det på .net. Der har vi jo også en internasjonal spillergruppe, slik som det er på Yahoo.

 

[DeletedUser]

:IJ

du kan da også ha noen syke passord. som jhvku:OP hgty og hvis man da har det så er dette ikke lett verken på hukommelsen din eller andres

 

[emptychange]

du kan da også ha noen syke passord. som jhvku:OP hgty og hvis man da har det så er dette ikke lett verken på hukommelsen din eller andres

Da er det mye bedre med passord som jeg bruker, feks "poteter og hester liker å spise kebab!", utrolig enkelt å huske, og det inneholder langt mer entropi enn ditt forslag. Setnigner er best-practise for passord.

Igjen sier XKCD det bedre enn meg:

http://imgs.xkcd.com/comics/password_strength.png

 

[emptychange]

Jeg har også brukt passordgeneratorer som lager uttalbare passord, som De;woo:\t0, da husker du det du trenger å uttale og tegnene i mellom er ikke SÅ vanskelige.

 

[DeletedUser]

Hmm, er noen i teamet obs på denne problemstillingen rundt passordstyrke? Eller velger dere å reagere på deres vanlige vis?

[spoil]

[/spoil]

 

[Dakapo]

Hmm, er noen i teamet obs på denne problemstillingen rundt passordstyrke? Eller velger dere å reagere på deres vanlige vis?

[spoil]

[/spoil]

Jeg kan ikke akkurat se at det har vært noe for meg eller andre i teamet å svare på. Ikke har jeg nok peiling på det emptychange skriver om til å uttale meg heller, hverken den ene eller andre veien.

Eller tenkte du på noe helt annet som forsvant mellom det du og emptychange snakket om?

 

[DeletedUser]

Jeg kan ikke akkurat se at det har vært noe for meg eller andre i teamet å svare på. Ikke har jeg nok peiling på det emptychange skriver om til å uttale meg heller, hverken den ene eller andre veien.

Eller tenkte du på noe helt annet som forsvant mellom det du og emptychange snakket om?

Det var faktisk blant annet noe av det jeg svarte deg på. Prøv å les gjennom en gang til. Det er ikke akkurat hjernekirurgi, bare statistikk og sannsynlighet.