E-sportsorganisationen ESEA hackad – över 1,5 miljoner konton på vift

Permalänk
Melding Plague

E-sportsorganisationen ESEA hackad – över 1,5 miljoner konton på vift

Efter att ha utsatts för en hackerattack under förra månaden har nu användaruppgifter från ESEA:s webbplats läckt ut. Uppskattningsvis rör det sig om över 1,5 miljoner användarkonton.

Läs hela artikeln här

Visa signatur

Observera att samma trivselregler gäller i kommentarstrådarna som i övriga forumet och att brott mot dessa kan leda till avstängning. Kontakta redaktionen om du vill uppmärksamma fel i artikeln eller framföra andra synpunkter.

Permalänk
Medlem

Nu kommer hacker-nyherna om kapade konton komma som brev på posten. 10 dagar in på 2017 och det är igång.
Tråkigt.

Skickades från m.sweclockers.com

Visa signatur

🖥️ Fractal Design Node 804 • Asrock Fatal1ty X99M Killer • Intel 5820K • Noctua NH-U12S • Corsair Vengeance 16GB • Gigabyte GTX 970 • be quiet! Dark Power Pro 550w • 2x Intel 520 120GB • 2x 1TB • 1x 3TB
💻 Microsoft Surface Pro (8GB/128GB)
 iPhone 11 64GB 🎧 SONY WH-1000XM3
🎵📲 SONY NW-ZX300 64GB [Region changed & Mr Walkman custom firmware loaded] + 256GB xtra • Audio Technica ATH-M50X

Permalänk
Inaktiv

Inte konstigt att de ej betalar när det enbart var deras kunders känsliga information som läckte och ej deras egen.

Permalänk
Medlem
Skrivet av anon159643:

Inte konstigt att de ej betalar när det enbart var deras kunders känsliga information som läckte och ej deras egen.

Vad garanterar att hackarna inte kommer kräva mer, eller går ut med uppgifterna i varje fall? We don't negotiate with terrorists.

Visa signatur

Intel i5 13600K- RTX 3060 - 32 GB Corsair Vengeance 3000 MHz DDR4

Permalänk
Entusiast
Skrivet av anon159643:

Inte konstigt att de ej betalar när det enbart var deras kunders känsliga information som läckte och ej deras egen.

Om de betalar dröjer det inte länge förräns nästa hacker kommer med samma krav.

Visa signatur

PS5 :: Switch :: Steam :: StarCraft II

Permalänk
Medlem
Skrivet av RVX:

Nu kommer hacker-nyherna om kapade konton komma som brev på posten. 10 dagar in på 2017 och det är igång.
Tråkigt.

Skickades från m.sweclockers.com

Som ett brev på posten har dock inte samma tyngd som innan postnord tog över.

Visa signatur

42? Seven and a half million years and all you can come up with is 42?!
► FD Define R2 | Win10Pro | i7-3770K | Hyper212+ SP120PWM | P8P67 PRO | CML8GX3M2A1600C9 | 1080 Ti | AX750 | Asus VG27WQ | Eizo S2100 |► Raspberry Pi 3B | Osmc |► OnePlus 6 |

Permalänk
Skäggig legend

Jag fick byta lösenord i förregår, är detta varför? Jag har helt missat detta.

Visa signatur

Tråden om Skägg!
My cave...
Ryzen 5 3600@4,3Ghz - 16GB CL16 - RTX 3070 - Kingston Fury M.2 2TB
🎧Schiit Hel + DT-770 PRO - NAD C316 - B&W 685 - LG 65" OLED B6
 Watch Series 5 4G - Macbook Pro 13" 2015 - iPhone 11 PRO 256GB 

Permalänk
Medlem
Skrivet av anon159643:

Inte konstigt att de ej betalar när det enbart var deras kunders känsliga information som läckte och ej deras egen.

Hvilken garanti ville ESEA ha for at hackers ikke vill selge videre disse opplysningene, dersom de ville ha betalt?

Permalänk
Medlem
Skrivet av xfade:

Som ett brev på posten har dock inte samma tyngd som innan postnord tog över.

