Blivit lite intresserad av lösenordssäkerhet på senast (pga att jag funderat att skaffa lite bitcoin), och är lite nyfiken på vad för strategier folk använder i allmänhet. Hur långa lösenord tror ni räcker, t.ex? Användarvänligthet osv.
Ju mer man läser om hur lätt det verkar vara för hackers att cracka, ju mer paranoid blir man. :D

Slumpmässiga siffror och bokstäver så det är nog rätt säkert.

Slumpmässiga siffror och bokstäver så det är nog rätt säkert.

Hur många, ca? Hur minns du lösenordet? Använder du olika för olika sidor osv?

Det är väl sällan dom bruteforcar lösenord, kommer dom in i databasen och får en dump med lösenord spelar det väl inte så stor roll vilket lösen man har? Eller?

https://identitysafe.norton.com/sv/password-generator

http://imgs.xkcd.com/comics/password_strength.png

Det är väl sällan dom bruteforcar lösenord, kommer dom in i databasen och får en dump med lösenord spelar det väl inte så stor roll vilket lösen man har? Eller?
I regel sparas inte lösenord i klartext (även om det förekommer), utan hashas. Många gånger använder man sk rainbow-tabeller, som är alla lösenord tillsammans med deras hash-värde.

Med långa och starka salt, i kombination med en bra hash-algoritm blir det svårare.

Det är väl sällan dom bruteforcar lösenord, kommer dom in i databasen och får en dump med lösenord spelar det väl inte så stor roll vilket lösen man har? Eller?

Ja, det finns förstås risken att sidor blir hackade. Men hackers använder också sk rainbow tabeller på vanliga ord och substitution förutom bruteforce.

Slumpmässiga siffror och bokstäver så det är nog rätt säkert.

Det är inte säkrare för att det är slumpmässiga siffror och bokstäver, åtminstone inte vid bruteforcing. Som Purewhey skriver så ligger ju snarare risken i om det lagras okrypterat. Eller sniffas av en keylogger eller liknande.

Bästa sättet att skydda sig är sannolikt att ha 25 olika lösenord, som man byter med ojämna mellanrum. Givetvis ska de inte vara för simpla, men jag har ändå svårt att se att den största risken finns där.

http://imgs.xkcd.com/comics/password_strength.png

Ligger det någon sanning i det där?

TS: Använd stora och små bokstäver, siffror och symboler (#,",%,= etc).

http://imgs.xkcd.com/comics/password_strength.png

Problemet med denna är att hackers anpassar sig och börjar testa ordkombinationer också. Har läst både negativa och positiva saker med ovanstående lösning. Vissa anser att man också borde "salta" lösenordet förutom att ha 4-5 ord som är lätta att komma ihåg.

Här är ett bra ställe att testa olika typer av lösenord på, förresten. Använd förstås inte era egna. :D
https://www.grc.com/haystack.htm

Här är ett bra ställe att testa olika typer av lösenord på, förresten. Använd förstås inte era egna. :D
https://www.grc.com/haystack.htm

lösenordet "sugavmigdinåsna" var väldigt säkert enligt den där iaf.

Problemet med att bara ha några ord är att många tjänster och sidor har krav på tecken, kombination av stora och små bokstäver, min/max antal tecken, krav på siffror och så. Blir hur som helst jobbiga lösenord i slutändan. Hade jag betterbatteryhorse eller Betterbatteryhorse1¤?

lösenordet "sugavmigdinåsna" var väldigt säkert enligt den där iaf.

Ja, det är ju mest för bruteforce. Search space depth var ju däremot inte särskilt stort, plus att det är en vanlig svensk mening. Skulle vilja se en password checker som inkluderar vanliga rainbow tables o dyl också.
Men sUgavmigdinÅsna??????... är nog rätt säkert. ;)

Hyfsat tror jag, har ett skit-lösen till de flesta sidor och ett avancerat till viktigare grejer. Det avancerade är i format som D%cTOR_@-SNu678GGleS. Men funderar på att lösa någon password manager av något slag...

Hyfsat tror jag, har ett skit-lösen till de flesta sidor och ett avancerat till viktigare grejer. Det avancerade är i format som D%cTOR_@-SNu678GGleS. Men funderar på att lösa någon password manager av något slag...

Det där är nog inte riktigt så säkert som du tror. Som jag förstår det så används substitutioner och kombinationer av versaler och gemener först när man bruteforcear. Saltet i mitten gör det nog betydligt säkrare, men 3 tecken är nog i smalaste laget.

