1password Arkiv - Ole Schmitto

6. maj 20227. december 2022

Hvilken farve har dit password?

Firmaet Hives Systems har netop frigivet deres seneste oversigt over, hvor lang tid det tager en hacker at bryde et password.

Det tager under en time at cracked (knække) et password.

Hvad betyder det at cracke/knække et password?

De fleste stjålne passwords kommer fra hjemmesider, der er blevet angrebet med succes, og hvor angriberen har hentet bruger databaser med brugernavne og passwords. Hvis brugernavn og password er i klar tekst, så er det nemt at se. Men god praksis er, at man “hasher” passwords i databasen, en form for kryptering der gør, at “password” i MD5 hashed form vil stå som 5F4DCC3B5AA765D61D8327DEB882CF99. Du kan selv prøve at konvertere et af dine passwords med MD5 Hash Generator Online

Hvordan knækker hackeren mit password?

Hackeren har har nu downloadet databasen med brugernavne (ofte din mail) samt dit password, som er hashed af hjemmesiden. Men hackeren kan ikke direkte konvertere hashværdien 5F4DCC3B5AA765D61D8327DEB882CF99 tilbage til “password”. Han bruger simpelthen mulige kombinationer på dit tastatur til at lave machende hashværdier, og sammenligner værdierne han har i den stjålne database fil. Det gøres selvfølgelig ikke manuelt, med ved hjælp af en kraftig PC og et program som hashcat. Det er beskrevet som “ World’s fastest and most advanced password recovery utility”. Ja der er altid to sider af en sag. Programmet der bruges af administrator til at knække et password man har glemt, bruges selvfølgelig også af hackerne.

Hvor lang tid tager det at knække mit password?

Det afhænger af kompleksiteten:

Password med op til 10 tal, med det samme
Password med 7 karakterer, alle små bogstaver, med det samme
Password med 7 karakterer, kombination af store og små bogstaver, 2 sekunder
Password med 8 karakterer, kombination af store og små bogstaver, 2 min
Password med 9 karakterer, kombination af tal og store og små bogstaver, 7 timer
Password med 11 karakterer, store og små bogstaver, 5 måneder
Password med 15 karakterer, små bogstaver, 100 år

Udgangspunktet for disse resultater og grafen er, at man har brugt en rimelig kraftig PC. Men det aller vigtigste er et kraftigt grafik kort, som typisk også bruges af PC spillere, kaldet RTX 3090 GPU.

Hvis ikke man har en sådan PC til rådighed, kan man “leje” en Amazon enhed. De tilbyder ekstremt kraftige enheder, som efter sigende kan lejes for $ 32,77 pr. time. Der findes også uden tvivl billigere cloud services derude, hvor man kan leje sig ind og modtage samme computer kraft.

Findes der bedre kryptering end MD5 hash?

Ja, der findes andre og endnu mere sikre krypteringer, der vil tage længere tid at knække for en hacker. Men hvis man ser på de hjemmesider hvor mange registrerer sig, så som restauranter, foreninger og Forums, så bruger mange af dem MD5 hash. Og da de fleste jeg taler med, genbruger deres passwords, og brugernavnet jo ofte er deres mail, så vil et succesfuldt angreb på en hjemmeside med MD5 hash ofte betyde, at hackeren nu har adgang til mange andre hjemmesider.

Hvad bør jeg gøre?

Genbrug ALDRIG det samme password på flere hjemmesider.
Brug en Passwordmanager som 1Password
Aktiver 2-faktor hvor det er muligt.

Mere info:

10. februar 202111. marts 2021

Microsoft Authenticator Chrome Extension var falsk og snød mig.

Microsoft password manager

Siden december har Microsoft testet en ny password-manager feature i deres Authenticator app, der hedder på dansk hedder Autofyld 🤔.

Jeg har længe brugt denne app i forbindelse med min Microsoft Office 365 konto, og den gør 2-faktor login nemt. Jeg opdagede en ny fane i appen i starten af februar. Det nye er, at Authenticator nu tilbyder at gemme andre passwords, ikke bare O365. Denne ekstra funktionalitet er med til at sikre dine andre konti som en Password Manager.

Det skulle være emnet for mit nyhedsbrev, men jeg skal jo lige teste funktionaliteten. Microsoft siger, at den kan bruges på såvel Android og iOS, samt Edge og Chrome browsere.

Her blev jeg snydt!

På Google webstore, hvor man henter udvidelser til sin Google Chrome, søgte jeg efter Microsoft Authenticator, fandt den og tilføjede den til min Google Chrome.

Da jeg aktiverede den, bad den mig logge ind til min Office 365 konto.

Det gjorde jeg, men responsen efter login gjorde mig mistænksom.

Hvad skete der?

Den Chrome extension som ligger derinde, er IKKE fra Microsoft, selvom den udgiver sig for det.
Hvis man holder musen henover “Kontakt Udvikler”, kan man se, at den mail adresse er en Gmail.

Kontakt udvikler mail adressen er en Gmail.

Hvad er problemet?

