Forum Mjukvara Moln- och internettjänster Tråd Inlägg

Hotmail: Lösenord får ej överstiga 16 tecken

1 2 3 4
Skriv svar
Permalänk
Medlem
Skrivet av HurMycket:

Vad menar du?

Gå till inlägget

Du säger ju att det är enkelt att ändra därmed måste du även veta vilken algoritm dom använder och att den inte har några svagheter/begränsningar baserat på längd.

Skrivet av HurMycket:

Det finns flera anledningar att tillåta fler än 16 tecken:

  • Användaren kanske alltid har ett lösenord som är 28 tecken. Då ska han/hon inte behöva komma ihåg att "Hotmail tillåter bara 16, PayPal 20, FooPage 21, BarBook 18" osv och anpassa sig efter det.

  • Användaren borde alltid få välja sitt lösenord själv.

  • Ju längre lösenord, desto säkrare (om innehållet är likadant).

Kan du peka på någon acceptabel anledning att inte tillåta fler än 16 tecken?

Det hjälper inte om databasen blir hackad. Då kan attackeraren bruteforca hur mycket han/hon vill.

Gå till inlägget

Du skall inte ha samma lösenord på flera platser.
Tecken över 20 ger 1 bits entropi oavsett tecken.

Dom använder en algoritm som jobbar med 128 bitar.

Finns bättre skydd mot bruteforce som t ex nyckel deriverings funktioner.

Redigera
Citera flera Citera
Permalänk
Medlem

Jag antar att ni krypterar era mail också. Bråka om säkra lösenord och skicka mail i klartext blir ju lite fel.

Redigera
Citera flera Citera
Permalänk
99:e percentilen
Skrivet av aluser:

Du säger ju att det är enkelt att ändra därmed måste du även veta vilken algoritm dom använder och att den inte har några svagheter/begränsningar baserat på längd.

Gå till inlägget

Jag tycker det verkar vara en hårdkodad begränsning.

Citat:

Du skall inte ha samma lösenord på flera platser.

Jag har olika lösenord på alla viktiga tjänster.

Citat:

Tecken över 20 ger 1 bits entropi oavsett tecken.

Dom använder en algoritm som jobbar med 128 bitar.

Finns bättre skydd mot bruteforce som t ex nyckel deriverings funktioner.

Kan tyvärr för lite om sådant för att kunna svara på detta.

Skrivet av Hubertus:

Jag antar att ni krypterar era mail också. Bråka om säkra lösenord och skicka mail i klartext blir ju lite fel.

Gå till inlägget

Handlar framförallt om att inte någon ska kunna kapa ens epost och därmed nästan alla andra tjänster man är registrerad på. Man vill INTE bli av med sin epost.

Visa signatur

Skrivet med hjälp av Better SweClockers

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Hubertus:

Jag antar att ni krypterar era mail också. Bråka om säkra lösenord och skicka mail i klartext blir ju lite fel.

Gå till inlägget

faktiskt, ja. om det är viktiga mail så krypterar jag dom oftast.

Visa signatur

MODERMODEM: Asus ROG Strix Z270E Gaming | i7 7700K | Corsair Hydro H110 | Kingston HyperX Savage 32GB DDR4 RAM | Asus GeForce RTX 3060 Ti TUF OC | Crucial BX100 500GB SSD | Phanteks Enthoo EVOLV | SilverStone Strider Evolution 1200W |

Redigera
Citera flera Citera
Permalänk
Avstängd
Skrivet av Commander:

Men nu använder folk också Hotmail vilket de också kan ändra till fler än 16 tecken. Förstår inte riktigt dina argument att folk skall byta.

Visst nu ser ser det ut som att man måste byta om man vill ha säkert mail men som ovan så blir Windows användaren handikappad då hela ekosystemet förstörs. Det är som att inte använda gmail med en Android mobil.

Gå till inlägget

Jag har inte sagt att någon ska byta, bara att det går eftersom så många verkar tycka det är så dåligt detta med 16 tecken.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av HurMycket:

Det finns flera anledningar att tillåta fler än 16 tecken:

  • Användaren kanske alltid har ett lösenord som är 28 tecken. Då ska han/hon inte behöva komma ihåg att "Hotmail tillåter bara 16, PayPal 20, FooPage 21, BarBook 18" osv och anpassa sig efter det.

  • Användaren borde alltid få välja sitt lösenord själv.

  • Ju längre lösenord, desto säkrare (om innehållet är likadant).

Kan du peka på någon acceptabel anledning att inte tillåta fler än 16 tecken?

Det hjälper inte om databasen blir hackad. Då kan attackeraren bruteforca hur mycket han/hon vill.

Gå till inlägget

Det första problemet som fäller både frågan om olika längd samt hackad databas:
Grundläggande regel, använd aldrig samma lösenord på två ställen. Hackar dom en databas kan dom bruteforca fram mitt lösen där bäst dom vill, för det kommer ändå inte fungera någon annanstans.