Hörde att dom tydligen bytt namn till Postmord

Skickades från m.sweclockers.com

Visa signatur

🖥️ Fractal Design Node 804 • Asrock Fatal1ty X99M Killer • Intel 5820K • Noctua NH-U12S • Corsair Vengeance 16GB • Gigabyte GTX 970 • be quiet! Dark Power Pro 550w • 2x Intel 520 120GB • 2x 1TB • 1x 3TB
💻 Microsoft Surface Pro (8GB/128GB)
 iPhone 11 64GB 🎧 SONY WH-1000XM3
🎵📲 SONY NW-ZX300 64GB [Region changed & Mr Walkman custom firmware loaded] + 256GB xtra • Audio Technica ATH-M50X

Permalänk
Entusiast
Skrivet av morotis:

Vad garanterar att hackarna inte kommer kräva mer, eller går ut med uppgifterna i varje fall? We don't negotiate with terrorists.

Precis.

Och i det här fallet så kan man ju skydda sig riktigt effektivt precis som på samtliga webbsidor genom att använda olika lösenord för varje sida.

Visa signatur

Den digitala högborgen: [Fractal Design Meshify C] ≈ [Corsair RM850x] ≈ [GeForce RTX 3080] ≈ [AMD Ryzen 7 7800X3D ≈ [Noctua NH-U14S] ≈ [G.Skill Flare X5 32GB@6GHz/CL30] ≈ [MSI MAG B650 TOMAHAWK] ≈ [Kingston Fury Renegade 2 TB] ≈

Permalänk
Inaktiv
Skrivet av Uzanar:

Precis.

Och i det här fallet så kan man ju skydda sig riktigt effektivt precis som på samtliga webbsidor genom att använda olika lösenord för varje sida.

Detta har jag gjort på flera sidor och skyddet är så bra så att absolut ingen kommer in på kontona längre...
Det blir dock att använda system, men system kan knäckas. Sedan finns det tjänster, men om de knäcks så kommer de åt alla.

Nå jag gör något mellanting och allt men som de flesta skulle behöva studera ämnet bättre.

Permalänk
Medlem
Skrivet av anon159643:

Detta har jag gjort på flera sidor och skyddet är så bra så att absolut ingen kommer in på kontona längre...

Om jag försöker vara för säker och väljer ett lösenord som inte bygger på de standarder jag sätter upp så glömmer jag ofelbart bort lösenordet och måste begära ett nytt. Varje gång jag använder tjänsten...

Annars får man försöka klassificera de tjänster man använder. Mailkonton = långt lösen, strömningstjänsten utan personlig/finansiell information = ett enkelt lösenord som det inte gör ngt om det blir hackat.

Sedan handlar det om, också, att hålla nere attackytan, precis som med servrar. Man måste kanske inte ha ett konto på alla siter. Jag väljer ofta bort siter där jag måste regga mig av just den anledningen.

Permalänk
Medlem

Funderade dagen innan om jag skulle skaffa ESEA eller Faceit, blev Faceit och så här i efterhand var det nog ett bra val

Edit: Dagen innan de blev hackade det vill säga

Visa signatur

PC: CPU: 5600x | Kylare: Corsair H115i Platinum | GPU: RTX 3070 | MOBO: B550 Carbon Wifi |

Permalänk
Medlem
Skrivet av morotis:

Vad garanterar att hackarna inte kommer kräva mer, eller går ut med uppgifterna i varje fall? We don't negotiate with terrorists.

Jahaa så allt man gör nuförtiden som är olagligt så är man terrorist?
Kan du definition av terrorism?
Tydligen inte. Men tråkigt att höra dessa nyheter

Skickades från m.sweclockers.com

Permalänk
Medlem
Skrivet av Epsilon:

Jahaa så allt man gör nuförtiden som är olagligt så är man terrorist?
Kan du definition av terrorism?
Tydligen inte. Men tråkigt att höra dessa nyheter

Skickades från m.sweclockers.com

Måste jag avsluta inlägget med /s för att du ska förstå att sista meningen var skriven med glimten i ögat?

Visa signatur

Intel i5 13600K- RTX 3060 - 32 GB Corsair Vengeance 3000 MHz DDR4

Permalänk
Medlem

Jaha, så händer det ännu en gång i raden, 1.5 miljoner mailadresser till nigeriaspammarnas listor. Jaja, man kan väl iofs anta att de redan hade de flesta....

Varenda gång detta händer undrar jag varför i helvete det inte är standard att användarna får välja om mailadresser ska lagras på communityns servers eller ej. Användarnamnen ska väl räcka som unik identifier, och det borde vara upp till användarna att välja om de hellre riskerar att inte kunna återställa sina konton än att få sin mailadress sönderspammad...