Kanske inte, borde nog sätta mig med mina lösen en dag. Men jag byter inte bokstäver mot siffror i stilen E = 3, A = 4 osv utan väljer versaler/gemener och tecken utifrån en "kod" som sitter fasthamrad i huvudet. Men det bästa är nog egentligen att fixa en slumpgenererad 15siffrorskod sedan nöta den till den sitter. Eller en krypterad USB-sticka med koder på, synd om den pajar/slarvas bort bara. :)

Kan berätta att jag är medlem på en handlares sida där mitt lösenord är "123456" och mitt namn som användarnamn. Kommer någon in där så kan de ändra leveransadress, och lösenord samt beställa vad som helst och jag kommer att faktureras. Men vafan, det ger lite vardags-edge ju. :)

Kan berätta att jag är medlem på en handlares sida där mitt lösenord är "123456" och mitt namn som användarnamn. Kommer någon in där så kan de ändra leveransadress, och lösenord samt beställa vad som helst och jag kommer att faktureras. Men vafan, det ger lite vardags-edge ju. :)

lol. Du förtjänar nästan att förlora en massa pengar. ;)

Om jag la till en * efter mitt gick det från att knäckas på 6dar till

Time Required to Exhaustively Search this Password's Space:
Online Attack Scenario:
(Assuming one thousand guesses per second) 1.74 hundred billion centuries
Offline Fast Attack Scenario:
(Assuming one hundred billion guesses per second) 1.74 thousand centuries
Massive Cracking Array Scenario:
(Assuming one hundred trillion guesses per second) 1.74 centuries

Kanske inte, borde nog sätta mig med mina lösen en dag. Men jag byter inte bokstäver mot siffror i stilen E = 3, A = 4 osv utan väljer versaler/gemener och tecken utifrån en "kod" som sitter fasthamrad i huvudet. Men det bästa är nog egentligen att fixa en slumpgenererad 15siffrorskod sedan nöta den till den sitter. Eller en krypterad USB-sticka med koder på, synd om den pajar/slarvas bort bara. :)

Jag tror en kombination av grejer är nog bäst. Det är bättre att ha ett som är enklare att komma ihåg och lägre "komplexitet" men längre, än tvärtom.
Varje extra tecken ger ju en exponentiell ökning i svårighetsgrad.

Om jag la till en * efter mitt gick det från att knäckas på 6dar till

Time Required to Exhaustively Search this Password's Space:
Online Attack Scenario:
(Assuming one thousand guesses per second) 1.74 hundred billion centuries
Offline Fast Attack Scenario:
(Assuming one hundred billion guesses per second) 1.74 thousand centuries
Massive Cracking Array Scenario:
(Assuming one hundred trillion guesses per second) 1.74 centuries

Problemet är förstås att om resten av ditt lösenord är lätt att bruteforcea eller kolla upp via ordtabeller (vilket 6 dar indikerar), så är att lägga till en extra karaktär en trivial sak. Skulle du däremot lägga till ett längre mer eller mindre unikt "salt" på kanske 5-6 tecken (något i stil med *.*..**), så skulle säkerheten bli hög.

Om jag la till en * efter mitt gick det från att knäckas på 6dar till

Time Required to Exhaustively Search this Password's Space:
Online Attack Scenario:
(Assuming one thousand guesses per second) 1.74 hundred billion centuries
Offline Fast Attack Scenario:
(Assuming one hundred billion guesses per second) 1.74 thousand centuries
Massive Cracking Array Scenario:
(Assuming one hundred trillion guesses per second) 1.74 centuries

Så länge du använder dig av alfanumeriska tecken tror nog tjänsten att du är begränsad av dem för dit lösen.

Det största misstaget folk gör är att använda samma lösenord på sidan de signar upp sig på som på sitt email. Email-lösenordet skall alltid vara unikt.

Annars är längd det absolut viktigaste och det behöver inte vara vidare svårt att komma ihåg heller. Skriv en mening och släng in ett slumpvis tecken mellan några ord så är det klart.

Har inte särskilt hög säkerhet, har i princip 3 olika "grunder" som jag utgår från och sedan lägger på lite stora bokstäver och/eller siffror, beroende på krav på siten jag skapar konto på.

Så skulle säga att jag har tillräckligt låg säkerhet för att vem som helst som kommer över ett par av mina lösenord kan gissa till samtliga varianter, men tillräckligt hög säkerhet för att jag ska hinna låsa ut mig från konton jag inte använt på ett tag för att jag har för många varianter att prova innan jag hittar rätt :)

"dåligt lösenord" var tydligen ett väldigt bra lösenord :)

Men rätt bra poäng ändå. Längden på lösenordet är rätt avgörande.
Så länge lösenordet inte är personligt förknippat med en själv i kombination med att hackern känner till personliga saker om en, så behöver sådana lösenord inte vara dåliga.
T ex om jag hade haft "sniggel.på.kolozzeum" som lösenord.

https://identitysafe.norton.com/sv/password-generator

Va fan, trodde jag fick med det.

