Många lever i tron att lösenord är mer svårknäckta för att de har besvärliga kombinationer av tecken som är svåra för människor att memorera.
Sanningen är att för datorer är det inte ett dugg knepigare :-)

Dictionary-attacks används inte längre, utan med brute-force teknik om det är en känt vilken hash-algoritm som används är det enbart längden på lösenordet och i viss mån vilka teckengrupper det består av som har någon betydelse. 14 likadana tecken är säkrare än 10 blandade tecken.

Nu är brute-force en tungjobbad operation som tar lång tid även på kraftfulla datorer, så därför har vissa istället gjort s.k. rainbow-tables för de vanligaste hash-algoritmerna. Det är alltså förknäckta lösenord som de lagt in i stora databaser. En 50GB stor databas tar bara några sekunder att göra en table-scan på och med smart indexering kan det snabbas upp i de flesta fall för de flesta lösenorden.

De har tagit många månader att producera dessa databaser på riktigt snabba datorer eller genom timesharing-cluster på Internet så att tiotusentals vanliga datorer använts för att göra var sin lilla del av detta. Hacker-communitiet har nuförtiden tillgång till extremt mycket datakraft genom sådana tekniker, vilket tidigare inte ens var möjligt för olika länders superdatacenter.

Dessa tables går att ladda ner och de med större teckenuppsättningar finns att köpa. Att göra en databassökning i en snabb sql-server är ruskigt mycket snabbare än att beräkna varje hash-möjlighet.

Det finns olika teckenuppsättningar som dessa är genererade från, så det är alltid bra att ha med speciella tecken.

Av dem jag sett så finns det tabeller baserade på engelska, engelska med special characters och olika språkversioners bl.a. tyska och spanska, men jag har inte sett till någon specifik svensk version och där har vi tecknen å och Å som särskiljer oss från andra, så att ha med ett av dessa och helst i kombination med något från en annan uppsättning, t.ex. ü eller liknande och sä ökar säkerheten rejält.

Fast det kanske du redan har tänkt på :-)
Om du däremot har lösenord kortare än 15 tecken utan "å" i så bör du inte känna dig alltför trygg...

Att ha en lång passfras som är enkel att minnas och som innehåller något underligt kreativt stavat ord med specialtecken och just vårt svenska å är riktigt bra. Att inte ha samma lösenord på alla ställen är också vettigt, men det behöver inte göra det omöjligt, bara ett teckens skillnad i början räcker och med olika grupperingar av sajter kan man enj´kelt lösa det med lite finurlighet så att man har starka lösenord och enkelt kan komma ihåg dem.

Det finns nu en sida där man kan kolla om ens e-mail finns med på listan över stulna konton.
Det går på några sekunder att få svar.
Här är sidan där ni kan kolla om ni är med på listan:
https://lastpass.com/adobe/

Jagfick snabbt svaret att jag fanns med på listan vilket jag redan tidigare var ganska säker på.

Adobe Has Been Hacked!

Adobe has confirmed that hackers infiltrated their network and stole millions of customer emails and encrypted passwords. They have further acknowledged that your password hint, name, encrypted credit card number, card expiration date, and other confidential information may also have been leaked. An analysis of the hack by Paul Ducklin of Sophos states that 150 million users have been affected and that the encryption methods used to protect customer data are extremely weak.


Was My Adobe Account Hacked?

If you would like to find out if your Adobe account was one of the 150 million that were leaked, you can use the below tool:


Enter your email address here:

Your Adobe account was one of the ones that was compromised.

Your email address and encrypted Adobe password were found in the list of stolen Adobe accounts.

Did you know that 369 other people used the same password as you did for their Adobe account? Hackers have their password hints and can use them to guess your password too!

We have sent an email to xxxx@xxxx.com with instructions on how to obtain your Adobe password hint as well as everyone else's password hint who used the same password.

We strongly urge you to follow our recommendations and immediately change your Adobe and related passwords!!

Mats, kollade länken och fick också svar att mitt var hackat. Men sen säger dom att det var fyra stycken som använde samma lösenord som jag hade, och det är jag väldigt väldigt tveksam till. Hade, har bytt nu, ett rätt "konstigt" lösenord med blandadade tecken som jag är rätt säker på att ingen annan kan ha valt av en slump. Men självklart kan man inte vara helt säker, men lite märkligt tycker jag det låter.

Tänk på att det är bortåt 150 miljoner konton som hackats med all test konton mm.
Mitt lösenord var medelstort och inget av de vanliga enkla. Ändå har 369 personer till samma.
Såg att ende av de enklast används av många 100 000 användare.

Så fort jag såg Adobe hackats så skaffade jag 1Password så jag kan ha olika passord på samtliga viktiga konton.
Nu vet jag inte i Adobes fall om det gör så mycket om någon skulle logga på och ladda ner photoshop gratis. Det är värre att Adobe också fick kreditkortsinformationen hackad och nerladddad. Det skulle kunna skapa mer problem för mig. Nu har redan Swedbank skickat till mig ett nytt kort så det bör vara säkert. Vad de många miljoner andra vars kort också finns med på listan upplevt har man inte sett någon information om.

Jag har i alla händelser bytt strategi och kör unika komplicerade lösenord på alla viktiga sajter. Nu får man bara hoppas att inte 1Password kraschar för dessa lösenord har man ingen chans att hålla reda på. Till det krävs en fungerande mjukvara.

Brute force attacker verkar numera inte ta särskilt lång tid. Se nedanstående artikel som är skriven med utgångspunkt från Adobe hacket.