Visa signatur

Nu lurade jag dig att slösa bort ett par värdefulla sekunder av ditt liv på att läsa denna fullständigt poänglösa signatur!

Permalänk
Inaktiv
Permalänk
Medlem

Har Ryssarna varit på gång igen?

Visa signatur

CPU: Ryzen 7 3700X MB: X570 Aorus Ultra Mem: Corsair Vengeance RGB Pro 2x16GB DDR4 @ 3200 MHz CL16 GPU: Radeon RX Vega 56 SSD: Corsair Force MP510 960GB Case: FD Meshify C PSU: Corsair RM 750W Display: Acer 35" Predator XZ350CU OS: Win10 Pro

Permalänk
Medlem
Skrivet av Gruarn:

Om jag försöker vara för säker och väljer ett lösenord som inte bygger på de standarder jag sätter upp så glömmer jag ofelbart bort lösenordet och måste begära ett nytt. Varje gång jag använder tjänsten...

Annars får man försöka klassificera de tjänster man använder. Mailkonton = långt lösen, strömningstjänsten utan personlig/finansiell information = ett enkelt lösenord som det inte gör ngt om det blir hackat.

Sedan handlar det om, också, att hålla nere attackytan, precis som med servrar. Man måste kanske inte ha ett konto på alla siter. Jag väljer ofta bort siter där jag måste regga mig av just den anledningen.

Samma här...

Dom master-passorden som man kan utantill skall man vara rädd om och använda sparsamt och i kontrollerad miljö (utvalda mailboxar, passords-arkiv, lösenordshanterare i webbbrowser, truecrypt/veracrypt-arkiv mm.)

Alla nätbaserade tjänster där man kan resetta passordet till en giltig mail-adress så slänger man in en maskingenererad slumpmässig passord på minst 12 tkn. och så låter man datorn/Webbrowsen/lösenordshanterar komma ihåg det åt en. Sådana passord skall man kunna byta när som helst då passord som man kommer ihåg utantill med rimlig träningsdos är att anse som mer eller mindre snabbt knäckbart.

Svårknäckta långa passord är mer eller mindre omöjliga att lära sig utantill för de flesta, det är bättre att ha svåra slumpmässigt framtagna passord på en lapp/kort i plånboken än att använda en lättlärd sådan som används överallt... http://www.passwordcard.org - bygger på temat och en passord typ "E{S2*f[9TWb/t]Zr" (16 tkn) är fruktansvärt svår att lära sig utantill för majoriteten av brukarna och om man mot förmodan lärt sig utantill - väldigt ovillig att byta senare...

Idag måste ett fullständig slumpmässig passord (stora/små,siffror och specialtecken) vara minst 12 tkn lång för att ha en viss attackresistans och helst 16 tecken lång - och styrkan ligger i att det är _helt_ slumpmässigt framtagen samt att användaren inte får möjlighet att välja mellan speciellt många alternativ, för så fort teckensekvens med aktiv val, vagt kanske är uttalbar eller påminner om ord så sjunker styrkan direkt... det finns somliga passordsgeneratorer som genererar sekvenser som är tänkt att vara uttalbara (på engelska oftast) men dom ger då samtidigt mycket svagare passord och man måste ha betydligt fler tecken istället (och då är man allt närmare passfraser).

Passfras avser ofta teckenföljd större än 20 tecken och tar man fram ordsekvenserna slumpmässigt tex. enligt diceware (tex. via https://www.rempe.us/diceware/#swedish ) så motsvarar varje ord nästan 2 st slumpmässiga tecken i ett passord.

För 12 teckens slumpmässig passord i styrka (och kan se ut som följande "E{S2*f[9TWb/") så behöver man ta fram 6 ord enligt dicewares metod (och resultatet kan i svensk tappning se ut enligt "rumla-trasa-shake-svepa-gosse-undan" (skiljetecknen mellan orden skall vara kvar men kan bytas ut till annat tecken, mellanslag avråds dock)), och följaktligen 8 ord för motsvarande en 16 tkn slumpmässig passordssekvens.

Styrkan mot attack är i stort sett lika för båda alternativen och styrkan sitter i att orden/tecknen är framplockade slumpmässigt och inte genom något medveten eget urval. Att ordlistan eller teckenuppsättningen som skapade passordet/passfrasen är känd av attackeraren påverkar inte styrkan.

Skillnaden mellan att lära sig 16 helt slumpmässiga tecken eller 8 ord enligt diceware är att det senare är fullt möjligt att lära sig utantill även för mer normala människor.

