Fake om folk och deras lösenord

Jag byter mönstret i mitt system varje år...*host* nästan... *harkel.
Man behöver ju inte följa just det mönstret i mitt exempel.
Ytterligare exempel:
(Födelseår - (antal tecken i domänen x 10) ) + specialordmönster + 2 slumpvalda tecken. + (årtal + mitt födelseår)
Specialordmönstret kan vara en korsning tär man varvar bokstäver från ett par tre olika ord av samma längd:
Två ord av samma längd och det tredje ordet är de x antal första tecknen i domännamnet. I detta exempel 4 tecken:

test
----
1111

star
----
2222

swec
----
3333

Blir då följande:

t s s e t w s a e t r c
- - - - - - - - - - - -
1 2 3 1 2 3 1 2 3 1 2 3

Exempel baserat på mönstret ovan:

• Sweclockers: 1830tssetwsaetrc#$3995

• Facebook: 1860tsfetasactre#$3995

• Google: 1880tsgetosaotrg#$3995

Betydligt knepigare för en oinvigd att lista ut vad mönstret består av, även om denne får tag på flera lösenord att jämföra med varandra.
Men tillräckligt enkelt för mig att memorera. Inte lösenorden, men mönstret som används. Kan krävas lite tankekraft första gångerna när man bytt system, men efter ett tag så memorerar man ändå delar av lösenordet.
Och angående specialordmönstret: Där använder skriver man bara varje ord var för sig, men i kombination med piltangenterna så att orden sammanvävs automatiskt när man skriver dem.

T.ex:
Första ordet i ren form:
test
Väv in andra ordet med hjälp av bokstav + pil höger:
tsetsatr
Väv in tredje ordet med hjälp av bokstav + pil höger 2ggr.
tssetwsaetrc

Voilá!

Dock inte omöjligt för någon att lista ut det om de bara ser till att fundera ordentligt på det. Men det är i alla fall inte glasklart vid första anblick.
Det är bara ens egen fantasi som sätter gränsen på hur komplicerat man vill ha det. Vem säger att det måste vara ord med enbart gemener? Ett av orden kan också vara en grupp specialtecken också. Istället för "star", kan man ha: "%$¥*"
Exempel: teST + %$¥* + sWeC = t%se$WS¥eT*C.
De tre separata grupperna är lätta att memorera, men svårt för oinvigda att lista ut när de bara ser de sammanvävda kombinationerna.
...och längre ord än 4 tecken... fungerar också.

3 stycken 12 tecken långa grupper: (Första ordet l33tifierad)
k0rp1lomb01o + !"#¤%&/()=!" + sweclockers. = k!s0"wr#ep¤c1%ll&oo/cm(kb)e0=r1!so".
Bara den kombinationen utan ytterligare tillägg är redan starkt nog, och lätt att komma ihåg.
Enligt https://howsecureismypassword.net/ tar det en "desktop-dator" bara 429 novemdecillion år, då det ger 54 quinquavigintillion kombinationer.
Den andra teckengruppen är bara sifferraden på tangentbordet i rak följd med skift intryckt: 123456789012 = !"#¤%&/()=!"
(Tidsuppskattningarna från howsecureismypassword får tas med en grävskopa salt men ger ändå en liten fingervisning )

Tillägg:
Personligen är lite emot att använda lösenordsdatabaser. Oavsett hur stark kryptering de än använder.
Kan jämföras lite med att låsa in alla sina unika nycklar i ett kassaskåp, och sedan bara ha en nyckel till kassaskåpet.
...och givetvis väljer man ett säkert lösenord även där, som kräver att det antecknas... (Hänga nyckeln bredvid kassaskåpet.)
Visst kan man använda mitt system för databasen, men hur som så är alla lösenorden utbytta mot ett enda lösenord.
Man kan också dubblera säkerheten genom att köra med nyckelfiler + lösenord. Skulle endera komma på villovägar, så blir det lite svårare ör utomstående att ta sig in.

Det en hacker inte kan fixa med "brute force", tar denne med "social engineering".

Tillägg:
Personligen är lite emot att använda lösenordsdatabaser. Oavsett hur stark kryptering de än använder.
Kan jämföras lite med att låsa in alla sina unika nycklar i ett kassaskåp, och sedan bara ha en nyckel till kassaskåpet.
...och givetvis väljer man ett säkert lösenord även där, som kräver att det antecknas... (Hänga nyckeln bredvid kassaskåpet.)
Visst kan man använda mitt system för databasen, men hur som så är alla lösenorden utbytta mot ett enda lösenord.
Man kan också dubblera säkerheten genom att köra med nyckelfiler + lösenord. Skulle endera komma på villovägar, så blir det lite svårare ör utomstående att ta sig in.

Det en hacker inte kan fixa med "brute force", tar denne med "social engineering".

Jag kan erkänna att jag kommit över andras Keepass databaser och tillhörande lösenord med hjälp av lite "social engineering".

