---

Her er 3 passwords, hvilken en af dem er sikrest ? de er alle 32 tegn, og
automatisk lavet.. men hvordan kan man se hvilket der er mest sikkert.

DEt jeg tænker på er at hvis man prøver at bruceforce om den så starter fra
a-å eller om den starter ved e eller hvordan

EEbh6;1JVh/yy¤&c55sTZNDD_IHCRE3U

P=1R4fC&<1:AwiKRij¤49}a:nc.@E

+8^5IJG:k4T8r4@Z*¨,w.W-Uqc8A.<q[

---

On Tue, 4 Dec 2001 16:36:25 +0100, Søren Gørtz Olesen <mail@sark.dk> wrote:
> Her er 3 passwords, hvilken en af dem er sikrest ? de er alle 32 tegn, og
> automatisk lavet.. men hvordan kan man se hvilket der er mest sikkert.
>
> DEt jeg tænker på er at hvis man prøver at bruceforce om den så starter fra
> a-å eller om den starter ved e eller hvordan
>
> EEbh6;1JVh/yy¤&c55sTZNDD_IHCRE3U
>
> P=1R4fC&<1:AwiKRij¤49}a:nc.@E
>
> +8^5IJG:k4T8r4@Z*¨,w.W-Uqc8A.<q[

Nu er de usikre allesammen. Når du skal se på passwords sikkerhed mht
bruteforce er der 2 ting du skal se på:

a) alfabetets størrelse, det vil sige, hvor mange forskellige tegn der
er at vælge iblandt. Har du eksempeltvist 256 tegn, hvoraf du vælger 32
og gerne må vælgde det samme tegn flere gange er antallet af muligheder
af gode grunde 255^32. Imidlertid har du næppe alle 256 tegn, idet en
del af disse i et standardalfabet (ASCII eller lignende) også har
kontroltegn at tage hensyn til.

b) Din one-way-string hash. Det er disse, der normalt benævnes MD5,
SHA1 osv. Det hjælper ikke at have mange muligheder for passwords (som
a) giver dig tallet af), hvis du kan checke 10^16 per sekund af dem. Med
andre ord skal det gøres rigtigt dyrt[1] at prøve bare en enkelt. Normalt
kan dette gøres på flere måder. Den simpleste er, at anvende en MD5
(SHA1) sum flere gange.

[1] Der menes her ``brænder mange cpu-cykler af''
--
Jesper

---

Til at lave koden med har jeg taget nogle tilfældige fra denne linie
"abcdefghijkmnpqrstuvwxyz12345678910ABCDEFGHIJKLMNOPQRSTUVWXYZ!#¤%&/()=@£$?{
[]}¨^'*-_.:,;<>\-+*"

Hvor kan jeg finde ne komplet liste over de tegn som kan bruges til at lave
koden med.

og har du en ide til hvordan jeg kan lave en meget sikker kode, eller ?


"Jesper Louis Andersen" <jlouis@alfrigg.diku.dk> skrev i en meddelelse
news:slrna0psaq.v6r.jlouis@alfrigg.diku.dk...
> On Tue, 4 Dec 2001 16:36:25 +0100, Søren Gørtz Olesen <mail@sark.dk>
wrote:
> > Her er 3 passwords, hvilken en af dem er sikrest ? de er alle 32 tegn,
og
> > automatisk lavet.. men hvordan kan man se hvilket der er mest sikkert.
> >
> > DEt jeg tænker på er at hvis man prøver at bruceforce om den så starter
fra
> > a-å eller om den starter ved e eller hvordan
> >
> > EEbh6;1JVh/yy¤&c55sTZNDD_IHCRE3U
> >
> > P=1R4fC&<1:AwiKRij¤49}a:nc.@E
> >
> > +8^5IJG:k4T8r4@Z*¨,w.W-Uqc8A.<q[
>
> Nu er de usikre allesammen. Når du skal se på passwords sikkerhed mht
> bruteforce er der 2 ting du skal se på:
>
> a) alfabetets størrelse, det vil sige, hvor mange forskellige tegn der
> er at vælge iblandt. Har du eksempeltvist 256 tegn, hvoraf du vælger 32
> og gerne må vælgde det samme tegn flere gange er antallet af muligheder
> af gode grunde 255^32. Imidlertid har du næppe alle 256 tegn, idet en
> del af disse i et standardalfabet (ASCII eller lignende) også har
> kontroltegn at tage hensyn til.
>
> b) Din one-way-string hash. Det er disse, der normalt benævnes MD5,
> SHA1 osv. Det hjælper ikke at have mange muligheder for passwords (som
> a) giver dig tallet af), hvis du kan checke 10^16 per sekund af dem. Med
> andre ord skal det gøres rigtigt dyrt[1] at prøve bare en enkelt. Normalt
> kan dette gøres på flere måder. Den simpleste er, at anvende en MD5
> (SHA1) sum flere gange.
>
> [1] Der menes her ``brænder mange cpu-cykler af''
> --
> Jesper