Jag har gjort slumpmässiga lösenord härifrån på X antal bokstäver (30+) , sen har jag de lösenorden i ett dokument på en usb sticka.

Va fan, trodde jag fick med det.

Jag har gjort slumpmässiga lösenord härifrån på X antal bokstäver (30+) , sen har jag de lösenorden i ett dokument på en usb sticka.

Och dessa har du lagrade i klartext? Vad händer om du blir av med din usbsticka?

Och dessa har du lagrade i klartext? Vad händer om du blir av med din usbsticka?

Den är ju gömd hemma i huset, ligger inte direkt framme.

Denna kan vara bättre att kolla på, då den använder listor av ord också. Finns en massa exempel på lösenord också.
https://dl.dropboxusercontent.com/u/209/zxcvbn/test/index.html

Väldigt säkert, totalt 8 bokstäver varav den första börjar på en stor bokstav och det innehåller även 4 siffror och ett tecken.

Använder 5-6 olika beroende på var det är. Från ganska dåligt till oknäckbart, de vanligaste är väl ganska bra men inte jättebra.

Väldigt säkert, totalt 8 bokstäver varav den första börjar på en stor bokstav och det innehåller även 4 siffror och ett tecken.

Totalt 13 tecken? Dock beroende på vilka bokstäver och siffror (om det följer ett enkelt substitutionsmönster, t.ex) så behöver det inte alls vara särsklit säkert.
T.ex så är Tr0ub4dour&320 knäckbart på 10 dagar enligt det sista testet jag länkade, och det har ett tecken mer än ditt.

Väldigt osäkert. Jag lider av extremt dåligt minne och bedömer risken för att jag ska glömma ett krångligt lösenord större än att någon hacker ska finna mig intressant nog för att dekryptera lösenordet.

Använder 5-6 olika beroende på var det är. Från ganska dåligt till oknäckbart, de vanligaste är väl ganska bra men inte jättebra.

Hur långt är ditt oknäckbara, och vad inkluderar det för tecken/ord?

Väldigt osäkert. Jag lider av extremt dåligt minne och bedömer risken för att jag ska glömma ett krångligt lösenord större än att någon hacker ska finna mig intressant nog för att dekryptera lösenordet.

Du är ett bra exempel på folk som bör använda en sammansättning av ord som är lätta för dig att komma ihåg (plus eventuellt några specialtecken).
T.ex.
åsnorflygerinte==NEJ!

Du är ett bra exempel på folk som bör använda en sammansättning av ord som är lätta för dig att komma ihåg (plus eventuellt några special tecken).

Ja, många sidor jag använder kräver både siffror och bokstäver i lösenordet.

Använder 1password till det mesta och då helst 30 tecken med symboler, siffror och inga repetitioner. Har separat hantering av 1password och dropbox, mest för att kunna återskapa lösen vid en eventuell stöld/krasch.

Lösenord jag själv memorerar är enligt dicewares principer och med mellanslag. Aldrig färre än sex ord, och ett språk per ord.

Använder 1password till det mesta och då helst 30 tecken med symboler, siffror och inga repetitioner. Har separat hantering av 1password och dropbox, mest för att kunna återskapa lösen vid en eventuell stöld/krasch.

Lösenord jag själv memorerar är enligt dicewares principer och med mellanslag. Aldrig färre än sex ord, och ett språk per ord.

Tråkigt när någon av de sajterna lagrar det i klartext.

Använd minst 13 teckens lösenord.
Använd små och stora bokstäver, siffror samt tecken. (Minst ett av varje)
Använd inte ord som står i någon ordbok (du kan stava fel om du vill)
Återanvänd inte lösenord, i alla fall på viktiga saker, och speciellt inte det lösenord du har på mailen.
Använd inte lösenord som innehåller namn, födelsedatum, hundnamn, barnens namn etc.

/En som inte alls följer ovanstående regler.

Jag har tagit diverse ord jag gillar. Ett finskt. Två saker man äter. En bitter.
Sedan bytt ut siffror mot bokstäver och eventuella "i" mot "!" och så vidare.
Kanske inte skyddar mig mot en hacker, men om någon nisse känner för att stirra över axeln kommer det vara lite segt att komma ihåg.
Använde mig av ett lösenord som kom till vårt gamla 56k-modem på den tiden det begav sig. Det fick följa med i 15 år, men nu byts de ut lite oftare.