Grejen är den är att du nu behöver komma ihåg ett lösenord, med lite vilja kan du komma ihåg ett bra lösenord utan att skriva ner det. Ingen som är seriös skriver ner ett lösenord som i ditt exempel.

Om du kan komma åt lösenordet med social engineering så har personen inte varit tillräckligt vaksam. Har du mer konkreta exempel hur du lyckades?

Tjah... satt just ock skrev lite snabbt hur jag gjorde, men insåg att det skulle bryta mot regel §8.

Men... tips till er alla: sd-kort märks inte att de sitter i förrän datorägaren själv skall nyttja kortläsaren, och fåtal nyttjar den alls. och datorer är ovanligt ofta konfigurerade att starta på externt media innan den interna hårddisken.

...och en pyttelitet självraderande Linux-system som inte har någon skärmutmatning (Svart skärm)... det enda datorägaren märker är dubbel POST med några sekunders fördröjning.

...och för lösenordet... Heh... shoulder surfing.
En anonym FTP-server senare så är "den obemärkta förlusten" ett faktum.

Inte alltid att det lyckas, men ibland så...

Kör KeePass syncat till alla enheter via dropbox. Kör genererade lösenord därifrån. Lösenordet till databasen är långt som fan med vissa liknelser till det xkcd beskriver.

Dropbox är väl den svagaste länken i detta fall. Litar inte direkt på att de håller min data säker. Men databasen är ju krypterad så jag anser det vara tillräckligt. Man kan alltid hitta bättre lösningar, det är en balansgång. Tidigare hade jag typ samma lösenord till allt, så ur den synvinkeln är det ju en uppgradering. Jävligt bekvämt är det iaf.

Oj. Långt svar :).
Förstå mig rätt, jag håller som sagt med dig om att de är ett bra system. Eller, väldans bra för det är ju säkert som tusan.
Men det blir ju lite knivigt för minnet när en site blir hackad och man då antingen måste göra en avstickare i systemet för just den siten eller byta alla sina lösenord till ett nytt system.
Det är supersduper ur säkeehetssynpunkt men mindre snällt för minnet när någon av ens tjänster blir attackerad.
Klarar man av det där så äre ju fantastiskt. Själv är jag inte så vass (haha) och då kommer lösenordshanteraren till undsättning.

Tjah... satt just ock skrev lite snabbt hur jag gjorde, men insåg att det skulle bryta mot regel §8.

Men... tips till er alla: sd-kort märks inte att de sitter i förrän datorägaren själv skall nyttja kortläsaren, och fåtal nyttjar den alls. och datorer är ovanligt ofta konfigurerade att starta på externt media innan den interna hårddisken.

...och en pyttelitet självraderande Linux-system som inte har någon skärmutmatning (Svart skärm)... det enda datorägaren märker är dubbel POST med några sekunders fördröjning.

...och för lösenordet... Heh... shoulder surfing.
En anonym FTP-server senare så är "den obemärkta förlusten" ett faktum.

Inte alltid att det lyckas, men ibland så...

Jag har också börjat med ett system, iaf på mina viktigaste saker. Jag förstår din tanke, men risken att någon sitter och hittar ditt lösensystem även fast de har databasen känns väldigt "far fetched". Tänker på de faktum att:

a: De har bara fått ett lösen, är systemet bra går det inte att knäcka systemet, särskilt med tanke på att du ÄNDÅ har en del slumpmässiga delar i det.

b: Hackern har fått tag på en databas med 10 000-tals till miljontals lösenord. För att få ut något vettigt lär du som hacker ändå använda bottar som letar, och är det bra gjort kommer botten kassera det som en användare som är duktig och har slumpmässiga, unika överallt och därför ej är värd att lägga tid på. Lite "you don't need to be faster than the bear, just faster than the slowest camper". Ja, NSA kanske kan ta sig in i mina grejer, men lets face it, vill dem det gör dem det oavsett

Jag förstår inte resonemanget. Kör jag en man-in-the-middle-attack eller kommer åt en databas där ditt lösenord finns sparat kvittar det om ditt lösenord är "1234" eller 3 miljoner slumpvis utvalda tecken.

Jag begriper inte hur alla ni som kör lösenordshanterare klarar av det. Har ni bara en dator? Ingen mobil? Surfplatta? Använder ni aldrig någon dator eller annan enhet som inte tillhör er?

Är inte detta fake-intervjuer?
Tror knappast att folk är dumma i huvudet.

Hur gör ni själva? Har era lösenord i huvudet och utalar dem inte ens högt på skogspromenader eller har ni gömt dem under hålslagaren på arbetet eller till och med använder en password-manager som tex Lastpass?

LfFcfQOeRTU

En fråga, hur pass säkra är lösenordshanterare? Vad är garantin att dessa inte säljer alla lösenord till hackers, NSA eller något annat skit?

En fråga, hur pass säkra är lösenordshanterare? Vad är garantin att dessa inte säljer alla lösenord till hackers, NSA eller något annat skit?

En fråga, hur pass säkra är lösenordshanterare? Vad är garantin att dessa inte säljer alla lösenord till hackers, NSA eller något annat skit?