---

Søren Gørtz Olesen wrote:
>
> Til at lave koden med har jeg taget nogle tilfældige fra denne linie
> "abcdefghijkmnpqrstuvwxyz12345678910ABCDEFGHIJKLMNOPQRSTUVWXYZ!#¤%&/()=@£$?{
> []}¨^'*-_.:,;<>\-+*"
>
> Hvor kan jeg finde ne komplet liste over de tegn som kan bruges til at lave
> koden med.
>
> og har du en ide til hvordan jeg kan lave en meget sikker kode, eller ?
>

Hvis du rent faktisk vælger 32 tilfældige tegn fra ovenstående
mængde er dine passwords mere end rigeligt sikre. Jeg bruger
normalt 8-16 tegn fra en mindre mængde af mulige tegn. (Jeg
nøjes med specialtegn der er placeret samme sted på dansk og
amerikansk tastatur layout.)

Men selv om passwordet er sikkert nok kan det være at
hashfunktionen udgør et sikkerhedsproblem. Ved du hvilken
hashfunktion, der er anvendt?

Hvad angår mængden af mulige tegn kommer det i høj grad an på
hvilket system det skal anvendes på. Men i stedet for at
anvende tegn der potentielt kan skabe problemer ville jeg
hellere bruge længere passwords.

Hvis du skærer ovenstående tegnmængde ned til kun bogstaver og
tal og samtdigt gør dine passwords 11% længere bliver de lige
så sikre.

--
Kasper Dupont

---

Hvad mener du med Hash ? er det algoritm eller ?

---

Søren Gørtz Olesen wrote:
>
> Hvad mener du med Hash ? er det algoritm eller ?

En almindelig måde at gemme passwords på er at anvende
en hashfunktion på passwordet og så gemme hashværdien
i stedet for passwordet.

Jeg troede, det du sendte var hashværdierne af dine
passwords. Jeg havde ikke forestillet mig, at nogen
ville anvende passwords, der så så absurde ud.

Hvis nogen får fat i hashværdien af et password, er
det vigtigt at der er anvendt en god hashfunktion,
ellers vil man kunne udlede passwordet. (Eller et andet
der også ville blive accepteret.)

Hvis dine passwords er tilfældige er de alle tre
rigeligt sikre. Men det første ser ikke tilfældigt ud.
Der er fire stedder, hvor det samme tegn forekommer to
gange i træk, sandsynligheden for det er så vidt jeg
kan regne ud kun en ud af 3121.

--
Kasper Dupont

---

Søren Gørtz Olesen <mail@sark.dk> wrote:
> Til at lave koden med har jeg taget nogle tilfældige fra denne linie
> "abcdefghijkmnpqrstuvwxyz12345678910ABCDEFGHIJKLMNOPQRSTUVWXYZ!#¤%&/()=@£$?{
> []}¨^'*-_.:,;<>\-+*"
>
> Hvor kan jeg finde ne komplet liste over de tegn som kan bruges til at lave
> koden med.
>
> og har du en ide til hvordan jeg kan lave en meget sikker kode, eller ?

Du skriver ikke hvad du skal bruge disse "sikre passwords" til, men har du
overvejet at bruge en anden form for authentication end almindelige
passwords?

Det vil vaere meget svaert at huske et tilfaeldigt password paa 32 tegn og
folk ender med at skrive det ned. Kig paa to-faktor authentication i stedet,
f.eks. RSA eller DSA keys i SSH eller et token baseret system.

http://a.area51.dk/ssh
http://www.cryptocard.com/
http://www.activcard.com/

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Der hvor jeg skal bruge koderne til er bestcrypt.com som virker ligende pgp,
bare hvor man kan krypterer hele drev osv. Jeg kan selv vælge en række
algoritmer og hash funktioner.

Men pointen med det hele er at det kun er mig der har adgang, som i nok
kunne gætte, og derfor skal det ikke (næsten 100%) ikke kunne brydes.

Hvilken algoritm og hash funktioner skal jeg bruge ?

pt. bruger jeg standard i programmet.

---

Den Tue, 4 Dec 2001 16:36:25 +0100 skrev Søren Gørtz Olesen:
>Her er 3 passwords, hvilken en af dem er sikrest ? de er alle 32 tegn, og
>automatisk lavet.. men hvordan kan man se hvilket der er mest sikkert.
>
>DEt jeg tænker på er at hvis man prøver at bruceforce om den så starter fra
>a-å eller om den starter ved e eller hvordan

Hvis jeg skulle bruteforce et password, ville jeg starte på midten, og
så arbejde mig ud til begge sider: m n l o k p j r i. Så fanger jeg
hurtigere de passwords hvor folk har skåret yderpunkterne væk, fordi
de ikke ser tilfældige ud.

Mvh
Kent
--
http://www.celebrityshine.com/~kfr/