Skaffa en password manager så kan ni ha starka lösenord som är unika för varje ställe de behövs på. 1Password & Password Safe är två exempel. Nu behöver jag bara komma ihåg lösenordet dit.

Tråkigt när någon av de sajterna lagrar det i klartext.


Bara för just den sidan då lösenorden är unika.

Problemet med denna är att hackers anpassar sig och börjar testa ordkombinationer också. Har läst både negativa och positiva saker med ovanstående lösning. Vissa anser att man också borde "salta" lösenordet förutom att ha 4-5 ord som är lätta att komma ihåg.

hackers sitter ju knappast manuellt och testar lösenord?

Väldigt säkert, totalt 8 bokstäver varav den första börjar på en stor bokstav och det innehåller även 4 siffror och ett tecken.

Åtta bokstäver är inte bra på något sätt, om vi ska vara ärliga. Du har rätt att ingen sitter och gissar sig fram till det men blir du utsatt för avancerad attack där program slumpar lösenord för att hitta ditt så duger inte åtta tecken.

Har ni alltid långa komplicerade password eller väljer ni kortare "enklare" på random site man måste regga sig på, tex forum.

Mitt seriösa password är på 20 tecken. En stor bokstav och 8 siffror. Används enbart på de ställen som jag anser är känslig information för mig. Sedan har jag ett lösenord för skitsiter som jag inte bryr mig om.

hackers sitter ju knappast manuellt och testar lösenord?

De använder program där man scriptar automatiseringsregler, t.ex

En fråga angående siffror: Är det mer riskabelt att ha datum, t ex datumet man är född, i sitt lösenord? Är programmen smarta nog för att leta extra mycket efter fyrsiffriga kombinationer som börjar med 19, t ex?

En fråga angående siffror: Är det mer riskabelt att ha datum, t ex datumet man är född, i sitt lösenord? Är programmen smarta nog för att leta extra mycket efter fyrsiffriga kombinationer som börjar med 19, t ex?

Ja, det är en lågt hängande frukt. Kollar man i https://dl.dropboxusercontent.com/u/209/zxcvbn/test/index.html så ger 4 siffror på slutet LÄGRE säkerhet än 3 siffror. Öht är flera siffror i följd inte det bästa. En siffra kan ju bara väljas från 10 tecken, vilket gör sifferkombinationer väldigt lätta att bruteforca.

För folk som vill ha säkra lösenord men enkla att komma ihåg.

Namn eller smeknamn sedan telefonnummer och ytterligare något annat efter det. Maträtt/ort osv.

Folk som börjar med randomlånga lösenord är sadister :) Har själv 2 helt randomlösenord rikligt blandat med siffror och versaler. Men de krävde några 100tals inmatningar tittandes på pappret under 90-talet för att de skulle sitta. Nu har jag dem för enstaka seriösa skitsiter ifall man vill ha halvsäkert :)

Jag har ett lösenord som matchar mina fritidsintressen, en del ifrån varje intresse ihopskrivet (med siffror också). Sen flera oviktiga lösenord.

Jag hade ett 6 siffrigt sjukt svagt och lättuträknat lösenord från ca 96 > 2005, aldrig hackad ;) (vad jag vet).

Visste ni förresten att ett så stort bolag som Blizzard inte skiljer på små och stora bokstäver i sina password? Eller våra password snarare.

Varför är det så jobbigt att skriva lösenord? :(

Visste ni förresten att ett så stort bolag som Blizzard inte skiljer på små och stora bokstäver i sina password? Eller våra password snarare.

Finns tydligen banker där man inte kan ha mer än 8 tecken i sitt lösenord, samt de begränsar vilka tecken man får använda. Det är fascinerande.

Varför är det så jobbigt att skriva lösenord? :(

Skriva är ganska enkelt. Hitta på ett nytt däremot. ;)

Skriva är ganska enkelt. Hitta på ett nytt däremot. ;)

Tänkte mer på att många skriver "password", som om det vore enklare.

Jag använder diverse randomkoder på 8-12 bokstäver, siffror och tecken jag blivit tilldelad av banker, bredbandsoperatörer, osv genom åren, och så byter jag ut en av lösenorden så fort jag får en ny sån. Känns hyfsat säkert.

Har något form av fel när det gäller siffror och koder så jag använder 5-6 olika sådana som aldrig är att problem att komma ihåg och var jag använt det.

Jag antar att nån redan har länkat denna: http://www.passwordmeter.com/

Jag antar att nån redan har länkat denna: http://www.passwordmeter.com/

Tyvärr är den inte särskilt bra. Den ger ett lösenord med 50 random bokstäver ett lägre score än "Password1". Vilket är störtlöjligt.