Men absolut, håller med om orimligheten i längden, måste varit nån sorts designbeslut så vore ju intressant att höra varför.

Däremot så förstår jag inte detta att det är säkrare när det blir längre. Vad är det som gör 200 randomtecken säkrare än 16, bortsett från scenariot att nån stjäl databasen för bruteforce? Vilket då ändå bör vara löst genom att använda en algoritm som t ex bcrypt.

Men just detta är problemet, man vet ändå inte vad tomtarna på. Sida xyz har för sig, lagrar dom lösen i klartext ala Dustin så spelar det ingen roll om man har 200 tecken, därav återigen, ha aldrig samma lösen på två ställen.

Redigera
Citera flera Citera
Permalänk
99:e percentilen
Skrivet av BasseBaba:

Det första problemet som fäller både frågan om olika längd samt hackad databas:
Grundläggande regel, använd aldrig samma lösenord på två ställen. Hackar dom en databas kan dom bruteforca fram mitt lösen där bäst dom vill, för det kommer ändå inte fungera någon annanstans.

Gå till inlägget

Jag vet. Jag har olika lösenord på alla tjänster och jag har inte skrivit att man ska ha samma. Man kan ha hundra olika lösenord som alla är 28 tecken långa.

Citat:

Men absolut, håller med om orimligheten i längden, måste varit nån sorts designbeslut så vore ju intressant att höra varför.

Däremot så förstår jag inte detta att det är säkrare när det blir längre. Vad är det som gör 200 randomtecken säkrare än 16, bortsett från scenariot att nån stjäl databasen för bruteforce? Vilket då ändå bör vara löst genom att använda en algoritm som t ex bcrypt.

Ju längre lösenordet är desto svårare är det att gissa eller bruteforca det. Om längden inte spelade någon roll hade alla haft ett 1 tecken långt lösenord, så att det går snabbt att skriva det.

Visa signatur

Skrivet med hjälp av Better SweClockers

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av HurMycket:

Jag vet. Jag har olika lösenord på alla tjänster och jag har inte skrivit att man ska ha samma. Man kan ha hundra olika lösenord som alla är 28 tecken långa.

Ju längre lösenordet är desto svårare är det att gissa eller bruteforca det. Om längden inte spelade någon roll hade alla haft ett 1 tecken långt lösenord, så att det går snabbt att skriva det.

Gå till inlägget

Men i ditt exempel tog du ju upp att det jobbiga var att användaren hade samma lösenord?
Har man hundra lösenord på 28 tecken randomdroppade så måste man antagligen (finns nog en del med utmärkt minne) ha en lösenordshanterare så då är det inget problem med olika längd.

Vidare så frångår du ju mitt exempel. 1 tecken, a-zA-Z0-9 skulle ge 26+26+10 =62 kombinationer, inte så smart nej.

16 tecken ger då 62^16 kombinationer, så sålänge det är en randomisering och inte en sammansättning av ord från som finns i nån wordlist så ser jag det som nära nog orimligt?

Problemet sen är även, när du testat alla dom, vad säger att jag har 16 tecken?
Har man 15 tecken så får du testa 62^15...

Jag satte ett 1-16 tecken långt lösenord här på sweclockers, du är välkommen att försöka logga in på mitt konto. Bjuder på en lunch när du lyckats

Redigera
Citera flera Citera
Permalänk
99:e percentilen
Skrivet av BasseBaba:

Men i ditt exempel tog du ju upp att det jobbiga var att användaren hade samma lösenord?
Har man hundra lösenord på 28 tecken randomdroppade så måste man antagligen (finns nog en del med utmärkt minne) ha en lösenordshanterare så då är det inget problem med olika längd.

Gå till inlägget

Nej, jag skrev:

Skrivet av HurMycket:

Användaren kanske alltid har ett lösenord som är 28 tecken.

Gå till inlägget

Det vill säga att användaren alltid har ett 28 tecken långt lösenord som är olika på alla ställen. Det fungerar alldeles utmärkt för mig utan lösenordshanterare och jag har inte ovanligt bra minne.

Citat:

Vidare så frångår du ju mitt exempel. 1 tecken, a-zA-Z0-9 skulle ge 26+26+10 =62 kombinationer, inte så smart nej.

16 tecken ger då 62^16 kombinationer, så sålänge det är en randomisering och inte en sammansättning av ord från som finns i nån wordlist så ser jag det som nära nog orimligt?

Problemet sen är även, när du testat alla dom, vad säger att jag har 16 tecken?
Har man 15 tecken så får du testa 62^15...

Alltså: Ju längre desto säkrare.

Citat:

Jag satte ett 1-16 tecken långt lösenord här på sweclockers, du är välkommen att försöka logga in på mitt konto. Bjuder på en lunch när du lyckats

Det var schysst, men jag har ingen aning om hur man knäcker lösenord. Det betyder inte att ingen annan i världen har det. Det är naturligtvis den farligaste potentiella attackeraren man vill skydda sig mot.

