bryggforum.nu

Olika lösenord är bra till olika saker t.ex. så är det, precis som du säger onödigt med en mycket komplext lösenord på mjukvara med låg konsekvens för säkerheten men handlar det om krypterad data så är det viktigt att nyckeln är lång och extremt slumpmässig. Sedan är det precis lika stor chans att en dator gissar strängen "latmasken" som "111111111" dvs de har lika hög entropi mot en attack som utförs med uttömmande sökning (brute force). Bruteforce är bara realistiskt att använda när man har datan eller skydden mot det är dåliga (avsaknande av captcha, antal inloggningsförsök per timma etc).
Summa sumarum: oviktiga lösenord behöver inte vara komplexa men gärna långa och osammanhängande
Viktiga: Viktiga lösenord, t.ex till bryggforums databas/adminkonton långa och komplexa

Jag är lite kinkig med hur folk använder begreppet "bäst":)

Ett rent slumpat lösenord KAN om man har otur vara enklare att knäcka, eftersom ur slumpens synvinkel är lösenordet 11111 precis lika slumpmässigt som lösenordet 37931.

Sen är det just det här med svårigheten att komma ihåg lösenordet som gör att det som är svårast att knäcka inte alltid är "bäst", eftersom ingen kedja är säkrare än den svagaste länken. Är lösenordet för svårt att komma ihåg så skriver folk ner det (vilket i många fall är värre än att ha ett lösenord som är lite lättare att knäcka).

Om det dessutom är ett lösenord som man måste skriva in 25 gånger under en vanlig arbetsdag så kan långa konstigt lösenord vara kontraproduktiva.

Så det som är "bäst" är ett lösenord som är "tillräckligt" långt, har "tillräckligt" hög entropi och är "tillräckligt" lätt att komma ihåg. Men hur mycket som är "tillräckligt" är betydligt svårare att säga.

Sa jag något annat? Det är överlag bättre med en nyckel baserad på (sann) slump än en baserad på psedoslump(den mesta datorgenererade) eller sammansatta ord

[quote="Knox"]Bäst är att använda långa lösenord med slumpmässiga tecken t.ex. egtropkOKr'0kLK##DgdHPAPldlpegp
[/quote]

Det är möjligen lite säkrare mot ordliste-attacker, men mot ren brute force är det inte så mycket bättre än ett långt lösenord byggt på vanliga ord.

Bäst är att använda långa lösenord med slumpmässiga tecken t.ex. egtropkOKr'0kLK##DgdHPAPldlpegp men inte en jävel kommer ihåg det så det är lättare att slå ihop några osammanhängande ord t.ex. PrydnadÖlPankaka2832 vilket är en lösenord som är svårt att få fram med bruteforce. Men detta gäller enbart om lösenorden är hashade med sha2 el bättre (md5 och sha1 duger inte)

Förr var det värre eftersom i många fall kunde lösenordet vara max 10 tecken eller nåt liknande, men idag kan lösenorden oftast vara långa så det är mycket bättre att ha ett långt "enkelt" lösenord.

GodJul2013OchGottNyttÅr2014! har t.ex. mycket högre entropi än B1Yee1@0tR2

Man kan testa sina varianter av lösenord t.ex. här
http://rumkin.com/tools/password/passchk.php

Observera dock att man aldrig ska använda skarpa lösenord för test, såna där sidor KAN ju vara skrivna för att logga lösenorden.


MEN, sen ska man ju då som sagt var tänka på att en del sajter kanske inte lagrar lösenordet krypterat eller att en hackare kan sniffa lösenordet. Så även om ett lösenord i stil med

ElektronikForumet2014!

har väldigt hög entropi så är det inte så himla bra att använda.

http://xkcd.com/936/ är ett annat exempel på hur man kan skapa lösenord med hög entropi

[quote="Knox"]Ett tipps som gäller alla hemsidor, använd inte samma lösenord på flera sidor, speciellt inte det lösenordet ni har till er mail[/quote]
precis. jag blir så jävla less på alla som predikar att man ska byta lösenord minst en gång per år. det är ett helt värdelöst råd som bara leder till att folk byter till samma dåliga lösenord till alla tjänster.

så hur väljer man ett lösenord?
börja med ett enkelt lösenord som du baserar på en ramsa, låttext eller liknande. ex: "[u]B[/u]e [u]Y[/u]ourself; [u]e[/u]veryone [u]e[/u]lse [u]i[/u]s [u]a[/u]lready [u]t[/u]aken" försök att få in minst en versal, ett specialtecken och en siffra där.
[b]BYee1@t[/b]
lägg nu till eller ändra tecken beroende på vad webadressen du besöker heter. exempelvis
[b]B[u]1[/u]Yee1@[u]0[/u]t [/b]för att bryggforum har 10 tecken.
och [b]B1Yee1@0t[u]R2[/u][/b] för att det är det näst sista bokstaven och första tecknets motsvarighet till siffra i alfabetet i webbadressen.
Det går att komma på tusentals såna regler som gör ditt lösenord unikt, men du behöver bara komma ihåg ramsan och ett par tre regler som gäller för alla dina lösenord. Nu har du ett lösenord som är säkrare än 99% av alla dom som regelbundet byter lösenord.

Ett tipps som gäller alla hemsidor, använd inte samma lösenord på flera sidor, speciellt inte det lösenordet ni har till er mail

Okok.. får hoppas på att pw databasen är skyddad på nåt sätt iaf:-)

Har för mig att phpBB hashar lösenorden men mailet skickas med det du skrev in och inte från databasen

Verkar vara ett känt "problem" med phpBB3. Håller med om att det ju inte alls är "best practise" idag...

Hej.. Har en liten fråga angående säkerheten här på forumet.. Hur lagras lösenorden här? Såg att jag fick mitt lösenord skickat till mig i klartext efter att jag registrerade mig, därför jag undrar.. :)

Mvh