GPU-stuffed monster cracks Windows passwords in minutes
That's what you get for using a crap hashing algo
By John Leyden, 7th December 2012
81
RELATED STORIES
'End of passwords' predictions are premature - Cambridge boffin
Your smartphone browser: A ZOMBIE in password-crunching botnet
Marlinspike demos MS-CHAPv2 crack
Updated German 'hacker' uses rented computing to crack hashing algorithm
SSD tools crack passwords 100 times faster
print
alert



inShare

submit to reddit
MORE READING
Gpu
Password Security
Password Cracking
Free Regcast : Managing Multi-Vendor Devices with System Centre 2012
Security researchers have put together a monster number-crunching rig capable of cracking strong passwords by brute force in minutes.

Jeremi Gosney (aka epixoip) demonstrated a machine running the HashCat password cracking program across a cluster of five servers equipped with 25 AMD Radeon GPUs at the Passwords^12 conference in Oslo, Norway.



Gosney’s system means that even strong passwords protected by weak one-way encryption algorithms, notably the one used in Microsoft's LM and NTLM, are vulnerable.

A 14-character Windows XP password hashed using Lan Manager can be cracked from its hash value in just six minutes. LM splits a 14-character password into two seven-character strings before hashing them, which means it's a good deal less secure than an eight character password hashed with other encryption schemes. Brute forcing an eight-character password would take 5.5 hours, Security Ledger reports.

The attack could be run against leaked password hashes but not login methods directly. Since data breaches are by no means rare, this is not much of a barrier against misuse.

Services such as WPACracker and CloudCracker, a cloud-based platform for penetration testers, have already shown that older encryption algorithms and shorter passwords are hopelessly insecure. Gosney's research further underlines the point. ®

Tack för expert-infon Mats Lillnor, väldigt intressant och bra inlägg!

Tack för länken Mats! Mitt lösenord har också stulits. En person till hade samma lösenord om man ska tro LastPass. :-)

Jag var tvingad att byta lösenordet när jag försökte logga in på Adobes hemsida. Jag fick inte ha samma som förut heller.

Jo posten är kanske säkrare. Svårt att ånga upp kuvert och läsa brev i miljontal maskinellt. Å andra sidan är det inte särskilt praktiskt i dagens samhälle.

Idag kom mailet jag väntat på. I samband med Adobe hacket kontaktade jag Swedbank och frågade hur de tänkte hantera mitt kort som förmodligen var bland de hackade.
Swedbank kände vid detta tillfälle inte till det hela med kundmottagaren kontaktade säkerhetsavdelningen som gärna villa jag skickade ytterligare information. Vilket jag givetvis gjorde.
Någon vecka senare kom ett nytt kort till mig och säkert många andra.
Sedan dess har jag undrat hur Adobe kunnat debitera mig för och skicka kvitto på månadsbetalningen.

Idag kom mailet. Mitt kreditkort fungerar inte för nästa betalning. Nu vill de jag skall lägga in mitt nya kort förstås. Känns så där lagom kul.
Förmodligen har redan Adobe vidtagit åtgärder för att skärpa säkerheten. Eller kanske har de inte hunnit. NI är nog många fler som har fått eller kommer få likadana mail att ta ställning till.

Åtgärd krävs: Ditt Adobe Creative Cloud-medlemskap har upphävts

Hej Mats,

Ditt Creative Cloud-medlemskap kommer att ändras till ett kostnadsfritt medlemskap vid slutet av nästa faktureringsperiod eftersom vi inte kunde debitera det kreditkort som du har registrerat hos oss. Uppdatera betalningsinformationen om du vill återgå till ett betalt medlemskap.

Uppdatera din betalningsinformation ›

Med ett kostnadsfritt medlemskap får du tillgång till kraftfulla filsynkroniserings- och fildelningsfunktioner, 2 GB lagringsutrymme, kostnadsfria Adobe-tjänster och åtkomst till 30 dagars kostnadsfria utvärderingar av alla CC-program och andra Adobe-skrivbordsprogram, t.ex. Adobe Edge Animate och Adobe Muse.

Beroende på storleken på och antalet filer i ditt konto kanske du måste ta bort filer för att minska lagringsutrymmet så att din kvot inte överskrids. Om storleken på din kvot i Creative Cloud överskrids i mer än 90 dagar kan du förlora åtkomsten till vissa eller alla filer.

Kontakta vår kundsupport om du har frågor eller behöver hjälp.

Mycket nöje!
Adobe Creative Cloud-teamet

Endast med förutsättning att brevet delas ut till den rätta adressaten och det är lite si och så idag ned det eftersom vi har ju egentligen ingen post idag. Post värd namnet. Ordspråket: "Som ett brev på posten" har förlorat sin innebörd. Tyvärr.

Det håller jag inte med om. Det är fortfarande stöld av programvara.
Att Adobe haft svårt för att skydda sig mot ett välplanerat brott och brustit i säkerhet gör det inte mer ärligt att stjäla deras programvara.

Nä det är bara min högst subjektiva känsla. Lite som om du funderar på att placera dina ppm pengar i en viss fond men slutligen inte gör det. Sen ser du att den fonden går skitdåligt. Då blir du glad, trots att det inte finns mer anledning att glädjas åt den som att någon annan går dåligt.
Någon rationell logisk mangling klarar inte påståendet.

Men det känns skönt.

Jag förstår hur du menar men av alternativen att köra programmet olagligt eller att köra programmet lagligt visade sig att för den enskilda individen var det bäst att köra programmet olagligt.
Detta under förutsättningen att det är dåligt att få sitt konto hackat förstås.

Nu går ju Adobeprogrammen att köpa i affär för cash också. Dom som gjort det är väl dom gjorde mest rätt.
Annars finns det gratis alternativ som fixar det mesta också, så slipper man vara kriminell och begå upphovsrättligt brottsliga handlingar.

Det är väl det som inte går längre, med Creative Suite?