Problemet er, at når man har installeret denne Chrome Extension, og skal logge ind for synkronisering af password via Mircrosoft Office 365, så afleverer man brugernavn og password til hackeren, så han får kontrol over din Microsoft Office 365 konto. Du kan selv forestille dig konsekvensen af dette. Ingen adgang til dine egne mails, en anden sender mails på dine vegne, har adgang til alle dine dokumenter etc.

Hvad var konsekvensen for mig?

At jeg stoppede med at skrive omkring Microsoft Authenticator, og skrev denne artikel i stedet for.
At jeg omgående udskiftede mit password på min konto
At snyderen aldrig får fat i min konto, da jeg bruger 2-faktor godkendelse.

Hvad lærte jeg?

Stol ikke blindt på Google Chrome udvidelser inden du installerer.
Vær mistænksom når 1Password Manager pludselig ikke viser brugernavn og password, når du skal logge ind. Det gør den nemlig kun på det korrekte domain. I dette tilfælde skal det være Microsoft, som det så ikke var, -men derimod hackerens domain.
Husk altid at checke hvem der står som udvikler, og klik på besøg udvikler, og kontakt udvikler, for at sikre at det virker rigtigt.

Hvad gjorde jeg udover ovenstående?

Anmeldte udvidelsen som “snyd” til Google Chrome
Skrev til den danske Direktør for Teknologi og Sikkerhed hos Microsoft Danmark, Ole Kjeldsen.

11. maj 201921. maj 2019

STOP med at skifte password hver 3. måned.

Reglen har altid været, skift password hver 3 måned. De fleste IT sikkerhedspolitikker indeholder som standard denne passus. Og de fleste IT sikkerhedsfolk har sagt, at det bør man gøre.

Læs videre

15. februar 201912. marts 2019

Er DIT brugernavn og password kendt af offentligheden, sammen med 700 millioner andres?

Check selv på haveibeenpwned.com

Vil du sikre dig i fremtiden?

Læs videre “Er DIT brugernavn og password kendt af offentligheden, sammen med 700 millioner andres?”

29. september 201829. september 2018

Er du ramt af Facebook lækagen?

Fredag fortalte Facebook, at de havde opdaget en sikkerhedsbrist d. 25 September 2018. Denne brist skulle have kompromitteret 50 millioner Facebook konti.

Læs videre “Er du ramt af Facebook lækagen?”

24. januar 20188. maj 2019

Hvorfor Password Manager til mig?

Firma tilpassede password managers er begyndt at lukke hullet med Single sign-on (SSO) og services i skyen.

Password manager var i starten en måde for private brugere at holde styr på passwords. Det gør det nemt at bruge sikre passwords, uden at skulle huske mange forskellige. Læs videre “Hvorfor Password Manager til mig?”

20. december 201726. april 2019

Dårlige password

Hvert år udgiver Splash Data en liste over de værste password. Dette år er det som sædvanlig “123456” og “password”, som topper listen. I år er der dog en ny 16’er, “starwars”.

Hvis du har læst andre af mine artikler, ved du at jeg går ind for brugen af en Password manager, som sikre at man på en nem måde aldrig bruger de samme passwords på mere end en hjemmeside, og at man kun skal huske sit master password, resten sørger password manageren for. Jeg har siden 2009 selv anvendt 1Password, så den kan jeg klart anbefale, men der findes jo også andre, det vigtigste er at du bruger et system og dermed altid anvender avancerede passwords.

11. september 201426. april 2019

3 gode råd mod password tyveri du kan implementere nu!

Alt tyder på at hackere har samlet op mod 5.0 mill Gmail brugernavne og passwords i en fil, som nu er tilgængelig via download. Google siger at det ikke skyldes et indbrud hos dem, men at de formentlig er stjålet over lang tid fra andre web sites.

Hvorfor er det ekstra slemt når de får din email?

Fordi mange hjemmesider tilbyder at sende dit glemte password til din email adresse. Har man først adgang til denne, kan man hurtig overtage din identitet, dine konti såsom Facebook, Instagram, Twitter -ja alle steder der bruger denne metode. Som regel vil de også have ændret dit email password, og så du kan bare sidde og se til, medens de boltrer sig med din identitet.

3 gode råd til at sikre dine konti:

Genbrug aldrig password’s! Installer en password manager, som hjælper dig med at generere og huske engangs password pr. site, såsom LastPass, 1Password (sidstnævnte bruger jeg på alle enheder også iPhone & iPad)
Aktiver 2-faktor authentikation! Det betyder at udover password skal man også indtaste en kode, som ofte kommer som SMS på din mobil, når du logger ind. Så i dette tilfælde kræver det at angriberen både har dit password og din mobil. De fleste større web services tilbyder denne funktion, såsom Apple, Gmail, Facebook, Twitter, Dropbox, Evernote og Linkedin. Den engelsksprogede hjemmeside Lifehacker har en artikel der beskriver hvordan man aktiverer 2-faktor authentikation på websites.
Aktiver adgangs kode på din Smartphone! Så kan man ikke få adgang til disse data.