Ofta är det bättre (och lättare) att lära sig 2 st olika 5-ords-sekvenser utantill som man sedan kan kombinera, än att försöka lära sig 1 st 8-10 ords sekvens. Träningen att lära in dessa är en lapp i plånboken som bara tas fram vid behov och till sist när man inte längre behöver titta i lappen vid användandet så kan man förstöra den (dock kanske bra att ha en referens gömd någonstans hemma)

Styrkan då:

En 12 teckens helt slumpmässig (val mellan 94 skrivbara symboler per tecken enligt 7-bitars ASCII) passord har styrkan 94^12 = 4.76E23 alternativ, ger 78.66 bitar entropi och med 1000 miljarder tester per sekund så tar det 15091 år att räkna igenom fullständigt och 7545.7 år för 50%. - fullt möjligt att forcera inom rimlig tid (tex i rättsfall som kan ta år på sig) med massor av kraftfulla parallella datorer i stora nätverk som typ. NSA använder.

Diceware sekvens av 6 ord från ett urval av 7776 ord ger 7776^6 = 2.21E23 alternativ, motsvarar 77.55 bitar entropi, ger med 2.21E23 / 1E12 / 3600 / 24 / 365 = 7010.2 års och vid 50% genomräknat 3005.1 år.

Kör man 8 tecken med små _eller_ stora tecken samt siffror (val av 36 symboler per tecken, styrka 2.82E12 alternativ, entropi 41.4 bit, cracktid 2.82 sekunder för 100% genomräkning (1E12 tester/sekund, ca 90% av alla läckta passord är byggda på det sättet, förutom att majoriteten av 'real life' passord som läckt ut vid olika attacker knappt är ens 8 tecken långa!!)

Kör man 12 tecken med bara små _eller_ stora bokstäver (val från 26 symboler per tecken), styrka 9.54E16 alternativ, entropi 56.4 bit, cracktid 1.24 dagar för 100% genomräkning (1E12 tester/sekund).

Kör man 12 tecken med små _eller_ stora tecken samt siffror (val av 36 symboler per tecken styrka 4.74E18 alternativ, entropi 62 bit, cracktid 54.84 dagar för 100% genomräkning.

Kör man 12 tecken med små och stora tecken (val från 52 symboler per tecken) styrka 3.91E20 alternativ, entropi 68.4 bit, cracktid 12.39 år för 100% genomräkning.

Kör man 12 tecken med små, stora samt siffror ( val från 62 symboler per tecken), styrka 3.23E21 alternativ, entropi 71.5 bit, cracktid 102.3 år för 100% genomräkning.

Med andra ord tänker man inte använda fullständigt slumpmässigt framtagen 12 teckens passord (val från 94 symboler per tecken), så är passfras med slumpmässig framtagna 6 diceware ord en starkare passord/passfras-lösning och förmodligen för det flesta enklare att lära sig utantill.

Helst bör man sikta mot 16 helt slumpmässiga tecken eller 8 diceware-ord i passfras om man vill ha närmast helt oknäckbara passord/passfraser då det handlar om 15 ggr universums ålder att knäcka dessa med 1000 miljarder tester i sekunden.

---

Då det har läckt ut passord i klarspråk i mångmiljontal gång på gång (vara en av de kända inom forskning är "RockYou" med 38 miljoner passord i klarspråk) så har det förstås analyserats både här och där:

En rapport jag läste i angav:

"Rock you"
Antal lösenord 32603388 st
genomsnittliga passordlängd 7.88 tecken
passord med stor bokstav 5.95%
innehöll siffror 54.8%
specialtecken 3.45%
endast små bokstäver och siffror 90.76%
mer än 7 tecken lång, stor och liten bokstav och specialtecken 0.14 %

för 7+ passord
enbart siffror 20.51%
siffror efter ordet 64.28%
siffror före ordet 5.95%
siffror utspritt mitt i orden 9.24%

Räknar man entropi enligt NIST SP800-63 regler så är entropin på passorden i de läckta listorna mellan 14 och 18 bitar för > 75% av alla lösenorden - vilket är långt under de 38.5 bitarna entropi man får med enbart 8 slumpmässiga tecken med bara stora _eller_ små bokstäver...

Man vet dock idag att NIST sätt att räkna entropi (som kommer typ från 70-talet) stämmer inte speciellt bra med verkligheten, en ganska stor, ~20% andel är lättare att gissa än vad NIST räknat med (brytpunkt vid ca 12000 gissningar) medans det som är kvar betydligt besvärligare med fler prov per lyckad än vad NIST kalkylerar - en väldigt olinjär 'kurva'

Vid optimerad attack och 500 miljoner gissningar per konto/användaren med 7+ tecken i passordet så knäcker man runt 26% av "RockYou" populationen medans vid 10+ tecken i passordet så knäcker man ca 14%. Nu är 500 miljoner gissningar ingenting idag och med inte allt för stor insats pengamässigt så har det byggts privat mindre nätverksklustrade datorer med GPU:er som tillsammans klarar 350 miljarder test/s och det är bara en tidsfråga innan man passerar 1000 miljarder test/s även med relativt liten budget.

Permalänk

Då va det dags att ge upp ESEA för gott, tack å hej leverpastej

Permalänk
Medlem
Skrivet av Uzanar:

Precis.

Och i det här fallet så kan man ju skydda sig riktigt effektivt precis som på samtliga webbsidor genom att använda olika lösenord för varje sida.

Vilket är precis vad jag gör. Dock blir det ganska omständigt när jag inte använt en sida på ett tag och får sitta och slå in ett tiotal lösenord. On-topic är väl det här inte första gången som ESEA blir hackat?

Visa signatur

7800X3D//4090

Permalänk
Medlem
Skrivet av Gruarn:

Om jag försöker vara för säker och väljer ett lösenord som inte bygger på de standarder jag sätter upp så glömmer jag ofelbart bort lösenordet och måste begära ett nytt. Varje gång jag använder tjänsten...

Annars får man försöka klassificera de tjänster man använder. Mailkonton = långt lösen, strömningstjänsten utan personlig/finansiell information = ett enkelt lösenord som det inte gör ngt om det blir hackat.

Sedan handlar det om, också, att hålla nere attackytan, precis som med servrar. Man måste kanske inte ha ett konto på alla siter. Jag väljer ofta bort siter där jag måste regga mig av just den anledningen.

Skrivet av xxargs:

Samma här...

Dom master-passorden som man kan utantill skall man vara rädd om och använda sparsamt och i kontrollerad miljö (utvalda mailboxar, passords-arkiv, lösenordshanterare i webbbrowser, truecrypt/veracrypt-arkiv mm.)

Alla nätbaserade tjänster där man kan resetta passordet till en giltig mail-adress så slänger man in en maskingenererad slumpmässig passord på minst 12 tkn. och så låter man datorn/Webbrowsen/lösenordshanterar komma ihåg det åt en. Sådana passord skall man kunna byta när som helst då passord som man kommer ihåg utantill med rimlig träningsdos är att anse som mer eller mindre snabbt knäckbart.

Svårknäckta långa passord är mer eller mindre omöjliga att lära sig utantill för de flesta, det är bättre att ha svåra slumpmässigt framtagna passord på en lapp/kort i plånboken än att använda en lättlärd sådan som används överallt... http://www.passwordcard.org - bygger på temat och en passord typ "E{S2*f[9TWb/t]Zr" (16 tkn) är fruktansvärt svår att lära sig utantill för majoriteten av brukarna och om man mot förmodan lärt sig utantill - väldigt ovillig att byta senare...

Idag måste ett fullständig slumpmässig passord (stora/små,siffror och specialtecken) vara minst 12 tkn lång för att ha en viss attackresistans och helst 16 tecken lång - och styrkan ligger i att det är _helt_ slumpmässigt framtagen samt att användaren inte får möjlighet att välja mellan speciellt många alternativ, för så fort teckensekvens med aktiv val, vagt kanske är uttalbar eller påminner om ord så sjunker styrkan direkt... det finns somliga passordsgeneratorer som genererar sekvenser som är tänkt att vara uttalbara (på engelska oftast) men dom ger då samtidigt mycket svagare passord och man måste ha betydligt fler tecken istället (och då är man allt närmare passfraser).

Passfras avser ofta teckenföljd större än 20 tecken och tar man fram ordsekvenserna slumpmässigt tex. enligt diceware (tex. via https://www.rempe.us/diceware/#swedish ) så motsvarar varje ord nästan 2 st slumpmässiga tecken i ett passord.

För 12 teckens slumpmässig passord i styrka (och kan se ut som följande "E{S2*f[9TWb/") så behöver man ta fram 6 ord enligt dicewares metod (och resultatet kan i svensk tappning se ut enligt "rumla-trasa-shake-svepa-gosse-undan" (skiljetecknen mellan orden skall vara kvar men kan bytas ut till annat tecken, mellanslag avråds dock)), och följaktligen 8 ord för motsvarande en 16 tkn slumpmässig passordssekvens.

Styrkan mot attack är i stort sett lika för båda alternativen och styrkan sitter i att orden/tecknen är framplockade slumpmässigt och inte genom något medveten eget urval. Att ordlistan eller teckenuppsättningen som skapade passordet/passfrasen är känd av attackeraren påverkar inte styrkan.

Skillnaden mellan att lära sig 16 helt slumpmässiga tecken eller 8 ord enligt diceware är att det senare är fullt möjligt att lära sig utantill även för mer normala människor.

Ofta är det bättre (och lättare) att lära sig 2 st olika 5-ords-sekvenser utantill som man sedan kan kombinera, än att försöka lära sig 1 st 8-10 ords sekvens. Träningen att lära in dessa är en lapp i plånboken som bara tas fram vid behov och till sist när man inte längre behöver titta i lappen vid användandet så kan man förstöra den (dock kanske bra att ha en referens gömd någonstans hemma)

Styrkan då:

En 12 teckens helt slumpmässig (val mellan 94 skrivbara symboler per tecken enligt 7-bitars ASCII) passord har styrkan 94^12 = 4.76E23 alternativ, ger 78.66 bitar entropi och med 1000 miljarder tester per sekund så tar det 15091 år att räkna igenom fullständigt och 7545.7 år för 50%. - fullt möjligt att forcera inom rimlig tid (tex i rättsfall som kan ta år på sig) med massor av kraftfulla parallella datorer i stora nätverk som typ. NSA använder.

Diceware sekvens av 6 ord från ett urval av 7776 ord ger 7776^6 = 2.21E23 alternativ, motsvarar 77.55 bitar entropi, ger med 2.21E23 / 1E12 / 3600 / 24 / 365 = 7010.2 års och vid 50% genomräknat 3005.1 år.

Kör man 8 tecken med små _eller_ stora tecken samt siffror (val av 36 symboler per tecken, styrka 2.82E12 alternativ, entropi 41.4 bit, cracktid 2.82 sekunder för 100% genomräkning (1E12 tester/sekund, ca 90% av alla läckta passord är byggda på det sättet, förutom att majoriteten av 'real life' passord som läckt ut vid olika attacker knappt är ens 8 tecken långa!!)

Kör man 12 tecken med bara små _eller_ stora bokstäver (val från 26 symboler per tecken), styrka 9.54E16 alternativ, entropi 56.4 bit, cracktid 1.24 dagar för 100% genomräkning (1E12 tester/sekund).

Kör man 12 tecken med små _eller_ stora tecken samt siffror (val av 36 symboler per tecken styrka 4.74E18 alternativ, entropi 62 bit, cracktid 54.84 dagar för 100% genomräkning.

Kör man 12 tecken med små och stora tecken (val från 52 symboler per tecken) styrka 3.91E20 alternativ, entropi 68.4 bit, cracktid 12.39 år för 100% genomräkning.

Kör man 12 tecken med små, stora samt siffror ( val från 62 symboler per tecken), styrka 3.23E21 alternativ, entropi 71.5 bit, cracktid 102.3 år för 100% genomräkning.

Med andra ord tänker man inte använda fullständigt slumpmässigt framtagen 12 teckens passord (val från 94 symboler per tecken), så är passfras med slumpmässig framtagna 6 diceware ord en starkare passord/passfras-lösning och förmodligen för det flesta enklare att lära sig utantill.

Helst bör man sikta mot 16 helt slumpmässiga tecken eller 8 diceware-ord i passfras om man vill ha närmast helt oknäckbara passord/passfraser då det handlar om 15 ggr universums ålder att knäcka dessa med 1000 miljarder tester i sekunden.