Visa signatur

Skrivet med hjälp av Better SweClockers

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av HurMycket:

Nej, jag skrev:

Det vill säga att användaren alltid har ett 28 tecken långt lösenord som är olika på alla ställen. Det fungerar alldeles utmärkt för mig utan lösenordshanterare och jag har inte ovanligt bra minne.

Alltså: Ju längre desto säkrare.

Det var schysst, men jag har ingen aning om hur man knäcker lösenord. Det betyder inte att ingen annan i världen har det. Det är naturligtvis den farligaste potentiella attackeraren man vill skydda sig mot.

Gå till inlägget

Haha ja fast i nästa inlägg så skrev du ju att du har olika. Som sagt problemet uppstår ju bara om man har samma lösenord överallt och då bryter man ju mot den enklaste regeln, ha inte samma lösenord överallt.

Sen så gnäller ju outlook.com om man försöker logga in med fler än 16 tecken, så då är det väl bara att använda sina första 16 tecken i det 28 tecken långa lösenordet? Enda gången detta är ett problem är om det är en sida som inte varnar vid maxlängden vid inloggning.

Och lösenordsknäckare, det är bara börja att testa med "a", sen "b", så fortsätter du så. Som sagt, min poäng är att ska du försöka logga in på mitt konto här på Swec så är det ingen rimlig skillnad i om du måste testa 16 eller 128 tecken, för redan på 16 tecken är det så orimligt att du ska lyckas.

Redigera
Citera flera Citera
Permalänk
99:e percentilen
Skrivet av BasseBaba:

Haha ja fast i nästa inlägg så skrev du ju att du har olika. Som sagt problemet uppstår ju bara om man har samma lösenord överallt och då bryter man ju mot den enklaste regeln, ha inte samma lösenord överallt.

Gå till inlägget

Nej, samma problem uppstår om man har olika lösenord och alla är lika långa.

Citat:

Sen så gnäller ju outlook.com om man försöker logga in med fler än 16 tecken, så då är det väl bara att använda sina första 16 tecken i det 28 tecken långa lösenordet? Enda gången detta är ett problem är om det är en sida som inte varnar vid maxlängden vid inloggning.

Ja, jag har gjort just så på Outlook, men det är definitivt inte "bara" att känna att "nu har jag skrivit 16 tecken – nu ska jag sluta skriva". Om olika tjänster dessutom har olika antal tecken (t ex 12, 15, 16, 18, 20) blir det än värre.

Citat:

Och lösenordsknäckare, det är bara börja att testa med "a", sen "b", så fortsätter du så. Som sagt, min poäng är att ska du försöka logga in på mitt konto här på Swec så är det ingen rimlig skillnad i om du måste testa 16 eller 128 tecken, för redan på 16 tecken är det så orimligt att du ska lyckas.

Du får gärna tycka det, men jag vill ha längre lösenord än 16 tecken. Jag kan inte se någon som helst anledning till att jag inte ska få det på min epost – det viktigaste kontot av alla. Kan du?

Visa signatur

Skrivet med hjälp av Better SweClockers

Redigera
Citera flera Citera
Permalänk
Medlem

jag antar att de uppmana folk att använda #¤%!"# och andra diverse tecken som gör lösenordet betydligt starkare än ett 20-tecken lång lösenord med bokstäver och siffror.

Men jag håller med dig, helt dåligt att de inte tillåter en att ha hur lång lösenord som helst. Förstår inte varför, men ett 16-tecken lösenord med diverse #¤%!"# tecken och slumpmässiga siffror gör lösenordet väldigt säkert. Tror inte ens det går bruteforca för fan, hur funkar det ens nuförtiden?
Facebook är ju i princip omöjligt att bruteforca om man inte nu känner personen man ska kapa kontot på.

Visa signatur

Stationära:[Fractal Design R2], [Asrock Fatal1ty Professional] , [Vengeance low profile 1600mhz]
[Intel Core i5 2500k 3.3 ghz (Kyld av Noctua nh-d14)], [ Referens XFX HD 6970],
[Corsair TX 650 watt], [ca 750 GB utrymme], [2x Gentletyphoon Utblås och 2x Fractal design inblås]

Redigera
Citera flera Citera
Permalänk
Medlem

har jätte svåra problem med att komma på ett nytt lösenord som jag kan komma ihåg som inte:
är längre än 16 tecken
innehåller space eller åäö
inte har använts tidigare

Visa signatur

CPU: Ryzen 9 3900x Noctua NH-D14 MOBO: TUF Gaming X570-PLUS GPU: GTX 980 RAM: 32 GB 3200 MHz Chassi: R4 PSU: Corsair AX860 Hörlurar: SteelSeries 840 Mus: Logitech G502 Lightspeed V.v. nämn eller citera mig för att få svar.

Redigera
Citera flera Citera
1 2 3 4
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara