Hvilken farve har dit password?

Firmaet Hives Systems har netop frigivet deres seneste oversigt over, hvor lang tid det tager en hacker at bryde et password.

Det tager under en time at cracked (knække) et password.

Hvad betyder det at cracke/knække et password?

De fleste stjålne passwords kommer fra hjemmesider, der er blevet angrebet med succes, og hvor angriberen har hentet bruger databaser med brugernavne og passwords. Hvis brugernavn og password er i klar tekst, så er det nemt at se. Men god praksis er, at man “hasher” passwords i databasen, en form for kryptering der gør, at “password” i MD5 hashed form vil stå som 5F4DCC3B5AA765D61D8327DEB882CF99. Du kan selv prøve at konvertere et af dine passwords med MD5 Hash Generator Online

Hvordan knækker hackeren mit password?

Hackeren har har nu downloadet databasen med brugernavne (ofte din mail) samt dit password, som er hashed af hjemmesiden. Men hackeren kan ikke direkte konvertere hashværdien 5F4DCC3B5AA765D61D8327DEB882CF99 tilbage til “password”. Han bruger simpelthen mulige kombinationer på dit tastatur til at lave machende hashværdier, og sammenligner værdierne han har i den stjålne database fil. Det gøres selvfølgelig ikke manuelt, med ved hjælp af en kraftig PC og et program som hashcat. Det er beskrevet som “ World’s fastest and most advanced password recovery utility”. Ja der er altid to sider af en sag. Programmet der bruges af administrator til at knække et password man har glemt, bruges selvfølgelig også af hackerne.

Hvor lang tid tager det at knække mit password?

Det afhænger af kompleksiteten:

  • Password med op til 10 tal, med det samme
  • Password med 7 karakterer, alle små bogstaver, med det samme
  • Password med 7 karakterer, kombination af store og små bogstaver, 2 sekunder
  • Password med 8 karakterer, kombination af store og små bogstaver, 2 min
  • Password med 9 karakterer, kombination af tal og store og små bogstaver, 7 timer
  • Password med 11 karakterer, store og små bogstaver, 5 måneder
  • Password med 15 karakterer, små bogstaver, 100 år

Udgangspunktet for disse resultater og grafen er, at man har brugt en rimelig kraftig PC. Men det aller vigtigste er et kraftigt grafik kort, som typisk også bruges af PC spillere, kaldet RTX 3090 GPU.

Hvis ikke man har en sådan PC til rådighed, kan man “leje” en Amazon enhed. De tilbyder ekstremt kraftige enheder, som efter sigende kan lejes for $ 32,77 pr. time. Der findes også uden tvivl billigere cloud services derude, hvor man kan leje sig ind og modtage samme computer kraft.

Findes der bedre kryptering end MD5 hash?

Ja, der findes andre og endnu mere sikre krypteringer, der vil tage længere tid at knække for en hacker. Men hvis man ser på de hjemmesider hvor mange registrerer sig, så som restauranter, foreninger og Forums, så bruger mange af dem MD5 hash. Og da de fleste jeg taler med, genbruger deres passwords, og brugernavnet jo ofte er deres mail, så vil et succesfuldt angreb på en hjemmeside med MD5 hash ofte betyde, at hackeren nu har adgang til mange andre hjemmesider.

Hvad bør jeg gøre?

  • Genbrug ALDRIG det samme password på flere hjemmesider.
  • Brug en Passwordmanager som 1Password
  • Aktiver 2-faktor hvor det er muligt.

Mere info:

Læs videre

Er det et problem at 7 af 20 ministres passwords er kendt af hackere?

Torsdag bragte Danmarks Radio en historie om at 7 ud af 20 ministres kodeord ligger åbent tilgængeligt på nettet. Danmark Radio har formentlig via hjemmesiden “Have I Been Pwned” indtastet politikernes arbejds mail. Dermed kunne de se, hvis svaret var: “Oh no – pwned!”, at de havde brugt deres folketings mail til hjemmesider som Linkedin, MyFitnessPal, DropBox med flere.

Læs videre

Microsoft mener det med IKKE og skifte password hver 3 måned

– Da jeg i dag loggede ind på min administrative Office 365 konto, fik jeg besked om, at Microsoft ikke længere anbefaler skift af password hver 3 måned som default.

Undgå unødvendige adgangskode ændringer.

Det kan være til mere skade end gavn at kræve, at personer ændrer adgangskode med jævne mellemrum, da det fører til mere forudsigelige adgangskoder og forstyrrer arbejdet. Det anbefales, at du angiver adgangskoder, der aldrig udløber.

Læs videre

Hvorfor Password Manager til mig?

Firma tilpassede password managers er begyndt at lukke hullet med Single sign-on (SSO) og services i skyen.

Password manager var i starten en måde for private brugere at holde styr på passwords. Det gør det nemt at bruge sikre passwords, uden at skulle huske mange forskellige.

Læs videre

Dårlige password

Hvert år udgiver Splash Data en liste over de værste password. Dette år er det som sædvanlig  “123456” og “password”, som topper listen. I år er der dog en ny 16’er, “starwars”.

Hvis du har læst andre af mine artikler, ved du at jeg går ind for brugen af en Password manager, som sikre at man på en nem måde aldrig bruger de samme passwords på mere end en hjemmeside, og at man kun skal huske sit master password, resten sørger password manageren for. Jeg har siden 2009 selv anvendt 1Password, så den kan jeg klart anbefale, men der findes jo også andre, det vigtigste er at du bruger et system og dermed altid anvender avancerede passwords.

Læs videre

3 gode råd mod password tyveri du kan implementere nu!

Alt tyder på at hackere har samlet op mod 5.0 mill Gmail brugernavne og passwords i en fil, som nu er tilgængelig via download. Google siger at det ikke skyldes et indbrud hos dem, men at de formentlig er stjålet over lang tid fra andre web sites.

Hvorfor er det ekstra slemt når de får din email?

Fordi mange hjemmesider tilbyder at sende dit glemte password til din email adresse. Har man først adgang til denne, kan man hurtig overtage din identitet, dine konti såsom Facebook, Instagram, Twitter -ja alle steder der bruger denne metode. Som regel vil de også have ændret dit email password, og så du kan bare sidde og se til, medens de boltrer sig med din identitet.

3 gode råd til at sikre dine konti:

  • Genbrug aldrig password’s! Installer en password manager, som hjælper dig med at generere og huske engangs password pr. site, såsom LastPass1Password (sidstnævnte bruger jeg på alle enheder også iPhone & iPad)
  • Aktiver 2-faktor authentikation! Det betyder at udover password skal man også indtaste en kode, som ofte kommer som SMS på din mobil, når du logger ind. Så i dette tilfælde kræver det at angriberen både har dit password og din mobil. De fleste større web services tilbyder denne funktion, såsom Apple, Gmail, Facebook, Twitter, Dropbox, Evernote og Linkedin. Den engelsksprogede hjemmeside Lifehacker har en artikel der beskriver hvordan man aktiverer 2-faktor authentikation på websites.
  • Aktiver adgangs kode på din Smartphone! Så kan man ikke få adgang til disse data.
Læs videre