---

Då det har läckt ut passord i klarspråk i mångmiljontal gång på gång (vara en av de kända inom forskning är "RockYou" med 38 miljoner passord i klarspråk) så har det förstås analyserats både här och där:

En rapport jag läste i angav:

"Rock you"
Antal lösenord 32603388 st
genomsnittliga passordlängd 7.88 tecken
passord med stor bokstav 5.95%
innehöll siffror 54.8%
specialtecken 3.45%
endast små bokstäver och siffror 90.76%
mer än 7 tecken lång, stor och liten bokstav och specialtecken 0.14 %

för 7+ passord
enbart siffror 20.51%
siffror efter ordet 64.28%
siffror före ordet 5.95%
siffror utspritt mitt i orden 9.24%

Räknar man entropi enligt NIST SP800-63 regler så är entropin på passorden i de läckta listorna mellan 14 och 18 bitar för > 75% av alla lösenorden - vilket är långt under de 38.5 bitarna entropi man får med enbart 8 slumpmässiga tecken med bara stora _eller_ små bokstäver...

Man vet dock idag att NIST sätt att räkna entropi (som kommer typ från 70-talet) stämmer inte speciellt bra med verkligheten, en ganska stor, ~20% andel är lättare att gissa än vad NIST räknat med (brytpunkt vid ca 12000 gissningar) medans det som är kvar betydligt besvärligare med fler prov per lyckad än vad NIST kalkylerar - en väldigt olinjär 'kurva'

Vid optimerad attack och 500 miljoner gissningar per konto/användaren med 7+ tecken i passordet så knäcker man runt 26% av "RockYou" populationen medans vid 10+ tecken i passordet så knäcker man ca 14%. Nu är 500 miljoner gissningar ingenting idag och med inte allt för stor insats pengamässigt så har det byggts privat mindre nätverksklustrade datorer med GPU:er som tillsammans klarar 350 miljarder test/s och det är bara en tidsfråga innan man passerar 1000 miljarder test/s även med relativt liten budget.

Denna serie är alltid lika kul i dessa sammanhang: (XKCD - Password Strength)

Visa signatur

Tower: ace Battle IV | CPU AMD Phenom II X2 BE unlocked 4cores@3,2GHz | RAM 8GB DDR2@800MHz | MB ASUS M4A785-M | GFK AMD Radeon HD 6850 1GB | HDD Kingston SSD Now 60GB (/) Seagate 2TB(/home) | OS Ubuntu 20.04 LTS
-Numera titulerad: "dator-hipster" då jag har en AMD GPU och dessutom kör Linux.

Permalänk
Medlem

@xxargs:
Mycket intressant läsning. Jag tänkte att jag skull accentuera det du skriver lite.

Jag fick behovet att försöka knäcka ett windowslösenord, så jag hade motiveringen att genomföra något dylikt annat än "för skojs skull". Resultat?

Med en hawaii-krets kunde jag gå igenom alla 8 tecken långa lösenord med små, stora, siffror och specialtecken i på drygt en (1) vecka. Min rigg var inte speciellt optimerad för ändamålet, skulle jag optimera skulle jag ha 10 kretsar i maskinen och 256 maskiner. Inte helt billigt för en enskild person, men för en organisation som lever på att knäcka lösenord, eller en miner? Och vi får heller inte glömma att Vega verkar kunna prestera 70% bättre för sådana här applikationer, som ju också är "pinsamt enkla att parrallellisera".

1000 miljarder försök per sekund är inte orimligt!

Anledningen till att räkna på 50% är förstås att du ju omöjligt kan veta om just ditt lösenord är en kombination som prövas tidigt eller sent i processen, så 50% av alla lösenord är knäckta på 50% av tiden, i snitt. Detta stämmer för alla slumpmässiga lösenord, vilket bara 0,14% var i Rock you, enligt xxargs...

Hur skall.man kunna skydda sig då?
Det finns 4 svar.
1. Minska attackytan
2. Reglera skadan
3. Öka längden
4. Öka entropin

1. För att drabbas av ett sådant här läckage måste man vara en av dessa 1.5 (eller 38, eller en i raden av alla läckor) miljoner användare vars uppgifter blir stulna. Bästa skyddet är att inte behöva skydda sig, genom att inte vara ett av offren. Behöver du verkligen det kontot?
2.Om du verkligen behöver kontot så gäller det att veta hur viktig tjänsten är och mycket av din information som behöver finnas där. Är det en tjänst som handlar om sonens innebandyträning så använd en avatar! Banktjänster, eller primära mailkontot behöver ha mer info.

En annan sak det pratas ofta om är att ha olika lösenord, men du kan lika gärna ha olika mail-adresser! Ett knäckt lösenord är bara intressant tillsammans med möjligheten att identifiera dig som användare. Genom att använda olika identiteter blir det knäckta lösenordet obrukbart. De stora mailtjänsterna erbjuder ju möjlighet att skapa alias som man kan använda istället för sin egentliga mail adress.

3.för en människa ser abc123DEF! Och ...abc123DEF! i princip likadana ut. För en dator är det 10 slumpmässiga tecken i det ens och 13 i det andra. Mycket svårare! Om man lyckas smita undan heurestiken (dvs man har ett lösenord som inte går att gissa med lite enkla regler) så är längden allt! Ju längre desto bättre då det tar längre tid att knäcka. S.k. Padding kan användas lätt och gärna mycket. För en dator utan kunskap om vilket tecknet är måste metodiskt pröva alla kombinationen en efter en och 13 tecken ger betydligt fler kombinationen än 8.

4. Ett enkelt sätt att öka entropin är ju att undvika de tumregler som vi verkar använda för våra lösenord. 65% av användarna i Rock you hade en siffra på slutet. Den smarta hackaren prövar först lösenord med en siffra som sista tecken. Istället för 100 möjliga tecken blir det 10. I princip tillför inte sista tecknet något skydd alls.

Har du en stor bokstav först i ditt lösenord? Det är antagligen minst lika vanligt som en siffra på slutet och vips så blir de flesta lösenord 2 tecken kortare att gissa. Det gör en jätteskillnad vid en brute force attack.

Om du använder ord, blanda språk! Saol har 125000 svenska ord, Oxford Dictionary har 600000. Tyskarna säger själva att de har över 5 miljoner ord, men på 3 minuter hittade jag en ordlista online med över 1 miljon ord. Öka entropin!

Slutligen vill jag tipsa om att det inte bara är små, stora, siffror och specialtecken som kan användas. Alla ASCII-256 kan användas. Vad sägs om ALT-kod 253? (²). Om det finns 256 möjliga tecken för varje tecken ökar komplexiteten markant! Och vem vet, det kanske räcker med ett för att man skall trilla ur den knäckbara mängden och man har uppnått oknäckbarhet, för att de flesta verktyg räknar helt enkelt inte in alt-koderna som specialtecken.
Det skall dock ges 2 varningar kring dessa tecken. A. De ligger på olika ställen i olika standarder (pc, Mac, Android IOS) och B. ² kräver 4 knapptryckningar på pc, och 3 extra tecken skulle ge bättre skydd, om det skulle vara känt på vilken position man använde ett ALT-tecken. Om nu knäckaren använder de tecknen, vill säga.

Permalänk
Medlem

@krigelkorren:
Jag älskar den strippen när man kommer till de här sammanhangen. Många av mina resonemang om lösenordskvalitet utgår från den!

Permalänk
Medlem

@Gruarn: Ja den är rätt pedagogisk, även för relativt insatta personer.

Visa signatur

Tower: ace Battle IV | CPU AMD Phenom II X2 BE unlocked 4cores@3,2GHz | RAM 8GB DDR2@800MHz | MB ASUS M4A785-M | GFK AMD Radeon HD 6850 1GB | HDD Kingston SSD Now 60GB (/) Seagate 2TB(/home) | OS Ubuntu 20.04 LTS
-Numera titulerad: "dator-hipster" då jag har en AMD GPU och dessutom kör Linux.

Permalänk
Medlem

En eloge till dem att vägra betala. Om alla vägrade betala skulle det inte finnas en marknad för dessa dumheter och läckor skulle hända mer sällan.

Permalänk
Medlem

E-lek organisationen är korrekt benämning

Permalänk
Medlem

Lite cyberterrorism, bra start på året!

Skrivet av krigelkorren:

Denna serie är alltid lika kul i dessa sammanhang: (XKCD - Password Strength)

https://imgs.xkcd.com/comics/password_strength.png

Permalänk
Medlem
Skrivet av zin:

Lite cyberterrorism, bra start på året!

http://imgs.xkcd.com/comics/security.png

Den är också bra! Skildrar de lite tyngre kriminellas sätt att "knäcka" lösenord!

Visa signatur

Tower: ace Battle IV | CPU AMD Phenom II X2 BE unlocked 4cores@3,2GHz | RAM 8GB DDR2@800MHz | MB ASUS M4A785-M | GFK AMD Radeon HD 6850 1GB | HDD Kingston SSD Now 60GB (/) Seagate 2TB(/home) | OS Ubuntu 20.04 LTS
-Numera titulerad: "dator-hipster" då jag har en AMD GPU och dessutom kör Linux.